《金融業(yè)數(shù)據(jù)分類分級(jí)與保護(hù)應(yīng)用研究》_第1頁(yè)
《金融業(yè)數(shù)據(jù)分類分級(jí)與保護(hù)應(yīng)用研究》_第2頁(yè)
《金融業(yè)數(shù)據(jù)分類分級(jí)與保護(hù)應(yīng)用研究》_第3頁(yè)
《金融業(yè)數(shù)據(jù)分類分級(jí)與保護(hù)應(yīng)用研究》_第4頁(yè)
《金融業(yè)數(shù)據(jù)分類分級(jí)與保護(hù)應(yīng)用研究》_第5頁(yè)
已閱讀5頁(yè),還剩69頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

金融業(yè)數(shù)據(jù)分類分級(jí)與保護(hù)應(yīng)用研究北京金融科技產(chǎn)業(yè)聯(lián)盟202311編制委員會(huì)編委會(huì)成員:何 軍 聶麗琴 高鴻升編寫組成員:沈蓓瑾武利娟華桊興項(xiàng)子林趙 亮馮德亮韓 杰王舒倩梁駿峰成 燕張海燕唐 輝趙春華高強(qiáng)裔李子達(dá)張 澍郭麗穎李建彬鐘 誠(chéng)肖 松羅家鑄劉敬謙郭瑞峰李克鵬陳 明劉 妍陳 聰張艷君楊 波趙 瑩丁克凎陳 豪何穎琪劉 弦康和意編 審:黃本濤 郭 棟 劉龍參編單位:中國(guó)工商銀行股份有限公司平安銀行股份有限公司中國(guó)銀行股份有限公司上海浦東發(fā)展銀行股份有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司藍(lán)象智聯(lián)(杭州)科技有限公司騰訊云計(jì)算(北京)有限責(zé)任公司國(guó)家金融科技測(cè)評(píng)中心深圳壹賬通智能科技有限公司同盾科技有限公司目 錄前言 1一、背景情況 2(一)國(guó)家戰(zhàn)略和頂層規(guī)劃 2(二)立法及金融管理體系 5(三)標(biāo)準(zhǔn)規(guī)范 10二、發(fā)展概況 14(一)數(shù)據(jù)分類分級(jí)發(fā)展概況 14(二)數(shù)據(jù)保護(hù)發(fā)展概況 16三、挑戰(zhàn)與對(duì)策 19(一)海量金融數(shù)據(jù)分類分級(jí)打標(biāo)面臨成本與時(shí)效的挑戰(zhàn)與措施 19(二)數(shù)據(jù)生命周期安全保護(hù)全覆蓋和有效性存在的挑戰(zhàn)與措施 20(三)數(shù)據(jù)分類分級(jí)結(jié)果準(zhǔn)確性的挑戰(zhàn)與措施 22(四)客戶信息敏感數(shù)據(jù)使用的挑戰(zhàn)與措施 23(五)個(gè)人信息敏感數(shù)據(jù)保護(hù)的挑戰(zhàn)與措施 25四、未來展望 27(一)技術(shù)趨勢(shì) 27(二)應(yīng)用趨勢(shì) 29(三)策略聯(lián)動(dòng) 30(四)發(fā)展建議 31附錄A:金融機(jī)構(gòu)數(shù)據(jù)分類分級(jí)與保護(hù)實(shí)踐案例 33案例一:工商銀行數(shù)據(jù)分類分級(jí)實(shí)踐 33案例二:中國(guó)銀行數(shù)據(jù)分類分級(jí)實(shí)踐 36案例三:平安銀行數(shù)據(jù)分類分級(jí)實(shí)踐 41案例四:浦發(fā)銀行數(shù)據(jù)分級(jí)運(yùn)用實(shí)踐場(chǎng)景 47附錄B:科技公司數(shù)據(jù)分類分級(jí)與保護(hù)實(shí)踐案例 50案例一:騰訊數(shù)據(jù)分類分級(jí)實(shí)踐 50案例二:壹賬通在某集團(tuán)數(shù)據(jù)分類分級(jí)的實(shí)踐 52案例三:天融信在某銀行基于敏感數(shù)據(jù)識(shí)別與分類分級(jí)技術(shù)的探索與實(shí)踐 54案例四:天融信在某消費(fèi)金融開展數(shù)據(jù)分類分級(jí)與風(fēng)險(xiǎn)評(píng)估與實(shí)踐 57案例五:藍(lán)象智聯(lián)普惠金融聯(lián)邦定制的風(fēng)險(xiǎn)評(píng)估方案 61案例六:同盾在某大型國(guó)有銀行數(shù)據(jù)安全項(xiàng)目的實(shí)踐 65前言《數(shù)據(jù)安全法》1《個(gè)人信息保護(hù)法》2已正式實(shí)施一年機(jī)構(gòu)在數(shù)據(jù)分類分級(jí)和保護(hù)的工作開展過程中遇到的共性問題及應(yīng)對(duì)策略,未來展望則對(duì)數(shù)據(jù)分類分級(jí)與保護(hù)的技術(shù)單位在金融領(lǐng)域開展數(shù)據(jù)分類分級(jí)與保護(hù)工作落地實(shí)踐案例介紹。該課題選取數(shù)據(jù)分類分級(jí)與保護(hù)這一典型數(shù)據(jù)安全領(lǐng)1《中華人民共和國(guó)數(shù)據(jù)安全法》已由中華人民共和國(guó)第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議于2021年6月10日通過,自2021年9月1日起施行。2《中華人民共和國(guó)個(gè)人信息保護(hù)法》已由中華人民共和國(guó)第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議于2021年8月20日通過,自2021年11月1日起施行。一、背景情況(一)國(guó)家戰(zhàn)略和頂層規(guī)劃范發(fā)展、普惠共享的新階段。國(guó)家關(guān)于金融數(shù)據(jù)發(fā)展整體規(guī)劃自主可控和開放合作的產(chǎn)業(yè)生態(tài),打造數(shù)字經(jīng)濟(jì)發(fā)展新優(yōu)勢(shì),為建設(shè)制造強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)提供有力支撐。主要有以下幾點(diǎn):我國(guó)金融數(shù)據(jù)發(fā)展整體規(guī)劃堅(jiān)持?jǐn)?shù)精度準(zhǔn)、價(jià)值高等特性優(yōu)勢(shì)轉(zhuǎn)化,支撐數(shù)據(jù)要素市場(chǎng)培育,完善數(shù)字經(jīng)濟(jì)治理體系。新業(yè)態(tài)、新模式的不斷涌現(xiàn),安全事件追蹤溯源等能力??茖W(xué)制定實(shí)施數(shù)字化轉(zhuǎn)型戰(zhàn)略。加強(qiáng)頂層設(shè)計(jì)和統(tǒng)籌規(guī)分階段實(shí)施目標(biāo),長(zhǎng)期投入、持續(xù)推進(jìn)。積極發(fā)展產(chǎn)業(yè)數(shù)字金融。積極支持國(guó)家重大區(qū)域戰(zhàn)略、務(wù)。國(guó)家關(guān)于數(shù)據(jù)金融相關(guān)舉措數(shù)字中國(guó)提供有力支撐。加強(qiáng)數(shù)據(jù)“高質(zhì)量”治理。圍繞數(shù)據(jù)全生命周期,通過強(qiáng)調(diào)數(shù)據(jù)“多樣性”處理。提升數(shù)值、文本、圖形圖像、數(shù)據(jù)融合和開發(fā)利用。金融大數(shù)據(jù)“高質(zhì)量”利用。金融大數(shù)據(jù)是通過大數(shù)據(jù)風(fēng)險(xiǎn)識(shí)別、授信評(píng)估等模型,提升基于數(shù)據(jù)驅(qū)動(dòng)的風(fēng)險(xiǎn)管理能力。深化數(shù)字技術(shù)金融應(yīng)用。健全安全與效率并重的科技成打通科技成果轉(zhuǎn)化“最后一公里”。健全安全高效的金融科技創(chuàng)新體系。搭建業(yè)務(wù)、技術(shù)、數(shù)據(jù)融合聯(lián)動(dòng)的一體化運(yùn)營(yíng)中臺(tái),建立智能化風(fēng)控機(jī)制,全面激活數(shù)字化經(jīng)營(yíng)新動(dòng)能。