1、談話要點(diǎn)數(shù)據(jù)分類分級既是合規(guī)要求，也有現(xiàn)實(shí)意義數(shù)之一據(jù)，分其類最是終數(shù)目據(jù)的安是全實(shí)?，F(xiàn)護(hù)數(shù)的據(jù)重的要安基全礎(chǔ)共性享工。作建設(shè)分類分級清單需要四大抓手方面著手。要做障、好邏數(shù)輯據(jù)梳分理類、分物級理清映單射建、設(shè)技，術(shù)可工以具從四權(quán)個威數(shù)起點(diǎn)據(jù)分類分級不是終點(diǎn)，而是安全管理的數(shù)分級據(jù)清分單類、分到級采是取一保個護(hù)從措整施體的規(guī)閉劃環(huán)、管建理設(shè)過分程類。數(shù)據(jù)安全，刻不容緩近年來，國內(nèi)外數(shù)據(jù)泄露的事件屢屢發(fā)生，泄露事故嚴(yán)重影響了客戶的滿意度和企業(yè)的聲譽(yù)，進(jìn)而對企業(yè)效益產(chǎn)生負(fù)面影響。在 IBM Security 發(fā)布的2020 年數(shù)據(jù)泄露成本報(bào)告1 中顯示，數(shù)據(jù)泄露事件給企業(yè)造成的平均成本為 386

2、萬美元。其中，客戶個人身份信息是造成企業(yè)耗費(fèi)成本最高的一項(xiàng)。金融行業(yè)也存在數(shù)據(jù)泄露事件。2017 年底，廣州某證券公司報(bào)案稱，該公司多名客戶投訴，剛開戶不久就有冒充該證券公司的人員打電話或發(fā)微信推薦股票，讓客戶跟單操作，懷疑客戶個人信息泄露。廣州市公安機(jī)關(guān)在北京、湛江、深圳、珠海等地同步收網(wǎng)，抓獲犯罪嫌疑人 40 余人，源頭 “內(nèi)鬼”2 人，繳獲公民個人信息 230G。林某為某券商的證券經(jīng)紀(jì)人，利用自學(xué)黑客技術(shù)，攻破了多家政府網(wǎng)站和證券或期貨公司內(nèi)部系統(tǒng)。林某非法獲取公民個人信息共計(jì) 400 余萬條，情節(jié)特別嚴(yán)重，有期徒刑5 年 2 個月，并處罰金人民幣 2 萬元。2上述案例提醒我們，證券期貨

3、行業(yè)應(yīng)嚴(yán)格落實(shí)信息安全保密措施、加強(qiáng)管理，嚴(yán)防信息泄露。整體來看，證券期貨行業(yè)數(shù)據(jù)空間可以劃分為三個維度：一是業(yè)務(wù)空間，即金融機(jī)構(gòu)在開展交易中介、資本中介、融資中介、投資研究、自營投資、OTC 市場等業(yè)務(wù)活動時產(chǎn)生的數(shù)據(jù)。二是管理空間，即金融機(jī)構(gòu)在進(jìn)行人力、合規(guī)、風(fēng)控、財(cái)務(wù)等對內(nèi)經(jīng)營管理活動時產(chǎn)生的數(shù)據(jù)。三是服務(wù)空間，即金融機(jī)構(gòu)在和外部的個人投資者、機(jī)構(gòu)投資者、融資機(jī)構(gòu)等相關(guān)服務(wù)對象進(jìn)行交互時產(chǎn)生的數(shù)據(jù)。從以上三個維度的數(shù)據(jù)不難看出，證券期貨行業(yè)的數(shù)據(jù)具有體量大、敏感程度高、重要程度高的特點(diǎn)：體量大：特別是交易所或結(jié)算公司這類大型機(jī)構(gòu)，匯聚了行業(yè)內(nèi)多家機(jī)構(gòu)的數(shù)據(jù)。敏感程度高：大量數(shù)據(jù)涉及投資者

