金融行业数据分类分级“五步走”|盾见

标签: 金融 行业 数据 | 发表时间:2023-03-13 16:02 | 作者:极盾科技
出处:https://www.jiqizhixin.com/

 

 文|查浩奇 

《数据安全法》明确提出,国家要建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

针对金融行业,中国银保监会办公厅于2019年5月22日发布的《关于开展银行业和保险业网络安全专项治理工作的通知》要求:“要制定数据安全分类分级标准,构建覆盖客户信息全生命周期的保护体系,防范数据被窃取。”

数据分类分级制度构建不断深化,相较之前只止步于提出数据分类分级原则性要求的做法,越来越多的法律文件开始探索数据分类分级具体标准的明确,比如证监会于2018年9月27日发布的《证券期货业数据分类分级指引》(JRT 0158-2018)、中国人民银行于2020年2月13日发布的《个人金融信息保护技术规范》(JR/T 0171—2020)及2020年9月23日,中国人民银行正式发布《金融数据安全 数据安全分级指南》(JR/T 0197—2020)等等,《金融数据安全 数据安全分级指南》亦为金融行业最重要的探索成果。

《金融数据安全 数据安全分级指南》在名称中仅体现了“分级”,但从《指南》提出的“数据安全定级工作流程”及附录A等内容可以看出,数据分类是数据分级的必要前提。

01行业需求:金融行业数据分类分级的必要性 

监管明确:从《金融数据安全 数据安全分级指南》附录A中可看出,金融数据内涵丰富,种类繁多。数据分类分级工作的开展过程实际上是金融业机构按照一定标准对其所拥有的数据资产进行梳理的过程 

数据保护:将各类数据按照风险进行分级,有利于金融业机构明晰数据保护重点,合理分配数据保护资源。针对不同级别的数据特征,有的放矢地采取安全保障措施,亦有利于降低数据安全遭受破坏时对国家安全、公共权益、个人隐私、企业合法权益所带来的负面影响。

开放共享:中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》将数据列为生产要素之一,正式纳入到市场化配置之中。数字经济新产业、新业态和新模式的培育,离不开数据的开放共享与有序使用。金融业机构若能依据统一规范的数据管理制度开展数据分类分级工作,将有利于促进数据在各机构间的开放共享,进一步挖掘金融数据价值。

02 五步走”:金融业数据分类分级的实施路径

金融行业存在业务数据种类繁多且复杂;不清楚自身业务环境有多少资产和数据分布情况;数据资产的防护粒度较粗,缺乏差异化保护等特征,对数据分类分级的工作带来了难度。极盾科技基于对金融行业的洞察和实践,就数据分类分级总结出“五步走”战略:

 

Step1咨询调研分析:对国家以及行业政策规范进行分析、对业务系统以及数据安全现状进行调研、对数据资产现状进行分析。

Step2数据资产梳理使用工具自动扫描发现数据资产,并对数据资产进行全面盘点、梳理打标,构建数据资产目录,形成数据资产清单,为之后企业数据资产管理和数据安全体系建设打好基础 。

Step3数据分类方案根据行业规范和业务特性设计分类体系,对数据分类打标,梳理数据字段对应分类规则并进行调优。

Step4数据分级方案根据行业规范和业务特性设计分级体系,梳理数据字段对应分级规则,并对敏感数据识别打标,并根据实际情况对数据等级进行变更维护 。

Step5数据分类分级全景图根据可视化的数据分类分级清单,形成数据分类分级报表、形成分类分级全景图、分类分级信息管理机制,为数据安全保护做准备。 

03五个要点”:金融业数据分类分级落地实践

某某银行使用极盾·智辩-数据分类分级,通过四个阶段实现对数据分类分级的全面落地,具体有以下几个要点:

 

要点1数据安全现状梳理

基于行业已有规范要求,结合金融企业的现状进行符合性评估;规范包括不限于:《金融数据安全 数据安全评估规范》、《金融数据安全 数据生命周期安全规范》、《个人金融信息保护技术规范》、《个人信息安全影响评估指南》。