(二)立法及金融管理體系數(shù)據(jù)作為一種新型生產(chǎn)要素,其流動(dòng)為科技產(chǎn)業(yè)、社會(huì)經(jīng)濟(jì)發(fā)展帶來了巨大的動(dòng)能與創(chuàng)新。同時(shí)數(shù)據(jù)安全也面臨著前所未有的挑戰(zhàn)。近年來,全球數(shù)據(jù)泄露事件層出不窮,致使公眾深受個(gè)人隱私曝光與騷擾詐騙的困擾,相關(guān)企業(yè)面臨資產(chǎn)與聲譽(yù)的重大損失,甚至危害到社會(huì)穩(wěn)定與國(guó)家安全。數(shù)據(jù)保護(hù)成為世界各國(guó)的共同需求,各國(guó)對(duì)此高度重視,紛紛通過立法保障數(shù)據(jù)安全,開展數(shù)據(jù)治理,維護(hù)國(guó)家、社會(huì)與個(gè)人權(quán)益。國(guó)際數(shù)據(jù)保護(hù)相關(guān)立法息保護(hù),相繼發(fā)布了一系列相關(guān)法律。2016據(jù)保護(hù)條例》3(以下簡(jiǎn)稱GDPR),其為個(gè)人數(shù)據(jù)創(chuàng)造了一3《通用數(shù)據(jù)保護(hù)條例》是在歐盟法律中對(duì)所有歐盟個(gè)人關(guān)于數(shù)據(jù)保護(hù)和隱私的規(guī)范,涉及了歐洲境外的個(gè)人數(shù)據(jù)出口。在2018年5月25日強(qiáng)制執(zhí)行。人數(shù)據(jù)保護(hù)法,如德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》、法國(guó)《個(gè)人數(shù)據(jù)保護(hù)法》等。討論稿(云法案)等,各州立法如《加州消費(fèi)者隱私法案》《科羅拉多州隱私法案》等。1998濟(jì)時(shí)代的個(gè)人數(shù)據(jù)保護(hù),2018年發(fā)布了新的《數(shù)據(jù)保護(hù)法2018202“143號(hào)法案”),是對(duì)英國(guó)現(xiàn)有多個(gè)法案的改革。日本于20032021520202018我國(guó)數(shù)據(jù)保護(hù)立法體系保護(hù)立法取得突飛猛進(jìn)的進(jìn)展。42022年6月3日,美國(guó)眾議院和參議院發(fā)布了《美國(guó)數(shù)據(jù)隱私和保護(hù)法案》討論稿,這是首個(gè)獲得兩黨兩院支持的全面的聯(lián)邦隱私立法草案,內(nèi)容涉及國(guó)會(huì)近20年來隱私辯論的方方面面。52022年7月8號(hào),英國(guó)下議院提交《數(shù)據(jù)保護(hù)和數(shù)字信息法案》,法案對(duì)數(shù)據(jù)保護(hù)框架進(jìn)行了更新,使其更利于保護(hù)國(guó)家利益,保護(hù)公民權(quán)益。6《中華人民共和國(guó)網(wǎng)絡(luò)安全法》已由中華人民共和國(guó)第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議于2016年11月7日通過,自2017年6月1日起施行。1基礎(chǔ)性法律文件。表1我國(guó)數(shù)據(jù)保護(hù)相關(guān)基礎(chǔ)性法律發(fā)布時(shí)間文件名稱相關(guān)內(nèi)容1991年首次發(fā)布《未成年人保護(hù)法》未成年人個(gè)人信息保護(hù)2015年7月《國(guó)家安全法》重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)保護(hù)2016年11月《網(wǎng)絡(luò)安全法》網(wǎng)絡(luò)數(shù)據(jù)安全及個(gè)人信息保護(hù)2020年5月《民法典》2021年6月《數(shù)據(jù)安全法》數(shù)據(jù)安全保護(hù)2021年8月《個(gè)人信息保護(hù)法》個(gè)人信息保護(hù)2。表2我國(guó)數(shù)據(jù)保護(hù)相關(guān)法規(guī)規(guī)章發(fā)布機(jī)構(gòu)發(fā)布時(shí)間文件名稱相關(guān)內(nèi)容國(guó)務(wù)院2018年3月《科學(xué)數(shù)據(jù)管理辦法》科學(xué)數(shù)據(jù)安全保護(hù)2021年7月《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)2018年12月《金融信息服務(wù)管國(guó)家互聯(lián)網(wǎng)信息辦公室理規(guī)定》保護(hù)2019年5月《數(shù)據(jù)安全管理辦法(征求意見稿)在境內(nèi)利用網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng)以及數(shù)據(jù)安全的保護(hù)與監(jiān)督管理20204布,202112發(fā)布修訂版《網(wǎng)絡(luò)安全審查辦法》網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開展數(shù)據(jù)處理活動(dòng)的安全審查2021年8月《汽車數(shù)據(jù)安全管(試行》汽車數(shù)據(jù)安全保護(hù)與合理開發(fā)利用2021年11月《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》安全、數(shù)據(jù)跨境安全2022年7月《數(shù)據(jù)出境安全評(píng)估辦法》出境安全評(píng)估工業(yè)和信息化部2022年12月《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全分類分級(jí)保護(hù)證監(jiān)會(huì)2023年3月《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的實(shí)施標(biāo)志著我國(guó)數(shù)據(jù)保護(hù)的基本法律框架已搭建完成。在此基礎(chǔ)上,金融、互聯(lián)網(wǎng)、工信、汽車等行業(yè)的數(shù)據(jù)政策接連發(fā)布。同時(shí),各地區(qū)也在持續(xù)推進(jìn)相關(guān)立法工作。我國(guó)數(shù)據(jù)保護(hù)立法體系日趨完善。金融數(shù)據(jù)安全管理體系目前,我國(guó)尚未制定專門的金融數(shù)據(jù)管理相關(guān)法律法3表3我國(guó)金融數(shù)據(jù)安全管理政策發(fā)布機(jī)構(gòu)發(fā)布時(shí)間文件名稱相關(guān)內(nèi)容中國(guó)人民銀行2011年5月《中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》做好個(gè)人金融信息收集、使用、對(duì)外提供等安全保護(hù)。2015年7月《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》保護(hù)客戶資料和交易信息安全,不得非法買賣、泄露客戶個(gè)人信息。2020年9月《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》保障消費(fèi)者信息安全權(quán)等權(quán)利,規(guī)制金融機(jī)構(gòu)信息收集處理行為。2021年9月《征信業(yè)務(wù)管理辦法》保護(hù)信息主體合法權(quán)益,保障信息安全,防范信息安全風(fēng)險(xiǎn)2021年12月《金融科技發(fā)展規(guī)劃(2022-2025年)》周期安全管理長(zhǎng)效機(jī)制和防護(hù)措施。原銀保監(jiān)會(huì)2018年5月《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》戶隱私,劃分?jǐn)?shù)據(jù)安全等期審計(jì)數(shù)據(jù)安全。2020年9月《關(guān)于規(guī)范保險(xiǎn)公司健康管理服務(wù)的通知》和信息安全。