4、的基本信息、賬戶信息、財(cái)務(wù)信息等。重要程度高：涉及到交易數(shù)據(jù)、風(fēng)控?cái)?shù)據(jù)、經(jīng)營管理數(shù)據(jù)等。因此，金融機(jī)構(gòu)數(shù)據(jù)基于安全的差異化管理，以及合規(guī)使用尤為重要。意識到數(shù)據(jù)安全重要性的金融機(jī)構(gòu)，紛紛在安全保護(hù)領(lǐng)域發(fā)力。分類分級是數(shù)據(jù)安全保護(hù)體系中一項(xiàng)重要的基礎(chǔ)性工作，然而在開展數(shù)據(jù)安全分類分級工作時，很多企業(yè)面臨著挑戰(zhàn)：缺乏整體解決方案：面對企業(yè)自身眾多的數(shù)據(jù)，分類要如何劃分、級別設(shè)置幾個層級、分類分級結(jié)果要如何落地？這些問題導(dǎo)致企業(yè)不知如何著手?jǐn)?shù)據(jù)分類分級工作。缺少數(shù)據(jù)安全差異化管理：很多企業(yè)都有建立數(shù)據(jù)使用的審批流程，但審批流于形式，因?yàn)椴⒉磺宄男儆诿舾袛?shù)據(jù)或者敏感數(shù)據(jù)存在哪里。導(dǎo)致管理成本雖高，

5、但安全保護(hù)方面收效甚微。欠缺專業(yè)人才和能力：數(shù)據(jù)安全的分類分級對專業(yè)能力要求較高，一方面需要有金融業(yè)務(wù)的知識儲備，并且熟悉對應(yīng)系統(tǒng)中的數(shù)據(jù)；另一方面需要具備數(shù)據(jù)治理能力，特別是數(shù)據(jù)安全領(lǐng)域的專業(yè)能力。隨著監(jiān)管的要求越來越嚴(yán)格，如何切實(shí)做好數(shù)據(jù)的分類分級，保障數(shù)據(jù)安全？ IBM 結(jié)合多年的項(xiàng)目實(shí)施經(jīng)驗(yàn)，總結(jié)了關(guān)鍵的應(yīng)對策略。1警鐘長鳴，監(jiān)管亮劍為了維護(hù)市場安全運(yùn)行和維護(hù)投資者合法權(quán)益，監(jiān)管機(jī)構(gòu)針對數(shù)據(jù)分類分級工作，從不同層面明確了證券期貨經(jīng)營機(jī)構(gòu)的合規(guī)責(zé)任，成為業(yè)內(nèi)機(jī)構(gòu)滿足法規(guī)依從性的重要依據(jù)。在法律層面，在全國人大 2016 年 11 月發(fā)布的網(wǎng)絡(luò)安全法3 和 2020 年 10 月發(fā)布的個人

6、信息保護(hù)法（草案）4 中均有相關(guān)規(guī)定。網(wǎng)絡(luò)安全法中要求網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。個人信息保護(hù)法（草案）中要求個人信息處理者需對個人信息實(shí)行分類分級管理。在行業(yè)標(biāo)準(zhǔn)層面，證監(jiān)會于 2018 年 9 月發(fā)布了金融行業(yè)標(biāo)準(zhǔn)證券期貨業(yè)數(shù)據(jù)分類分級指引5（以下簡稱“指引”）。該指引詳細(xì)闡明了適用范圍、數(shù)據(jù)分類分級的前提條件、數(shù)據(jù)分類及分級方法、數(shù)據(jù)分類分級中的關(guān)鍵問題處理。我們梳理數(shù)據(jù)分類分級的監(jiān)管脈絡(luò)，可以發(fā)現(xiàn)網(wǎng)絡(luò)安全法提出了數(shù)據(jù)分類分級要求，為后續(xù)出臺的證券期貨行業(yè)的具體指引提供了法律淵源。而指引雖然是推薦性行業(yè)標(biāo)準(zhǔn)，但金融機(jī)構(gòu)開展數(shù)據(jù)分類