要点2分类分级规则设计

通过咨询设计落地实现5000+多条规则, 包括当事人、产品、协议、  时间、账户、介质、渠道、资源项和通用等九大类信息字段的分类分级的识别规则。根据规则的适用范围, 形成通用规则和个性化规则。

分类设计如下图:

分级设计:针对金融行业特性,具体分为5级

要点3数据分类分级工具应用-极盾·智辩

数据分类分级工具-极盾·智辩,主要功能包含:

数据资产清单对数据资产进行全面盘点,构建数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础

数据分类分级根据行业规范和业务特性制定分类体系和分级体系,梳理数据字段对应分类规则和分级规则。

敏感数据识别内置敏感数据智能识别算法,高效识别敏感数据。

分类分级全景图初始化完成后,生成数据分类分级全景图。随着业务推进会不断产生新数据,定期扫描覆盖新数据,呈现最新状态视图。

要点4管理规范/合规监管交付物

形成全行级建设,梳理行业监管合规、制度规范要求,形成底线合规分类分级规范、管理办法、落地实施操作规范和数据分类分级业务需求。

要点5据安全管控评估,细化数据分级保护落地策略

实现全行级管理制度,遵循管理咨询的思路,进行管理制度调研,与行业内规范要求进行比较,找出当前组织架构及制度中缺失部分,进行编写完善。落地策略的建立将首先明确组织架构和岗位职责,为整体数据安全建设提供组织支撑,随后针对机构方关心的数据生命周期阶段、分类分级、数据外发共享等场景进行管理办法制定,配套流程设计、实施表单、免责申明等3、4级文件,形成系统完善的数据安全落地策略。

 

 

04 成效凸显:金融行业数据分类分级的价值

 通过本次金融行业数据安全分类分级服务,在专业性、服务水平、合作效率等方面获得客户的高度认可,真正帮助客户实现了数据安全管理多重收益:

1满足监管合规要求帮助金融行业企业满足合规的需要,既能够应对国家层面的法律法规,亦能满足行业法规的要求。

2数据资产盘点,为数据安全体系建设打好基础能够帮助金融行业企业对数据资产进行全面的盘点,了解敏感数据分布、类型、量级,做到心中有数,以此构建企业级的数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础。

3提升安全运营效率,降低安全成本对于低敏数据,减少数据过度保护产生的额外成本,对于高敏数据,减少数据泄漏带来的巨大风险,平衡数据保护与数据流通,实现数据价值最大化。

最后,给大家推荐“最全数据分类分级标准汇编”,本文将「国家层面、行业层面、地方层面」出台的【12份】数据分类分级标准指南进行总结汇编,希望对此领域感兴趣的同学能够起到一定借鉴作用。 

如需下载标准汇编【PDF完整版】以及各项数据分类分级标准指南完整版关注“极盾科技”公众号,回复“分类分级”下载

 

 

 

相关 [金融 行业 数据] 推荐:

金融行业数据分类分级“五步走”|盾见

- - 机器之心
《数据安全法》明确提出,国家要建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护. 国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护.

剖析大数据在金融行业的典型应用方向

- - IT瘾-bigdata
随着互联网新金融模式的兴起,传统的银行金融业面临着诸多挑战. 而大数据技术的发展和广泛应用,无疑是提供了一座极具价值的“金矿”,借助大数据技术,将分散在金融企业服务网络与IT系统中的海量信息与基于业务驱动的外部数据源融合,并结合金融行业的特点,以金融业务为核心,提升客户体验和客户价值、优化运营流程、预测营销效果、提升经营管理水平.

传统金融行业如何应对互联网金融带来的挑战?

