隨著大數(shù)據(jù)、人工智能、云計(jì)算等新技術(shù)在金融業(yè)的深入應(yīng)用，數(shù)據(jù)逐步實(shí)現(xiàn)了從信息化資產(chǎn)到生產(chǎn)要素的轉(zhuǎn)變，其重要性日益凸顯。金融數(shù)據(jù)復(fù)雜多樣，對(duì)數(shù)據(jù)實(shí)施分級(jí)管理，能夠進(jìn)一步明確保護(hù)對(duì)象，有助于金融業(yè)機(jī)構(gòu)合理分配數(shù)據(jù)保護(hù)資源和節(jié)約成本，是金融業(yè)機(jī)構(gòu)建立完善的金融數(shù)據(jù)生命周期保護(hù)框架的基礎(chǔ)，也是關(guān)鍵性數(shù)據(jù)安全防護(hù)的前提條件。同時(shí)，數(shù)據(jù)分類分級(jí)能夠有效促進(jìn)金融數(shù)據(jù)在機(jī)構(gòu)間、行業(yè)內(nèi)的安全共享，有利于金融行業(yè)數(shù)據(jù)價(jià)值的挖掘與實(shí)現(xiàn)。

一、數(shù)據(jù)分類分級(jí)概述

《數(shù)據(jù)安全法》的第二十一條“國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)”。

數(shù)據(jù)分類分級(jí)相關(guān)概念：

1）分類分級(jí)對(duì)象：數(shù)據(jù)分類分級(jí)的對(duì)象通常是數(shù)據(jù)項(xiàng)、數(shù)據(jù)集，比如提供金融產(chǎn)品或服務(wù)過程中采集的數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)等。

2）數(shù)據(jù)分類：具有多種視角和維度，其主要目的是便于數(shù)據(jù)管理和使用。

3）數(shù)據(jù)分級(jí)：為了保護(hù)數(shù)據(jù)安全，不同級(jí)別的數(shù)據(jù)應(yīng)采取不同的保護(hù)措施。

4）數(shù)據(jù)分類分級(jí)清單：數(shù)據(jù)分類分級(jí)之后的結(jié)果，為金融數(shù)據(jù)安全治理和防護(hù)提供精準(zhǔn)化措施。

5）定期開展：金融數(shù)據(jù)的類別級(jí)別可能因時(shí)間變化、政策變化、 安全事件發(fā)生、不同業(yè)務(wù)場(chǎng)景的敏感性變化或相關(guān)行業(yè)規(guī)則不同而發(fā)生改變，因此需要對(duì)金融數(shù)據(jù)分類分級(jí)進(jìn)行定期審核并及時(shí)調(diào)整。

二、金融數(shù)據(jù)安全分類分級(jí)的業(yè)務(wù)流程

第一步 頂層設(shè)計(jì)

制定數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)。根據(jù)國(guó)家相關(guān)標(biāo)準(zhǔn)、金融行業(yè)相關(guān)標(biāo)準(zhǔn)、結(jié)合金融業(yè)務(wù)特性制定金融業(yè)數(shù)據(jù)安全分類分級(jí)標(biāo)準(zhǔn)或規(guī)范，金融數(shù)據(jù)安全分類分級(jí)工作可以按照《JRT 0197-2020 金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》的相關(guān)標(biāo)準(zhǔn)執(zhí)行。頂層設(shè)計(jì)階段需要建立敏感數(shù)據(jù)指引、敏感數(shù)據(jù)分類分級(jí)指引，同時(shí)要明確需遵循的法律法規(guī)。

第二步 數(shù)據(jù)分類

利用技術(shù)工具識(shí)別是否存在法律法規(guī)或主管監(jiān)管部門有專門管理要求的數(shù)據(jù)類別，并對(duì)識(shí)別的數(shù)據(jù)類別進(jìn)行區(qū)分標(biāo)識(shí)；從金融領(lǐng)域維度，確定待分類數(shù)據(jù)的數(shù)據(jù)處理活動(dòng)涉及的領(lǐng)域；完成上述數(shù)據(jù)分類后，結(jié)合金融數(shù)據(jù)分類分級(jí)相關(guān)標(biāo)準(zhǔn)，綜合采用面分類法和線分類法相結(jié)合的方法。

不論是對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行梳理、標(biāo)準(zhǔn)化，還是數(shù)據(jù)的確權(quán)、管理，亦或是提供數(shù)據(jù)資產(chǎn)服務(wù)，有效的數(shù)據(jù)分類都是首要任務(wù)。敏感數(shù)據(jù)發(fā)現(xiàn)是數(shù)據(jù)分類分級(jí)的基礎(chǔ)，也是客觀判斷的前期條件，如對(duì)個(gè)人基本信息、財(cái)產(chǎn)信息、風(fēng)險(xiǎn)標(biāo)簽信息、銀行賬號(hào)等多種數(shù)據(jù)進(jìn)行判斷，及時(shí)發(fā)現(xiàn)金融業(yè)機(jī)構(gòu)內(nèi)部敏感數(shù)據(jù)。