7、分級工作，不僅是滿足法規(guī)依從性的要求，也具有極強(qiáng)的現(xiàn)實(shí)意義，有以下幾點(diǎn)尤其值得關(guān)注：適用數(shù)據(jù)范圍廣除了經(jīng)營和管理活動中常用的產(chǎn)生、采集、加工、使用或管理的網(wǎng)絡(luò)數(shù)據(jù)或非網(wǎng)絡(luò)數(shù)據(jù)之外，甚至包括了通過購買或數(shù)據(jù)共享等方式獲得的外部數(shù)據(jù)，可謂是基本涵蓋了數(shù)據(jù)獲得的所有可能方式。因地制宜采取安全保護(hù)措施在考慮數(shù)據(jù)定級和數(shù)據(jù)的安全保護(hù)環(huán)節(jié)時，要根據(jù)不同的安全屬性側(cè)重，采取相適應(yīng)的保護(hù)措施。并且綜合考慮數(shù)據(jù)體量的大小，在實(shí)際使用中，采取適當(dāng)?shù)?、合理的安全防護(hù)措施。例如同級別的單個客戶信息和批量客戶信息，查詢批量客戶信息時應(yīng)增加更嚴(yán)格的訪問控制手段，且對查詢行為進(jìn)行審計(jì)。分類分級的最終目的是實(shí)現(xiàn)數(shù)據(jù)的安全共享

8、數(shù)據(jù)分類分級是數(shù)據(jù)安全保護(hù)的重要基礎(chǔ)性工作之一，基于分類分級從而實(shí)現(xiàn)對重要、敏感數(shù)據(jù)的進(jìn)一步安全保護(hù)，使數(shù)據(jù)能夠在安全合規(guī)的情況下被共享使用，發(fā)揮更大的價(jià)值。數(shù)據(jù)分類分級和個人信息保護(hù)、網(wǎng)絡(luò)安全等問題密切相關(guān)。證券期貨行業(yè)的經(jīng)營機(jī)構(gòu)在未能滿足監(jiān)管合規(guī)要求的情況下，可能面臨中國證監(jiān)會采取的從責(zé)令改正、責(zé)令增加合規(guī)檢查次數(shù)，到暫停業(yè)務(wù)等的行政監(jiān)管措施。需要提醒的是，除了證監(jiān)會外，主要執(zhí)法機(jī)構(gòu)還有國家網(wǎng)信辦、工信部、公安部等。多重執(zhí)法主體間不僅可能存在著權(quán)責(zé)邊界模糊、交叉執(zhí)法的問題，在監(jiān)管“九龍治水”現(xiàn)象存在的情況下，證券期貨行業(yè)的經(jīng)營機(jī)構(gòu)需要結(jié)合自身情況，進(jìn)行全面的合規(guī)建設(shè)，避免監(jiān)管風(fēng)險(xiǎn)和行政處罰

9、。圖 1數(shù)據(jù)分類分級管理體系數(shù)據(jù)分類分級管理體系1建設(shè)制定數(shù)據(jù)分級規(guī)則提出路徑建議制定數(shù)據(jù)分類框架建設(shè)分類分級清單2組織保障協(xié)作機(jī)制崗位權(quán)責(zé)設(shè)計(jì)組織能力設(shè)計(jì)組織框架設(shè)計(jì)數(shù)據(jù)分類分級管理辦法數(shù)據(jù)分類分級工作標(biāo)準(zhǔn)管理流程數(shù)據(jù)分類分級清單管理流程數(shù)據(jù)分類分級變更管理流程數(shù)據(jù)權(quán)限審批管理辦法4系統(tǒng)支持系統(tǒng)功能需求規(guī)劃需求調(diào)研3制度流程2分類分級，從容應(yīng)對如何開展數(shù)據(jù)分類分級工作呢？從數(shù)據(jù)安全保護(hù)的落地性、有效性和持續(xù)性等角度考慮，首先要建設(shè)數(shù)據(jù)分類分級清單，這是數(shù)據(jù)分類分級的核心工作內(nèi)容；其次要有健全的保障機(jī)制，即在組織架構(gòu)、制度流程、技術(shù)工具方面為數(shù)據(jù)分類分級工作保駕護(hù)航（見圖 1）。IBM 認(rèn)為，

