隨著大數(shù)據(jù)、人工智能、云計算等新技術在金融業(yè)的深入應用,數(shù)據(jù)逐步實現(xiàn)了從信息化資產(chǎn)到生產(chǎn)要素的轉(zhuǎn)變,其重要性日益凸顯。金融數(shù)據(jù)復雜多樣,對數(shù)據(jù)實施分級管理,能夠進一步明確保護對象,有助于金融業(yè)機構(gòu)合理分配數(shù)據(jù)保護資源和節(jié)約成本,是金融業(yè)機構(gòu)建立完善的金融數(shù)據(jù)生命周期保護框架的基礎,也是關鍵性數(shù)據(jù)安全防護的前提條件。同時,數(shù)據(jù)分類分級能夠有效促進金融數(shù)據(jù)在機構(gòu)間、行業(yè)內(nèi)的安全共享,有利于金融行業(yè)數(shù)據(jù)價值的挖掘與實現(xiàn)。
一、數(shù)據(jù)分類分級概述
《數(shù)據(jù)安全法》的第二十一條“國家建立數(shù)據(jù)分類分級保護制度,根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數(shù)據(jù)實行分類分級保護”。
數(shù)據(jù)分類分級相關概念:
1)分類分級對象:數(shù)據(jù)分類分級的對象通常是數(shù)據(jù)項、數(shù)據(jù)集,比如提供金融產(chǎn)品或服務過程中采集的數(shù)據(jù)、業(yè)務數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)等。
2)數(shù)據(jù)分類:具有多種視角和維度,其主要目的是便于數(shù)據(jù)管理和使用。
3)數(shù)據(jù)分級:為了保護數(shù)據(jù)安全,不同級別的數(shù)據(jù)應采取不同的保護措施。
4)數(shù)據(jù)分類分級清單:數(shù)據(jù)分類分級之后的結(jié)果,為金融數(shù)據(jù)安全治理和防護提供精準化措施。
5)定期開展:金融數(shù)據(jù)的類別級別可能因時間變化、政策變化、 安全事件發(fā)生、不同業(yè)務場景的敏感性變化或相關行業(yè)規(guī)則不同而發(fā)生改變,因此需要對金融數(shù)據(jù)分類分級進行定期審核并及時調(diào)整。
二、金融數(shù)據(jù)安全分類分級的業(yè)務流程
第一步 頂層設計
制定數(shù)據(jù)分類分級標準。根據(jù)國家相關標準、金融行業(yè)相關標準、結(jié)合金融業(yè)務特性制定金融業(yè)數(shù)據(jù)安全分類分級標準或規(guī)范,金融數(shù)據(jù)安全分類分級工作可以按照《JRT 0197-2020 金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》的相關標準執(zhí)行。頂層設計階段需要建立敏感數(shù)據(jù)指引、敏感數(shù)據(jù)分類分級指引,同時要明確需遵循的法律法規(guī)。
第二步 數(shù)據(jù)分類
利用技術工具識別是否存在法律法規(guī)或主管監(jiān)管部門有專門管理要求的數(shù)據(jù)類別,并對識別的數(shù)據(jù)類別進行區(qū)分標識;從金融領域維度,確定待分類數(shù)據(jù)的數(shù)據(jù)處理活動涉及的領域;完成上述數(shù)據(jù)分類后,結(jié)合金融數(shù)據(jù)分類分級相關標準,綜合采用面分類法和線分類法相結(jié)合的方法。
不論是對數(shù)據(jù)資產(chǎn)進行梳理、標準化,還是數(shù)據(jù)的確權、管理,亦或是提供數(shù)據(jù)資產(chǎn)服務,有效的數(shù)據(jù)分類都是首要任務。敏感數(shù)據(jù)發(fā)現(xiàn)是數(shù)據(jù)分類分級的基礎,也是客觀判斷的前期條件,如對個人基本信息、財產(chǎn)信息、風險標簽信息、銀行賬號等多種數(shù)據(jù)進行判斷,及時發(fā)現(xiàn)金融業(yè)機構(gòu)內(nèi)部敏感數(shù)據(jù)。
