金融数据安全 数据安全分级指南.docx
《金融数据安全 数据安全分级指南.docx》由会员分享,可在线阅读,更多相关《金融数据安全 数据安全分级指南.docx(53页珍藏版)》请在课桌文档上搜索。
1、ICS35.24040A11中华人民共和国金融行业标准JRfT01972020金融数据安全数据安全分级指南Financia1.datasecurity-Guide1.inesfordatasecurityc1.assification2020-09-23实施2020-09-23发布中国人民银行发布目次WaH引言in1范用12规范性引用文件13术语和定义14目标、原则和范围35数据安全定级16里要数据识别10附录R(资料性附录)数楙定级规期参考表11附录B(资料性附录数据安全徼别变化事宜46附录C(资料性附录)重要数据47参考文献18本标准按照GB,TI2009给出的规则起草.本标准由中国人民银
2、行提出,本标准由全国金融标准化技术委员会(SC.TC180)归口。本标准起草单位:中国人民垠行科技司、中国银行保险监督管理委员会统计信息与风险监测部、国家金融IC卡安全检测中心(愠行卡检测中心)、深圳市长亮科技股份有限公司、中国垠行保险信息技术管理有限公司、招商银行股份有限公司、中国平安财产保险股份仃限公司、中国长城资产管理股份有限公司、蚂蚁科技集团JB份有限公司、平安保险(集团股份有限公司、中国人民银行金融信息中心、中国人民银行数字货币研究所、兴业银行股份有限公司、中国农业银行股份有限公HJ、中国建设银行股份有限公司、中国工商极行股份有限公司、恒丰银行股份有限公司、中国搬联股份有限公司、两联
3、清算有限公司、中国银行股份有限公司、平安银行股份有限公司、中电数据服务有照公司,中国电力财务有限公司、中国外汇交易中心、中国人民慑行营业管理部、中国人民慨行南京分行、中国人民银行福州中心支行、中国金融电子化公司、西南财经大学.本标准主要起用人:李作、陈立吾、沈筱彦、车珍、曲维民、件新、发怒、方怡、孙衍组、集韶光、陈聪、居良、杨波、而强布、黑琳、率敏、陈裕源、张赚、李隆春、李水旺、命吴杰、刘建民、张小松、由宜、吕良玉、落红卫、王昕、姜永庆、黄飞生、王衍演、朱建强、时向一、狄刚、吕殷、栾家阳,郛智超、赵用、万适、刘峥芳、刘超、范博文、李雯、张雄峥、郑树、吴彦涵、杨溢、强群力、郭林、陈雪秀、公丽丽、
4、母延燕、马鑫、周亚超、王良浩、梁铉清、缪章娟、薛金川、任军远、席学清、刘书元、侯漫丽、陈文“I1.随着信息技术的发展众多金做基础业务、核心流程、行业间往来等事务和活动均已运行在信息化支掠载体之上,金融业机构生产运行过程中产生的信息也逐步以不同形式转化为数字资产,在不同信息网络与系统之间流转。匐若大数据、人工智能、云计蚱等新技术在金融业的深入应用,数据逐步实现了从信息化资产到生产要索的朴变,其重要性日益凸显,金融业机构数据安全威胁的影响范用逐步从机构内扩大至行业间,甚至影响国家安全、社会秩序、公众利益与金融市场稳定。金融数据复杂多样.对数据实施分级管理,能坡进一步明确数据保护对思.有助于金融业机
5、构合理分配数据保护资源和成本,足金融业机构建立完善的金融数据生命周期保护框架的基础.也是有的放矢地实施数据安全管理的前提条件。同时,统一的数据分缎管理制度,能妹促进数据在机构间、行业间的安全共享,有利于金融行业数据价值的挖掘与实现,为落实中共中央、国务院加强数据资源整合和安全保护相关工作要求.指导金融业机构合理开展金融数据安全定级工作,有效落实金触数据生命周期全过程安全管理策略,进一步提高金融业数据管理和安全防护水平,确保金融数据的安全应用,编制本标准.金融数据安全数据安全分级指南1范围本标准给出了金联数据安全分级的目标、原则和范用以及数据安全定级的要素、规则和定级过程.本标准适用于金融业机构