10、要做好數(shù)據(jù)分類分級清單建設(shè)，可以從以下四個方面著手：權(quán)威保障：充分研讀和理解行業(yè)權(quán)威機(jī)構(gòu)的發(fā)文，保障數(shù)據(jù)分類分級工作的正確性、合理性以及業(yè)務(wù)覆蓋的完整性。邏輯梳理：在邏輯層面構(gòu)建數(shù)據(jù)分類分級清單，包括數(shù)據(jù)分類框架、數(shù)據(jù)定級規(guī)則和數(shù)據(jù)項(xiàng)清單三部分內(nèi)容。物理映射：完成數(shù)據(jù)分類分級的落地實(shí)現(xiàn)，即把數(shù)據(jù)分類分級清單中邏輯層面的數(shù)據(jù)項(xiàng)，與 IT 系統(tǒng)的字段關(guān)聯(lián)起來。技術(shù)工具：金融機(jī)構(gòu)的數(shù)據(jù)量龐大，借助技術(shù)工具有效、持續(xù)的開展數(shù)據(jù)分類分級工作。下面，我們將分別進(jìn)行闡述。權(quán)威保障以證券行業(yè)為例，證券期貨業(yè)數(shù)據(jù)分類分級指引在工作方法、工作原則等方面提供了理論指導(dǎo)；證券期貨業(yè)業(yè)務(wù)標(biāo)準(zhǔn)規(guī)劃從業(yè)務(wù)條線、業(yè)務(wù)過程的角

11、度提供了三級的業(yè)務(wù)分類參考；證券期貨業(yè)邏輯數(shù)據(jù)模型從數(shù)據(jù)角度提供了數(shù)據(jù)的分類參考。這些都可作為數(shù)據(jù)分類分級工作的重要輸入。邏輯梳理分類框架和定級規(guī)則是數(shù)據(jù)項(xiàng)分類分級清單的前提，有了分類的框架和定級的規(guī)則，才可以為數(shù)據(jù)項(xiàng)確定其歸屬的分類和級別。數(shù)據(jù)的邏輯梳理可以按以下三個步驟開展：智能化的數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)和分類 6某金融機(jī)構(gòu)與 IBM 合作，進(jìn)行數(shù)據(jù)治理工作，其中一項(xiàng)工作是對客戶重要信息實(shí)現(xiàn)在系統(tǒng)中的定位，即客戶的重要信息，需要被映射到各個系統(tǒng)數(shù)據(jù)庫表的具體字段?？蛻舢?dāng)前的數(shù)據(jù)字典和元數(shù)據(jù)描述存儲于 Excel 中，包括 10 個系統(tǒng)、1 萬余張表、20 多萬個字段。其中字典數(shù)據(jù)質(zhì)量欠佳，有一半字段

12、沒有中文名，而且還有一部分字段的英文名是由拼音首字母組成（例如，資金流向和證件類型都是 ZJLX）。如果按照英文到中文的關(guān)鍵字進(jìn)行匹配和定位具體字段就很容易出錯。如果采用人工方式鎖定和分析個人客戶重要信息的分布情況，則至少需要一名有經(jīng)驗(yàn)的數(shù)據(jù)分析師 15 個工作日以上的時間。針對相關(guān)法律規(guī)定、監(jiān)管文檔及附件進(jìn)行個人客戶相關(guān)的重要信息進(jìn)行搜集得到的大約 50 種信息項(xiàng)，IBM使用詞向量技術(shù)，泛化為 12 類客戶重要信息，包括涉及聯(lián)系電話的手機(jī)號、座機(jī)號在內(nèi)的詞庫擴(kuò)展，并使用泛化后的信息和業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫進(jìn)行匹配。借助人工智能技術(shù)，IBM 幫助客戶在 3 個工作日內(nèi)完成了客戶重要信息定位的全部工作，