第三步 數(shù)據(jù)分級(jí)

數(shù)據(jù)分類分級(jí)的準(zhǔn)確度是后續(xù)數(shù)據(jù)保護(hù)策略部署的基礎(chǔ)，數(shù)據(jù)的分級(jí)是數(shù)據(jù)重要性的直觀化展示，分級(jí)結(jié)果是組織內(nèi)部管理體系編寫的基礎(chǔ)、是技術(shù)支撐體系落地實(shí)施的基礎(chǔ)、是運(yùn)維過程中合理分配防護(hù)資源的基礎(chǔ)。

金融數(shù)據(jù)安全定級(jí)的具體流程如下：

《JRT 0197-2020 金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》中根據(jù)金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭受破壞后影響對(duì)象和所造成的影響程度，將數(shù)據(jù)安全級(jí)別從高到低劃分了五級(jí)，并且對(duì)每一級(jí)數(shù)據(jù)特征做了說明。提供了數(shù)據(jù)安全定級(jí)規(guī)則參考說明以及規(guī)范數(shù)據(jù)定級(jí)流程，為金融業(yè)機(jī)構(gòu)開始數(shù)據(jù)安全分類分級(jí)建設(shè)提供了可落地的參考標(biāo)準(zhǔn)。

表 2?1數(shù)據(jù)安全定級(jí)規(guī)則參考表

第四步 精細(xì)化防護(hù)策略

數(shù)據(jù)分類分級(jí)更大的意義在于對(duì)分類分級(jí)后的數(shù)據(jù)如何進(jìn)行精細(xì)化安全防護(hù)。數(shù)據(jù)分類分級(jí)要考慮數(shù)據(jù)多種特性，其中包括數(shù)據(jù)安全防護(hù)的問題，金融業(yè)機(jī)構(gòu)需認(rèn)真考慮如何利用現(xiàn)有設(shè)備或新增安全防護(hù)設(shè)備有針對(duì)性地加深數(shù)據(jù)安全防護(hù)粒度，從而減輕資金、人員、運(yùn)維等綜合投入成本，在此前提下，數(shù)據(jù)分類分級(jí)則顯得尤為重要。

通過人工與技術(shù)工具結(jié)合的方式進(jìn)行數(shù)據(jù)安全分類分級(jí)，數(shù)據(jù)分類分級(jí)設(shè)備通過通用接口，可與其他數(shù)據(jù)安全防護(hù)單元分享分類分級(jí)結(jié)果，專業(yè)數(shù)據(jù)分類分級(jí)設(shè)備將敏感數(shù)據(jù)結(jié)果發(fā)送給各數(shù)據(jù)資產(chǎn)管理員分別進(jìn)行整改，形成數(shù)據(jù)安全防護(hù)閉環(huán)。

第五步 安全運(yùn)營(yíng)

數(shù)據(jù)分類分級(jí)工作是一個(gè)長(zhǎng)期持續(xù)的過程，需要在組織內(nèi)持續(xù)性地基于組織業(yè)務(wù)變化和技術(shù)發(fā)展不斷的調(diào)整和優(yōu)化，金融業(yè)機(jī)構(gòu)需要強(qiáng)化技術(shù)手段，提升管控能力。

根據(jù)分類分級(jí)結(jié)果制定數(shù)據(jù)管控策略，實(shí)施管控措施，全景展示數(shù)據(jù)安全態(tài)勢(shì)，持續(xù)運(yùn)營(yíng)改進(jìn)。

三、數(shù)據(jù)分類分級(jí)的典型應(yīng)用場(chǎng)景

// 敏感數(shù)據(jù)可視化與訪問分析

數(shù)據(jù)安全和運(yùn)維安全真正需要關(guān)心在于敏感數(shù)據(jù)，從敏感數(shù)據(jù)分類出發(fā)，選擇敏感表格組成敏感數(shù)據(jù)集合，敏感分析可根據(jù)時(shí)間、保護(hù)對(duì)象、源IP方式對(duì)敏感數(shù)據(jù)被訪問的情況進(jìn)行統(tǒng)計(jì)分析，在保障安全的基礎(chǔ)之上實(shí)現(xiàn)敏感數(shù)據(jù)分布可視化、敏感數(shù)據(jù)訪問可視化。

// 數(shù)據(jù)分類分級(jí)結(jié)果對(duì)外共享

專業(yè)數(shù)據(jù)分類分級(jí)設(shè)備做全網(wǎng)數(shù)據(jù)資產(chǎn)識(shí)別和分類分級(jí)，開放通用API接口，可分別與數(shù)據(jù)安全運(yùn)營(yíng)管理平臺(tái)和數(shù)據(jù)安全防護(hù)設(shè)備聯(lián)動(dòng)。

