首页 →文档下载

以下为《金融数据安全 数据安全分级指南（送审稿）》的无排版文字预览，完整内容请下载

ICS 35.240.40 A 11 中华人民共和国金融行业标准 JR/T XXXXX—XXXX 金融数据安全 数据安全分级指南 Financial Data Security - Guides of Data Security Classification （送审稿） （本稿完成日期：2020 年 04 月 13 日） XXXX - XX - XX 发布 发布 XXXX - XX - XX 实施 JR/T XXXXX—XXXX 目次 前 言 .............................................................................. II 引 言 ............................................................................. III 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 目标、原则和范围 ................................................................... 3 5 数据安全定级 ....................................................................... 4 6 重要数据识别 ...................................................................... 10 附 录 A （资料性附录） 数据安全级别变化事宜 ....................................... 11 附 录 B （资料性附录） 数据定级规则参考表 ......................................... 12 附 录 C （资料性附录） 重要数据 ................................................... 47 参 考 文 献 ......................................................................... 48 I JR/T XXXXX—XXXX 前言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会（SAC/TC 180）归口。 本标准起草单位：。 本标准主要起草人：中国人民银行科技司、中国银行保险监督管理委员会、XX银联金卡科技有限 公司……。 II JR/T XXXXX—XXXX 引言 随着信息技术的发展，众多金融基础业务、核心流程、行业间往来等事务和活动均已运行在信息化 支撑载体之上，金融业机构生产运行过程中产生的信息也逐步以不同形式转化为数字资产传输于信息网 络之间、存储在信息系统之中。随着大数据、人工智能、云计算等新技术在金融业的深入应用，数据逐 步实现了从信息化资产到生产要素的转变，其重要性日益凸显。金融业机构数据泄露等安全威胁的影响 逐步从机构内转移扩大至行业间，甚至影响国家安全、社会秩序、公众利益与金融市场稳定。 金融数据复多.杂样，对数据实施分级管理，能够进一步明确数据保护对象，有助于金融机构合理分 配数据保护资源和成本，是金融机构建立完善的生命周期数据保护框架的基础，也是有的放矢地实施数 据安全管理的前提条件。同时，统一的数据分级管理制度，能够促进数据在机构间、行业间的安全共享， 有利于金融行业数据价值的挖掘与实现。 为落实中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》有关加强数据资 源整合和安全保护工作要求，指导金融业机构合理定级与利用金融数据，有效落实金融数据生命周期安 全管理策略，进一步提高机构的数据管理和安全防护水平，确保金融数据的安全应用，编制本标准。 III JR/T XXXXX—XXXX 金融数据安全 数据安全分级指南 1 范围 本标准规定了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过 程，为金融业机构开展数据安全分级工作提供指导。 本标准适用于金融业机构开展电子数据安全分级工作时使用，并为第三方安全评估机构等单位开 展数据安全检查与评估工作提供参考。未经电子化的数据，依据档案文件等有关管理规范执行；涉及国 家秘密的，依据国家有关法律法规执行，不在本标准规定的范围之内。证券行业数据安全分级工作可参 照《证券期货业数据分类分级指引》执行。金融业机构境***及分支机构在境外开展业务过程中采 集、产生的数据，其安全定级工作可在参考当地法律法规及行业监管要求的前提下开展。 注：金融业包括货币金融服务、资本市场服务、保险业及其他金融业，详见GB/T 4754-2017《国民经济行业分类》。 本标准所述“金融业机构”是指从事上述金融业的相关机构。