新规 | 亿赛通专家深入解读《金融数据安全 数据安全分级指南》

金融机构随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已经成为事关国家安全与经济社会发展的重大问题。党中央对此高度重视，习近平总书记多次作出重要指示批示。而对数据资产进行全面梳理并进行分类分级是实施有效数据管理的必要前提和基础，加快金融数据安全分类分级建设，切实保障国家数据安全。

日前，《金融数据安全 数据安全分级指南》（JR/T 0197—2020）（以下简称《指南》）正式发布。《指南》由中国人民银行科技司发起，全国金融标准化技术委员会归口管理，并由银行卡检测中心、多家金融机构共同研制。《指南》给出了金融数据安全分级的目标、原则和定级范围，并明确了数据安全定级的要素、规则和具体的定级过程。

1、数据安全定级目标（4.1节）

数据安全定级旨在对数据资产进行全面梳理并确立适当的数据安全分级，是金融业机构实施有效数据分级管理的必要前提和基础。数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工作，能够为金融业机构制定有针对性的数据安全管控措施提供支撑。

解读：亿赛通在业内首提“分•放•管•服”的数据安全综合解决方案的理念，该理念中的“分：制度/权责与资产”与金融数据安全定级目标相契合。对政策制度的分层合规，对权责访问对象的分权分责，对数据的分类分级和对资产的分布分析，组成了亿赛通的 “分”。“分”是从整体架构的层面来规划数据安全，是数据安全综合解决方案的基础，没有准确合理的“分”就没有有效安全的数据应用和管控。

2、数据安全定级原则（4.2节）

数据安全定级遵循合法合规性、可执行性、时效性、自主性、差异性、客观性六大原则。

解读：数据安全治理要在合规、可执行、时效等方面进行多方权衡，亿赛通数据安全理念主张将数据安全管理放、管结合。“放”的含义是指数据的流动与应用，而“管”则是指保障数据的安全。两者之间是一个需要动态精准把握的平衡关系。“放•管”是方案的的具体执行，通过各种类型的数据安全工具来达到合理管控的目的。如:文档安全，文件交换、安全介质管理，数据库安全，数据加密、脱敏，数据防泄露等。

3、数据安全定级范围（4.3节）

提供金融产品或服务过程中采集的数据；

金融机构内部信息系统内生成和存储的数据；

办公网络与设备中产生、交换、归档的数据；

纸质文件经扫描等电子化手段形成的数据；

其他宜进行分级的金融数据；

解读：从整体来看该范围覆盖了数据安全的全生命周期：产生（采集）-传输-存储-使用-共享-销毁（归档），在数据安全治理过程中不仅要关注数据的静态安全，还要关注数据的动态流转安全。需要以数据为中心应用相应的技术手段，例如：数据资产扫描、数据防泄露、数据加密、数据访问控制、数据脱敏、数据水印、数据库审计与防护、大数据防护、备份容灾等，以及利用机器学习算法、UEBA技术来将数据与人之间建立关联关系，最后利用数据安全智能管控平台实现统一策略管理、统一流程管理，利用数据安全态势感知平台对数据资产、数据流转、数据风险进行统一的展现，进而实现统一监控、统一运维、智能分析、态势感知。

4、安全影响评估（5.2.1节）

保密性：数据的未经授权、数据被非授权对象获取或利用、数据被非授权对象利用进行窃取、篡改、销毁或拒绝服务、数据的未经授权披露或传播；

完整性：数据未经授权修改或损毁；

可用性：数据的访问或使用中断。

解读：金融数据未经授权或非法授权进行访问、利用、窃取、篡改所造成的后果会对金融机构造成极其恶劣的影响。数据访问控制（数据防泄露、数据库审计与防护）能对数据的访问进行全量审计，访问者的权限进行细粒度的控制，高危行为进行实时阻断告警；数据脱敏可对高敏感数据降低其敏感级别，使数据正常流转产生价值、满足生产业务需求、防止敏感数据泄露、满足金融行业合规性要求。

5、数据安全定级过程（5.4节）

组织保障：确定数据安全管理最高决策组织，设立并明确相关部门（或组织）及其职责；

制度保障：建立数据分级工作的相关制度，明确并落实相关工作要求；

定级流程：数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核、数据安全级别批准。

解读：亿赛通按照安全技术、安全咨询和安全培训方式为客户提供数据安全体系化服务，通过数据资产梳理、分级分类等安全服务，帮助金融行业厘清数据资产，通过安全产品进行相关数据资产的落地管控，通过全生命周期安全加固和数据治理，从组织架构、制度流程、技术手段、人员能力等方面帮助金融行业建立全方位端到端的数据安全体系建设，实现数据创造价值，驱动业务发展的安全运营。

《指南》的出台在指导并促进金融机构开展数据安全分级管理、金融机构合理分配数据保护资源和成本，促进数据在机构间、行业间的安全共享等方面具有重要意义和价值。亿赛通作为“中国数据安全综合厂商”，通过全新的“分放管服”数据安全理念，结合金融数据安全分级指南，为客户提供全方位的数据安全防护体系，提供真正意义上的全生命周期数据安全管理。