2021年12月《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》保障信息科技外包時(shí)的信息安全,加強(qiáng)重要數(shù)據(jù)和個(gè)人信息保護(hù)。2022年12月《銀行保險(xiǎn)機(jī)構(gòu)消費(fèi)者權(quán)益保護(hù)管理辦法》建立消費(fèi)者個(gè)人信息保護(hù)機(jī)制,對(duì)消費(fèi)者個(gè)人信息實(shí)施全流程分級(jí)分類管控。2012年8《證券期貨業(yè)信息安全開展信息安全工作,保護(hù)投月保障管理辦法》資者交易安全和數(shù)據(jù)安全。2022年4《證券期貨業(yè)網(wǎng)絡(luò)安全按規(guī)定履行數(shù)據(jù)安全管理月(征求意見稿責(zé)任,采取技術(shù)手段保障數(shù)據(jù)安全,處理重要數(shù)據(jù)、核證監(jiān)會(huì)心數(shù)據(jù)應(yīng)明確負(fù)責(zé)人并指定管理機(jī)構(gòu)。2022年4《關(guān)于加強(qiáng)在境外發(fā)行加強(qiáng)境內(nèi)企業(yè)境外上市相月證券與上市相關(guān)保密和關(guān)保密和檔案管理工作,明檔案管理工作的規(guī)定》修確上市公司信息安全責(zé)任,訂維護(hù)國(guó)家信息安全,妥善管理涉密和敏感信息。隨著我國(guó)數(shù)據(jù)安全與個(gè)人信息保護(hù)相關(guān)法律法規(guī)的出臺(tái)以及行業(yè)主管部門各項(xiàng)金融數(shù)據(jù)政策的發(fā)布,金融數(shù)據(jù)安(三)標(biāo)準(zhǔn)規(guī)范(GB/T息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》(39335-2020)、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(JR/T0171-2020)(JR/T0197-2020)(JR/T0223-2021)等,相關(guān)領(lǐng)域還有多項(xiàng)處于研制階段的國(guó)家與行業(yè)標(biāo)準(zhǔn),如《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)要(征求意見稿(征求意見稿)》以及《金融數(shù)據(jù)安全數(shù)據(jù)安全評(píng)估規(guī)范(征求意見稿)4表4國(guó)家、金融行業(yè)數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)名稱發(fā)布時(shí)間發(fā)布機(jī)構(gòu)重點(diǎn)內(nèi)容1《信息安全技術(shù)個(gè)人信息安全規(guī)范》20203月國(guó)家市場(chǎng)監(jiān)督管理總局;國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)規(guī)范中要求各類處理個(gè)人信息的組織與個(gè)人信息控制者,在個(gè)人信息收集、儲(chǔ)存、使用作出了明確規(guī)定,在各個(gè)信息處理環(huán)節(jié)明確了個(gè)人信息處理需權(quán)責(zé)一致、目的明確、選擇同一、最小必要、公開透明、確保安全、主體參與的要求。2《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》2020 年11月國(guó)家市場(chǎng)監(jiān)督管理總局;國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)指南給出了個(gè)人信息安全影響評(píng)估的布策略等維度提出評(píng)估實(shí)施的流程指導(dǎo)。3《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》20202月中國(guó)人民銀行規(guī)范規(guī)定了個(gè)人金融信息在收集、傳術(shù)和安全管理兩方面對(duì)個(gè)人金融信息保護(hù)提出規(guī)范性要求。4《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指20209月中國(guó)人民銀行序號(hào)標(biāo)準(zhǔn)名稱發(fā)布時(shí)間發(fā)布機(jī)構(gòu)重點(diǎn)內(nèi)容南》則和定級(jí)過程指導(dǎo)金融機(jī)構(gòu)開展電子數(shù)據(jù)安全分級(jí)工作。5《金融數(shù)據(jù)安全20214中國(guó)人民規(guī)范規(guī)定了金融數(shù)據(jù)生命周期安全原數(shù)據(jù)生命周期安月銀行則、防護(hù)要求、組織保障要求以及信息全規(guī)范》系統(tǒng)運(yùn)維保障要求,建立覆蓋數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、刪除及銷毀過程的安全框架,并針對(duì)不同安全級(jí)別的數(shù)據(jù),明確其在數(shù)據(jù)生命周期各個(gè)環(huán)節(jié)的安全防護(hù)要求,是金融業(yè)機(jī)構(gòu)開展數(shù)據(jù)安全防護(hù)工作的基本依據(jù)。6《信息安全技術(shù)20229國(guó)家市場(chǎng)文件給出了網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)的原則、網(wǎng)絡(luò)數(shù)據(jù)分類分月監(jiān)督管理框架和方法,并適用于指導(dǎo)數(shù)據(jù)處理者級(jí)要求(征求意總局;國(guó)家開展數(shù)據(jù)分類分級(jí)工作,也可為主管部見稿)》標(biāo)準(zhǔn)化管門進(jìn)行數(shù)據(jù)分類分級(jí)管理提供參考。理委員會(huì)7《信息安全技術(shù)尚未發(fā)國(guó)家市場(chǎng)指南為重要數(shù)據(jù)安全保護(hù)提供支撐,幫重要數(shù)據(jù)識(shí)別指布監(jiān)督管理助數(shù)據(jù)處理者識(shí)別其掌握的重要數(shù)據(jù),南(征求意見總局;國(guó)家并對(duì)重要數(shù)據(jù)識(shí)別基本原則、識(shí)別因稿)》標(biāo)準(zhǔn)化管素,以及描述格式提出要求。理委員會(huì)8《金融數(shù)據(jù)安全尚未發(fā)中國(guó)人民規(guī)范規(guī)定了金融數(shù)據(jù)安全評(píng)估觸發(fā)條數(shù)據(jù)安全評(píng)估規(guī)布銀行范(征求意見明確了數(shù)據(jù)安全管理、保護(hù)、運(yùn)維三個(gè)稿)》主要評(píng)估域及其安全評(píng)估主要內(nèi)容和方法。各項(xiàng)技術(shù)標(biāo)準(zhǔn)中對(duì)金融數(shù)據(jù)分類分級(jí)與保護(hù)提出了較為相似的原則性要求,一是合法合規(guī)性原則,金融機(jī)構(gòu)需滿金融業(yè)機(jī)構(gòu)在經(jīng)營(yíng)過程中產(chǎn)生和收集的金融數(shù)據(jù)主要安全防護(hù)水平,確保金融數(shù)據(jù)的安全應(yīng)用。二、發(fā)展概況(一)數(shù)據(jù)分類分級(jí)發(fā)展概況數(shù)據(jù)分類分級(jí)的起因隨著信息技術(shù)的飛速發(fā)展,2090龐大體量的數(shù)據(jù)中蘊(yùn)含的商業(yè)價(jià)值或可為企業(yè)帶來可觀的近年來,全球經(jīng)濟(jì)數(shù)字化發(fā)展力度持續(xù)加強(qiáng),以大數(shù)據(jù)、業(yè)或行業(yè)之間共享數(shù)據(jù)資源以及提升國(guó)家數(shù)據(jù)安全保護(hù)能力。國(guó)家層面對(duì)數(shù)據(jù)安全的高度重視,可以追溯到1994年2008息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008),數(shù)據(jù)分類分級(jí)的方法4。