與數(shù)據(jù)安全運(yùn)營(yíng)管理平臺(tái)聯(lián)動(dòng)：將數(shù)據(jù)分類分級(jí)結(jié)果上傳給平臺(tái)，通過平臺(tái)統(tǒng)一將策略下發(fā)給各數(shù)據(jù)安全防護(hù)設(shè)備。與其他安全防護(hù)設(shè)備聯(lián)動(dòng)：數(shù)據(jù)庫審計(jì)和數(shù)據(jù)庫防火墻重點(diǎn)審計(jì)和防護(hù)級(jí)別高的敏感數(shù)據(jù)，數(shù)據(jù)安全級(jí)別高的可以通過數(shù)據(jù)脫敏降低級(jí)別，以及對(duì)接其他數(shù)據(jù)安全防護(hù)產(chǎn)品達(dá)到聯(lián)防聯(lián)控的效果，形成數(shù)據(jù)安全防護(hù)閉環(huán)。

四、數(shù)據(jù)分類分級(jí)的意義

滿足自身發(fā)展

數(shù)據(jù)分類分級(jí)起到承上啟下的作用。承上：從運(yùn)維制度、保障措施、崗位職責(zé)等多個(gè)方面的管理體系都需依托數(shù)據(jù)分類分級(jí)進(jìn)行落地執(zhí)行。啟下：根據(jù)不同數(shù)據(jù)級(jí)別，實(shí)現(xiàn)不同安全防護(hù)，如高級(jí)別數(shù)據(jù)需要實(shí)現(xiàn)細(xì)粒度規(guī)則管控和數(shù)據(jù)加密，低級(jí)別數(shù)據(jù)實(shí)現(xiàn)單向?qū)徲?jì)即可。

提升數(shù)據(jù)使用價(jià)值

數(shù)據(jù)資產(chǎn)梳理是數(shù)據(jù)治理的基礎(chǔ)，梳理清楚具體的數(shù)據(jù)庫資產(chǎn)、數(shù)據(jù)資產(chǎn)、賬號(hào)權(quán)限信息，制定各級(jí)別數(shù)據(jù)交換共享策略，在提升運(yùn)營(yíng)能力同時(shí)，數(shù)據(jù)資產(chǎn)的精細(xì)化管理，持續(xù)性為金融業(yè)機(jī)構(gòu)提供精準(zhǔn)的數(shù)據(jù)服務(wù)。

減少數(shù)據(jù)安全風(fēng)險(xiǎn)

采用規(guī)范的數(shù)據(jù)分類、分級(jí)方法，有助于金融業(yè)機(jī)構(gòu)厘清數(shù)據(jù)資產(chǎn)，確定數(shù)據(jù)重要性或敏感度，針對(duì)性地采取適當(dāng)、合理的管理手段和安全防護(hù)措施，形成一套科學(xué)、規(guī)范的數(shù)據(jù)資產(chǎn)管理與保護(hù)機(jī)制，從而減少數(shù)據(jù)遭受篡改、破壞、泄露、丟失或非法利用的可能。

滿足合規(guī)要求

滿足合規(guī)是金融業(yè)機(jī)構(gòu)平穩(wěn)運(yùn)行最基本要求，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》以及等保、金融行業(yè)標(biāo)準(zhǔn)規(guī)范等都有要求，企業(yè)應(yīng)當(dāng)按照金融行業(yè)的監(jiān)管要求去執(zhí)行，采用流程和技術(shù)手段切實(shí)落實(shí)數(shù)據(jù)分類分級(jí)工作。

五、昂楷提供持續(xù)的數(shù)據(jù)分類分級(jí)服務(wù)

昂楷科技的專業(yè)團(tuán)隊(duì)將從客戶數(shù)據(jù)的專有屬性出發(fā)，綜合國(guó)家、行業(yè)定義的數(shù)據(jù)分級(jí)分類方法，以及數(shù)據(jù)開發(fā)和共享需求，制定適合客戶數(shù)據(jù)的分類標(biāo)準(zhǔn)；在數(shù)據(jù)分類的基礎(chǔ)上，結(jié)合數(shù)據(jù)的重要性、敏感程度，以及篡改、破壞、泄露或非法獲取、非法利用造成的危害程度，制定適合客戶數(shù)據(jù)的分級(jí)標(biāo)準(zhǔn)。

數(shù)據(jù)分類分級(jí)服務(wù)定期輸出完整詳細(xì)的各類清單和報(bào)告：

服務(wù)過程中將全面梳理客戶的數(shù)據(jù)資產(chǎn)，綜合數(shù)據(jù)的使用目的、敏感程度和屬性，按制定的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)，實(shí)現(xiàn)對(duì)客戶數(shù)據(jù)的分類分級(jí)；對(duì)客戶數(shù)據(jù)按不同類別、不同級(jí)別，制定相對(duì)應(yīng)的安全保護(hù)策略，以實(shí)現(xiàn)精確的數(shù)據(jù)安全保護(hù)，達(dá)到數(shù)據(jù)安全與使用之間的平衡。

數(shù)據(jù)分類分級(jí)是管理體系合理規(guī)劃、數(shù)據(jù)安全合理管控、人員精力及力度合理利用的基礎(chǔ)，是邁向數(shù)據(jù)安全精細(xì)化管理的重要一步，關(guān)于如何做好數(shù)據(jù)分類分級(jí)這項(xiàng)持續(xù)性工作是需要不斷探索與實(shí)踐的。