金融數(shù)據(jù)安全相關(guān)行業(yè)標(biāo)準(zhǔn)介紹

謝宗曉 　董坤祥　甄杰

數(shù)據(jù)安全成為熱點(diǎn)，是因?yàn)榇髷?shù)據(jù)時(shí)代的到來，但是，數(shù)據(jù)安全并不能僅僅局限于狹義的“大數(shù)據(jù)安全”，而是指大數(shù)據(jù)背景下的數(shù)據(jù)安全。從這個(gè)角度講，數(shù)據(jù)安全也是一個(gè)無所不包的概念，既包括數(shù)據(jù)的安全、也包括平臺(tái)的安全、系統(tǒng)的安全，以及相關(guān)人員的安全。數(shù)據(jù)安全在金融領(lǐng)域尤為重要，截至目前，在金融行業(yè)標(biāo)準(zhǔn)中，數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)主要有：JR/T 0158—2018 《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》、JR/T 0171—2020 《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》、JR/T 0197—2020 《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》、JR/T 0223—2021《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》。

1 JR/T 0158—2018《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》

JR/T 0158—2018發(fā)布于2018年9月27日，與大數(shù)據(jù)安全關(guān)系不大，仍然屬于傳統(tǒng)的信息資產(chǎn)管理的范疇。信息（資產(chǎn)）分類分級(jí)，在GB/T 22080—2016 / ISO/IEC 27001：2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》附錄A中也有明確的要求。在該標(biāo)準(zhǔn)的引言中，也提出：采用規(guī)范的數(shù)據(jù)分類、分級(jí)方法，有助于行業(yè)機(jī)構(gòu)厘清數(shù)據(jù)資產(chǎn)、確定數(shù)據(jù)重要性或敏感度，并針對(duì)性地采取適當(dāng)、合理的管理措施和安全防護(hù)措施，形成一套科學(xué)、規(guī)范的數(shù)據(jù)資產(chǎn)管理與保護(hù)機(jī)制，從而在保證數(shù)據(jù)安全的基礎(chǔ)上促進(jìn)數(shù)據(jù)開放共享。

依據(jù)GB/T 10113—20031）的“線分類法”，JR/T 0158—2018中對(duì)證券行業(yè)的數(shù)據(jù)類型進(jìn)行了枚舉。所謂線分類法，就是將分類對(duì)象按選定的若干屬性（或特征），逐次地分為若干層級(jí)，每個(gè)層級(jí)又分為若干類目。同一分支的同層類目之間構(gòu)成并列關(guān)系，不同層級(jí)類目之間構(gòu)成隸屬關(guān)系。與之對(duì)應(yīng)的是“面分類法”。

在信息安全領(lǐng)域，引入系統(tǒng)的分類法，在其他標(biāo)準(zhǔn)中并不多見，包括應(yīng)用廣泛，較為成熟的ISO/IEC 27000標(biāo)準(zhǔn)族，也只是簡單的枚舉，并沒有給出方法論。JR/T 0158—2018從業(yè)務(wù)條線出發(fā)，首先對(duì)業(yè)務(wù)細(xì)分，其次對(duì)數(shù)據(jù)細(xì)分，形成從總到分的樹形邏輯體系結(jié)構(gòu)，最后，對(duì)分類后的數(shù)據(jù)確定級(jí)別。同時(shí)，考慮確定數(shù)據(jù)形態(tài)。具體見圖1所示。

數(shù)據(jù)分級(jí)為4級(jí)，4級(jí)最高，分別為：極高、高、中、低。簡單來說，1級(jí)是公開數(shù)據(jù)，4級(jí)是行業(yè)內(nèi)大型或特大型機(jī)構(gòu)重要業(yè)務(wù)數(shù)據(jù)，2級(jí)為一般業(yè)務(wù)使用數(shù)據(jù)，3級(jí)為重要業(yè)務(wù)使用數(shù)據(jù)。

用戶可以根據(jù)JR/T 0158—2018的表A.1 數(shù)據(jù)匯集型會(huì)管單位典型數(shù)據(jù)分類分級(jí)模板，對(duì)組織數(shù)據(jù)進(jìn)行比對(duì)，從而確定分類和分級(jí)。

2 JR/T 0171—2020《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》

JR/T 0171—2020發(fā)布于2020年2月13日，給出了個(gè)人金融信息的定義，包括的內(nèi)容，按照敏感度的個(gè)人金融信息分級(jí)，以及從安全技術(shù)和安全管理的角度討論了整個(gè)生命周期管理。JR/T 0171—2020的框架見圖2所示。