對(duì)于金融行業(yè)的數(shù)據(jù)分類分級(jí),2011年原中國(guó)銀保監(jiān)會(huì)202097《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》是為了保護(hù)計(jì)算機(jī)系統(tǒng)的安全,促進(jìn)計(jì)算機(jī)的應(yīng)用和發(fā)展,保障社會(huì)主義現(xiàn)代化建設(shè)的順利進(jìn)行而制定的法規(guī)。數(shù)據(jù)分類分級(jí)的落地對(duì)標(biāo),工作量大,誤差較高,效率較低。(二)數(shù)據(jù)保護(hù)發(fā)展概況傳統(tǒng)安全保護(hù)的發(fā)展2000免本地?cái)?shù)據(jù)泄露成為那時(shí)的技術(shù)焦點(diǎn)。2005全防護(hù)。2008逐漸著眼于移動(dòng)存儲(chǔ)設(shè)備帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn)。2012IT據(jù)安全帶來新的安全風(fēng)險(xiǎn)。數(shù)字時(shí)代下的數(shù)據(jù)保護(hù)隨著以大數(shù)據(jù)、人工智能等為代表的數(shù)字技術(shù)的大規(guī)模應(yīng)用,我們由信息時(shí)代進(jìn)入數(shù)字時(shí)代。數(shù)字化的本質(zhì)是以信息技術(shù)為驅(qū)動(dòng),通過對(duì)數(shù)據(jù)的采集、分析、應(yīng)用,實(shí)現(xiàn)業(yè)務(wù)模式和管理模式的提升或根本性變革,有效提高組織機(jī)構(gòu)的價(jià)值創(chuàng)造能力和運(yùn)行效率。但是,隨著數(shù)據(jù)的快速流動(dòng)、大規(guī)模應(yīng)用,數(shù)據(jù)泄露、濫用、誤用等風(fēng)險(xiǎn)也在大幅度增加。如何在利用數(shù)據(jù)創(chuàng)造價(jià)值的同時(shí),對(duì)數(shù)據(jù)進(jìn)行有效保護(hù)成為我們必須面對(duì)的問題。數(shù)字時(shí)代下的數(shù)據(jù)保護(hù)特點(diǎn),可以概括為以下三個(gè)方面:一、從合規(guī)走向合法。近幾年,國(guó)家密集出臺(tái)了數(shù)據(jù)安刪除銷毀的全生命周期動(dòng)態(tài)保護(hù)。三、數(shù)據(jù)融合技術(shù)創(chuàng)新。在統(tǒng)籌發(fā)展與安全的大背景的同時(shí),保障各參與方的權(quán)益。三、挑戰(zhàn)與對(duì)策(一)海量金融數(shù)據(jù)分類分級(jí)打標(biāo)面臨成本與時(shí)效的挑戰(zhàn)與措施挑戰(zhàn)海量的金融數(shù)據(jù)實(shí)施分類分級(jí)打標(biāo)面臨成本與時(shí)效的巨大應(yīng)對(duì)措施商已研發(fā)出相對(duì)成熟的系統(tǒng)層面字段發(fā)現(xiàn)分級(jí)打標(biāo)工具。Netwrix國(guó)內(nèi)部分廠商也具備相關(guān)產(chǎn)品服務(wù)能力。主要圍繞系統(tǒng)層面對(duì)接,發(fā)現(xiàn)數(shù)據(jù)資產(chǎn),內(nèi)嵌多種監(jiān)管分級(jí)標(biāo)準(zhǔn)并結(jié)合企業(yè)自身分級(jí)要求,使用正則表達(dá)式、關(guān)鍵字等自動(dòng)化分類分級(jí),形成數(shù)據(jù)分類分級(jí)結(jié)果表,實(shí)現(xiàn)數(shù)據(jù)敏感度可視化及風(fēng)險(xiǎn)監(jiān)測(cè)等后續(xù)應(yīng)用。另外,部分金融機(jī)構(gòu)借助自身研發(fā)能力,結(jié)合自身數(shù)據(jù)安全分類分級(jí)策略,研發(fā)數(shù)據(jù)分類分級(jí)打標(biāo)和服務(wù)平臺(tái),充分利用本單位數(shù)據(jù)治理成果,采用正則表達(dá)式、模式匹配、機(jī)器學(xué)習(xí)算法等技術(shù),實(shí)現(xiàn)海量數(shù)據(jù)的自動(dòng)化分類分級(jí)打標(biāo),并向數(shù)據(jù)生命周期安全保護(hù)提供打標(biāo)結(jié)果服務(wù)。在打標(biāo)模式上,可以采取自下而上和自上而下的雙向打的專業(yè)能力。(二)數(shù)據(jù)生命周期安全保護(hù)全覆蓋和有效性存在的挑戰(zhàn)與措施挑戰(zhàn)的方式。應(yīng)對(duì)措施次通過開展分類分級(jí),明確金融機(jī)構(gòu)自身數(shù)據(jù)的類別和級(jí)別;再結(jié)合金融機(jī)構(gòu)自身的保護(hù)要求和《金融數(shù)據(jù)安全數(shù)策略通過部署的安全保護(hù)設(shè)備以及各類應(yīng)用系統(tǒng)中實(shí)現(xiàn)真進(jìn)行PDCA8地循環(huán),來保證數(shù)據(jù)分類分級(jí)保護(hù)策略持續(xù)有效且能夠真正落地執(zhí)行。8PDCA:Plan(計(jì)劃)、Do(執(zhí)行)、Check(檢查)和Action(處理)的第一個(gè)字母,PDCA循環(huán)就是按照這樣的順序進(jìn)行質(zhì)量管理,并且循環(huán)不止地進(jìn)行下去的科學(xué)程序。而確保企業(yè)數(shù)據(jù)安全保護(hù)措施的一致性和有效性。(三)數(shù)據(jù)分類分級(jí)結(jié)果準(zhǔn)確性的挑戰(zhàn)與措施挑戰(zhàn)近些年來,伴隨著全球數(shù)字經(jīng)濟(jì)的高速發(fā)展,金融行業(yè)級(jí)結(jié)果的管控措施。應(yīng)對(duì)措施首先,通過人工+技術(shù)工具的形式開展數(shù)據(jù)資產(chǎn)梳理工分級(jí)的持續(xù)性。再次,通過采用主被動(dòng)結(jié)合的多樣化信息采集方式,全主動(dòng)探測(cè)是通過目標(biāo)網(wǎng)絡(luò)內(nèi)的一個(gè)節(jié)點(diǎn)進(jìn)行探測(cè)數(shù)據(jù)包的收發(fā)和響應(yīng)分析實(shí)現(xiàn),相比于傳統(tǒng)人工統(tǒng)計(jì)方法便捷且高效;被動(dòng)探測(cè)通過采集目標(biāo)網(wǎng)絡(luò)的流量,對(duì)流量中應(yīng)用層HTTP、FTP、SMTP針對(duì)數(shù)據(jù)分類維度不清晰問題,可以在對(duì)數(shù)據(jù)進(jìn)行分類時(shí),除了參照金融行業(yè)《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》中對(duì)數(shù)據(jù)分類的建議外,充分梳理、摸清數(shù)據(jù)使用場(chǎng)景等。在標(biāo)準(zhǔn)分類建議的基礎(chǔ)上,細(xì)化出適合自身的數(shù)據(jù)類別。(四)客戶信息敏感數(shù)據(jù)使用的挑戰(zhàn)與措施挑戰(zhàn)客戶信息包括用戶身份和鑒別信息、用戶數(shù)據(jù)及服務(wù)內(nèi)容信息、用戶服務(wù)相關(guān)信息等三大類。而在這三類信息中,又包含了身份標(biāo)識(shí)、基本資料、鑒別信息、使用數(shù)據(jù)、消費(fèi)信息等諸多不同類型的數(shù)據(jù)。這就導(dǎo)致在實(shí)際工作落地中,金融融合業(yè)務(wù)往往很難進(jìn)行全量的識(shí)別,致使對(duì)這些客戶信息進(jìn)行管理時(shí),無法進(jìn)行全部監(jiān)控,因而不能在第一時(shí)間發(fā)現(xiàn)風(fēng)險(xiǎn)。