随着《数据安全法》、《个人信息保护法》的出台及《国家安全战略(2021-2025 年)》的制定 , 标志着数据安全上升至国家安全的层面。金融作为国家的支柱型产业,汇聚了大量的高价值数据,对于数据安全的要求日益提升,相继发布了《JR/T 0171-2020 个人金融信息保护技术规范》、《JR/T 0197-2020 金融数据安全数据安全分级指南》、《JR/T 0218-2021 金融业数据能力建设指引》、《银行业金融机构做好个人金融信息保护工作的通知》、《银行业金融机构数据治理指引》等多个规范与指引,对金融行业数据安全与分类定级提出了明确的管理要求。
为响应国家和监管要求,加快齐鲁银行数字化转型,完善数据安全管理体系,提升数据安全管理能力,齐鲁银行亟需通过数据分类分级建设,完成数据分类分级并管理敏感数据资产,为数据安全风险识别分析、数据安全策略配置、数据安全技术工具应用奠定基础,提升数据安全运营监管能力。
齐鲁银行数据安全分类分级痛点分析
痛点一:行内数据分类分级标准体系和管理制度需进一步健全国家、金融行业、专业领域等各层面已颁发数据安全相关的业务标准和技术标准,伴随着数据安全重视度的提高,法律法规、规范指引的更新频率越来越快,管理要求日趋精细,城商行普遍需要在前期的制度体系的基础上进一步完善健全标准体系与管理制度,优化数据分类分级标准,实现对影响国家安全、公众权益、个人隐私、企业合法权益等敏感数据的精细化管理。
痛点二:行内手工方式进行数据字段级分类分级耗时耗力过往结构化数据分类分级主要采用人工分类分级的方式,过程中需要协同业务部门共同来完成相关工作,工作开展面临诸多挑战,主要为以下几点:
- 参与部门多,人员也较多,多是在本职工作的基础上兼职开展工作,周期相对难以把控;
- 参与人员难以全面掌握外部众多的法律法规信息,判定结果上不同人员会存在一定的偏差;
- 行业数据众多,数据分类分级对象以字段作为最小颗粒度,数量庞大,工作体量较大,开展周期较长,人员成本投入较高。
齐鲁银行数据安全分类分级建设思路
建设主要包含三部分内容:结合外部的管理要求与行内的工作实践,齐鲁银行本次数据安全分类分级体系。
一是建设数据分类分级标准框架。邀请合作伙伴以行内的实际情况为基础,建立适合齐鲁银行现状并满足监管要求的数据分类分级的标准框架,在框架中明确齐鲁银行当前数据分类及数据分级的识别标准,定义数据分类分级遵循的重要原则和方法。
二是明确数据分类分级管理规范。以数据分类分级标准框架为基础进一步明确数据安全管理的相关要求,定义不同数据安全等级的管理措施形成数据全生命周期过程中应该遵守的安全管理规范。该管理规范将在后续为数据安全技术工具的实施与运营提供管理依据和支撑,进一步提升数据安全运营的管理能力。
三是搭建智能化数据分类分级平台。部署智能化数据分类分级平台,在金融行业安全词库的基础上实现对字段级的智能分类分级,形成企业级的数据分类分级清单,在满足合规监管的字段级分类分级要求的同时也为齐鲁银行下一步开展数据级的安全管控提供了坚实的基础。
齐鲁银行数据安全分类分级解决方案
打造齐鲁银行数据分类分级标准体系和管理规范
依据国家、金融行业、专业领域等各层面的业务标准和技术标准,结合齐鲁银行实际情况,聚焦数据资产,建立数据分类分级标准,按照对国家安全、公众权益、个人隐私、企业合法权益的影响等要求开展数据分类分级,实现敏感数据精细化管理。
齐鲁银行确立一套要求可落地、过程可执行、效果可评估的行之有效的数据分类分级管理制度体系,保障数据分类分级的管理运营,为后续基于数据分类分级的数据安全管控和数据资产精细化管理奠定良好的基础。
安全性(保密性、完整性、可用性)是信息安全风险评估中的重要参考属性。数据安全性遭到破坏后可能造成的影响,是确定数据安全级别的重要判断依据,主要考虑影响对象与影响程度两个要素。
