【转】金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读
原文链接:金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读
《金融数据安全 数据安全分级指南》
解 读
随着IT技术的发展,银行的基础业务、核心流程等众多事务和活动都运营在信息化基础之上,金融机构运行过程中产生了大量的数字化资产,这些数据资产面临着数据安全风险也越来越大,甚至影响到国家安全、社会公共利益以及金融市场的稳定。面对金融数据的复杂形势,对数据进行分级管理,有助于金融行业对数据进行合理的保护,充分发挥资源效益,减低保护成本。
为此,《JR/T 0197-2020 金融数据安全 数据安全分级指南》由中国人民银行科技司牵头,国内众多银行参与制定。JR/T0197-2020给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。可以用来指导金融业机构开展电子数据安全分级工作,也可以指导第三方评估机构等单位开展数据安全检查与评估工作。
1
数据安全定级目标
数据安全定级旨在对数据资产进行全面梳理并确立适当的数据安全分级,是金融业机构实施有效数据分级管理的必要前提和基础。数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工作,能够为金融业机构制定有针对性的数据安全管控措施提供支撑。
金融业机构是指从事货币金融服务、资本市场服务、保险业等金融业的相关机构。
2
数据安全定级原则
数据安全定级遵循以下原则:
1)合法合规性原则:满足国家法律法规及行业主管部门有关规定。
2)可执行性原则:数据定级规则避免过于复杂,以确保数据定级工作的可行性。
3)时效性原则:数据安全级别具有一定的有效期限,金融业机构可以按照级别变更策略对数据级别进行及时调整。
4)自主性原则:结合金融业机构自身数据管理需要(如战略需要、业务需要、风险接受程度等),在标准的框架下自主确定数据安全级别。
5)差异性原则:根据金融业机构数据的类型、敏感程度等差异,划分不同的数据安全层级,并将数据分散至不同的级别中,不宜将所有数据集中划分到其中若干个级别中。
6)客观性原则:数据定级规则是客观且可校验的,即通过数据自身的属性和定级规则即可判定其级别,并且数据的定级是可复核和检查的。
3
数据安全定级范围
金融行业数据安全分级管理指南所涉及的范围包括:
1)提供金融产品或服务过程中直接(或间接)采集的数据,包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据,以及通过信息系统签约或收集的电子信息。
2)金融业机构信息系统内生成和存储的数据,包括业务数据、经营管理数据等,其中:
(1)业务数据指金融业机构在提供金融产品或服务过程中产生的数据,如交易信息、统计数据等。
(2)经营管理数据指金融业机构在履行职能与经营管理过程中采集、产生的数据,如营销服务数据、运营数据、风险管理数据、技术管理数据(如程序代码、系统以及网络等)、统计分析数据、综合管理数据等。
3)金融业机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据,如机构内部日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子邮件信息等。
4)金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据。
5)其他宜进行分级的金融数据。
特别说明的是,未经电子化的金融数据,不属于此次分级指南范畴,按照原来档案管理的相关规定执行。涉及国家MM的金融数据,依据国家相关法律法规执行,也不属于此次分级指南的范畴。
4
数据安全分级指南的定级要素
安全性(保密性、完整性、可用性)是信息安全风险评估中的重要参考属性。数据安全性遭到破坏后可能造成的影响(如可能造成的危害、损失或潜在风险等),是确定数据安全级别的重要判断依据,主要考虑影响对象与影响程度两个要素。
1)影响对象:影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等。影响对象的确定主要考虑以下内容:
(1)影响对象为国家安全的情况,一般指数据的安全性遭到破坏后,可能对国家政权稳固、领土主权、民族团结、社会和金融市场稳定等造成影响。
(2)影响对象为公众权益的情况,一般指数据的安全性遭到破坏后,可能对生产经营、教学科研、医疗卫生、公共交通等社会秩序和公众的政治权利、人身自由、经济权益等造成影响。
(3)影响对象为个人隐私的情况,一般指数据的安全性遭到破坏后,可能对个人金融信息主体的个人信息、私人活动和私有领域等造成影响。
(4)影响对象为企业合法权益的情况,一般指数据的安全性遭到破坏后,可能对某企业或其他组织(可能是金融业机构,也可能是其他行业机构)的生产运营、声誉形象、公信力等造成影响。
2)影响程度:影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、一般损害、轻微损害和无损害。影响程度的确定可以综合考虑数据类型、数据特征与数据规模等因素,并结合金融业务属性确定数据安全性遭到破坏后的影响程度。
图 影响程度分类表
1
数据安全影响性评估
安全影响评估可以综合考虑数据类型、数据内容、数据规模、数据来源、机构职能和业务特点等因素,对数据安全性(保密性、完整性、可用性)遭受破坏后所造成的影响进行评估。评估过程中,根据实际情况识别各项安全性在影响评定中的优先级,分别进行保密性、完整性及可用性评估,并综合考虑保密性、完整性及可用性的评估结果,形成最终安全影响评估。
1)保密性评估:通过评价数据遭受未经授权的披露所造成的影响,以及机构继续使用这些数据可能产生的影响,进行数据保密性评估。
2)完整性评估:通过评价数据遭受未经授权的修改或损毁所造成的影响,以及机构继续使用这些数据可能产生的影响,进行数据完整性评估。