當(dāng)前網(wǎng)絡(luò)中都應(yīng)用了加密等先進(jìn)技術(shù),一定程度上加強(qiáng)了客戶敏感信息的管理,但這種單一的方式,往往還存在一些漏洞,使敏感信息依然存在安全隱患。應(yīng)對(duì)措施隱私計(jì)算是面向隱私信息全生命周期保護(hù)的計(jì)算理論和方法,是隱私信息的持有權(quán)、加工使用權(quán)、運(yùn)營(yíng)權(quán)分離時(shí)隱私度量、隱私泄漏代價(jià)、隱私保護(hù)與隱私分析復(fù)雜性的可計(jì)算模型與公理化系統(tǒng)。隱私計(jì)算本質(zhì)上是一種由兩個(gè)或多個(gè)參與方聯(lián)合計(jì)算的技術(shù)和系統(tǒng),參與方在不泄露各自數(shù)據(jù)的前提下通過協(xié)作對(duì)他們的數(shù)據(jù)進(jìn)行聯(lián)合機(jī)器學(xué)習(xí)和建模,安全地實(shí)現(xiàn)多源數(shù)據(jù)的跨域合作,破解數(shù)據(jù)保護(hù)與融合應(yīng)用的難題。隱私計(jì)算不是單一的技術(shù),而是綜合應(yīng)用了大數(shù)據(jù)、人工智能、區(qū)塊鏈、密碼學(xué)等多領(lǐng)域技術(shù),達(dá)到信息隱私保護(hù)的目的。基于密碼學(xué)的隱私計(jì)算方法能夠?qū)崿F(xiàn)金融業(yè)數(shù)據(jù)要素流全流動(dòng)問題。(五)個(gè)人信息敏感數(shù)據(jù)保護(hù)的挑戰(zhàn)與措施挑戰(zhàn)在數(shù)據(jù)安全被國(guó)家政府、金融管理部門、行業(yè)組織頻繁提及的背景下,金融業(yè)已成為社會(huì)的重點(diǎn)關(guān)注對(duì)象。在我國(guó)經(jīng)濟(jì)市場(chǎng)中,金融行業(yè)與全國(guó)人民的日常生活息息相關(guān)。大量的金融活動(dòng)也產(chǎn)生了大量的個(gè)人信息數(shù)據(jù),主要包括個(gè)人客戶信息、對(duì)公客戶的員工信息等等。這些數(shù)據(jù)真實(shí)度高,覆蓋面廣,實(shí)時(shí)性強(qiáng),價(jià)值高。這也導(dǎo)致境內(nèi)外不法分子想要利用金融企業(yè)數(shù)據(jù)安全保護(hù)漏洞,非法獲取這些數(shù)據(jù)。因此,金融業(yè)個(gè)人信息數(shù)據(jù)的保護(hù)是每一家金融企業(yè)的重中之重。如何滿足監(jiān)管要求,如何在共享使用個(gè)人數(shù)據(jù)的同時(shí)做好保護(hù)工作,如何在企業(yè)內(nèi)部冗長(zhǎng)的數(shù)據(jù)加工鏈路中落實(shí)法律法規(guī)要求,是所有金融企業(yè)面臨的重要挑戰(zhàn)。應(yīng)對(duì)措施其次,需要制定相應(yīng)的規(guī)章制度,建立健全多階個(gè)人信責(zé)清晰,各司其職。再次,建立應(yīng)急響應(yīng)措施,制定相應(yīng)的多級(jí)應(yīng)急事件處最后,鼓勵(lì)數(shù)據(jù)安全保護(hù)創(chuàng)新文化。對(duì)員工定期開展數(shù)據(jù)安全宣導(dǎo),鼓勵(lì)數(shù)據(jù)安全保護(hù)機(jī)制、手段、技術(shù)的創(chuàng)新,建立企業(yè)內(nèi)部個(gè)人數(shù)據(jù)安全保護(hù)文化。例如,建立“吹哨人獎(jiǎng)勵(lì)機(jī)制”,給予發(fā)現(xiàn)內(nèi)部個(gè)人信息保護(hù)方面重大漏洞并及時(shí)上報(bào)者,進(jìn)行企業(yè)內(nèi)部獎(jiǎng)勵(lì)。四、未來展望(一)技術(shù)趨勢(shì)數(shù)據(jù)安全標(biāo)簽挖掘建模。數(shù)據(jù)標(biāo)簽依賴數(shù)據(jù)標(biāo)注師對(duì)原始采集的數(shù)據(jù)進(jìn)行分類自動(dòng)化分類分級(jí)工具平臺(tái)雖然當(dāng)前無論從國(guó)家層面還是金融行業(yè)自身層面都提出了分類分級(jí)相關(guān)指導(dǎo)建議,但是在金融行業(yè)開展分類分級(jí)當(dāng)前金融行業(yè)業(yè)務(wù)發(fā)展迅速所帶來的系統(tǒng)眾多,數(shù)據(jù)量龐大,單純依靠人工去進(jìn)行數(shù)據(jù)資產(chǎn)的梳理以及分類、定級(jí),然而,目前的技術(shù)手段較多的是對(duì)單個(gè)數(shù)據(jù)項(xiàng)進(jìn)行分類規(guī)則,結(jié)合金融行業(yè)的數(shù)據(jù)特征庫(kù),以主動(dòng)掃描為主、人工手動(dòng)配置為輔的方式,實(shí)現(xiàn)數(shù)據(jù)的自動(dòng)化分類分級(jí)。同時(shí),利用機(jī)器學(xué)習(xí)建立知識(shí)算法,對(duì)業(yè)務(wù)進(jìn)行識(shí)別、分析,并通過不斷學(xué)習(xí)來調(diào)整模型參數(shù),通過往復(fù)地循環(huán),解決在業(yè)務(wù)開展過程中持續(xù)產(chǎn)生、流轉(zhuǎn)、加工的數(shù)據(jù),實(shí)現(xiàn)自動(dòng)化的數(shù)據(jù)分類分級(jí)。(二)應(yīng)用趨勢(shì)的分類分級(jí)將有助于機(jī)構(gòu)間數(shù)據(jù)共享及不同行業(yè)間數(shù)據(jù)互當(dāng)前金融業(yè)數(shù)據(jù)的分類分級(jí)范圍大多集中在網(wǎng)絡(luò)數(shù)據(jù),數(shù)據(jù)特別是機(jī)構(gòu)內(nèi)外部融合后新產(chǎn)生的數(shù)據(jù)在分類分級(jí)開展中仍需更多地關(guān)注。(三)策略聯(lián)動(dòng)數(shù)據(jù)分類分級(jí)是數(shù)據(jù)安全治理體系建設(shè)的重要前提。數(shù)據(jù)分類分級(jí)最大的意義也是為了實(shí)現(xiàn)后續(xù)的精細(xì)化、差異化安全防護(hù)策略的落地。就金融行業(yè)而言,在已分類分級(jí)的基礎(chǔ)上,目前數(shù)據(jù)的保護(hù)策略主要按照數(shù)據(jù)的全生命周期開展,在采集、傳輸、存儲(chǔ)、使用、銷毀等環(huán)節(jié)上從數(shù)據(jù)類別和敏感級(jí)別的角度制定相應(yīng)的保護(hù)措施和安全規(guī)范。中國(guó)人民銀行近年發(fā)布了《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》和《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》,其中數(shù)據(jù)保護(hù)策略是基于《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》的分類分級(jí)標(biāo)準(zhǔn)和個(gè)人金融信息類別,為數(shù)據(jù)安全保護(hù)提供了基于分類分級(jí)的策略基礎(chǔ)。隨著信息技術(shù)的日新月異,數(shù)據(jù)保護(hù)策略的范圍有著極雙管齊下——管理和技術(shù)。管理層面根據(jù)分級(jí)結(jié)果制定策保持分類分級(jí)和策略的強(qiáng)聯(lián)動(dòng)。策略的聯(lián)動(dòng)不只是與其他數(shù)據(jù)安全防護(hù)設(shè)備之間的聯(lián)方聯(lián)動(dòng)和閉環(huán)管理,從而實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)的真正價(jià)值。(四)發(fā)展建議建立健全數(shù)據(jù)治理體系隨著數(shù)據(jù)安全領(lǐng)域法律體系的逐漸完善,金融機(jī)構(gòu)作為數(shù)據(jù)擁有方,在數(shù)據(jù)保護(hù)方面面臨全方位的挑戰(zhàn)應(yīng)建立健全治理體系。