謝宗曉 　董坤祥　甄杰

數(shù)據(jù)安全成為熱點，是因為大數(shù)據(jù)時代的到來，但是，數(shù)據(jù)安全并不能僅僅局限于狹義的“大數(shù)據(jù)安全”，而是指大數(shù)據(jù)背景下的數(shù)據(jù)安全。從這個角度講，數(shù)據(jù)安全也是一個無所不包的概念，既包括數(shù)據(jù)的安全、也包括平臺的安全、系統(tǒng)的安全，以及相關(guān)人員的安全。數(shù)據(jù)安全在金融領(lǐng)域尤為重要，截至目前，在金融行業(yè)標(biāo)準(zhǔn)中，數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)主要有：JR/T 0158—2018 《證券期貨業(yè)數(shù)據(jù)分類分級指引》、JR/T 0171—2020 《個人金融信息保護(hù)技術(shù)規(guī)范》、JR/T 0197—2020 《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》、JR/T 0223—2021《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》。

1 JR/T 0158—2018《證券期貨業(yè)數(shù)據(jù)分類分級指引》

JR/T 0158—2018發(fā)布于2018年9月27日，與大數(shù)據(jù)安全關(guān)系不大，仍然屬于傳統(tǒng)的信息資產(chǎn)管理的范疇。信息（資產(chǎn)）分類分級，在GB/T 22080—2016 / ISO/IEC 27001：2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》附錄A中也有明確的要求。在該標(biāo)準(zhǔn)的引言中，也提出：采用規(guī)范的數(shù)據(jù)分類、分級方法，有助于行業(yè)機(jī)構(gòu)厘清數(shù)據(jù)資產(chǎn)、確定數(shù)據(jù)重要性或敏感度，并針對性地采取適當(dāng)、合理的管理措施和安全防護(hù)措施，形成一套科學(xué)、規(guī)范的數(shù)據(jù)資產(chǎn)管理與保護(hù)機(jī)制，從而在保證數(shù)據(jù)安全的基礎(chǔ)上促進(jìn)數(shù)據(jù)開放共享。

依據(jù)GB/T 10113—20031）的“線分類法”，JR/T 0158—2018中對證券行業(yè)的數(shù)據(jù)類型進(jìn)行了枚舉。所謂線分類法，就是將分類對象按選定的若干屬性（或特征），逐次地分為若干層級，每個層級又分為若干類目。同一分支的同層類目之間構(gòu)成并列關(guān)系，不同層級類目之間構(gòu)成隸屬關(guān)系。與之對應(yīng)的是“面分類法”。

在信息安全領(lǐng)域，引入系統(tǒng)的分類法，在其他標(biāo)準(zhǔn)中并不多見，包括應(yīng)用廣泛，較為成熟的ISO/IEC 27000標(biāo)準(zhǔn)族，也只是簡單的枚舉，并沒有給出方法論。JR/T 0158—2018從業(yè)務(wù)條線出發(fā)，首先對業(yè)務(wù)細(xì)分，其次對數(shù)據(jù)細(xì)分，形成從總到分的樹形邏輯體系結(jié)構(gòu)，最后，對分類后的數(shù)據(jù)確定級別。同時，考慮確定數(shù)據(jù)形態(tài)。具體見圖1所示。

數(shù)據(jù)分級為4級，4級最高，分別為：極高、高、中、低。簡單來說，1級是公開數(shù)據(jù)，4級是行業(yè)內(nèi)大型或特大型機(jī)構(gòu)重要業(yè)務(wù)數(shù)據(jù)，2級為一般業(yè)務(wù)使用數(shù)據(jù)，3級為重要業(yè)務(wù)使用數(shù)據(jù)。

用戶可以根據(jù)JR/T 0158—2018的表A.1 數(shù)據(jù)匯集型會管單位典型數(shù)據(jù)分類分級模板，對組織數(shù)據(jù)進(jìn)行比對，從而確定分類和分級。

2 JR/T 0171—2020《個人金融信息保護(hù)技術(shù)規(guī)范》

JR/T 0171—2020發(fā)布于2020年2月13日，給出了個人金融信息的定義，包括的內(nèi)容，按照敏感度的個人金融信息分級，以及從安全技術(shù)和安全管理的角度討論了整個生命周期管理。JR/T 0171—2020的框架見圖2所示。

