对JRT 0197-2020 金融数据安全 数据安全分级指南的解读

对JRT0197-2020金融数据安全数据安全分级指南的解读

引言

随着大数据、人工智能、云计算等新技术在金融行业的逐步应用，金融数据安全的重

要程度已经从信息数据资产演变成生产要素，是金融行业中基础业务，乃至核心业务非常

重要的一环。金融数据安全一旦遭到破坏，不仅影响金融机构间，行业间，甚至会影响国

家安全、社会秩序、公共利益与金融市场稳定。所以对金融行业的数据进行分级，对不同

重要程度的金融数据落实安全管理制度，在管理程度上有的放矢,更好保护数据安全，正

是0197-2020制定的目的。从大体上来讲，和22240-2020的方法有点相似，但是保护

的对象不一样，0197-2020可以说是等级保护在金融行业对数据安全保护的方向上更深一

步的扩展。

一、金融数据安全的定级目标、定级原则、范围

1、目标

全面梳理数据资产，确立适当的数据安全分级

2,数据安全定级的原则

合法合规性原则：不仅要满足国家法律法规的要求，也要满足行业内的规定。

可执行性：就是说数据定级的规则不能过于复杂，易于数据定级工作的落地。

实效型：具有一定有效期限，可根据变更策略及时调整数据的级别。

自主性：金融机构就是要结合自身业务特点，数据管理的需求，在0197的标准下自

主对数据进行定级。（没有等级保护对定级对象定级时有专家评审，主管部门核准等这些

流程）

差异性：金融机构要根据自身的类型，敏感程度划分数据安全层级以后，不宜将所有

数据集中划分到其中若干个级别中，而是强调分散划分。

客观性原则：数据的定级规则是客观存在,可校验的，根据敏感性定的级别也是可符

合复核检查的

3、数据安全定级范围

未经电子化处理的金融数据和纸质文件经过扫描或其他电子化手段的电子数据（不涉

及国家秘密的金融数据，不涉及证券行业的金融数据）

二、数据安全定级

1、定级要素

在等级保护中，22240指出定级要素为受侵害的对象和对对象的侵害程度，但是在

0197是针对金融数据进行定级分类，定级要素为数据的QA特性，确定安全级别要考虑

的重要因素也是影响对象与对对象的影响程度。

2,影响对象/也可以理解为受侵害的客体

在等级保护中的等级保护对象收到破坏后受侵害的客体三个方面：一、公民、法人和

其他组织的合法权益。二、社会秩序、公共利益。三、国家安全

金融数据中对QA特性遭到破坏后，受侵害的客体包括四个方面：一、国家安全。二、公

众权益。三、个人隐私。四、企业合法权益。

3、影响程度

在等级保护中，等级保护对象收到破坏后造成的侵害程度从低到高分为三种：一、一

般损害。二、严重损害。三、特别严重损害。

在0197-2020中规定金融行业的数据QA特性遭到破坏后，影响程度从低到高分为

四种：一、无损害。二、轻微损害。三、一般损害。四、严重损害。详细参考说明见下

表：

影峋程度说明

好■程度•考说明

1.M能&致他及曰*安全的♦大事件,发生他有国家利0或选或■大损失的情况.

2.可能9政尸引然*社会秩序国公共内色・再发公众广泛诉讼等拿价.娥4甘京金愚市场找存通利

产重描害产■破坏等情况.

3.可他/敢令吐业机构建*总管,门尸■蚣期.成名防■■/关・业务无法正常开发的情况.

4.可髭〜效■大个人仅总安全照a.侵犯个人哈弘特产■能害个人权0的•件.

1,呵IB®致魁育社会佚序和公共NA的亭科.川震区域fl墨体小电事外.血疗3效台0巾靖秩序18

为破坏制情况.

2.M健&致金❸业机构通W管♦门处将.或带也响后分业务无法求需开”的情况.

3.即险&致戈及履的个人侑忌笊*.也刖等安全风险.或时个人权0可能造成T彭峋的•件.

1.可髭"发个涮诉讼，利.使金❸业机构护济疆0、小警等X微殳畏.

桁ft猴害2.可健导致畲触♦机梅晶分♦务也时僮中断警情况.

3.wteviufl出个人客户投权加工.处理.使用帙也第情况.对个人权a班或总分或常住影响.

对企业令法个人•也号不造应出*.或仅地或像壮彩响似不会彩■国享安全.公众权总.金

“也必帙/或杼令■业机构各*业务正常开发.

严重损害的影响程度最明显的特点就是可能会危及国家安全，对国家利益造成重大损

失，对社会秩序，公共利益造成严重损失，造成重大安全事件，或遭受严重破坏，重大处

罚。（假若危机到国家安全，就是严重损害）

三、定级规则

0197根据金融数据安全的CIA特性受到破坏后影响对象和所造成的影响程度，将安

全级别从高到低分为5级，4级，3级，2级，1级。

5级的金融数据遭到破坏会影响国家安全，4级的是常见的金融机构对金融数据定级

的天花板，3级是金融机构中重要的重要信息，关键信息。2级的金融数据为金融机构内

部日常办公数据。1级的金融数据就是可公开的信息。

四、定级流程

对金融数据的安全定级流程可以分为五步，这其中包括数据资产梳理、数据安全定级

准备、数据安全级别判定、数据安全级别审核、数据安全级别批准。

数据资产梳理：

第一步：对现有的电子数据进行盘点、数据分类、形成统一的数据清单；数据资产梳

理主要针对数据库中的资产以及数据库的账户，根据数据格式分类,形成统一的数据资产

清单，接下来的数据分级工作基于此清单开始。

数据安全定级准备：

第二步：明确数据定级的颗粒度，对不同敏感度不同的数据（如库文件、表、字段

等）在明确颗粒度上应做到有的放矢，哪些该粗放，哪些该细化。识别数据安全定级关键

要素，即为前面提到的CIA特性，因为不同的数据在QA方面有不同的侧重点，识别关键

要素作为最终数据安全级别评定时所使用的主要影响对象及影响程度。举个例子：有些数

据，是实时采集，实施传输，传输结束后立即失效的，那在保密性上面可能就不是主要影

响对象，完整性，可用性会受主要影响。

第三步：对分类的数据根据数据安全定级规则，结合国家及行业有关法律法规、部门

章程、综合考虑数据规模、数据实效性、数据形态等因素对数据定级要素（影响对象、影

响程度）进行初步的安全级别判定，对数据安全级别进行复核，根据定级不同生成不同安

全级别的数据清单。

第四步：审核数据安全级别的评定过程和结果，必要时重复第二步循环重新定级，直

至划定的安全级别与本机构数据安全保护目标一致。

第五步：由数据安全管理最高决策组织者对数据安全分级的结果进行审批。

注意：当数据安全定级后，因数据内容的变化、QA特性的变化、数据聚合，或因国

家和行业主管部门要求，金融机构要对相关数据的安全级别进行变更。

数据侨产税用

•对电「故卅避打a点、KR’J分奏.影

成绩的做据晓产济不，

•收用数据假产.*fc数照格式,

•数据安全分覆合堪壮巾鬻.

故

据

数据安全定统再茁

发

生•则・数第定编读N度：

食

・双冽3出安金定级关健要去.

化

/

致

耻数据安全级冽”定

市

核收据安个援阚初中讨定.

结故依安全缰冽女技

果

根兴定覆影成本”安全加别的数卅活中.

为

不

通

过数掀安全级别审核