- - 知乎每日精选
作为 金融服务行业的正经从业人员,我想谈一下 金融服务这件事. @鲍淑玮 的答案中有一句话说的很对, 互联网金融作为一种创新,是一种形式上的创新而非对金融本质上的创新. 互联网金融服务想要单方面崛起甚至超过 传统金融服务,就我看来未来几年根本不可能. 最终之路一定是传统金融服务与互联网金融服务相结合,在这俩互掐之前,合作的走上“ 方便、快捷、靠谱”的道路.

唯品金融大数据团队的图数据库实践

- -
在大数据时代,社交关系趋于复杂化,越来越多的互联网项目都和社交关系联系起来. 而对社交关系的良好契合,使得图数据库(Graph Database)在互联网领域迅速崛起. 通过图数据库可以高效地进行社交关系查询、分析和数据挖掘,以发现有价值的信息. 近几年互联网金融发展火热,用户对消费分期、现金贷等需求也越来越高.

金融行业平台常见安全漏洞与防御

- - FreeBuf.COM | 关注黑客与极客
‍‍ 互联网金融是这两年来在金融界的新兴名词,也是互联网行业一个重要的分支,但互联网金融不是互联网和金融业的简单结合,而是在实现安全、移动等网络技术水平上,被用户熟悉接受后,适应新的需求而产生的新模式及新业务,目前除了常见的网上银行、第三方支付,这两年很多的民间融资贷款平台也逐步兴起,像P2P网贷、众筹等.

金融行业 IT 运维监控体系的建设内幕

- - IT瘾-dev
多年运维经验的积累,往往己沉淀下来不少监控工具,同时也有不同专业线条的工具,在基础架构、系统网络、数据库、中间件、应用层面等采用不同的监控工具. 对于这些工具,通常采用以下方式处理:. 1)建立集中监控平台:在一体化运维体系中,监控平台贯穿所有环节,可以对生产系统涉及的各种环境的实时运行状况监控,监控平台事件驱动的特性也为一体化运维体系起到驱动的作用.

互联网金融:大数据和技术为王的时代

- - 动点科技
(编者:本文作者李张鲁Dennis Roudenko,是青年投资家俱乐部发起人、华创资本资深分析师. 华创资本投资了10多家互联网金融公司,同时与IDG合有互联网金融投资基金,投资范围在20-2000万美金. 互联网金融本身只是一个概念,是泛指那些通过互联网和大数据手段来完成并优化的金融业务. 历来现有的机构都在尝试运用这些手段去优化自己的业务,但2012年这一领域才开始火起来是因为时机成熟了,大可归功于两大点:大数据的出现与技术的普及与应用.

BAT金融大数据体系拆解与价值挖掘

- - 虎嗅网
金融创新很大一部分原因在于大数据和金融之间的结合. 纵观BAT、京东、小米、万达、平安这些把触角伸到互联网金融领域的巨头,无一不是在大数据层面上有所布局. 大数据和金融相结合,几乎已经成为金融领域的通用做法. 谈数据必须先谈数据的完整度和价值含量. 就像煤矿一样,大数据中的价值含量、挖掘成本比数量更为重要.

理工科进入金融行业的几条常见可行的路子

- Ted - Warald美国留学申请就业信息咨询博客|一亩三分地论坛
前几年金融行业崩溃的时候,warald曾经发布过预警,后来又在博客里跟进发布了一些文章,比如金融形势刚开始有好转迹象,我就写了日志《金融行业开始复苏:美国10家大银行被允许提前还钱了》;后来还写过《 [Warald美国职业谈]由Quant的工资说起 – 谈一下专业/职业选择的一个问题》,这篇文章,尤其建议eecs的同学仔细读一下.

中国金融学会称外逃官员金额数据道不实

- Lightning - Solidot
## 写道 "6月14日,央行网站刊发名为《我国腐败分子向境外转移资产的途径及监测方法研究》的报告精简版. 报告引用社科院资料披露:从上世纪九十年代中期以来,外逃各级干部人数达16000至18000人,携带款项为8000亿元人民币. 6月17日,中国金融学会网站发布消息称有关外逃官员及金额数据不实,希望媒体及公众勿要采信.