影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等。影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、一般损害、轻微损害和无损害。影响程度的确定宜综合考虑数据类型、数据特征与数据规模因素,并结合金融业务属性确定数据安全性遭到破坏后的影响程度。参照金融行业发布的数据安全分级标准《JR/T 0197—2020 金融数据安全 数据安全分级指南》,数据安全等级从高到低划分为 5 级。
数据分类分级管理制度建设从数据安全管理的政策、组织、制度、技术工具等角度出发,制定满足合规监管要求、企业自身的数据安全管理与制度要求、安全策略要求、服务支撑要求等体系框架,形成自上而下,从决策层到技术层,从管理制度到技术工具的有效支撑,形成贯穿整个组织架构的完整数据分类分级管理链条。使得企业内部的各个层级之间对数据分类分级管理的目标达成共识,确保采取合理和适当的措施,以最有效的方式保护数据资产安全。
数据分类分级管理规范从组织层面进行整体考虑和设计,并形成体系框架。我行数据分类分级管理制度依赖数据安全体系各层级制度,同一层级不同管理模块之间存在一定关联逻辑,在内容上不进行重复和矛盾。其中数据分类分级管理制度框架包括:
- 适用范围:明确数据安全分类分级制度在企业使用的范围以及活动;
- 引用文件:充分考虑外部法律和监管要求,阐明所参考外部监管文件;
- 管理组织:主要明确数据分类分级的管理组织和相关职责;
- 管理内容:主要明确不同等级、不同类别数据管理要求以及管理流程;
- 考核评价:主要为充分推动数据分类分级执行落地,保证数据分类分级落地效果,制定考核评价机制以规范和约束相关组织和人员。
建设齐鲁银行数据安全词库
根据确定好的数据分类分级标准体系,依据《JR/T 0197-2020 金融数据安全 数据安全分级指南》,建立行业安全分级词库,以业务流程、数据标准、元数据描述、数据模型等为输入形成齐鲁银行数据安全管理行业词库,支撑平台落地,如下图所示。
齐鲁银行数据安全分类分级词库示例(来源:齐鲁银行)
建设齐鲁银行智能化数据分类分级平台
依托词库,如图 32、33 所示,齐鲁银行通过智能化分类分级工具对现有数据进行智能识别和自动分类分级处理,降低人工分类分级成本,为后续数据分类分级常态化运营管理提供支撑。
齐鲁银行数据资产分级结果示例(一)(来源:齐鲁银行)
齐鲁银行数据资产分级结果示例(二)来源:齐鲁银行
齐鲁银行数据安全分类分级成果亮点
亮点一:行业安全词库构建。在《数据安全法》、《个人金融信息保护技术规范》、《JR/T 0197-2020 金融数据安全 数据安全分级指南》的指导下,结合齐鲁银行数据管理的情况,从业务文档与数据模型中提炼整理形成适合齐鲁银行的数据分类与分级的标准,并在此标准的基础上细化形成了行业的安全特征词库。
亮点二:实现字段级别的智能分类分级。数据治理平台构建了数据资产目录信息级别与数据内容级别两种颗粒度的数据安全分类分级技术能力。
亮点三:数据资产目录分类定级。基于自然语言处理、机器学习与知识图谱实现基于行业安全特征词库的语义空间向量计算与关系计算,从而实现定级对象与分类分级标准之间的映射管理关系,为分类分级提供法律法规、行业规范的依据。
亮点四:数据内容级别分类定级。齐鲁银行在数据资产目录分类分级的基础上采用数据内容级别的分类定级进行辅助识别,一方面通过内容识别弥补数据资产目录中部分资产语义缺失带来的定级误差,另一方面通过内容识别对资产识别的结果做双保险校正,从而提高数据安全分类定级的准确度。
文章来源:数据安全推进计划微信公众号,原文节选自《金融行业数据安全治理案例汇编》。