金融数据安全 数据安全分级指南JRT 0197—2020.docx
《金融数据安全 数据安全分级指南JRT 0197—2020.docx》由会员分享,可在线阅读,更多相关《金融数据安全 数据安全分级指南JRT 0197—2020.docx(54页珍藏版)》请在万库资料网上搜索。
1、ICS 35.240.40JRA 11中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 01972020 金融数据安全数据安全分级指南Financial data securityGuidelines for data security classification 2020 - 09 - 23 发布2020 - 09 - 23 实施中国人民银行发 布JR/T 01972020目次前言II引言III1 范围12 规范性引用文件13 术语和定义14 目标、原则和范围35 数据安全定级46 重要数据识别10附录 A(资料性附录)数据定级规则参考表11附录 B(资料性附录)数据安全级别变化
2、事宜46附录 C(资料性附录)重要数据47参考文献48 I 前言本标准按照GB/T 1.12009给出的规则起草。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC 180)归口。本标准起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、国家金融IC卡安全检测中心(银行卡检测中心)、深圳市长亮科技股份有限公司、中国银行保险信息技术管理有限公司、招商银行股份有限公司、中国平安财产保险股份有限公司、中国长城资产管理股份有限公司、蚂蚁科技集团股份有限公司、平安保险(集团)股份有限公司、中国人民银行金融信息中心、中国人民银行数字货币研究所、兴业银行股份有
3、限公司、中国农业银行股份有限公司、中国建设银行股份有限公司、中国工商银行股份有限公司、恒丰银行股份有限公司、中国银联股份有限公司、网联清算有限公司、中国银行股份有限公司、平安银行股份有限公司、中电数据服务有限公司,中国电力财务有限公司、中国外汇交易中心、中国人民银行营业管理部、中国人民银行南京分行、中国人民银行福州中心支行、中国金融电子化公司、西南财经大学。本标准主要起草人:李伟、陈立吾、沈筱彦、车珍、曲维民、昝新、夏磊、方怡、孙衍琪、渠韶光、陈聪、居崑、杨波、高强裔、熊琳、辜敏、陈裕源、张曦、李隆春、李水旺、俞吴杰、刘建民、张小松、由宜、吕良玉、落红卫、王昕、姜永庆、黄飞生、王衍强、朱建强、
4、时向一、狄刚、吕毅、栾家阳,郭智超、赵珺、万适、刘静芳、刘超、范博文、李雯、张耀峰、郑超、吴彦涵、杨溢、强群力、郭林、陈雪秀、公丽丽、母延燕、马鑫、周亚超、王良浩、梁钰清、缪章娟、薛金川、任军远、廖学清、刘书元、侯漫丽、陈文。引言随着信息技术的发展,众多金融基础业务、核心流程、行业间往来等事务和活动均已运行在信息化支撑载体之上,金融业机构生产运行过程中产生的信息也逐步以不同形式转化为数字资产,在不同信息网络与系统之间流转。随着大数据、人工智能、云计算等新技术在金融业的深入应用,数据逐步实现了从信息化资产到生产要素的转变,其重要性日益凸显。金融业机构数据安全威胁的影响范围逐步从机构内扩大至行业间
5、,甚至影响国家安全、社会秩序、公众利益与金融市场稳定。金融数据复杂多样,对数据实施分级管理,能够进一步明确数据保护对象,有助于金融业机构合理分配数据保护资源和成本,是金融业机构建立完善的金融数据生命周期保护框架的基础,也是有的放矢地实施数据安全管理的前提条件。同时,统一的数据分级管理制度,能够促进数据在机构间、行业间的安全共享,有利于金融行业数据价值的挖掘与实现。为落实中共中央、国务院加强数据资源整合和安全保护相关工作要求,指导金融业机构合理开展金融数据安全定级工作,有效落实金融数据生命周期全过程安全管理策略,进一步提高金融业数据管理和安全防护水平,确保金融数据的安全应用,编制本标准。 III
6、 JR/T 01972020金融数据安全 数据安全分级指南1 范围本标准给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。 本标准适用于金融业机构开展电子数据安全分级工作,并为第三方评估机构等单位开展数据安全检查与评估工作提供参考。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 47542017 国民经济行业分类 GB/T 5271.12000 信息技术 词汇 第1部分:基本术语GB/T 250692010 信息安全技术 术
7、语 GB/Z 288282012 信息安全技术 公共及商用服务信息系统个人信息保护指南GB/T 352732020 信息安全技术 个人信息安全规范 JR/T 01582018 证券期货业数据分类分级指引JR/T 01712020 个人金融信息保护技术规范 3 术语和定义GB/T 250692010、GB/T 352732017界定的以及下列术语和定义适用于本文件。 3.1 3.1信息 information关于客体(如事实、事件、事物、过程或思想,包括概念)的知识,在一定的场合中具有特定的意义。 注:改写GB/T 5271.12000,定义2.01.01.01。 3.2 3.2数据 data信