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2010 信息安全技术 术语 GB/T 5271.1—2000 信息技术 词汇 第1部分：基本术语 GB/T 35273—2017 信息安全技术 个人信息安全规范 GB/T 4754-2017 国民经济行业分类 GB/Z 28828—2012 信息安全技术 公共及商用服务信息系统个人信息保护指南 JR/T 0158—2018 证券期货业数据分类分级指引 JR/T 0171—2020 个人金融信息保护技术规范 3 术语和定义 GB/Z 28828-2012中界定的以及下列术语和定义适用于本文件。 3.1 信息（在信息处理中） information（in information processing） 关于客体（如事实、事件、事物、过程或思想，包括概念）的知识，在一定的场合中具有特定的意 义。 [GB/T 5271.1-2000，定义01.01.01] 3.2 数据 data 信息的可再解释的形式化表示，以适用于通信、解释或处理。 1 JR/T XXXXX—XXXX 注：可以通过人工或自动手段处理。 [GB/T 5271.1-2000，定义01.01.02] 3.3 隐私 privacy 个人所具有的控制或影响与之相关信息的权限，涉及由谁收集和存储、由谁披露。 [GB/T 25069—2010，术语2.1.63] 3.4 信息处理 information processing 对信息操作的系统执行，包括数据处理，也可包括诸如数据通信和办公自动化之类的操作。 注：术语“信息处理”不能用为“数据处理”的同义词。 [GB/T 5271.1-2000，定义01.01.05] 3.5 数据处理 data processing 自动数据处理 automatic data processing 数据操作的系统执行。 例：数据的数学运算或逻辑运算，数据的归并或分类，程序的汇编或编译，或文本的操作，诸如编 辑、分类、归并、存储、检索、显示或打印。 注：术语“数据处理”不能用为“信息处理”的同义词。 [GB/T 5271.1-2000，定义01.01.06] 3.6 保密性 confidentiality 使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。 [GB/T 25069—2010，术语2.1.1] 3.7 完整性 integrity 保卫资产准确性和完整的特性。 [GB/T 25069—2010，术语2.1.42] 3.8 可用性 availability 已授权实体一旦需要就可访问和使用的数据和资源的特性。 [GB/T 25069—2010，术语2.1.20] 3.9 安全级别 security level 有关敏感信息访问的级别划分，以此级别加之安全范畴能更精细地控制对数据的访问。 [GB/T 25069—2010，术语2.2.1.6] 2 JR/T XXXXX—XXXX 3.10 金融数据 financial data 金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。 注：该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理。 3.11 个人金融信息 personal financial information 金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。 注1：个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特 定个人某些情况的信息。 注2：改写 GB/T 35273—2017，定义 3.1。 3.12 个人金融信息主体 personal financial information 个人金融信息所标识的自然人。 注：改写GB/T 35273—2020，定义3.3。 3.13 影响 impact 事件的后果。在信息安全中，一般指不测事件的后果。 [GB/T 25069—2010，术语2.3.105] 4 目标、原则和范围 4.1 数据安全定级目标 实施数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工作，能够为金融业机构 制定有针对性的数据安全管控措施提供支撑。 4.2 数据安全定级原则 数据安全定级应遵循以下原则： a) 合法合规性原则：数据定级应满足国家法律法规及行业主管部门有关规定。 b) 可执行性原则：定级规则应避免过于复杂，以保证其在数据分级过程中的可行性。 c) 时效性原则：数据所定级别具有一定的有效期限，金融业机构应按照级别变更策略对数据级别 进行及时调整。 d) 自主性原则：金融业机构应结合自身（或集团）数据管理需要（如战略需要、业务需要、对风 险的接受程度等），在本指南的框架下自主确定数据级别。 e) 差异性原则：金融机构应根据本机构数据的类型、敏感程度等差异，划分不同的数据安全层级， 并将数据划分至不同的级别中，不宜将所有数据集中划分到少数几个级别中。 f) 客观性原则：数据定级规则应是客观并可以被校验的，即通过数据自身的属性和定级规则即可 判定其级别，已经定级的数据是可复核和检查的。 