6、开展电子数据安全分级工作,并为第三方评估机构等单位开展数据安全检性与评估工作提供等考。2规葩性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注H期的版本适用于本文件.凡是不注日期的引用文件,其最新版本(包括所有的修改单适用于本文件。GB/T47M-2017国民经济行业分类GB/T5271.12000信息技术词汇第1部分:基本术谙(;B/T25069-2010伯息安全技术术喳GB/Z28828-2012信息安全技术公共及两用眼务信息系统个人信息保护指陶GB/T35273-2020信息安全技术个人信划安全规范JRA0158-2018证券期货业数据分类分级指引JR/T0171
7、-2020个人金融侑息保妒技术规范3术语和定义GB/T25069-2010.GB/T35273-2017界定的以及下列术语和定义适用于本文件.3.1信息information关于客体(如事实、事件、事物、过程或网想,包括概念)的知识,在一定的场合中具有特定的意义。注:改写GB/T5271.12000.定义201.01.01.3.2数据data信息的可再解释的形式化衣示,以适用于通信、解林或处理。注:可以通过人:或自幼手段处理,GB/T5271.1-2000.定义2.01.01.023.3隐私PriVaCy个人所具有的控制或影响与之相关信息的权限.涉及由谁收集和存储、由谁披露.GBT250692
8、010,定义2.1.633.4信总处理informationprocessing时信息操作的系统执行,包括数据处理,也可包括诸如数据通信和办公自动化之类的操作。注:术语“信息处理”不使用为一数据处理”的同义词.GB/T5271.12000,定义2.01.01.053.5数据处理dataprocessi11数据操作的系统执行.示例I欲抠的教学运算或设瓢运K.致祭的归并或分类.程序的汇编联呜话,或文本的版作.i%W.分类、归井、存站、检索*品示攻打印.注1:术语“数据处理”不循用为“信息处理”的同义词.注2t改写C8/T5271.12000.定义2.01.01.063.6保密性confidenti
9、a1.ity使信息不泄常给未授权的个人.实体、进程,或不被其利用的特性.IGB/T25069-2010.定义2.1.13.7完整性integrity保期资产准确和完整的特性.注1改吁GBZT25069-2010,定义2.1.42.3.8可用性avaiIabiIity已授权实体一旦需要就可访问和使用的数据和资源的特性.GB/T250692010,定义2,1.203.9安全级别security1.eve1.有关敏感信息访问的级别划分,以此级别加之安全范的能更粕细地控制对数据的访问.GB/T25069-2010,定义2.2.1.63.10金融数据financia1.data金融业机构开展金融业务、提
10、供金融服务以及I常经昔管理所需或产生的各类数据.注:/类数率可用传统款冕处理技术或大数据处理技术进行In次、存储、计分析和管理,3.11个人金融信息persona1.financia1.information金廖业机构通过提供金眼产品和服务或者其他条道获取、加工和保存的个人信息.注1:个人金融信息乜括账户信、鉴别归息,金融交易侑1、个人身份俏包,豺产信必、错债信,以及其他反映特定个人某些忸况的信息.注2:改写CBjT35273-2020.定义3.1.3.12个人金融信息主体persona1.financia1.informationsubject个人企购信息所标识的自然人,注:改写GH“352
11、732020,定义3.3,3.13影响i11pct事件的后果,在信息安全中,一般指不测事件的后果,GB/T25069-2010.定义2.3.1054目标、原剜和范国4.1 数据安全定级目标数据安全定级旨在对数据资产进行全面梳理并确立适当的数掘安全分级,是金融业机构实施。效数据分级管理的必要前提和基础.数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工作能修为金触业机构制定有针对性的数据安全管控措施提供支撑.金融业包括货币金融服务.资本市场IK务、保险业等,参见GB/T47542017.本标准所述“金融业机构”是指从事上述金融业的相关机构.4.2 数据安全定级原剜数据安全定级遵循以下