8、息的可再解释的形式化表示,以适用于通信、解释或处理。 注:可以通过人工或自动手段处理。 GB/T 5271.12000,定义2.01.01.02 3.3 3.3隐私 privacy个人所具有的控制或影响与之相关信息的权限,涉及由谁收集和存储、由谁披露。 9 GB/T 250692010,定义2.1.63 3.4 3.4信息处理 information processing对信息操作的系统执行,包括数据处理,也可包括诸如数据通信和办公自动化之类的操作。 注:术语“信息处理”不能用为“数据处理”的同义词。 GB/T 5271.12000,定义2.01.01.05 3.5 3.5数据处理 data
9、processing数据操作的系统执行。 示例:数据的数学运算或逻辑运算,数据的归并或分类,程序的汇编或编译,或文本的操作,诸如编辑、分类、归并、存储、检索、显示或打印。 注1:术语“数据处理”不能用为“信息处理”的同义词。注2:改写 GB/T 5271.12000,定义 2.01.01.06 3.6 3.6保密性 confidentiality使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。GB/T 250692010,定义2.1.1 3.7 3.7完整性 integrity保卫资产准确和完整的特性。注:改写GB/T 250692010,定义2.1.42。 3.8 3.8可用性
10、availability已授权实体一旦需要就可访问和使用的数据和资源的特性。GB/T 250692010,定义2.1.20 3.9 3.9安全级别 security level有关敏感信息访问的级别划分,以此级别加之安全范畴能更精细地控制对数据的访问。GB/T 250692010,定义2.2.1.6 3.10 3.10金融数据 financial data金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。 注:该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理。 3.11 3.11个人金融信息 personal financial inform
11、ation金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。 注1:个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。 注2:改写 GB/T 352732020,定义 3.1。 3.12 3.12个人金融信息主体 personal financial information subject个人金融信息所标识的自然人。 注:改写GB/T 352732020,定义3.3。 3.13 3.13影响 impact事件的后果。在信息安全中,一般指不测事件的后果。GB/T 250692010,定义2.3.105 4 目
12、标、原则和范围4.1 数据安全定级目标数据安全定级旨在对数据资产进行全面梳理并确立适当的数据安全分级,是金融业机构实施有效数据分级管理的必要前提和基础。数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工作,能够为金融业机构制定有针对性的数据安全管控措施提供支撑。金融业包括货币金融服务、资本市场服务、保险业等,参见GB/T 47542017。本标准所述“金融业机构”是指从事上述金融业的相关机构。 4.2 数据安全定级原则数据安全定级遵循以下原则: a) 合法合规性原则:满足国家法律法规及行业主管部门有关规定。 b) 可执行性原则:数据定级规则避免过于复杂,以确保数据定级工作的可行性。
13、 c) 时效性原则:数据安全级别具有一定的有效期限,金融业机构宜按照级别变更策略对数据级别进行及时调整。 d) 自主性原则:结合金融业机构自身数据管理需要(如战略需要、业务需要、风险接受程度等), 在本标准的框架下自主确定数据安全级别。 e) 差异性原则:根据本机构数据的类型、敏感程度等差异,划分不同的数据安全层级,并将数据分散至不同的级别中,不宜将所有数据集中划分到其中若干个级别中。 f) 客观性原则:数据定级规则是客观且可校验的,即通过数据自身的属性和定级规则即可判定其级别,并且数据的定级是可复核和检查的。 4.3 数据安全定级范围金融数据安全定级过程中,未经电子化的金融数据,依据档案文件
14、等有关管理规范执行;涉及国家秘密的金融数据,依据国家有关法律法规执行,不在本标准规定的范围之内。证券行业数据安全分级工作可参照JR/T 01582018执行。其中,安全定级工作所涉及的金融数据包括但不限于: 提供金融产品或服务过程中直接(或间接)采集的数据,包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据,以及通过信息系统签约或收集的电子信息。 金融业机构信息系统内生成和存储的数据,包括业务数据、经营管理数据等,其中: 业务数据指金融业机构在提供金融产品或服务过程中产生的数据,如交易信息、统计数据等。 经营管理数据指金融业机构在履行职能与经营管理过程中采集、产生的