第三步 數(shù)據(jù)分級
數(shù)據(jù)分類分級的準確度是后續(xù)數(shù)據(jù)保護策略部署的基礎,數(shù)據(jù)的分級是數(shù)據(jù)重要性的直觀化展示,分級結(jié)果是組織內(nèi)部管理體系編寫的基礎、是技術支撐體系落地實施的基礎、是運維過程中合理分配防護資源的基礎。
金融數(shù)據(jù)安全定級的具體流程如下:
《JRT 0197-2020 金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》中根據(jù)金融業(yè)機構(gòu)數(shù)據(jù)安全性遭受破壞后影響對象和所造成的影響程度,將數(shù)據(jù)安全級別從高到低劃分了五級,并且對每一級數(shù)據(jù)特征做了說明。提供了數(shù)據(jù)安全定級規(guī)則參考說明以及規(guī)范數(shù)據(jù)定級流程,為金融業(yè)機構(gòu)開始數(shù)據(jù)安全分類分級建設提供了可落地的參考標準。
表 2?1數(shù)據(jù)安全定級規(guī)則參考表
第四步 精細化防護策略
數(shù)據(jù)分類分級更大的意義在于對分類分級后的數(shù)據(jù)如何進行精細化安全防護。數(shù)據(jù)分類分級要考慮數(shù)據(jù)多種特性,其中包括數(shù)據(jù)安全防護的問題,金融業(yè)機構(gòu)需認真考慮如何利用現(xiàn)有設備或新增安全防護設備有針對性地加深數(shù)據(jù)安全防護粒度,從而減輕資金、人員、運維等綜合投入成本,在此前提下,數(shù)據(jù)分類分級則顯得尤為重要。
通過人工與技術工具結(jié)合的方式進行數(shù)據(jù)安全分類分級,數(shù)據(jù)分類分級設備通過通用接口,可與其他數(shù)據(jù)安全防護單元分享分類分級結(jié)果,專業(yè)數(shù)據(jù)分類分級設備將敏感數(shù)據(jù)結(jié)果發(fā)送給各數(shù)據(jù)資產(chǎn)管理員分別進行整改,形成數(shù)據(jù)安全防護閉環(huán)。
第五步 安全運營
數(shù)據(jù)分類分級工作是一個長期持續(xù)的過程,需要在組織內(nèi)持續(xù)性地基于組織業(yè)務變化和技術發(fā)展不斷的調(diào)整和優(yōu)化,金融業(yè)機構(gòu)需要強化技術手段,提升管控能力。
根據(jù)分類分級結(jié)果制定數(shù)據(jù)管控策略,實施管控措施,全景展示數(shù)據(jù)安全態(tài)勢,持續(xù)運營改進。
三、數(shù)據(jù)分類分級的典型應用場景
// 敏感數(shù)據(jù)可視化與訪問分析
數(shù)據(jù)安全和運維安全真正需要關心在于敏感數(shù)據(jù),從敏感數(shù)據(jù)分類出發(fā),選擇敏感表格組成敏感數(shù)據(jù)集合,敏感分析可根據(jù)時間、保護對象、源IP方式對敏感數(shù)據(jù)被訪問的情況進行統(tǒng)計分析,在保障安全的基礎之上實現(xiàn)敏感數(shù)據(jù)分布可視化、敏感數(shù)據(jù)訪問可視化。
// 數(shù)據(jù)分類分級結(jié)果對外共享
專業(yè)數(shù)據(jù)分類分級設備做全網(wǎng)數(shù)據(jù)資產(chǎn)識別和分類分級,開放通用API接口,可分別與數(shù)據(jù)安全運營管理平臺和數(shù)據(jù)安全防護設備聯(lián)動。