12、原则:a)合法合规性原则:满足国家法律法规及行业主管部门有关规定.b)可执行性原则:数据定级规则避免过于复杂,以确保数据定级工作的可行性.C)时效性原则:数据安全级别具有一定的有效期限,金Ia业机构宜按照级别变更鬣咯时数据拨别进行及时调整.d)自主性限则:结合金融业机何自身数据管理需要(如战略需要、业务需要、风险接受程度等),在木标准的框架下自主确定数据安全级别。)差异性原则:根据本机构数据的类型、敏感程度等差界,划分不同的数据安全层级,并将数据分散至不同的级别中.不宜将所有数据集中划分到其中若干个级别中。力客观性原则:数据定段规则是客观且可校粉的,即通过数据自身的属性和定级规则即可判定其级别
13、,井口数据的定级是可复核和检查的.4.3 数据安全定级范围金融数据安全定娘过程中,未经电子化的金融数据,依据档窠文件等有关管理规范执行:涉及国家秘密的金融数据.依据国家有关法律法规执行,不在本标准现定的范围之内,证券行业数据安全分级工作可参照JR/T0158-2018执行.其中,安全定级工作所涉及的金曲数据包括但不限于:一一提供金融产品或服务过程中直接(或间接)果集的数抵,包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据.以及通过信息系统签约或收集的电子信息一一金融业机构信息系统内生成和存储的数据,包括业务数据经营管理数据等,其中:业务数据指金融业机构在提供金融产
14、晶或服务过程中产生的数据,如交步信息、统计数据经营管理数据指金融业机构在,履行职能与经营管理过程中采集、产生的数据,如营销机务数据、运营数据、风险管理数据、技术管埋数据(如程序代码、系统以及网络等)、统计分析数据、绘合管理数据等。一一金融业机构内部办公网络与办公设符终端)中产生、交换、归档的电子数据,如机构内部日常事分处埋信息、政策法规与部门规章、业务终训临时存储的业务或经营管埋数据、电子邮件信息等.一一金融业机构原纸质文件羟过扫描或其他电子化于段形成的电子数据-一一其他亢进行分级的金融数据.5数据安全定级5.1 定级要素5.1.1 概述安全性(保密性、完整性、可用性,是信息安全风险评估中的桑
15、要参考属性.数据安全性遭到破坏后可能造成的影响(如可能造成的危害、损失或潜在风险等),是确定数据安全级别的亚要判断依据.主要考虑影响对象与影响程度两个要素。5.1.2 影响对象影响时象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人IS私、企业合法权益等。膨响对象的确定主要考虑以下内容:一一影响对象为国家安全的情况,一股指数据的安全性遭到岐坏后,可能尚国家政权柩固、领土主权、民族团结、社会和金融市场稳定等造成影响.一一影响对象为公众权益的情况,一股指数据的安全性遭到破坏后,可能对生产经营、教学科研、医疗卫生、公共交通等社会秩序和公众的政治权利、人身自由、经济权益等造
16、成影响,一一影响对象为个人除私的情况,一般指数据的安全性送到破坏后,可能Xj个人金融信息主体的个人信息、私人活动和私有领域等造成影响.一一影响对改为企业合法权益的情况,一股指数据的安全性遭到破坏后,可能对某企业或其他组织(UJ能是金融业机构,也可能是其他行业机构)的生产运甘、声誉形象、公信力等造成影响,5.1.3 影响程度影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为产加损害、一般损害、轻微根害和无损害相关说明如表1所示.可作为影响程度判定的参考.影响程度的确定宜综合考虑数据类型、数据特征与数据规模等因素,并结合金融业务属性确定数据安全性遭到破坏后的影响程度,例如:数
17、据安全性遭到破坏后,客户的个人自然信息产生的影响程度通常要高于单位基本信息.一一数据安全性遭到破坏后,身份胶期信息产生的影响程度通常要尚于个人葩本概况信息,交易信息中对实时性要求较蔚的数据其安全性遭到破坏产生的影响程度通常要高于实时性要求较低的数据等。表1影响程度说明MUUE男产亚拗杏I.可能导致他及国禀安全的默大事件,发生故书国京利益或造成猿大报失的情况,2 .可能导致严正应做社会秩序和公共利益,引发公众广泛诉讼警事件,成?段金融市场秩序遗刎产兔破坏等情况.3 .可能*政金融业机构遭到监花部门产盛处罚.或存影响小要/关键业务无法正常开展的俯况.1可能守政JR大个人侑&安全风险、侵犯个人!S私
