金融数据安全 数据安全分级指南.docx

《金融数据安全 数据安全分级指南.docx》由会员分享，可在线阅读，更多相关《金融数据安全 数据安全分级指南.docx（53页珍藏版）》请在优知文库上搜索。

1、ICS35.24040A11中华人民共和国金融行业标准JRfT01972020金融数据安全数据安全分级指南Financia1.datasecurity-Guide1.inesfordatasecurityc1.assification2020-09-23实施2020-09-23发布中国人民银行发布目次WaH引言in1范用12规范性引用文件13术语和定义14目标、原则和范围35数据安全定级16里要数据识别10附录R（资料性附录）数楙定级规期参考表11附录B（资料性附录数据安全徼别变化事宜46附录C（资料性附录）重要数据47参考文献18本标准按照GB，TI2009给出的规则起草.本标准由中国人民银

2、行提出，本标准由全国金融标准化技术委员会（SC.TC180）归口。本标准起草单位：中国人民垠行科技司、中国银行保险监督管理委员会统计信息与风险监测部、国家金融IC卡安全检测中心（愠行卡检测中心）、深圳市长亮科技股份有限公司、中国垠行保险信息技术管理有限公司、招商银行股份有限公司、中国平安财产保险股份仃限公司、中国长城资产管理股份有限公司、蚂蚁科技集团JB份有限公司、平安保险（集团股份有限公司、中国人民银行金融信息中心、中国人民银行数字货币研究所、兴业银行股份有限公司、中国农业银行股份有限公HJ、中国建设银行股份有限公司、中国工商极行股份有限公司、恒丰银行股份有限公司、中国搬联股份有限公司、两联

3、清算有限公司、中国银行股份有限公司、平安银行股份有限公司、中电数据服务有照公司，中国电力财务有限公司、中国外汇交易中心、中国人民慑行营业管理部、中国人民慨行南京分行、中国人民银行福州中心支行、中国金融电子化公司、西南财经大学.本标准主要起用人：李作、陈立吾、沈筱彦、车珍、曲维民、件新、发怒、方怡、孙衍组、集韶光、陈聪、居良、杨波、而强布、黑琳、率敏、陈裕源、张赚、李隆春、李水旺、命吴杰、刘建民、张小松、由宜、吕良玉、落红卫、王昕、姜永庆、黄飞生、王衍演、朱建强、时向一、狄刚、吕殷、栾家阳，郛智超、赵用、万适、刘峥芳、刘超、范博文、李雯、张雄峥、郑树、吴彦涵、杨溢、强群力、郭林、陈雪秀、公丽丽、

4、母延燕、马鑫、周亚超、王良浩、梁铉清、缪章娟、薛金川、任军远、席学清、刘书元、侯漫丽、陈文“I1.随着信息技术的发展众多金做基础业务、核心流程、行业间往来等事务和活动均已运行在信息化支掠载体之上，金融业机构生产运行过程中产生的信息也逐步以不同形式转化为数字资产,在不同信息网络与系统之间流转。匐若大数据、人工智能、云计蚱等新技术在金融业的深入应用，数据逐步实现了从信息化资产到生产要索的朴变,其重要性日益凸显,金融业机构数据安全威胁的影响范用逐步从机构内扩大至行业间,甚至影响国家安全、社会秩序、公众利益与金融市场稳定。金融数据复杂多样.对数据实施分级管理，能坡进一步明确数据保护对思.有助于金融业机

5、构合理分配数据保护资源和成本，足金融业机构建立完善的金融数据生命周期保护框架的基础.也是有的放矢地实施数据安全管理的前提条件。同时，统一的数据分缎管理制度，能妹促进数据在机构间、行业间的安全共享，有利于金融行业数据价值的挖掘与实现,为落实中共中央、国务院加强数据资源整合和安全保护相关工作要求.指导金融业机构合理开展金融数据安全定级工作，有效落实金触数据生命周期全过程安全管理策略，进一步提高金融业数据管理和安全防护水平，确保金融数据的安全应用，编制本标准.金融数据安全数据安全分级指南1范围本标准给出了金联数据安全分级的目标、原则和范用以及数据安全定级的要素、规则和定级过程.本标准适用于金融业机构