13、而且準(zhǔn)確性優(yōu)于人工分析的結(jié)果。3海數(shù)據(jù)通共證享券與：價(jià)數(shù)值據(jù)發(fā)分揮類7分級，促進(jìn)海通證券作為國內(nèi)頭部券商，積累了大量的業(yè)務(wù)數(shù)據(jù)，也十分注重?cái)?shù)據(jù)資產(chǎn)的安全保護(hù)。在證券期貨業(yè)數(shù)據(jù)分類分級指引發(fā)布后，與 IBM 合作開展數(shù)據(jù)分類分級與業(yè)務(wù)數(shù)據(jù)安全保護(hù)項(xiàng)目，旨在通過開展數(shù)據(jù)分類分級工作，建立數(shù)據(jù)分類分級清單及管理規(guī)范，完善公司數(shù)據(jù)訪問控制手段。該項(xiàng)目結(jié)合海通證券的數(shù)據(jù)現(xiàn)狀、監(jiān)管要求和行業(yè)標(biāo)準(zhǔn)，以及 IBM 的領(lǐng)先實(shí)踐，為海通證券構(gòu)建了 2 大類 5 層級的分類框架，4 層級的數(shù)據(jù)定級規(guī)則和定級調(diào)整規(guī)則，近 1200 項(xiàng)的經(jīng)紀(jì)業(yè)務(wù)條線數(shù)據(jù)分類分級清單。在分類框架的設(shè)計(jì)上，考慮到邏輯數(shù)據(jù)模型的主題劃分在金

14、融領(lǐng)域是一套成熟的分類結(jié)構(gòu)并被廣泛地應(yīng)用，且預(yù)定義了豐富的業(yè)務(wù)屬性信息，因此引入了邏輯數(shù)據(jù)模型作為參考，以保證分類結(jié)構(gòu)的穩(wěn)定性和實(shí)用性。如“交易”業(yè)務(wù)分類下的二級分類由“主體、賬戶、品種、合同、事件、資產(chǎn)、渠道、營銷、行情資訊”組成。數(shù)據(jù)級別由低到高分為四級：1 級最低，表示可被公開或可被公眾獲知使用的數(shù)據(jù)，如公開渠道的行情資訊；4 級最高，表示可以識別觸達(dá)到個人信息主體的數(shù)據(jù)，一旦泄露、濫用可能危害人身和財(cái)產(chǎn)安全，如個人手機(jī)號碼。定級調(diào)整規(guī)則包括公開披露、脫敏處理、數(shù)據(jù)時效等情況下數(shù)據(jù)級別的調(diào)整，如披露信息未公開時的數(shù)據(jù)級別是 2 級，公開后滿足數(shù)據(jù) 1 級的定級條件，則其數(shù)據(jù)級別下調(diào)至 1

15、 級。數(shù)據(jù)分類分級清單包括邏輯數(shù)據(jù)項(xiàng)、邏輯數(shù)據(jù)項(xiàng)對應(yīng)的業(yè)務(wù)一級分類、業(yè)務(wù)二級分類、數(shù)據(jù)一級分類、數(shù)據(jù)二級分類、數(shù)據(jù)三級分類、數(shù)據(jù)級別、定級說明。海通證券數(shù)據(jù)分類分級清單是在行業(yè)監(jiān)管、國家及行業(yè)標(biāo)準(zhǔn)規(guī)范下進(jìn)行建設(shè)的，充分滿足合規(guī)要求。作為數(shù)據(jù)安全管理工作的重要抓手，對數(shù)據(jù)實(shí)行差異化管理和保護(hù)，在保證數(shù)據(jù)安全的基礎(chǔ)上促進(jìn)了數(shù)據(jù)的共享和價(jià)值發(fā)揮。搭建數(shù)據(jù)分類框架首先要進(jìn)行業(yè)務(wù)細(xì)分。銀行、證券等金融機(jī)構(gòu)的業(yè)務(wù)條線眾多，業(yè)務(wù)細(xì)分通常是邏輯劃分，不與細(xì)節(jié)的、具體的數(shù)據(jù)對應(yīng)。業(yè)務(wù)細(xì)分根據(jù)業(yè)務(wù)條線的復(fù)雜程度，一般劃分 1至 2 個層級，層級過多不利于分類的維護(hù)和管理。其次是數(shù)據(jù)歸類。在業(yè)務(wù)細(xì)分的基礎(chǔ)上，按數(shù)據(jù)