個(gè)人金融信息按照敏感程度分為C3、C2和C1三個(gè)級(jí)別，C3最高，判定也是按照信息遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更后所產(chǎn)生的影響和危害為依據(jù)。其中，C3級(jí)別主要為用戶鑒別信息。C2級(jí)別信息主要為可識(shí)別特定個(gè)人金融信息主體身份與金融狀況的個(gè)人金融信息，以及用于金融產(chǎn)品與服務(wù)的關(guān)鍵信息。C1級(jí)別信息主要為機(jī)構(gòu)內(nèi)部的資產(chǎn)信息，主要指供金融業(yè)機(jī)構(gòu)內(nèi)部使用的個(gè)人金融信息。

3 JR/T 0197—2020《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》

JR/T 0197—2020發(fā)布于2020年9月23日，給出了金融數(shù)據(jù)安全分級(jí)的目標(biāo)、原則和范圍，以及數(shù)據(jù)安全定級(jí)的要素、規(guī)則和定級(jí)過程。

JR/T 0197—2020對(duì)于定級(jí)的基本依據(jù)也是金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全遭受破壞后的影響對(duì)象和所造成的影響程度。具體級(jí)別從高到低分別為5級(jí)、4級(jí)、3級(jí)、2級(jí)、1級(jí)。

其中5級(jí)數(shù)據(jù)為重要數(shù)據(jù)，主要是用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過程中重要核心節(jié)點(diǎn)類機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)使用，一旦安全性遭到破壞，會(huì)對(duì)國家安全造成影響，或?qū)姍?quán)益造成嚴(yán)重影響。1級(jí)為公開數(shù)據(jù)。4級(jí)數(shù)據(jù)主要用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過程中重要核心節(jié)點(diǎn)類機(jī)構(gòu)的重要業(yè)務(wù)使用。3級(jí)數(shù)據(jù)主要用于金融業(yè)機(jī)構(gòu)關(guān)鍵或重要業(yè)務(wù)使用。2級(jí)數(shù)據(jù)用于金融業(yè)機(jī)構(gòu)一般業(yè)務(wù)使用。

JR/T 0171—2020中定義的C3類個(gè)人金融信息對(duì)應(yīng)JR/T 0197—2020中的4級(jí)數(shù)據(jù)，C2類個(gè)人金融信息對(duì)應(yīng)3級(jí)數(shù)據(jù)，C1類個(gè)人金融信息對(duì)應(yīng)2級(jí)數(shù)據(jù)。

4 JR/T 0223—2021《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》

JR/T 0223—2021發(fā)布于2021年4月8日，圍繞金融數(shù)據(jù)生命周期，即數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、刪除及銷毀過程，提出了相應(yīng)的安全要求。

JR/T 0223—2021圍繞該標(biāo)準(zhǔn)中第5章的安全框架展開討論，其中不僅包含了數(shù)據(jù)生命周期中每個(gè)階段的安全要求，也對(duì)組織保障和運(yùn)維保障等方面提出了要求。具體見圖3。

JR/T 0197—2020和JR/T 0223—2021定義了數(shù)據(jù)分級(jí)，以及整個(gè)數(shù)據(jù)生命周期管理的安全要求。適用于金融業(yè)機(jī)構(gòu)開展電子數(shù)據(jù)安全分級(jí)工作，也可以作為第三方評(píng)估機(jī)構(gòu)開展數(shù)據(jù)安全檢查與評(píng)估工作的依據(jù)。

5 小結(jié)

綜上所述，就標(biāo)準(zhǔn)之間的關(guān)系而言，JR/T 0223—2021和JR/T 0197—2020是相關(guān)標(biāo)準(zhǔn)。JR/T 0197—2020中數(shù)據(jù)的分級(jí)是JR/T 0223—2021中安全管理的基礎(chǔ)。

數(shù)據(jù)分類分級(jí)，尤其是分級(jí)，存在一定的主觀性，僅僅依據(jù)等級(jí)的定義，實(shí)際難于操作，大部分組織，在定義的基礎(chǔ)上，往往都再給一個(gè)示例，盡量枚舉已有的類型，從而在確定具體的分級(jí)時(shí)比對(duì)。這是數(shù)據(jù)分類分級(jí)過程中的第一個(gè)難點(diǎn)。第二個(gè)難點(diǎn)在于，由于分級(jí)只是相對(duì)的等級(jí)，各個(gè)組織之間從定義開始，就存在很大的差異，例如，數(shù)據(jù)可能分為5個(gè)等級(jí)，4個(gè)等級(jí)，3個(gè)等級(jí)，各種情況都有，而且有的組織定義為1級(jí)最低，有的組織則定義為1級(jí)最高。在行業(yè)范圍內(nèi)，給出數(shù)據(jù)分類分級(jí)的方法論，統(tǒng)一數(shù)據(jù)的級(jí)別，并給出大致的枚舉類型，對(duì)于信息資產(chǎn)管理大有益處，對(duì)于后續(xù)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估也是良好的基礎(chǔ)。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無關(guān)）