一是從組織架構(gòu)層面,金融機(jī)構(gòu)需要設(shè)置數(shù)據(jù)保護(hù)負(fù)責(zé)人和管理機(jī)構(gòu),并在資金投入方面提供充足的支撐。同時(shí)二是,機(jī)構(gòu)內(nèi)部需要建立數(shù)據(jù)保護(hù)與合規(guī)管理制度保障數(shù)據(jù)保護(hù)活動(dòng)順利和有效執(zhí)行。三是配合管理制度的制定與落地,機(jī)構(gòu)還應(yīng)制定數(shù)據(jù)保護(hù)培訓(xùn)教育制度以及數(shù)據(jù)保護(hù)監(jiān)測(cè)制度等事前防范保障。四是數(shù)據(jù)保護(hù)在機(jī)構(gòu)中的執(zhí)行效果應(yīng)通過數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)評(píng)估制度、數(shù)據(jù)合規(guī)審計(jì)制度的編制和定期執(zhí)行,持續(xù)保證數(shù)據(jù)保護(hù)活動(dòng)執(zhí)行的優(yōu)化和提升。分場(chǎng)景開展數(shù)據(jù)保護(hù)金融業(yè)數(shù)據(jù)的運(yùn)用場(chǎng)景紛繁復(fù)雜,包括業(yè)務(wù)場(chǎng)景、開發(fā)測(cè)試場(chǎng)景、運(yùn)維場(chǎng)景、內(nèi)部分析場(chǎng)景等。在不同場(chǎng)景下,數(shù)據(jù)具有不同的業(yè)務(wù)價(jià)值,將面臨不同的安全問題,數(shù)據(jù)安全保障需要配置相應(yīng)的安全策略和技術(shù)措施。無論何種場(chǎng)景,訪問數(shù)據(jù)的必要性和安全性是首要面臨的問題,根據(jù)角色授權(quán)的權(quán)限管控是必不可少的手段。在此基礎(chǔ)上的角色分配管理依據(jù),則需要企業(yè)機(jī)構(gòu)在數(shù)據(jù)治理和運(yùn)用中找出解決場(chǎng)景化數(shù)據(jù)安全保護(hù)的體系化措施,從而兼顧成本安全和效能。加強(qiáng)數(shù)據(jù)溯源對(duì)于數(shù)據(jù)保護(hù)而言,除了做好事前分析、預(yù)防和事中的安全防護(hù)以外,在未來,還應(yīng)構(gòu)建一個(gè)完善的、覆蓋完整的數(shù)據(jù)處理過程的動(dòng)態(tài)數(shù)據(jù)溯源技術(shù)機(jī)制。通過對(duì)數(shù)據(jù)處理過程的數(shù)據(jù)流轉(zhuǎn)路徑進(jìn)行還原、對(duì)數(shù)據(jù)流轉(zhuǎn)各階段數(shù)據(jù)處理行為進(jìn)行溯源以及數(shù)據(jù)血緣分析技術(shù)能力,實(shí)現(xiàn)數(shù)據(jù)流動(dòng)全路徑的監(jiān)測(cè),并將數(shù)據(jù)溯源能力逐步覆蓋金融機(jī)構(gòu)主流業(yè)務(wù)場(chǎng)景,同時(shí)以可視化的方式呈現(xiàn)數(shù)據(jù)流動(dòng)全路徑和操作行為。通過動(dòng)態(tài)數(shù)據(jù)溯源能力與數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)、數(shù)據(jù)安全檢測(cè)驗(yàn)證等能力相結(jié)合,全面地增強(qiáng)金融機(jī)構(gòu)對(duì)抗數(shù)據(jù)安全風(fēng)險(xiǎn)的能力,保障金融機(jī)構(gòu)數(shù)據(jù)全生命周期安全。附錄A:金融機(jī)構(gòu)數(shù)據(jù)分類分級(jí)與保護(hù)實(shí)踐案例案例一:工商銀行數(shù)據(jù)分類分級(jí)實(shí)踐背景與目標(biāo)級(jí)保護(hù)的要求,同時(shí)人行發(fā)布的《金融數(shù)據(jù)安全數(shù)據(jù)安全積極響應(yīng)國(guó)家及金融行業(yè)要求,開展數(shù)據(jù)安全分類分級(jí)工實(shí)踐內(nèi)容及路徑標(biāo)準(zhǔn)先行,明確分類分級(jí)的標(biāo)尺工商銀行參考《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》和在數(shù)據(jù)分類方面四級(jí)子類是基于上級(jí)子類的數(shù)據(jù)進(jìn)行細(xì)分。在數(shù)據(jù)分級(jí)方面,遵循合法合規(guī)性、可執(zhí)行性、時(shí)效性、54321相關(guān)數(shù)據(jù),在數(shù)據(jù)安全定級(jí)過程中從高考慮。厘清流程,有序推進(jìn)分類分級(jí)工作標(biāo)準(zhǔn)二是科技業(yè)務(wù)雙復(fù)核三是三階段協(xié)同1圖1數(shù)據(jù)安全分類分級(jí)實(shí)施流程技術(shù)支撐,實(shí)現(xiàn)自動(dòng)化數(shù)據(jù)分類分級(jí)二是依托企業(yè)級(jí)數(shù)據(jù)治審批管理、共享知識(shí)庫(kù)四個(gè)方面全面提升數(shù)據(jù)安全治理水平,從安全管理制度的制定、實(shí)施、管理、共享四個(gè)角度指導(dǎo)行內(nèi)數(shù)據(jù)安全防護(hù)工作。實(shí)踐效果和價(jià)值當(dāng)前已完成數(shù)據(jù)湖內(nèi)部分應(yīng)用的打標(biāo)試點(diǎn)工作。在實(shí)際分類分級(jí)的過程中,持續(xù)完善數(shù)據(jù)安全分級(jí)分類相關(guān)制度,明確數(shù)據(jù)分類分級(jí)的日常管理流程和操作規(guī)程,以及分級(jí)分類結(jié)果的確定、評(píng)審、批準(zhǔn)、發(fā)布和變更機(jī)制。案例二:中國(guó)銀行數(shù)據(jù)分類分級(jí)實(shí)踐背景與目標(biāo)分類分級(jí)背景金融業(yè)機(jī)構(gòu)生產(chǎn)運(yùn)行過程中產(chǎn)生的信息也逐步以不同形式機(jī)制和技術(shù)措施,保障數(shù)據(jù)的保密性、完整性和可用性,避免數(shù)據(jù)被未授權(quán)訪問、破壞、篡改、泄漏或丟失等。分類分級(jí)目標(biāo)建立統(tǒng)一、完善的數(shù)據(jù)安全分級(jí)體系,對(duì)數(shù)字資產(chǎn)確立適當(dāng)?shù)臄?shù)據(jù)安全級(jí)別,為建立數(shù)據(jù)安全管理措施提供基礎(chǔ),以符合法律要求、滿足行業(yè)標(biāo)準(zhǔn)規(guī)范。依托數(shù)據(jù)字典的安全分類級(jí)別,明確數(shù)據(jù)保護(hù)對(duì)象,并對(duì)數(shù)據(jù)保護(hù)對(duì)象確立適當(dāng)?shù)臄?shù)據(jù)安全級(jí)別,更精細(xì)地控制數(shù)據(jù)訪問的過程。實(shí)踐內(nèi)容及路徑方案實(shí)踐內(nèi)容組織建設(shè)成立總行數(shù)字資產(chǎn)管理部,負(fù)責(zé)組織開展數(shù)據(jù)安全實(shí)執(zhí)行情況開展自查、重檢和監(jiān)督、評(píng)價(jià)。分級(jí)管理的各個(gè)環(huán)節(jié)提供技術(shù)支持;負(fù)責(zé)為數(shù)據(jù)安全分級(jí)管理策略實(shí)施、數(shù)據(jù)安全分級(jí)管理工具建設(shè)等提供技術(shù)支持。保障體系建設(shè)推動(dòng)數(shù)據(jù)安全分級(jí)工作持續(xù)有效地運(yùn)行。分類分級(jí)策略及原則規(guī)及行業(yè)主管部門有關(guān)規(guī)定。以確保數(shù)據(jù)定級(jí)工作的可行性。應(yīng)按照級(jí)別變更策略對(duì)數(shù)據(jù)級(jí)別及時(shí)進(jìn)行調(diào)整。自主性原則。各部門應(yīng)結(jié)合自身數(shù)據(jù)管理需要(架下自主確定數(shù)據(jù)安全級(jí)別。