金融數據安全相關行業標準介紹

謝宗曉 　董坤祥　甄杰

數據安全成為熱點，是因為大數據時代的到來，但是，數據安全并不能僅僅局限于狹義的“大數據安全”，而是指大數據背景下的數據安全。從這個角度講，數據安全也是一個無所不包的概念，既包括數據的安全、也包括平臺的安全、系統的安全，以及相關人員的安全。數據安全在金融領域尤為重要，截至目前，在金融行業標準中，數據安全相關標準主要有：JR/T 0158—2018 《證券期貨業數據分類分級指引》、JR/T 0171—2020 《個人金融信息保護技術規范》、JR/T 0197—2020 《金融數據安全 數據安全分級指南》、JR/T 0223—2021《金融數據安全 數據生命周期安全規范》。

1 JR/T 0158—2018《證券期貨業數據分類分級指引》

JR/T 0158—2018發布于2018年9月27日，與大數據安全關系不大，仍然屬于傳統的信息資產管理的范疇。信息（資產）分類分級，在GB/T 22080—2016 / ISO/IEC 27001：2013《信息技術 安全技術 信息安全管理體系 要求》附錄A中也有明確的要求。在該標準的引言中，也提出：采用規范的數據分類、分級方法，有助于行業機構厘清數據資產、確定數據重要性或敏感度，并針對性地采取適當、合理的管理措施和安全防護措施，形成一套科學、規范的數據資產管理與保護機制，從而在保證數據安全的基礎上促進數據開放共享。

依據GB/T 10113—20031）的“線分類法”，JR/T 0158—2018中對證券行業的數據類型進行了枚舉。所謂線分類法，就是將分類對象按選定的若干屬性（或特征），逐次地分為若干層級，每個層級又分為若干類目。同一分支的同層類目之間構成并列關系，不同層級類目之間構成隸屬關系。與之對應的是“面分類法”。

在信息安全領域，引入系統的分類法，在其他標準中并不多見，包括應用廣泛，較為成熟的ISO/IEC 27000標準族，也只是簡單的枚舉，并沒有給出方法論。JR/T 0158—2018從業務條線出發，首先對業務細分，其次對數據細分，形成從總到分的樹形邏輯體系結構，最后，對分類后的數據確定級別。同時，考慮確定數據形態。具體見圖1所示。

數據分級為4級，4級最高，分別為：極高、高、中、低。簡單來說，1級是公開數據，4級是行業內大型或特大型機構重要業務數據，2級為一般業務使用數據，3級為重要業務使用數據。

用戶可以根據JR/T 0158—2018的表A.1 數據匯集型會管單位典型數據分類分級模板，對組織數據進行比對，從而確定分類和分級。

2 JR/T 0171—2020《個人金融信息保護技術規范》

JR/T 0171—2020發布于2020年2月13日，給出了個人金融信息的定義，包括的內容，按照敏感度的個人金融信息分級，以及從安全技術和安全管理的角度討論了整個生命周期管理。JR/T 0171—2020的框架見圖2所示。

個人金融信息按照敏感程度分為C3、C2和C1三個級別，C3最高，判定也是按照信息遭到未經授權的查看或未經授權的變更后所產生的影響和危害為依據。其中，C3級別主要為用戶鑒別信息。C2級別信息主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息，以及用于金融產品與服務的關鍵信息。C1級別信息主要為機構內部的資產信息，主要指供金融業機構內部使用的個人金融信息。

3 JR/T 0197—2020《金融數據安全 數據安全分級指南》

JR/T 0197—2020發布于2020年9月23日，給出了金融數據安全分級的目標、原則和范圍，以及數據安全定級的要素、規則和定級過程。

JR/T 0197—2020對于定級的基本依據也是金融業機構數據安全遭受破壞后的影響對象和所造成的影響程度。具體級別從高到低分別為5級、4級、3級、2級、1級。

其中5級數據為重要數據，主要是用于金融業大型或特大型機構、金融交易過程中重要核心節點類機構的關鍵業務使用，一旦安全性遭到破壞，會對國家安全造成影響，或對公眾權益造成嚴重影響。1級為公開數據。4級數據主要用于金融業大型或特大型機構、金融交易過程中重要核心節點類機構的重要業務使用。3級數據主要用于金融業機構關鍵或重要業務使用。2級數據用于金融業機構一般業務使用。

JR/T 0171—2020中定義的C3類個人金融信息對應JR/T 0197—2020中的4級數據，C2類個人金融信息對應3級數據，C1類個人金融信息對應2級數據。

4 JR/T 0223—2021《金融數據安全 數據生命周期安全規范》

JR/T 0223—2021發布于2021年4月8日，圍繞金融數據生命周期，即數據采集、傳輸、存儲、使用、刪除及銷毀過程，提出了相應的安全要求。

JR/T 0223—2021圍繞該標準中第5章的安全框架展開討論，其中不僅包含了數據生命周期中每個階段的安全要求，也對組織保障和運維保障等方面提出了要求。具體見圖3。

JR/T 0197—2020和JR/T 0223—2021定義了數據分級，以及整個數據生命周期管理的安全要求。適用于金融業機構開展電子數據安全分級工作，也可以作為第三方評估機構開展數據安全檢查與評估工作的依據。

5 小結

綜上所述，就標準之間的關系而言，JR/T 0223—2021和JR/T 0197—2020是相關標準。JR/T 0197—2020中數據的分級是JR/T 0223—2021中安全管理的基礎。

數據分類分級，尤其是分級，存在一定的主觀性，僅僅依據等級的定義，實際難于操作，大部分組織，在定義的基礎上，往往都再給一個示例，盡量枚舉已有的類型，從而在確定具體的分級時比對。這是數據分類分級過程中的第一個難點。第二個難點在于，由于分級只是相對的等級，各個組織之間從定義開始，就存在很大的差異，例如，數據可能分為5個等級，4個等級，3個等級，各種情況都有，而且有的組織定義為1級最低，有的組織則定義為1級最高。在行業范圍內，給出數據分類分級的方法論，統一數據的級別，并給出大致的枚舉類型，對于信息資產管理大有益處，對于后續進行信息安全風險評估也是良好的基礎。

（注：本文僅做學術探討，與作者所在單位觀點無關）