![对JRT 0197-2020 金融数据安全 数据安全分级指南的解读_第1页](http://file4.renrendoc.com/view3/M01/0C/2B/wKhkFmZ-M6KAJsihAAFoBKBd07U000.jpg)
![对JRT 0197-2020 金融数据安全 数据安全分级指南的解读_第2页](http://file4.renrendoc.com/view3/M01/0C/2B/wKhkFmZ-M6KAJsihAAFoBKBd07U0002.jpg)
![对JRT 0197-2020 金融数据安全 数据安全分级指南的解读_第3页](http://file4.renrendoc.com/view3/M01/0C/2B/wKhkFmZ-M6KAJsihAAFoBKBd07U0003.jpg)
![对JRT 0197-2020 金融数据安全 数据安全分级指南的解读_第4页](http://file4.renrendoc.com/view3/M01/0C/2B/wKhkFmZ-M6KAJsihAAFoBKBd07U0004.jpg)
![对JRT 0197-2020 金融数据安全 数据安全分级指南的解读_第5页](http://file4.renrendoc.com/view3/M01/0C/2B/wKhkFmZ-M6KAJsihAAFoBKBd07U0005.jpg)
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
对JRT0197-2020金融数据安全数据安全分级指南的解读
引言
随着大数据、人工智能、云计算等新技术在金融行业的逐步应用,金融数据安全的重
要程度已经从信息数据资产演变成生产要素,是金融行业中基础业务,乃至核心业务非常
重要的一环。金融数据安全一旦遭到破坏,不仅影响金融机构间,行业间,甚至会影响国
家安全、社会秩序、公共利益与金融市场稳定。所以对金融行业的数据进行分级,对不同
重要程度的金融数据落实安全管理制度,在管理程度上有的放矢,更好保护数据安全,正
是0197-2020制定的目的。从大体上来讲,和22240-2020的方法有点相似,但是保护
的对象不一样,0197-2020可以说是等级保护在金融行业对数据安全保护的方向上更深一
步的扩展。
一、金融数据安全的定级目标、定级原则、范围
1、目标
全面梳理数据资产,确立适当的数据安全分级
2,数据安全定级的原则
合法合规性原则:不仅要满足国家法律法规的要求,也要满足行业内的规定。
可执行性:就是说数据定级的规则不能过于复杂,易于数据定级工作的落地。
实效型:具有一定有效期限,可根据变更策略及时调整数据的级别。
自主性:金融机构就是要结合自身业务特点,数据管理的需求,在0197的标准下自
主对数据进行定级。(没有等级保护对定级对象定级时有专家评审,主管部门核准等这些
流程)
差异性:金融机构要根据自身的类型,敏感程度划分数据安全层级以后,不宜将所有
数据集中划分到其中若干个级别中,而是强调分散划分。
客观性原则:数据的定级规则是客观存在,可校验的,根据敏感性定的级别也是可符
合复核检查的
3、数据安全定级范围
未经电子化处理的金融数据和纸质文件经过扫描或其他电子化手段的电子数据(不涉
及国家秘密的金融数据,不涉及证券行业的金融数据)
二、数据安全定级
1、定级要素
在等级保护中,22240指出定级要素为受侵害的对象和对对象的侵害程度,但是在
0197是针对金融数据进行定级分类,定级要素为数据的QA特性,确定安全级别要考虑
的重要因素也是影响对象与对对象的影响程度。
2,影响对象/也可以理解为受侵害的客体
在等级保护中的等级保护对象收到破坏后受侵害的客体三个方面:一、公民、法人和
其他组织的合法权益。二、社会秩序、公共利益。三、国家安全
金融数据中对QA特性遭到破坏后,受侵害的客体包括四个方面:一、国家安全。二、公
众权益。三、个人隐私。四、企业合法权益。
3、影响程度
在等级保护中,等级保护对象收到破坏后造成的侵害程度从低到高分为三种:一、一
般损害。二、严重损害。三、特别严重损害。
在0197-2020中规定金融行业的数据QA特性遭到破坏后,影响程度从低到高分为
四种:一、无损害。二、轻微损害。三、一般损害。四、严重损害。详细参考说明见下
表:
影峋程度说明
好■程度•考说明
1.M能&致他及曰*安全的♦大事件,发生他有国家利0或选或■大损失的情况.
2.可能9政尸引然*社会秩序国公共内色・再发公众广泛诉讼等拿价.娥4甘京金愚市场找存通利
产重描害产■破坏等情况.
3.可他/敢令吐业机构建*总管,门尸■蚣期.成名防■■/关・业务无法正常开发的情况.
4.可髭〜效■大个人仅总安全照a.侵犯个人哈弘特产■能害个人权0的•件.
1,呵IB®致魁育社会佚序和公共NA的亭科.川震区域fl墨体小电事外.血疗3效台0巾靖秩序18
为破坏制情况.
2.M健&致金❸业机构通W管♦门处将.或带也响后分业务无法求需开”的情况.
3.即险&致戈及履的个人侑忌笊*.也刖等安全风险.或时个人权0可能造成T彭峋的•件.
1.可髭"发个涮诉讼,利.使金❸业机构护济疆0、小警等X微殳畏.