16、性質(zhì)、管理需要、使用需要、重要程度進(jìn)行數(shù)據(jù)歸類。如，按數(shù)據(jù)性質(zhì)，證券行業(yè)的賬戶數(shù)據(jù)可分為交易賬戶數(shù)據(jù)、資金賬戶數(shù)據(jù)和銀行賬戶數(shù)據(jù)；按管理需要，風(fēng)控?cái)?shù)據(jù)可分為市場風(fēng)險(xiǎn)數(shù)據(jù)、信用風(fēng)險(xiǎn)數(shù)據(jù)、操作風(fēng)險(xiǎn)數(shù)據(jù)等；按使用需要，客戶數(shù)據(jù)可分為個人客戶數(shù)據(jù)、機(jī)構(gòu)客戶數(shù)據(jù)；按重要程度，信息披露數(shù)據(jù)可分為公開信息和未公開信息。確定數(shù)據(jù)定級規(guī)則數(shù)據(jù)的安全屬性包括數(shù)據(jù)的完整性、保密性和可用性。分析數(shù)據(jù)的安全屬性遭到破壞后的影響對象、影響范圍和影響程度，以此確定數(shù)據(jù)的安全保護(hù)級別，數(shù)據(jù)安全級別通常分為 4 級。在完整性和可用性要求基本一致的情況下，則以保密性為主要定級依據(jù)。由于數(shù)據(jù)在傳輸、使用等過程中，因各類業(yè)務(wù)需要，在

17、數(shù)據(jù)體量或敏感程度等方面會發(fā)生變化，因此數(shù)據(jù)的級別也要隨之調(diào)整。如個人客戶的手機(jī)號碼是高敏感字段，但經(jīng)過脫敏處理后，其數(shù)據(jù)級別可向下調(diào)整一級。制定數(shù)據(jù)項(xiàng)分類分級清單梳理各業(yè)務(wù)條線的重點(diǎn)業(yè)務(wù)及其產(chǎn)生的數(shù)據(jù)，然后分析數(shù)據(jù)項(xiàng)所屬的分類，與數(shù)據(jù)分類框架進(jìn)行映射。再根據(jù)數(shù)據(jù)定級規(guī)則，確定數(shù)據(jù)項(xiàng)的安全級別。最終形成數(shù)據(jù)項(xiàng)分類分級清單。物理映射數(shù)據(jù)分類分級清單中的一個數(shù)據(jù)項(xiàng)可能對應(yīng)多個系統(tǒng)中的多個字段，例如清單中的“個人手機(jī)號碼”，它可以表示個人客戶的手機(jī)號碼，也可以表示本機(jī)構(gòu)員工的手機(jī)號碼。因此邏輯層面的數(shù)據(jù)分類分級清單建設(shè)完成后，要想切實(shí)發(fā)揮作用，還需要進(jìn)行物理映射，即數(shù)據(jù)分類分級清單與業(yè)務(wù)系統(tǒng)進(jìn)行映射

18、關(guān)聯(lián)。建立映射有兩種方式，一種基于數(shù)據(jù)字典進(jìn)行映射，一種在系統(tǒng)中的物理表上新增分類分級的屬性列。4技術(shù)工具數(shù)據(jù)管理者實(shí)現(xiàn)數(shù)據(jù)分類分級信息的統(tǒng)一管理和日常維護(hù)，需要借助相應(yīng)的技術(shù)手段來提升工作的效率，降低人工成本。搭建數(shù)據(jù)分類分級系統(tǒng)，作為工作平臺以有效支撐數(shù)據(jù)分類框架、數(shù)據(jù)定級規(guī)則、數(shù)據(jù)分類分級清單、業(yè)務(wù)系統(tǒng)物理映射等的建設(shè)和日常維護(hù)工作。特別是物理映射環(huán)節(jié)，運(yùn)用 AI 技術(shù)以最小的投入來實(shí)現(xiàn)數(shù)據(jù)分類分級的落地。同時通過這個平臺，還可以解決數(shù)據(jù)分類分級的展示、查詢和管理需求。下面，我們結(jié)合具體的應(yīng)用場景，來對比一下引入數(shù)據(jù)分類分級前后的審批流程。前文提到，很多企業(yè)內(nèi)部的數(shù)據(jù)審批由于缺乏審批依據(jù)