個人金融信息按照敏感程度分為C3、C2和C1三個級別，C3最高，判定也是按照信息遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更后所產(chǎn)生的影響和危害為依據(jù)。其中，C3級別主要為用戶鑒別信息。C2級別信息主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息，以及用于金融產(chǎn)品與服務(wù)的關(guān)鍵信息。C1級別信息主要為機(jī)構(gòu)內(nèi)部的資產(chǎn)信息，主要指供金融業(yè)機(jī)構(gòu)內(nèi)部使用的個人金融信息。

3 JR/T 0197—2020《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》

JR/T 0197—2020發(fā)布于2020年9月23日，給出了金融數(shù)據(jù)安全分級的目標(biāo)、原則和范圍，以及數(shù)據(jù)安全定級的要素、規(guī)則和定級過程。

JR/T 0197—2020對于定級的基本依據(jù)也是金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全遭受破壞后的影響對象和所造成的影響程度。具體級別從高到低分別為5級、4級、3級、2級、1級。

其中5級數(shù)據(jù)為重要數(shù)據(jù)，主要是用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過程中重要核心節(jié)點類機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)使用，一旦安全性遭到破壞，會對國家安全造成影響，或?qū)姍?quán)益造成嚴(yán)重影響。1級為公開數(shù)據(jù)。4級數(shù)據(jù)主要用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過程中重要核心節(jié)點類機(jī)構(gòu)的重要業(yè)務(wù)使用。3級數(shù)據(jù)主要用于金融業(yè)機(jī)構(gòu)關(guān)鍵或重要業(yè)務(wù)使用。2級數(shù)據(jù)用于金融業(yè)機(jī)構(gòu)一般業(yè)務(wù)使用。

JR/T 0171—2020中定義的C3類個人金融信息對應(yīng)JR/T 0197—2020中的4級數(shù)據(jù)，C2類個人金融信息對應(yīng)3級數(shù)據(jù)，C1類個人金融信息對應(yīng)2級數(shù)據(jù)。

4 JR/T 0223—2021《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》

JR/T 0223—2021發(fā)布于2021年4月8日，圍繞金融數(shù)據(jù)生命周期，即數(shù)據(jù)采集、傳輸、存儲、使用、刪除及銷毀過程，提出了相應(yīng)的安全要求。

JR/T 0223—2021圍繞該標(biāo)準(zhǔn)中第5章的安全框架展開討論，其中不僅包含了數(shù)據(jù)生命周期中每個階段的安全要求，也對組織保障和運維保障等方面提出了要求。具體見圖3。

JR/T 0197—2020和JR/T 0223—2021定義了數(shù)據(jù)分級，以及整個數(shù)據(jù)生命周期管理的安全要求。適用于金融業(yè)機(jī)構(gòu)開展電子數(shù)據(jù)安全分級工作，也可以作為第三方評估機(jī)構(gòu)開展數(shù)據(jù)安全檢查與評估工作的依據(jù)。

5 小結(jié)

綜上所述，就標(biāo)準(zhǔn)之間的關(guān)系而言，JR/T 0223—2021和JR/T 0197—2020是相關(guān)標(biāo)準(zhǔn)。JR/T 0197—2020中數(shù)據(jù)的分級是JR/T 0223—2021中安全管理的基礎(chǔ)。

數(shù)據(jù)分類分級，尤其是分級，存在一定的主觀性，僅僅依據(jù)等級的定義，實際難于操作，大部分組織，在定義的基礎(chǔ)上，往往都再給一個示例，盡量枚舉已有的類型，從而在確定具體的分級時比對。這是數(shù)據(jù)分類分級過程中的第一個難點。第二個難點在于，由于分級只是相對的等級，各個組織之間從定義開始，就存在很大的差異，例如，數(shù)據(jù)可能分為5個等級，4個等級，3個等級，各種情況都有，而且有的組織定義為1級最低，有的組織則定義為1級最高。在行業(yè)范圍內(nèi)，給出數(shù)據(jù)分類分級的方法論，統(tǒng)一數(shù)據(jù)的級別，并給出大致的枚舉類型，對于信息資產(chǎn)管理大有益處，對于后續(xù)進(jìn)行信息安全風(fēng)險評估也是良好的基礎(chǔ)。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點無關(guān)）