桁ft猴害2.可健导致畲触♦机梅晶分♦务也时僮中断警情况.
3.wteviufl出个人客户投权加工.处理.使用帙也第情况.对个人权a班或总分或常住影响.
对企业令法个人•也号不造应出*.或仅地或像壮彩响似不会彩■国享安全.公众权总.金
“也必帙/或杼令■业机构各*业务正常开发.
严重损害的影响程度最明显的特点就是可能会危及国家安全,对国家利益造成重大损
失,对社会秩序,公共利益造成严重损失,造成重大安全事件,或遭受严重破坏,重大处
罚。(假若危机到国家安全,就是严重损害)
三、定级规则
0197根据金融数据安全的CIA特性受到破坏后影响对象和所造成的影响程度,将安
全级别从高到低分为5级,4级,3级,2级,1级。
5级的金融数据遭到破坏会影响国家安全,4级的是常见的金融机构对金融数据定级
的天花板,3级是金融机构中重要的重要信息,关键信息。2级的金融数据为金融机构内
部日常办公数据。1级的金融数据就是可公开的信息。
四、定级流程
对金融数据的安全定级流程可以分为五步,这其中包括数据资产梳理、数据安全定级
准备、数据安全级别判定、数据安全级别审核、数据安全级别批准。
数据资产梳理:
第一步:对现有的电子数据进行盘点、数据分类、形成统一的数据清单;数据资产梳
理主要针对数据库中的资产以及数据库的账户,根据数据格式分类,形成统一的数据资产
清单,接下来的数据分级工作基于此清单开始。
数据安全定级准备:
第二步:明确数据定级的颗粒度,对不同敏感度不同的数据(如库文件、表、字段
等)在明确颗粒度上应做到有的放矢,哪些该粗放,哪些该细化。识别数据安全定级关键
要素,即为前面提到的CIA特性,因为不同的数据在QA方面有不同的侧重点,识别关键
要素作为最终数据安全级别评定时所使用的主要影响对象及影响程度。举个例子:有些数
据,是实时采集,实施传输,传输结束后立即失效的,那在保密性上面可能就不是主要影
响对象,完整性,可用性会受主要影响。
第三步:对分类的数据根据数据安全定级规则,结合国家及行业有关法律法规、部门
章程、综合考虑数据规模、数据实效性、数据形态等因素对数据定级要素(影响对象、影
响程度)进行初步的安全级别判定,对数据安全级别进行复核,根据定级不同生成不同安
全级别的数据清单。
第四步:审核数据安全级别的评定过程和结果,必要时重复第二步循环重新定级,直
至划定的安全级别与本机构数据安全保护目标一致。
第五步:由数据安全管理最高决策组织者对数据安全分级的结果进行审批。
注意:当数据安全定级后,因数据内容的变化、QA特性的变化、数据聚合,或因国
家和行业主管部门要求,金融机构要对相关数据的安全级别进行变更。
数据侨产税用
•对电「故卅避打a点、KR’J分奏.影
成绩的做据晓产济不,
•收用数据假产.*fc数照格式,
•数据安全分覆合堪壮巾鬻.
故
据
数据安全定统再茁
发
生•则・数第定编读N度:
食
・双冽3出安金定级关健要去.
化
/
致
耻数据安全级冽”定
市
核收据安个援阚初中讨定.
结故依安全缰冽女技
果
根兴定覆影成本”安全加别的数卅活中.
为
不
通
过数掀安全级别审核
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 【正版授权】 ISO 10052:2021 EN Acoustics - Field measurements of airborne and impact sound insulation and of service equipment sound - Survey method
- 【正版授权】 IEC TS 62647-21:2013 EN Process management for avionics - Aerospace and defence electronic systems containing lead-free solder - Part 21: Program management - Systems engine
- 【正版授权】 IEC TS 62351-100-3:2020 EN Power systems management and associated information exchange - Data and communications security - Part 100-3: Conformance test cases for the IEC 6
- 【正版授权】 IEC TS 62257-1:2013 EN-FR Recommendations for small renewable energy and hybrid systems for rural electrification - Part 1: General introduction to IEC 62257 series and rura
- 【正版授权】 IEC TS 61850-80-1:2016 EN Communication networks and systems for power utility automation - Part 80-1: Guideline to exchanging information from a CDC-based data model using
- 【正版授权】 IEC TS 60899:1987 EN-FR Sampling rate and source encoding for professional digital audio recording
- 【正版授权】 IEC TS 60034-31:2010 EN-FR Rotating electrical machines - Part 31: Selection of energy-efficient motors including variable speed applications - Application guide
- 预制看台板施工施施工计划
- 深基坑工程施工施工计划
- 湖南省益阳市大通湖管理区两校2023-2024学年七年级下学期7月期末考试英语试题
- 广东学业水平测试物理考试大纲
- 养殖场记录表
- 公司内部控制制度.doc
- 入院记录(模板)
- 构音障碍的评定
- 家具合伙协议书
- 英语学科的核心素养与评价-文档资料
- 笑气临床应用PPT学习教案
- 招聘与面试全套表格大全(超级工具,拿来即用)
- 应用经济学专业《微观经济学》练习册参考答案
- 冀教版小学二年级上册数学知识点归纳
评论
0/150
提交评论