6、开展电子数据安全分级工作,并为第三方评估机构等单位开展数据安全检性与评估工作提供等考。2规葩性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件，仅注H期的版本适用于本文件.凡是不注日期的引用文件，其最新版本（包括所有的修改单适用于本文件。GB/T47M-2017国民经济行业分类GB/T5271.12000信息技术词汇第1部分：基本术谙（；B/T25069-2010伯息安全技术术喳GB/Z28828-2012信息安全技术公共及两用眼务信息系统个人信息保护指陶GB/T35273-2020信息安全技术个人信划安全规范JRA0158-2018证券期货业数据分类分级指引JR/T0171

7、-2020个人金融侑息保妒技术规范3术语和定义GB/T25069-2010.GB/T35273-2017界定的以及下列术语和定义适用于本文件.3.1信息information关于客体（如事实、事件、事物、过程或网想,包括概念）的知识,在一定的场合中具有特定的意义。注：改写GB/T5271.12000.定义201.01.01.3.2数据data信息的可再解释的形式化衣示，以适用于通信、解林或处理。注：可以通过人:或自幼手段处理，GB/T5271.1-2000.定义2.01.01.023.3隐私PriVaCy个人所具有的控制或影响与之相关信息的权限.涉及由谁收集和存储、由谁披露.GBT250692

8、010,定义2.1.633.4信总处理informationprocessing时信息操作的系统执行，包括数据处理，也可包括诸如数据通信和办公自动化之类的操作。注：术语“信息处理”不使用为一数据处理”的同义词.GB/T5271.12000,定义2.01.01.053.5数据处理dataprocessi11数据操作的系统执行.示例I欲抠的教学运算或设瓢运K.致祭的归并或分类.程序的汇编联呜话,或文本的版作.i%W.分类、归井、存站、检索*品示攻打印.注1：术语“数据处理”不循用为“信息处理”的同义词.注2t改写C8/T5271.12000.定义2.01.01.063.6保密性confidenti

9、a1.ity使信息不泄常给未授权的个人.实体、进程,或不被其利用的特性.IGB/T25069-2010.定义2.1.13.7完整性integrity保期资产准确和完整的特性.注1改吁GBZT25069-2010,定义2.1.42.3.8可用性avaiIabiIity已授权实体一旦需要就可访问和使用的数据和资源的特性.GB/T250692010,定义2,1.203.9安全级别security1.eve1.有关敏感信息访问的级别划分，以此级别加之安全范的能更粕细地控制对数据的访问.GB/T25069-2010,定义2.2.1.63.10金融数据financia1.data金融业机构开展金融业务、提

10、供金融服务以及I常经昔管理所需或产生的各类数据.注：/类数率可用传统款冕处理技术或大数据处理技术进行In次、存储、计分析和管理,3.11个人金融信息persona1.financia1.information金廖业机构通过提供金眼产品和服务或者其他条道获取、加工和保存的个人信息.注1：个人金融信息乜括账户信、鉴别归息,金融交易侑1、个人身份俏包,豺产信必、错债信,以及其他反映特定个人某些忸况的信息.注2：改写CBjT35273-2020.定义3.1.3.12个人金融信息主体persona1.financia1.informationsubject个人企购信息所标识的自然人，注：改写GH“352