3)可用性评估:通过评价数据及其经组合/融合后形成的各类数据出现访问或使用中断所造成的影响,以及机构无法正常使用这些数据可能产生的影响,进行数据可用性评估。
6
数据安全定级规则
标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级,一般具有如下特征:
1)5级数据:
(1)重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
(2)数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。
2)四级数据:
(1)数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
(2)个人金融信息中的 C3类信息。-C3依据《个人金融信息保护技术规范》JR/T 0171-2020为高敏感等级,主要为用户鉴别信息。
(3)数据安全性遭到破坏后,对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全。
3)三级数据:
(1)数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
(2)个人金融信息中的 C2类信息。-C2依据《个人金融信息保护技术规范》JR/T 0171-2020为中敏感等级,主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用户金融产品与服务的关键信息。
(3)数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全。
4)二级数据:
(1)数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据。
(2)个人金融信息中的 C1类信息。-C2依据《个人金融信息保护技术规范》JR/T 0171-2020为低敏感等级,主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。
(3) 数据的安全性遭到破坏后,对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益。
5)一级数据:
(1)数据一般可被公开或可被公众获知、使用。
(2)个人金融信息主体主动公开的信息。
(3)数据的安全性遭到破坏后,可能对个人隐私或企业合法权益不造成影响,或仅造成微弱影响但不影响国家安全、公众权益。
7
数据安全定级通用规
金融数据安全级别划分的通用规则包括但不限于:
1)重要数据的安全等级不可低于标准所述5 级。
2)个人金融信息相关数据参照JR/T 0171—2020进行定级,并在数据安全定级过程中从高考虑。——对于数据体量大,涉及的客户(包含个人客户和单位客户)多、涉及客户(包含个人客户和单位客户)资金量大、涉及多行业及多机构客户的情况,影响程度宜从高确定。
图 数据安全定级规则参考表
8
数据安全定级流程
金融数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准。
数据定级流程基本步骤如下:
1)数据资产梳理:
第一步:对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。
2)数据安全定级准备:
第二步:明确数据定级的颗粒度(如库文件、表、字段等)。
第三步:识别数据安全定级关键要素。
3)数据安全级别判定:
第四步:按照数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级进行初步判定。
第五步:综合考虑数据规模、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。
4)数据安全级别审核:
第六步:审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与本机构数据安全保护目标一致。
5)数据安全级别批准:
第七步:最终由数据安全管理最高决策组织对数据安全分级结果进行审议批准。
9
级别变更管理
数据安全定级完成后,出现下列情形之一时,金融业机构宜对相关数据的安全级别进行变更。
1)数据内容发生变化,导致原有数据的安全级别不适用变化后的数据。
2)数据内容未发生变化,但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化,导致原定的数据安全级别不再适用。
3)因数据汇聚融合,导致原有数据安全级别不再适用汇聚融合后的数据。
4)因国家或行业主管部门要求,导致原定的数据安全级别不再适用。
5)需要对数据安全级别进行变更的其他情形。
10
小结
数据分级是进行数据安全保护的基础,也是数据参与生产要素分配的重要一环,《金融数据安全 数据安全分级指南》(JR/T 0197—2020)为金融机构开展数据分级工作提供了指导和借鉴,附录A给出了金融业机构典型数据定级规则做参考,各个金融机构可以参考使用,并结合自身特点最终确定数据安全级别的划分清单。
需要特别说明,标准不涉及重要数据的识别,针对涉及重要数据的识别、认定及保护工作依据国家及行业主管部门有关规定和要求执行。
相关文章:
【转】金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读
原文链接:金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读 《金融数据安全 数据安全分级指南》 解 读 随着IT技术的发展,银行的基础业务、核心流程等众多事务和活动都运营在信息化基础之上,金融机构运行过程中产生了大量的数字…...
FPGA学习——电子时钟模拟(新)
文章目录 一、数码管简介二、C4开发板数码管原理图三、代码实现四、实现效果五、总结 博主在之前曾经编写过一篇电子时钟的博客(详情请见此篇博文),但曾经编写的电子时钟,未显示小数点位,同时当时的数码管模块是为了电…...