19、而流于形式，未能起到有效的數(shù)據(jù)保護(hù)作用。比如，一些企業(yè)在數(shù)據(jù)使用的審批環(huán)節(jié)設(shè)置了很多審批節(jié)點(diǎn)，看似對數(shù)據(jù)安全保護(hù)有利，但每個審批者對自己審批的重點(diǎn)不清晰，往往變成因?yàn)闃I(yè)務(wù)部門需要數(shù)據(jù)，就只能提供數(shù)據(jù)的局面。這樣的流程，既不能起到安全保護(hù)的審批效果，又因冗長的審批節(jié)點(diǎn)增加了工作成本。針對此痛點(diǎn)，建議企業(yè)結(jié)合自身具體情況，設(shè)計(jì)可落地的數(shù)據(jù)審批流程（見圖 2）。在數(shù)據(jù)使用審批環(huán)節(jié)，重點(diǎn)關(guān)注所需數(shù)據(jù)是否涉及高等級數(shù)據(jù)；如果涉及，業(yè)務(wù)部門是否能接受脫敏或加密等物理處理。通過基于數(shù)據(jù)級別的差異化管理，使得數(shù)據(jù)分類分級和安全保護(hù)工作更具抓手。在審批流程的設(shè)計(jì)中，有兩個原則需要強(qiáng)調(diào)：差異化原則：不同級別的數(shù)據(jù)

20、使用申請要遵循不同的審批流程，目前業(yè)內(nèi)普遍以數(shù)據(jù)級別越高，越需要高層管理者審批為原則。例如業(yè)務(wù)部門申請的數(shù)據(jù)存在不同的風(fēng)險(xiǎn)類別，較低級別的數(shù)據(jù)、個人身份識別信息、以及一旦泄露會造成巨大風(fēng)險(xiǎn)的高級別數(shù)據(jù)，所對應(yīng)的審批部門和流程應(yīng)該存在差異化設(shè)計(jì)。從嚴(yán)保護(hù)原則：建議企業(yè)對數(shù)據(jù)貫徹從嚴(yán)保護(hù)原則，若申請的數(shù)據(jù)集包含四級/ 三級數(shù)據(jù)，數(shù)據(jù)集的整體安全級別應(yīng)當(dāng)整體升級，從嚴(yán)保護(hù)。圖 2引入數(shù)據(jù)分類分級后的審批流程不同意1 填發(fā)寫起申請申單請 受理申請2是否含4級數(shù)據(jù)含不含權(quán)限開通3技術(shù)部查門詢按權(quán)需限開通審批會簽4是否同意數(shù)據(jù)申請同意5 權(quán)限開通不接受3 溝通能物否理接受處4 級理措施數(shù)據(jù)脫敏接敏受處脫理

21、4 權(quán)限開通4 數(shù)據(jù)使用技術(shù)部查門詢按權(quán)需限開通6 數(shù)據(jù)使用技術(shù)部查門詢按權(quán)需限開通 5 數(shù)據(jù)使用3級審批流程4級審批流程業(yè)部務(wù)門數(shù)部據(jù)門管理科部技門5整體規(guī)劃，有序推進(jìn)從實(shí)操層面看，金融機(jī)構(gòu)開展數(shù)據(jù)分類分級工作，是一個從整體規(guī)劃到采取具體保護(hù)措施的閉環(huán)管理過程（見圖 3）。整體規(guī)劃金融機(jī)構(gòu)首先要審視自身數(shù)據(jù)分類分級管理現(xiàn)狀，以及明確數(shù)據(jù)分類分級的管理目標(biāo)。對比現(xiàn)狀和目標(biāo)的差距，分析所需的各項(xiàng)資源，并制定工作計(jì)劃。建設(shè)分類分級清單按照分類分級的工作方法開展數(shù)據(jù)分類分級清單的建設(shè)與物理映射工作。清單的制定工作不是一蹴而就的，綜合考慮人員安排、技術(shù)工具等因素，可分階段逐步落實(shí)。第一階段關(guān)注重點(diǎn)數(shù)據(jù)，如從重點(diǎn)業(yè)務(wù)條線下的數(shù)據(jù)著手，或從敏感程度和重要程度較高的數(shù)據(jù)著手；第二階段由點(diǎn)及面，延續(xù)第一階段的工作思路，配合技