11、732020,定义3.3,3.13影响i11pct事件的后果，在信息安全中,一般指不测事件的后果，GB/T25069-2010.定义2.3.1054目标、原剜和范国4.1 数据安全定级目标数据安全定级旨在对数据资产进行全面梳理并确立适当的数掘安全分级，是金融业机构实施。效数据分级管理的必要前提和基础.数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工作能修为金触业机构制定有针对性的数据安全管控措施提供支撑.金融业包括货币金融服务.资本市场IK务、保险业等,参见GB/T47542017.本标准所述“金融业机构”是指从事上述金融业的相关机构.4.2 数据安全定级原剜数据安全定级遵循以下

12、原则：a）合法合规性原则：满足国家法律法规及行业主管部门有关规定.b）可执行性原则：数据定级规则避免过于复杂，以确保数据定级工作的可行性.C）时效性原则：数据安全级别具有一定的有效期限，金Ia业机构宜按照级别变更鬣咯时数据拨别进行及时调整.d）自主性限则：结合金融业机何自身数据管理需要（如战略需要、业务需要、风险接受程度等），在木标准的框架下自主确定数据安全级别。）差异性原则：根据本机构数据的类型、敏感程度等差界,划分不同的数据安全层级,并将数据分散至不同的级别中.不宜将所有数据集中划分到其中若干个级别中。力客观性原则：数据定段规则是客观且可校粉的，即通过数据自身的属性和定级规则即可判定其级别

13、，井口数据的定级是可复核和检查的.4.3 数据安全定级范围金融数据安全定娘过程中，未经电子化的金融数据，依据档窠文件等有关管理规范执行：涉及国家秘密的金融数据.依据国家有关法律法规执行，不在本标准现定的范围之内,证券行业数据安全分级工作可参照JR/T0158-2018执行.其中,安全定级工作所涉及的金曲数据包括但不限于：一一提供金融产品或服务过程中直接（或间接）果集的数抵，包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据.以及通过信息系统签约或收集的电子信息一一金融业机构信息系统内生成和存储的数据，包括业务数据经营管理数据等，其中：业务数据指金融业机构在提供金融产

14、晶或服务过程中产生的数据,如交步信息、统计数据经营管理数据指金融业机构在,履行职能与经营管理过程中采集、产生的数据,如营销机务数据、运营数据、风险管理数据、技术管埋数据（如程序代码、系统以及网络等）、统计分析数据、绘合管理数据等。一一金融业机构内部办公网络与办公设符终端）中产生、交换、归档的电子数据，如机构内部日常事分处埋信息、政策法规与部门规章、业务终训临时存储的业务或经营管埋数据、电子邮件信息等.一一金融业机构原纸质文件羟过扫描或其他电子化于段形成的电子数据-一一其他亢进行分级的金融数据.5数据安全定级5.1 定级要素5.1.1 概述安全性（保密性、完整性、可用性,是信息安全风险评估中的桑

15、要参考属性.数据安全性遭到破坏后可能造成的影响（如可能造成的危害、损失或潜在风险等）,是确定数据安全级别的亚要判断依据.主要考虑影响对象与影响程度两个要素。5.1.2 影响对象影响时象指金融业机构数据安全性遭受破坏后受到影响的对象，包括国家安全、公众权益、个人IS私、企业合法权益等。膨响对象的确定主要考虑以下内容：一一影响对象为国家安全的情况，一股指数据的安全性遭到岐坏后，可能尚国家政权柩固、领土主权、民族团结、社会和金融市场稳定等造成影响.一一影响对象为公众权益的情况，一股指数据的安全性遭到破坏后，可能对生产经营、教学科研、医疗卫生、公共交通等社会秩序和公众的政治权利、人身自由、经济权益等造成影响，一一影响对象为个人除私的情况，一般指数据的安全性送到破坏后，可能Xj个人金融信息主体的个人信息、私人活动和私有领域等造成影响.一一影响对改为企业合法权益的情况，一股指数据的安全性遭到破坏后，可能对某企业或其他组织（UJ能是金融业机构，也可能是其他行业机构）的生产运甘、声誉形象、公信力等造成影响，5.1.3 影响程度影响程度指金融业机构数据安全