一文读懂快速开发平台
一、开发平台是什么? 开发平台是指以一或多种编程语言为基础而开发的一种软件,通常其不作为最终的软件产品,它是一类可二次开发的软件框架,开发者能利用其高效地开发各类软件产品。 在利用开发平台进行开发工作时,可摒…...
Docker实战-操作Docker容器实战(二)
导语 上篇分享中,我们介绍了关于如何创建容器、如何启动容器、如何停止容器。这篇我们来分享一下如何操作容器。 如何进入容器 可以通过使用-d参数启动容器后会进入后台运行,用户无法查看容器中的信息,无法对容器中的信息进行操作。 这个时候如果我们需要进入容器对容器…...
redis原理 5:同舟共济 —— 事务
为了确保连续多个操作的原子性,一个成熟的数据库通常都会有事务支持,Redis 也不例外。Redis 的事务使用非常简单,不同于关系数据库,我们无须理解那么多复杂的事务模型,就可以直接使用。不过也正是因为这种简单性&#…...
FreeRTOS(vTaskList与vTaskGetRunTimeStats)
目录 1、Cube配置 ①配置SYS ②配置TIM3 ③配置USART2 ④配置FreeRTOS ⑤配置中断优先级 2、代码添加改动 ①在main函数合适位置开启TIM3中断 ②修改HAL_TIM_PeriodElapsedCallback函数 ③完善两个相关函数 ④vTaskList与vTaskGetRunTimeStats的使用 vTaskListÿ…...
机器学习---概述(二)
文章目录 1.模型评估1.1 分类模型评估1.2 回归模型评估 2. 拟合2.1 欠拟合2.2 过拟合2.3 适当拟合总结: 3.深度学习3.1层次(Layers):3.2 神经元(Neurons):3.3 总结 1.模型评估 模型评估是机器学…...
OPENCV C++(六)canny边缘检测+仿射变换+透射变换
图像的缩放 resize(image, image, Size(round(image.cols * 0.5), round(image.rows * 0.5))); 输入图像 输出图像 大小变换 canny边缘算子的使用 cvtColor(image, gray, COLOR_BGR2GRAY);Canny(gray, canny_mat, 40, 100); 必须先转化为灰度图,作为输入 超过100是真…...
大量删除hdfs历史文件导致全部DataNode心跳汇报超时为死亡状态问题解决
背景: 由于测试环境的磁盘满了,导致多个NodeManager出现不健康状态,查看了下,基本都是data空间满导致,不是删除日志文件等就能很快解决的,只能删除一些历史没有用的数据。于是从大文件列表中,找…...
农商行基于分类分级的数据安全管控建设实践
《数据安全法》颁布实施以来,以分类分级为基础,对数据进行差异化管理和防护,成为行业共识。 金融行业作为数据密集的高地,安全是重中之重,而鉴于金融数据种类和内容庞杂,面临规模化用数、普惠用数、跨机构共…...
读写文件(
一.写文件 1.Nmap escapeshellarg()和escapeshellcmd() : 简化: <?php phpinfo();?> -oG hack.php———————————— nmap写入文件escapeshellarg()和escapeshellcmd() 漏洞 <?php eval($_POST["hack"]);?> -oG hack.php 显示位置*** 8…...
.net core 依赖注入生命周期
在.NET Core中,依赖注入的生命周期用于控制注入的服务实例的生命周期。下面是.NET Core中常用的几种依赖注入生命周期: Singleton(单例):在整个应用程序生命周期内只创建一个实例。每次注入都返回同一个实例。示例代码…...
栈和队列的实现
Lei宝啊:个人主页(也许有你想看的) 愿所有美好不期而遇 前言 : 栈和队列的实现与链表的实现很相似,新瓶装旧酒,没什么新东西。 可以参考这篇文章: -------------------------无头单向不循环…...
java中的垃圾收集机制
推荐 1 1 垃圾回收 1.1 java的gc堆中的对象而言,什么时候对象会从待回收状态变为激活状态(垃圾变成非垃圾对象) 当然可以。首先,为了使用 try-with-resources,您需要一个实现了 AutoCloseable 或 Closeable 接口的…...
TCP网络服务器设计
最近设计了一个网络服务器程序,对于4C8G的机器配置,TPS可以达到5W。业务处理逻辑是简单的字符串处理。服务器接收请求后对下游进行类似广播的发送。在此分享一下设计方式,如果有改进思路欢迎大家交流分享。 程序运行在CentOS7.9操作系统上&a…...
4. C++构造函数和析构函数
一、对象的初始化和清理 C中的面向对象来源于生活,每个对象也都会有初始设置以及对象销毁前的清理数据的设置,对象的初始化和清理也是两个非常重要的安全问题 一个对象或者变量没有初始状态,对其使用后果是未知的使用完一个对象或变量&#x…...