15、数据,如营销服务数据、运营数据、风险管理数据、技术管理数据(如程序代码、系统以及网络等)、统计分析数据、综合管理数据等。 金融业机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据,如机构内部日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子邮件信息等。 金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据。 其他宜进行分级的金融数据。 5 数据安全定级5.1 定级要素5.1.1 概述安全性(保密性、完整性、可用性)是信息安全风险评估中的重要参考属性。数据安全性遭到破坏后可能造成的影响(如可能造成的危害、损失或潜在风险等),是确定数据安全级别的重要
16、判断依据, 主要考虑影响对象与影响程度两个要素。 5.1.2 影响对象影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等。影响对象的确定主要考虑以下内容: 影响对象为国家安全的情况,一般指数据的安全性遭到破坏后,可能对国家政权稳固、领土主权、民族团结、社会和金融市场稳定等造成影响。 影响对象为公众权益的情况,一般指数据的安全性遭到破坏后,可能对生产经营、教学科研、医疗卫生、公共交通等社会秩序和公众的政治权利、人身自由、经济权益等造成影响。 影响对象为个人隐私的情况,一般指数据的安全性遭到破坏后,可能对个人金融信息主体的个人信息、私人活动和私
17、有领域等造成影响。 影响对象为企业合法权益的情况,一般指数据的安全性遭到破坏后,可能对某企业或其他组织(可能是金融业机构,也可能是其他行业机构)的生产运营、声誉形象、公信力等造成影响。 5.1.3 影响程度影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、一般损害、轻微损害和无损害,相关说明如表1所示,可作为影响程度判定的参考。影响程度的确定宜综合考虑数据类型、数据特征与数据规模等因素,并结合金融业务属性确定数据安全性遭到破坏后的影响程度,例如: 数据安全性遭到破坏后,客户的个人自然信息产生的影响程度通常要高于单位基本信息。 数据安全性遭到破坏后,身份鉴别信息产
18、生的影响程度通常要高于个人基本概况信息。 交易信息中对实时性要求较高的数据,其安全性遭到破坏产生的影响程度通常要高于实时性要求较低的数据等。 表1影响程度说明影响程度 参考说明 严重损害 1. 可能导致危及国家安全的重大事件,发生危害国家利益或造成重大损失的情况。 2. 可能导致严重危害社会秩序和公共利益,引发公众广泛诉讼等事件,或者导致金融市场秩序遭到严重破坏等情况。 3. 可能导致金融业机构遭到监管部门严重处罚,或者影响重要/关键业务无法正常开展的情况。 4. 可能导致重大个人信息安全风险、侵犯个人隐私等严重危害个人权益的事件。 一般损害 1. 可能导致危害社会秩序和公共利益的事件,引发区
19、域性集体诉讼事件,或者导致金融市场秩序遭到破坏等情况。 2. 可能导致金融业机构遭到监管部门处罚,或者影响部分业务无法正常开展的情况。 3. 可能导致一定规模的个人信息泄漏、滥用等安全风险,或对个人权益可能造成一定影响的事件。 轻微损害 1. 可能导致个别诉讼事件,使金融业机构经济利益、声誉等轻微受损。 2. 可能导致金融业机构部分业务临时性中断等情况。 3. 可能导致超出个人客户授权加工、处理、使用数据等情况,对个人权益造成部分或潜在影响。 无损害 对企业合法权益和个人隐私等不造成影响,或仅造成微弱影响但不会影响国家安全、公众权益、金融市场秩序或者金融业机构各项业务正常开展。 5.2 要素识
20、别5.2.1 安全影响评估安全影响评估宜综合考虑数据类型、数据内容、数据规模、数据来源、机构职能和业务特点等因素, 对数据安全性(保密性、完整性、可用性)遭受破坏后所造成的影响进行评估。评估过程中,根据实际情况识别各项安全性在影响评定中的优先级,分别进行保密性、完整性及可用性评估,并综合考虑保密性、完整性及可用性的评估结果,形成最终安全影响评估。 保密性评估:通过评价数据遭受未经授权的披露所造成的影响,以及机构继续使用这些数据可能产生的影响,进行数据保密性评估。评估的内容包括但不限于: 数据未经授权的披露,可能对国家安全、公众权益、个人隐私及企业合法权益造成的损害, 以及损害的严重程度。 数据
21、被非授权对象获取或利用,可能对国家安全、公众权益、个人隐私及企业合法权益造成的损害,以及损害的严重程度。 数据被非授权对象利用进行窃密、篡改、销毁或拒绝服务等攻击,可能对国家安全、公众权益、个人隐私及企业合法权益等造成的损害,以及损害的严重程度。 数据的未经授权披露或传播是否违反国家法律法规、行业主管部门有关规定或机构内部管理规定。 完整性评估:通过评价数据遭受未经授权的修改或损毁所造成的影响,以及机构继续使用这些数据可能产生的影响,进行数据完整性评估。评估的内容包括但不限于: 数据未经授权修改或损毁,可能对国家安全、公众权益、个人隐私及企业合法权益造成的损害,以及损害的严重程度。 数据未经授
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融数据安全 数据安全分级指南JRT 01972020 金融 数据 安全 分级 指南 jrt