同的級(jí)別中,不宜將所有數(shù)據(jù)集中劃分到其中若干個(gè)級(jí)別中??陀^性原則。數(shù)據(jù)定級(jí)規(guī)則應(yīng)是客觀且可校驗(yàn)的,即通過數(shù)據(jù)自身的屬性和定級(jí)規(guī)則即可判定其級(jí)別,并且數(shù)據(jù)的定級(jí)是可復(fù)核和檢查的。開展分類分級(jí)定級(jí)合規(guī)性相關(guān)準(zhǔn)備工作。第二步,依托我行的企業(yè)級(jí)數(shù)據(jù)字典開展數(shù)據(jù)安全分級(jí):基礎(chǔ)數(shù)據(jù)字典項(xiàng)安全級(jí)別以業(yè)務(wù)主管方的分級(jí)結(jié)果為依據(jù);指標(biāo)數(shù)據(jù)字典項(xiàng)、數(shù)據(jù)產(chǎn)品(級(jí);依據(jù);安全級(jí)別以信息科技部門的分級(jí)結(jié)果為依據(jù)。數(shù)據(jù)安全級(jí)別按照數(shù)據(jù)安全性遭受破壞后的影響對(duì)象54級(jí)、21資產(chǎn)管理部牽頭組織,各部門配合,定期對(duì)數(shù)據(jù)安全級(jí)別進(jìn)行全面檢查,依據(jù)檢查情況開展安全級(jí)別的重檢與更新。技術(shù)支撐數(shù)據(jù)訪問授權(quán)機(jī)制,為數(shù)據(jù)的分級(jí)分類提供安全保障。實(shí)施路徑我行數(shù)據(jù)安全分級(jí)工作以企業(yè)級(jí)數(shù)據(jù)字典為對(duì)象開展,分級(jí)確定新增數(shù)據(jù)(含對(duì)已有數(shù)據(jù)進(jìn)行分級(jí)變更時(shí),下同)由業(yè)務(wù)主管方評(píng)估數(shù)據(jù)對(duì)應(yīng)的影響對(duì)象、影響程度,結(jié)合數(shù)據(jù)安全定級(jí)規(guī)則確定數(shù)據(jù)的安全級(jí)別,通過數(shù)據(jù)需求管理流程實(shí)現(xiàn)。存量數(shù)據(jù)由數(shù)字資產(chǎn)管理部進(jìn)行安全級(jí)別的初始化,各業(yè)務(wù)主管方結(jié)合業(yè)務(wù)實(shí)際對(duì)安全級(jí)別進(jìn)行確認(rèn)。分級(jí)發(fā)布由數(shù)字資產(chǎn)管理部通過數(shù)據(jù)字典平臺(tái)對(duì)數(shù)據(jù)的安全級(jí)別進(jìn)行發(fā)布。分級(jí)更新數(shù)據(jù)安全級(jí)別的變更可由數(shù)據(jù)業(yè)務(wù)主管方或數(shù)字資產(chǎn)管全級(jí)別進(jìn)行更新:數(shù)據(jù)內(nèi)容未發(fā)生變化,但因數(shù)據(jù)時(shí)效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)安全級(jí)別不再適用。因數(shù)據(jù)匯聚融合,使得原有的數(shù)據(jù)安全級(jí)別不適用,應(yīng)重新進(jìn)行安全級(jí)別判定。因國(guó)家或行業(yè)主管部門要求,導(dǎo)致原定的數(shù)據(jù)安全級(jí)別不再適用。實(shí)踐效果和價(jià)值主管部門數(shù)據(jù)安全相關(guān)制度規(guī)范及數(shù)據(jù)安全分類分級(jí)的管理要求。據(jù)的安全使用和更精細(xì)的數(shù)據(jù)控制奠定基礎(chǔ)。案例三:平安銀行數(shù)據(jù)分類分級(jí)實(shí)踐背景與目標(biāo)產(chǎn)品日新月異,新增業(yè)務(wù)系統(tǒng)和存量業(yè)務(wù)系統(tǒng)功能不斷擴(kuò)面對(duì)國(guó)家和監(jiān)管對(duì)銀行數(shù)據(jù)安全的嚴(yán)格要求,面對(duì)銀行自身發(fā)展對(duì)數(shù)據(jù)安全必須承擔(dān)的義務(wù)和責(zé)任,面對(duì)銀行復(fù)雜多樣的業(yè)務(wù)和海量的數(shù)據(jù),如何做好數(shù)據(jù)分類分級(jí)這個(gè)數(shù)據(jù)安全最基礎(chǔ)的工作,成為一道必答題。經(jīng)過充分學(xué)習(xí)和領(lǐng)會(huì)國(guó)家及行業(yè)數(shù)據(jù)安全法律和標(biāo)準(zhǔn),調(diào)研業(yè)界先進(jìn)實(shí)踐經(jīng)驗(yàn),經(jīng)過不斷探索和實(shí)踐,我們認(rèn)為必須回答好如下幾個(gè)問題:數(shù)據(jù)分類怎么分,依據(jù)什么原則分,誰來分?安全等級(jí)如何定,有沒有參考依據(jù),準(zhǔn)確性怎么保證?面對(duì)海量數(shù)據(jù),如何在成本可控的前提下完成分類分級(jí)??jī)?nèi)容與路徑數(shù)據(jù)安全分類分級(jí)保護(hù)矩陣(字段級(jí)的分類數(shù)據(jù)安全分類分級(jí)保護(hù)工作首先需要制定數(shù)據(jù)安全分類分級(jí)的判斷標(biāo)準(zhǔn)和指導(dǎo)原則。參考《金融數(shù)據(jù)安全數(shù)據(jù)安全2圖2數(shù)據(jù)安全分類分級(jí)保護(hù)矩陣自上而下與自下而上雙向打標(biāo)平安銀行數(shù)據(jù)分類分級(jí)采用自上而下和自下而上相結(jié)3。對(duì)應(yīng)物理表繼承安全標(biāo)簽。自下而上:掃描物理表數(shù)據(jù),對(duì)物理表字段進(jìn)行分類分級(jí)打標(biāo)。圖3數(shù)據(jù)安全雙向打標(biāo)架構(gòu)圖自下而上打標(biāo)(字段級(jí)的分類分級(jí)AI類模型,通過機(jī)器掃描實(shí)現(xiàn)對(duì)海量數(shù)據(jù)項(xiàng)的高效識(shí)別并打80AI量數(shù)據(jù)項(xiàng)打標(biāo)結(jié)果,發(fā)現(xiàn)一些新的數(shù)據(jù)分類分級(jí)標(biāo)簽,反饋到第一步持續(xù)補(bǔ)充完善標(biāo)準(zhǔn)。自上而下數(shù)據(jù)安全打標(biāo)自上而下的數(shù)據(jù)安全打標(biāo)方案是管控增量數(shù)據(jù)庫(kù)表進(jìn)行數(shù)據(jù)安全打標(biāo)的重要手段。在各系統(tǒng)進(jìn)行數(shù)據(jù)庫(kù)建模階對(duì)該庫(kù)表即將存儲(chǔ)的數(shù)據(jù)最為清楚,也是數(shù)據(jù)庫(kù)表產(chǎn)生的又保證了數(shù)據(jù)安全保護(hù)措施在整個(gè)數(shù)據(jù)全生命周期的可落地性。鷹眼智能打標(biāo)平臺(tái)面對(duì)行內(nèi)大量數(shù)據(jù)字段需要進(jìn)行數(shù)據(jù)安全分類分級(jí)的聯(lián)合安全團(tuán)隊(duì)及模型實(shí)驗(yàn)室團(tuán)隊(duì)聯(lián)合上線自主研發(fā)智能化27280904圖4平安銀行數(shù)據(jù)安全分類分級(jí)鷹眼打標(biāo)系統(tǒng)實(shí)踐效果和價(jià)值覆蓋全——打標(biāo)范圍全面覆蓋。雙向打標(biāo)方案不時(shí)效快——打標(biāo)時(shí)效與資產(chǎn)上架同步。雙向打標(biāo)實(shí)現(xiàn)資產(chǎn)上架,資產(chǎn)上架即意味著數(shù)據(jù)安全標(biāo)簽的正式生可實(shí)現(xiàn)數(shù)據(jù)安全標(biāo)簽上架和服務(wù)的提供。成本低——打標(biāo)成本低廉可控。自上而下打標(biāo)方AI質(zhì)量高——打標(biāo)質(zhì)量滿足要求。自上而下打標(biāo)中可持續(xù)——模型優(yōu)化良性循環(huán)。