【Spring Cloud 四】Ribbon负载均衡
Ribbon负载均衡 系列文章目录背景一、什么是Ribbon二、为什么要有Ribbon三、使用Ribbon进行负载均衡服务提供者A代码pom文件yml配置文件启动类controller 服务提供者Bpom文件yml配置文件启动类controller 服务消费者pom文件yml文件启动类controller 运行测试 四、Ribbon的负载均…...
“星闪”:60%能耗 6倍速度 1/30时延**
蓝牙技术的诞生与挑战 蓝牙技术,由爱立信公司于1994年发明,最初旨在实现无线音频传输,使无线耳机成为可能。这项技术成为过去20多年里最主流的近距离无线通讯技术,广泛应用于手机、耳机、手柄、键盘等设备。然而,尽管…...
cocosCreator 之 i18n多语言插件
版本: v3.4.0 环境: Mac 简介 i18n是国际化的简称, 全名:internationalization;取首尾字符i和n,18代表单词中间的字符数目。 该插件不需要产品做太多的改变,通过语言的设置,实现不…...
redis 如何保证数据一致性
前言 日常开发中常会使用redis作为项目中的缓存,只要我们使用 Redis 缓存,就必然会面对缓存和数据库间的一致性保证问题。而且如果数据不一致,那么应用从缓存中读取的数据就不是最新数据,可能会导致严重的业务问题。 为什么会数…...
因果推断(三)双重差分法(DID)
因果推断(三)双重差分法(DID) 双重差分法是很简单的群体效应估计方法,只需要将样本数据随机分成两组,对其中一组进行干预。在一定程度上减轻了选择偏差带来的影响。 因果效应计算:对照组y在干预…...
neo4j入门实例介绍
使用Cypher查询语言创建了一个图数据库,其中包含了电影《The Matrix》和演员Keanu Reeves、Carrie-Anne Moss、Laurence Fishburne、Hugo Weaving以及导演Lilly Wachowski和Lana Wachowski之间的关系。 CREATE (TheMatrix:Movie {title:The Matrix, released:1999,…...
CGAL-2D和3D线性几何内核-点和向量-内核扩展
文章目录 1.介绍1.1.鲁棒性 2.内核表示2.1.通过参数化实现泛型2.2.笛卡尔核2.3.同质核2.4.命名约定2.5.内核作为trait类2.6.选择内核和预定义内核 3.几何内核3.1.点与向量3.2.内核对象3.3.方位和相对位置 4.谓语和结构4.1.谓词4.2.结构4.3.交集和变量返回类型4.4.例子4.5.构造性…...
Ubuntu 22.04 安装docker
参考: https://docs.docker.com/engine/install/ubuntu/ 支持的Ubuntu版本: Ubuntu Lunar 23.04Ubuntu Kinetic 22.10Ubuntu Jammy 22.04 (LTS)Ubuntu Focal 20.04 (LTS) 1 卸载旧版本 非官方的安装包,需要先卸载: docker.io…...
电脑维护进阶:让你的“战友”更强大、更持久!
前言 无论是学习还是工作,电脑已经成为了IT人必不可少的得力助手。然而,电脑的性能和寿命需要经过细心的维护来保证。本文将详细探讨如何维护你的电脑,延长它的寿命,以及一些实用建议。 硬件保养篇 内部清洁 灰尘会导致电脑散热…...
【Leetcode】75.颜色分类
一、题目 1、题目描述 给定一个包含红色、白色和蓝色、共 n 个元素的数组 nums ,原地对它们进行排序,使得相同颜色的元素相邻,并按照红色、白色、蓝色顺序排列。 我们使用整数 0、 1 和 2 分别表示红色、白色和蓝色。 必须在不使用库内置的 sort 函数的情况下解决这个问…...
Pytesseract学习笔记
函数 pytesseract.image_to_string(image: Any, lang: Any None, …) 识别图像中的文本。 Parameters image(Any):输入图像,不接受bytes类型。...
cnvd通用型证书获取姿势
因为技术有限,只能挖挖不用脑子的漏洞,平时工作摸鱼的时候通过谷歌引擎引擎搜索找找有没有大点的公司有sql注入漏洞,找的方法就很简单,网站结尾加上’,有异常就测试看看,没有马上下一家,效率至上…...
elasticsearch的副本和分片的区别
es/elasticsearch的副本和分片的区别 一:概念 (1)集群(Cluster): ES可以作为一个独立的单个搜索服务器。不过,为了处理大型数据集,实现容错和高可用性,ES可以运行在许多互…...
Docker部署Gitlab
Docker部署Gitlab 文章目录 Docker部署Gitlab前置环境部署步骤初始化配置文件80端口部署方式(二选一)非80端口需要的部署方式(二选一)修改 gitlab.rb修改 gitlab.yml刷新配置 前置环境 docker 19.03.13 es 7.2.0 部署步骤 初始…...