4.3 数据安全定级范围 3 JR/T XXXXX—XXXX 金融数据的安全定级范围应包括但不限于： ——提供金融产品或服务过程中直接（或间接）采集的数据，包括通过柜面以纸质协议签署或收 集，并经信息处理后在计算机系统中流转或保存的数据，以及通过信息系统签约或收集的电 子信息； ——金融业机构信息系统内生成和存储的数据，包括业务数据、经营管理数据等，其中： • 业务数据指金融业机构在提供金融产品或服务过程中产生的数据，如交易信息、统计数据 等； • 经营管理数据指金融业机构在履行职能与经营管理过程中采集、产生的数据，如营销服务 数据、运营数据、风险管理数据、技术管理数据（如程序代码、系统以及网络等）、统计 分析数据、综合管理数据等。 ——金融业机构内部办公网络与办公设备（终端）中产生、交换、归档的电子数据，如机构内部 日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子 邮件信息等； ——金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据； ——其他应进行分级的金融数据。 5 数据安全定级 5.1 定级要素 5.1.1 概述 安全性（保密性、完整性、可用性）是信息安全风险评估中的重要参考属性。数据安全性遭到破坏 后可能造成的影响（如可能造成的危害、损失或潜在风险等），是确定数据安全级别的重要判断依据。 数据安全影响的评估主要考虑影响对象与影响程度两个要素。 5.1.2 影响对象 影响对象指金融业机构数据安全性遭受破坏后受到影响的对象，包括国家安全、公众权益、个人隐 私、企业合法权益等。影响对象的确定应考虑以下内容： ——影响对象为国家安全的情况，一般指数据的安全性遭到破坏后，可能对国家安全、社会和金 融市场稳定等造成影响； ——影响对象为公众权益的情况，一般指数据的安全性遭到破坏后，可能对公众的政治权利、人 身自由、经济权益等造成影响； ——影响对象为个人隐私情况，一般指数据的安全性遭到破坏后，可能对个人金融信息主体的个 人信息、私人活动和私有领域等造成影响； ——影响对象为企业合法权益的情况，一般指数据的安全性遭到破坏后，可能对某机构（可能是 金融业机构，也可能是其他行业的机构）的生产运营、声誉形象、公信力等造成影响。 5.1.3 影响程度 影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小，从高到低划分为非常严重、严重、 中等和轻微，相关说明如表1所示。影响程度的确定应综合考虑数据类型、数据特征与数据规模等因素， 并结合金融业务属性确定数据安全性遭到破坏后的影响程度，例如： ——数据安全性遭到破坏后，客户的个人自然信息类数据产生的影响程度通常要高于单位基本信 息类数据； 4 JR/T XXXXX—XXXX ——数据安全性遭到破坏后，身份鉴别信息类数据产生的影响程度通常要高于个人基本概况类数 据； ——交易信息类数据中对实时性要求较高的数据，其安全性遭到破坏产生的影响程度通常要高于 其中的非实时数据等。 表 1 给出了数据安全影响程度的说明，可作为影响程度判定的参考。 表1 影响程度说明 影响程度 非常严重 严重 中等 轻微 参考说明 1、可能导致危及国家安全的重大事件，发生危害国家利益或造成重大损失的情况。 2、可能导致严重危害社会秩序和公共利益，引发公众广泛诉讼等事件，或者导致金融市场秩序遭 到严重破坏等情况。 3、可能导致金融业机构遭到监管部门严重处罚，或者影响重要/关键业务无法正常开展的情况。 4、可能导致重大个人信息安全风险、侵犯个人隐私等严重危害个人权益的事件。 1、可能导致危害社会秩序和公共利益的事件，引发区域性集体诉讼事件，或者导致金融市场秩序 遭到破坏等情况。 2、可能导致金融业机构遭到监管部门处罚，或者影响部分业务无法正常开展的情况。 3、可能导致一定规模的个人信息泄漏、滥用等安全风险，或对个人权益可能造成一定影响的事件。 1、可能导致个别诉讼事件，使金融业机构经济利益、声誉等轻微受损。 2、可能导致金融业机构部分业务临时性中断的情况。 3、可能导致超出个人客户授权加工、处理、使用数据的情况，对个人权益造成部分或潜在影响。 可能企业合法权益和个人隐私等产生轻微影响，但不会影响国家安全、金融市场秩序或者金融业机 构各项业务正常开展。 5.2 要素识别 5.2.1 安全影响评估 安全影响评估应综合考虑数据类型、数据内容、数据规模、数据来源、金融业机构职能和业务特点 等因素，对数据安全性（保密性、完整性、可用性）遭受破坏后所造成的影响进行评估。评估过程中， 应根据实际情况识别各项安全性在影响评定中的优先级，分别进行保密性、完整性及可用性评估，并综 合考虑保密性、完整性及可用性的评估结果，形成最终安全影响评估。 ——保密性评估：应通过评价数据遭受未经授权的披露所造成的影响，以及机构继续使用这些数据 可能产生的影响，来进行数据保密性评估。评估的内容包括但不限于： • 数据未经授权的披露，可能对行业、机构或客户造成的损害，以及损害的严重程度； • 数据被非授权对象获取或利用，可能对多行业、本行业或本机构的损害，以及损害的严重 程度； • 若被非授权对象利用进行窃密、篡改、销毁或拒绝服务等攻击，可能对机构运作、机构资 产或客户权益造成的损害，以及损害的严重程度； • 数据的未经授权披露或传播是否违反国家法律法规、行业主管部门有关规定或机构内部管 理规定。 ——完整性评估：应通过评价数据遭受未经授权的修改或损毁所造成的影响，以及机构继续使用这 些数据可能产生的影响，来进行数据完整性评估。