雙向打標(biāo)后的打給AI案例四:浦發(fā)銀行數(shù)據(jù)分級(jí)運(yùn)用實(shí)踐場(chǎng)景背景與目標(biāo)內(nèi)容與路徑開展企業(yè)數(shù)據(jù)分級(jí)。通過企業(yè)級(jí)數(shù)據(jù)標(biāo)準(zhǔn)的推進(jìn)實(shí)施,按照人行分級(jí)指南要求,以系統(tǒng)為維度,對(duì)數(shù)據(jù)庫(kù)字段進(jìn)行分類分級(jí),在數(shù)據(jù)標(biāo)準(zhǔn)分類框架中增加數(shù)據(jù)安全屬性。在數(shù)據(jù)全生命周期過程中,不同敏感級(jí)別的數(shù)據(jù)有著各類規(guī)范要求,加強(qiáng)對(duì)系統(tǒng)建設(shè)過程中合規(guī)要求的把握。5656實(shí)踐效果和價(jià)值通過梳理系統(tǒng)字段,形成初步定級(jí)。打標(biāo)后的字開發(fā)測(cè)試人員參考,加強(qiáng)對(duì)系統(tǒng)建設(shè)過程中合規(guī)要求的把握。通過個(gè)人金融信息管理平臺(tái),對(duì)已產(chǎn)生的異常訪理。附錄B:科技公司數(shù)據(jù)分類分級(jí)與保護(hù)實(shí)踐案例案例一:騰訊數(shù)據(jù)分類分級(jí)實(shí)踐背景與目標(biāo)實(shí)踐內(nèi)容及路徑始化和審批。完成字段分類,存量數(shù)據(jù)分類由“模型主導(dǎo)+高等級(jí)人工審核”來完成。騰訊的數(shù)據(jù)分類分級(jí)方案的整體思路,如圖7所示。圖7數(shù)據(jù)分類分級(jí)整體方案在數(shù)據(jù)表建模過程中,首先提供安全分類選擇入口,由建表負(fù)責(zé)人填寫具體字段所屬的分類信息。再基于行業(yè)標(biāo)準(zhǔn)規(guī)范等要求,梳理字段分類到表分集的映射關(guān)系,沉淀在平臺(tái)上。更新,數(shù)據(jù)安全負(fù)責(zé)人審批后在元數(shù)據(jù)管理頁(yè)面中呈現(xiàn)結(jié)果。實(shí)踐效果和價(jià)值基于數(shù)據(jù)分類分級(jí),可以實(shí)現(xiàn)如下的價(jià)值:數(shù)據(jù)權(quán)限審計(jì):可以實(shí)現(xiàn)對(duì)高敏感等級(jí)數(shù)據(jù)表的回收策略設(shè)定等。數(shù)據(jù)下載控制:基于數(shù)據(jù)安全分級(jí),能夠落實(shí)數(shù)據(jù)下載事先限制、事后審計(jì)工作,收斂數(shù)據(jù)泄露風(fēng)險(xiǎn)。個(gè)人信息保護(hù):基于數(shù)據(jù)安全分類識(shí)別的個(gè)人信息相關(guān)字段,對(duì)數(shù)據(jù)表實(shí)現(xiàn)相關(guān)合規(guī)保護(hù)策略。數(shù)據(jù)安全監(jiān)測(cè):基于數(shù)據(jù)安全分級(jí),實(shí)現(xiàn)對(duì)于高別等策略。案例二:壹賬通在某集團(tuán)數(shù)據(jù)分類分級(jí)的實(shí)踐背景與目標(biāo)行分類分級(jí)的實(shí)踐。實(shí)踐內(nèi)容及路徑業(yè)數(shù)據(jù)資產(chǎn)目錄的資產(chǎn)全生命周期管控。同時(shí)參考《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》和《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》中數(shù)據(jù)分級(jí)的相關(guān)規(guī)定,總結(jié)了數(shù)據(jù)分類分級(jí)工作開展的關(guān)鍵步驟,主要包括建立組織、數(shù)據(jù)資產(chǎn)梳理、標(biāo)準(zhǔn)模板制定、識(shí)別策略開發(fā)、分類分級(jí)打標(biāo)、結(jié)果復(fù)核、識(shí)別策略優(yōu)化、分類分級(jí)清單輸出等步驟,如圖8所示。圖8數(shù)據(jù)分類分級(jí)流程實(shí)踐效果和價(jià)值取得如下實(shí)踐效果:已形成一套包含制度、流程、工具相對(duì)完善的數(shù)據(jù)可在集團(tuán)內(nèi)部推廣。打標(biāo),提升工作效率奠定了基礎(chǔ)。7000余萬個(gè)字段的數(shù)據(jù)分類分級(jí)。案例三:天融信在某銀行基于敏感數(shù)據(jù)識(shí)別與分類分級(jí)技術(shù)的探索與實(shí)踐背景與目標(biāo)況,落實(shí)數(shù)據(jù)安全技術(shù)防護(hù)策略,加強(qiáng)數(shù)據(jù)安全防護(hù)。實(shí)踐內(nèi)容及路徑本項(xiàng)目根據(jù)金融管理部門要求和某銀行自身發(fā)展的需要,采用科學(xué)的方法論為某銀行開展數(shù)據(jù)安全治理咨詢服面臨的風(fēng)險(xiǎn)、優(yōu)化數(shù)據(jù)安全策略并完善數(shù)據(jù)安全控制措施等?;谙到y(tǒng)重要性和敏感數(shù)據(jù)分布,本項(xiàng)目選取包含產(chǎn)品服務(wù)、管理分析、基礎(chǔ)管理、渠道外聯(lián)等不同類型的共計(jì)十套系統(tǒng)作為試點(diǎn)。前期調(diào)研安全成熟度評(píng)估,形成相關(guān)成果報(bào)告。數(shù)據(jù)安全治理體系設(shè)計(jì)有數(shù)據(jù)安全保護(hù)措施的差距;對(duì)網(wǎng)絡(luò)及數(shù)據(jù)安全的保護(hù)措交換、銷毀等全生命周期的數(shù)據(jù)保護(hù)實(shí)施方案。數(shù)據(jù)資產(chǎn)梳理等狀態(tài)信息,實(shí)現(xiàn)格式識(shí)別、內(nèi)容識(shí)別、元數(shù)據(jù)抽取。數(shù)據(jù)流向梳理及敏感數(shù)據(jù)梳理在對(duì)十套系統(tǒng)進(jìn)行敏感數(shù)據(jù)發(fā)現(xiàn)時(shí),制定科學(xué)的數(shù)據(jù)梳(包括十套系統(tǒng)的全部數(shù)據(jù)庫(kù)內(nèi)的靜態(tài)分布和動(dòng)態(tài)流轉(zhuǎn)。數(shù)據(jù)分類分級(jí)制定某銀行數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn),完成對(duì)數(shù)據(jù)的分類分的方法識(shí)別敏感數(shù)據(jù)在已選定的十套系統(tǒng)內(nèi)的靜態(tài)分布和動(dòng)態(tài)流轉(zhuǎn),并且保證方法適于推廣使用。數(shù)據(jù)安全審計(jì)審計(jì)培訓(xùn)資料。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估作。數(shù)據(jù)安全管控措施策略調(diào)整完成敏感客戶數(shù)據(jù)在數(shù)據(jù)防泄漏系統(tǒng)的配置。完善敏感客戶數(shù)據(jù)脫敏工具的方案。制定某銀行的新建應(yīng)用系統(tǒng)關(guān)于數(shù)據(jù)安全保護(hù)方面的防護(hù)策略。實(shí)踐效果和價(jià)值案例四:天融信在某消費(fèi)金融開展數(shù)據(jù)分類分級(jí)與風(fēng)險(xiǎn)評(píng)估與實(shí)踐背景與目標(biāo)術(shù)規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》等數(shù)據(jù)安全的不斷完善,加強(qiáng)數(shù)據(jù)安全建設(shè)已是法律所要求的責(zé)任和義務(wù)。當(dāng)前,該消費(fèi)金融搭建了運(yùn)用分布式技術(shù)建設(shè)的高容對(duì)于數(shù)據(jù)安全還未形成一套成熟的保護(hù)體系。實(shí)踐內(nèi)容及

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論