《中华人民共和国数据安全法》(以下简称《数据安全法》)中明确了“国家建立数据分类分级保护制度”的总体要求。为做好与上位法律法规的衔接,更好地指导中国人民银行业务领域数据处理者履行数据分类分级责任,《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称《办法》)第二章明确提出数据处理者应当建立数据分类分级制度规程的工作要求。
作为数据安全管理工作的起始,做好分类分级工作至关重要。本文以案例方式就《办法》所述数据分类分级工作进行专项分析,为数据处理者开展相关工作提供参考。
一、《办法》条款
《办法》第七条至第十条为数据处理者开展中国人民银行业务领域数据分类分级工作的重点执行依据。
“第七条(数据分类要求)数据处理者应当参考行业标准,根据业务开展情况建立业务分类,梳理细化数据资源目录,标识各数据项是否为个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。
第八条(数据分级要求)数据按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级。在中国人民银行组织下,数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据,并填写报送重要数据目录内容,由中国人民银行汇总后确定重要数据具体目录。数据处理活动中,数据处理者还应当及时准确识别判定所涉及数据是否属于重要数据、核心数据。
第九条(数据敏感性分层级)在数据分级基础上,数据处理者应当参考行业标准,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。结构化数据项应当逐一标识层级;非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级,标识其层级。
第十条(数据可用性分层级)数据可用性分层级工作纳入信息系统业务连续性分级保障体系统一考虑。数据处理者应当评估信息系统存储数据遭到篡改、破坏后可能对业务连续性造成的影响程度,明确恢复点目标要求。恢复点目标越严格,数据的可用性层级越高。在此基础上,鼓励数据处理者识别用于支撑最基本业务运转、无法承受彻底灭失风险、需要进一步进行容灾备份的数据。”
二、术语解释——数据项
《办法》第八章第五十五条术语定义:
条款(二)数据项,是指描述网络数据结构最基本的、不可分割的单位;
条款(三)结构化数据项,是指具有预定义的抽象描述数据类型,通常使用数据库二维逻辑表中单一字段指代的数据项;
条款(四)非结构化数据项,是指没有预定义的抽象描述数据类型,并且不适宜用数据库二维逻辑表展现的数据项,如图像、视频、音频、文档文件等。
综上所述,结构化数据维度,数据项可以理解为数据库表中的“字段”。非结构化数据维度,数据项可以理解为单一文件。
以“客户信息表”为例,下图数据库表中“身份证号”即为一个“数据项”。
三、数据分类分级
(一)数据分类
数据处理者依据业务开展情况进行数据分类。具体业务类别可参考JR/T 0197-2020《金融数据安全 数据安全分级指南》金融行业标准附录A,并建立数据资源目录。
数据分类过程中应注意识别数据是否为个人信息,并进行重点标注。
(二)数据分级
数据分级包含级别认定与安全分层两部分工作。
1、级别认定
按《办法》第八条,数据级别分为一般、重要、核心三级。对于全量数据,数据处理者应开展数据级别认定工作。
按《数据安全法》“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”,中国人民银行业务领域重要数据识别认定规则由人民银行制定,因此数据处理者应在中国人民银行指导下,按有关规则识别本单位信息系统全量数据情况,涉及重要数据、核心数据的,进行定级并按有关要求执行保护工作。除此之外的数据,为一般数据。
2、安全分层
对于数据项,数据处理者应当参考JR/T 0197-2020《金融数据安全 数据安全分级指南》金融行业标准,开展数据安全层级识别工作。其中,结构化数据项应当逐一标识层级,非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级,标识其层级。
安全分层主要从两个维度考虑:
(1)敏感性:根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。
(2)可用性:与信息系统业务连续性分级保障体系相结合,恢复点目标越严格,有关数据的可用性层级越高。
(三)数据定级示例
(注:信息屏蔽要求详见JR/T 0171-2020 《个人金融信息保护技术规范》附录A表A.1 个人金融信息隐藏规则及示例。)
如上图所示,以“客户信息表”数据库表为例。
1、级别认定
若该数据库表仅存储2条数据,涉及2个自然人的个人金融信息,则该数据库表全量数据为一般数据。
若该数据库表存储300万条数据,涉及超过100万自然人的精准信息,则该数据库表全量数据应当被识别为重要数据。
2、安全分层
数据项映射到结构化数据维度,即为上述“客户信息表”库表中的“字段”。一行数据包含多个不同的数据属性(姓名、性别、身份证号等等),从数据行的角度进行安全分层相对较复杂。
换个角度,从数据库表列项视角,各数据列属性唯一,可从数据列项进行敏感性安全分层(如依据JR/T 0197-2020附录A “工作单位”为2层级、“银行卡号”为3层级、“支付密码”为4层级)。
如上图所示,第300万行数据中“工作单位”数据项敏感性安全层级为2,“银行卡号”数据项敏感性安全层级为3,“支付密码”数据项敏感性安全层级为4。
以上为敏感性安全分层级过程。可用性分层级时,应在敏感性分层级基础上进一步结合“客户信息表”数据库表所在信息系统业务连续性等级与系统RPO(恢复点目标)综合考虑。若数据所在系统业务连续性等级较高且RPO设定较为严格,应识别数据库表中用于支撑业务运行的最基本数据项,并将其识别为可用性高层级数据。
四、总结
数据分类分级是有效开展数据安全管理工作的基础。建立本机构本领域数据分级分类工作规程,是落实国家法律法规与金融行业管理要求的重要举措。《办法》要求,数据处理者应当建立数据分类分级制度规程,梳理数据资源目录标识分类信息,在国家数据安全工作协调机制统筹协调下,根据中国人民银行制定的重要数据识别标准,统一对数据实施分级,严格落实网络安全等级保护和数据安全风险评估等义务,并在此基础上进一步做好数据敏感性、可用性层级划分,以便在全流程数据安全管理中更好采取精细化、差异化的安全保护管理和技术措施。
北京国家金融科技认证中心作为《办法》编制工作组成员,有幸深度参与《办法》编制工作,后续将持续支撑《办法》的完善与《金融数据安全 数据安全分级指南》《金融数据安全 数据生命周期安全规范》等行业标准修订。我们始终坚持“为质量安全保驾护航、助金融科技行稳致远”初心使命,愿依托多年标准制定与检测认证行业经验,协助金融机构完善数据分类分级与识别认定规程,优化数据安全全流程管理体系与技术管控措施,助推金融同业提升数据安全管理合规水平。
文章来源:北京国家金融科技认证微信公众号