與數(shù)據(jù)安全運營管理平臺聯(lián)動:將數(shù)據(jù)分類分級結(jié)果上傳給平臺,通過平臺統(tǒng)一將策略下發(fā)給各數(shù)據(jù)安全防護設備。與其他安全防護設備聯(lián)動:數(shù)據(jù)庫審計和數(shù)據(jù)庫防火墻重點審計和防護級別高的敏感數(shù)據(jù),數(shù)據(jù)安全級別高的可以通過數(shù)據(jù)脫敏降低級別,以及對接其他數(shù)據(jù)安全防護產(chǎn)品達到聯(lián)防聯(lián)控的效果,形成數(shù)據(jù)安全防護閉環(huán)。
四、數(shù)據(jù)分類分級的意義
滿足自身發(fā)展
數(shù)據(jù)分類分級起到承上啟下的作用。承上:從運維制度、保障措施、崗位職責等多個方面的管理體系都需依托數(shù)據(jù)分類分級進行落地執(zhí)行。啟下:根據(jù)不同數(shù)據(jù)級別,實現(xiàn)不同安全防護,如高級別數(shù)據(jù)需要實現(xiàn)細粒度規(guī)則管控和數(shù)據(jù)加密,低級別數(shù)據(jù)實現(xiàn)單向?qū)徲嫾纯伞?/p>
提升數(shù)據(jù)使用價值
數(shù)據(jù)資產(chǎn)梳理是數(shù)據(jù)治理的基礎,梳理清楚具體的數(shù)據(jù)庫資產(chǎn)、數(shù)據(jù)資產(chǎn)、賬號權限信息,制定各級別數(shù)據(jù)交換共享策略,在提升運營能力同時,數(shù)據(jù)資產(chǎn)的精細化管理,持續(xù)性為金融業(yè)機構(gòu)提供精準的數(shù)據(jù)服務。
減少數(shù)據(jù)安全風險
采用規(guī)范的數(shù)據(jù)分類、分級方法,有助于金融業(yè)機構(gòu)厘清數(shù)據(jù)資產(chǎn),確定數(shù)據(jù)重要性或敏感度,針對性地采取適當、合理的管理手段和安全防護措施,形成一套科學、規(guī)范的數(shù)據(jù)資產(chǎn)管理與保護機制,從而減少數(shù)據(jù)遭受篡改、破壞、泄露、丟失或非法利用的可能。
滿足合規(guī)要求
滿足合規(guī)是金融業(yè)機構(gòu)平穩(wěn)運行最基本要求,《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》以及等保、金融行業(yè)標準規(guī)范等都有要求,企業(yè)應當按照金融行業(yè)的監(jiān)管要求去執(zhí)行,采用流程和技術手段切實落實數(shù)據(jù)分類分級工作。
五、昂楷提供持續(xù)的數(shù)據(jù)分類分級服務
昂楷科技的專業(yè)團隊將從客戶數(shù)據(jù)的專有屬性出發(fā),綜合國家、行業(yè)定義的數(shù)據(jù)分級分類方法,以及數(shù)據(jù)開發(fā)和共享需求,制定適合客戶數(shù)據(jù)的分類標準;在數(shù)據(jù)分類的基礎上,結(jié)合數(shù)據(jù)的重要性、敏感程度,以及篡改、破壞、泄露或非法獲取、非法利用造成的危害程度,制定適合客戶數(shù)據(jù)的分級標準。
數(shù)據(jù)分類分級服務定期輸出完整詳細的各類清單和報告:
服務過程中將全面梳理客戶的數(shù)據(jù)資產(chǎn),綜合數(shù)據(jù)的使用目的、敏感程度和屬性,按制定的數(shù)據(jù)分類分級標準,實現(xiàn)對客戶數(shù)據(jù)的分類分級;對客戶數(shù)據(jù)按不同類別、不同級別,制定相對應的安全保護策略,以實現(xiàn)精確的數(shù)據(jù)安全保護,達到數(shù)據(jù)安全與使用之間的平衡。
數(shù)據(jù)分類分級是管理體系合理規(guī)劃、數(shù)據(jù)安全合理管控、人員精力及力度合理利用的基礎,是邁向數(shù)據(jù)安全精細化管理的重要一步,關于如何做好數(shù)據(jù)分類分級這項持續(xù)性工作是需要不斷探索與實踐的。