评估的内容包括但不限于： • 数据未经授权修改或损毁，可能对行业、机构或客户造成的损害，以及损害的严重程度； • 数据未经授权修改或损毁，可能对其他组织或社会公众造成的损害，以及损害的严重程度； 5 JR/T XXXXX—XXXX • 数据未经授权修改或损毁，可能对机构职能、公信力造成的损害，以及损害的严重程度； • 数据未经授权修改或损毁，可能对多行业、本行业或本机构造成的损害，以及损害的严重 程度； • 数据未经授权修改或损毁是否违反国家法律法规、行业主管部门有关规定或机构内部管理 规定。 ——可用性评估：应通过评价数据及其经组合/融合后形成的各类数据出现访问或使用中断所造成 的影响，以及机构无法正常使用这些数据可能产生的影响，来进行数据可用性评估。评估的内 容包括但不限于： • 数据的访问或使用中断，可能对行业、机构或客户造成的损害，以及损害的严重程度； • 数据访问或使用的中断，可能对机构职能、公信力造成的损害，以及损害的严重程度； • 数据的访问或使用中断，可能对多行业、本行业或本机构造成的损害，以及损害的严重程 度； • 数据的访问或使用中断是否违反国家法律法规、行业主管部门有关规定或机构内部管理规 定。 5.2.2 定级要素识别 通过综合考虑保密性、完整性和可用性的影响评估结果，识别数据安全关键要素，即最终作为数据 安全级别评定时所使用的主要影响对象及影响程度，并根据5.3定级规则进行数据安全级别的评定。定 级要素识别应至少遵循以下要求： ——因不同数据的保密性、完整性和可用性要求有不同侧重，相应数据安全级别应以所侧重的安全 影响评估所确定的定级要素为主要依据； ——若数据的保密性、完整性和可用性要求基本一致，则宜重点以保密性评估所确定的定级要素为 主要定级依据。 5.3 定级规则 5.3.1 安全级别概述 本标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从 高到低划分为5 级、4 级、3 级、2 级、1 级，一般具有如下特征： ——5 级数据特征如下： • 重要数据，通常主要用于金融行业大型或特大型机构、金融交易过程中重要核心节点类机 构中的关键业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用； • 数据安全性遭到破坏后，影响国家安全，或对公众权益造成非常严重的影响。 注：“必须知悉”是指对数据确定知悉范围，只有对数据知悉有明确的必要性时，该对象才能对数据知悉。一般情 况下遵循工作需要原则和最小化原则，前者指因工作必须才可知悉，后者指知悉的范围满足最小够用即可。 ——4 级数据特征如下： • 数据通常主要用于金融行业大型或特大型机构、金融交易过程中重要核心节点类机构中的 重要业务使用，一般针对特定人员公 内容过长，仅展示头部和尾部部分文字预览，全文请查看图片预览。 me II: Appendices to Guide for Mapping Types of Information and Information Systems to Security Categories，NIST, 2008，Revision 1 [10] Classified National Security Information Program for State, Local, Tribal and Private Sector Entities Implementing Directive, Department of Homeland Security Office of the Chief Security Officer of U.S.A., February 2012 [11] Marking Controlled Unclassified Information，Version 1.1，National Archives of U.S.A., December 6, 2016 _________________________________ 48 [文章尾部最后500字内容到此结束,中间部分内容请查看底下的图片预览]请点击下方选择您需要的文档下载。

1. 安全生产事故隐患排查治理制度
2. 新申办建筑施工企业安全生产许可证一次性告知单
3. 旅游安全总结
4. 学校春季趣味运动会安全应急预案
5. 工地安全操作规程
6. 安全用药教学反思
7. 公司项目施工安全消防责任制度
8. 校园人防、物防、技防配备方案
9. 学校安全双控机制管理实施方案
10. 公司办公室安全生产月活动总结
11. 2017年安全生产法律法规竞赛试题(答案)
12. 小学生放假安全教育
13. 小学防汛工作制度
14. ***_实验室安全考试系统使用说明 (3)
15. 《学生体质健康标准》测试----工作-安全预案
16. 安全文明施工及绿色施工重难点
17. 非煤矿山领域安全风险分级管控和隐患排查治理双重预防检查表
18. 国务院办公厅关于加强中小学幼儿园安全风险防控体系建设的意见
19. 在疫情期间学校安全工作有哪些
20. 《政府数据-数据分类分级指南》

以上为《金融数据安全 数据安全分级指南（送审稿）》的无排版文字预览，完整内容请下载

金融数据安全 数据安全分级指南（送审稿）由用户“douqiangwei613”分享发布，转载请注明出处 回顶部 | 首页 | 电脑版 | 举报反馈 更新时间2021-03-11 18:30:19