18、等严JS於客个人横磕的小件.械物华1 .可能导致危S社会帙序和公共利益的事件,引发区域性集体诉讼事件,或匕板金R8市场秩序i刎破坏等怖S1.2 .可能导致金融业机构遗列总管部门处罚,成衣影响部分业务无法正常开展的情况,3 .可徙导致定.桃极的个人信患泄i.i川箸安全风险,或对个人权益可能造成一定影峋的事件.校微搔哲1.可能导致个别诉逐串件,但金融业机构经济利益.声碑等轻微殳物.2.可能导致金融业机构部分业务的时性中断等情况.3.可能导致超出个人客户授权加工、处理、使用数据等情况,对个人权战造成Fe分或潜在影响.无损有;H瓶和个人患私等小宜成影肛或仪Jft成微弱影看但不会影响国家安全.公众权益、
19、金Iaitf场秋序或若金电业机构8现业务正常开展.5.2要素识别5.2.1安全影响评估安全影响评估宜综合考虑数据究型、数据内容、数据规模、数据来源、机构职能和业务特点等因素,对数据安全性(保密性、完整性、可用性)遭受破坏后所造成的影响进行评估,评估过程中,根据实际情况识别各项安全性在影响评定中的优先级,分别进行保密性、完整性及可用性评估,并综合考虑保密性、完整性及可用性的评估结果,形成最终安全影响评估.保密性评估:通过评价数据遭受未经授权的披露所造成的影响,以及机构继续使用这些数据可能产生的甑响,进行数据保密性评估.评估的内容包括但.不限于: 数据未经授权的披露,可能对国家安全、公众权益、个人
20、除私及企业合法权i造成的损杏,以及损杏的严IR程度, 数据被非授权对象获取或利用,可能对国家安全、公众权益、个人吃私及企业合法权益造成的损害,以及损害的片里程度. 数据被告授权对象利用进行窃密、级改、销毁或拒绝服务等攻击,可能对国家安全、公众权益、个人隐私及企业合法权益等造成的损咨,以及损击的产Hi程世, 数据的未羟授权披露或传播是否违反国家法律法规、行业主管部门有关规定或机构内部管理规定。完整性评估:通过评价数据造殳未经授权的修改或损毁所造成的影响,以及机何维续使用这些数据可能产生的影响.进行数据完整性评估.评估的内容包括但不限于: 数据未经授权蟋改或损毁.可能对国家安全、公众权益个人隐私及
21、企业合法权益造成的损杏,以及损宙的严重程度. 数据未抬授权修改或损毁.可能对其他组织或个人造成的损害,以及损害的严更程度. 数据未经授权修改或损毁,可能对机构职能、公信力造成的损害,以及损H的?EHi程度。 数据未经授权修改或损毁是否违反国家法律法规、行业主管部门有关规定或机构内部管理规定.一一可用性评估:通过评价数据及其经组合/融合后形成的各类数据出现法问或使用中断所造成的彬响,以及机构无法正常使用这些数据可能产生的影响,进行数据可用性评估,评估的内衣包括但不限于: 数据的访问或使用中断.可旎对国家安全、公众权益、个人隐私及企业合法权益造成的损杏,以及损害的严重程度, 数据的访问或使用中断,
22、可施对机构职傕、公信力造成的损害,以及损害的严重程度. 数据的访问或使用中断,可能时其他殂织或个人造成的投书,以及损杏的i3i程度。 数据的访问或使用中断是否违反国家法律法规、行业主管部门有关规定或机构内部管理规定。5.2.2定级要素识别通过嫁合考虑保密性、完整性和可用性的影响评估结果.识别数据安全定级关键要素,即作为最终数据安全级别评定时所使用的主要影响对象及影响程吱,并根据5.3定级规则进行数据安全级别的评定。定级要素识别宜至少满足:因不同数据在安全性(保密性、完整性、可用性方面有不同何而,以所恻Hi的安全性评估结果作为相应数据安全定级的主要依据.数据的保密性、完整性和可用性要求基本一致的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融数据安全 数据安全分级指南 金融 数据 安全 分级 指南
链接地址:https://www.desk33.com/p-1529330.html