對JRT0197-2020金融數據安全數據安全分級指南的解讀

引言

隨著大數據、人工智能、云計算等新技術在金融行業的逐步應用，金融數據安全的重

要程度已經從信息數據資產演變成生產要素，是金融行業中基礎業務，乃至核心業務非常

重要的一環。金融數據安全一旦遭到破壞，不僅影響金融機構間，行業間，甚至會影響國

家安全、社會秩序、公共利益與金融市場穩定。所以對金融行業的數據進行分級，對不同

重要程度的金融數據落實安全管理制度，在管理程度上有的放矢,更好保護數據安全，正

是0197-2020制定的目的。從大體上來講，和22240-2020的方法有點相似，但是保護

的對象不一樣，0197-2020可以說是等級保護在金融行業對數據安全保護的方向上更深一

步的擴展。

一、金融數據安全的定級目標、定級原則、范圍

1、目標

全面梳理數據資產，確立適當的數據安全分級

2,數據安全定級的原則

合法合規性原則：不僅要滿足國家法律法規的要求，也要滿足行業內的規定。

可執行性：就是說數據定級的規則不能過于復雜，易于數據定級工作的落地。

實效型：具有一定有效期限，可根據變更策略及時調整數據的級別。

自主性：金融機構就是要結合自身業務特點，數據管理的需求，在0197的標準下自

主對數據進行定級。（沒有等級保護對定級對象定級時有專家評審，主管部門核準等這些

流程）

差異性：金融機構要根據自身的類型，敏感程度劃分數據安全層級以后，不宜將所有

數據集中劃分到其中若干個級別中，而是強調分散劃分。

客觀性原則：數據的定級規則是客觀存在,可校驗的，根據敏感性定的級別也是可符

合復核檢查的

3、數據安全定級范圍

未經電子化處理的金融數據和紙質文件經過掃描或其他電子化手段的電子數據（不涉

及國家秘密的金融數據，不涉及證券行業的金融數據）

二、數據安全定級

1、定級要素

在等級保護中，22240指出定級要素為受侵害的對象和對對象的侵害程度，但是在

0197是針對金融數據進行定級分類，定級要素為數據的QA特性，確定安全級別要考慮

的重要因素也是影響對象與對對象的影響程度。

2,影響對象/也可以理解為受侵害的客體

在等級保護中的等級保護對象收到破壞后受侵害的客體三個方面：一、公民、法人和

其他組織的合法權益。二、社會秩序、公共利益。三、國家安全

金融數據中對QA特性遭到破壞后，受侵害的客體包括四個方面：一、國家安全。二、公

眾權益。三、個人隱私。四、企業合法權益。

3、影響程度

在等級保護中，等級保護對象收到破壞后造成的侵害程度從低到高分為三種：一、一

般損害。二、嚴重損害。三、特別嚴重損害。

在0197-2020中規定金融行業的數據QA特性遭到破壞后，影響程度從低到高分為

四種：一、無損害。二、輕微損害。三、一般損害。四、嚴重損害。詳細參考說明見下

表：

影峋程度說明

好■程度?考說明

1.M能&致他及曰*安全的?大事件,發生他有國家利0或選或■大損失的情況.

2.可能9政尸引然*社會秩序國公共內色?再發公眾廣泛訴訟等拿價.娥4甘京金愚市場找存通利

產重描害產■破壞等情況.

3.可他/敢令吐業機構建*總管,門尸■蚣期.成名防■■/關?業務無法正常開發的情況.

4.可髭?效■大個人僅總安全照a.侵犯個人哈弘特產■能害個人權0的?件.

1,呵IB?致魁育社會佚序和公共NA的亭科.川震區域fl墨體小電事外.血療3效臺0巾靖秩序18

為破壞制情況.

2.M健&致金?業機構通W管?門處將.或帶也響后分業務無法求需開”的情況.

3.即險&致戈及履的個人侑忌笊*.也刖等安全風險.或時個人權0可能造成T彭峋的?件.

1.可髭"發個涮訴訟，利.使金?業機構護濟疆0、小警等X微殳畏.

桁ft猴害2.可健導致畬觸?機梅晶分?務也時僮中斷警情況.

3.wteviufl出個人客戶投權加工.處理.使用帙也第情況.對個人權a班或總分或常住影響.

對企業令法個人?也號不造應出*.或僅地或像壯彩響似不會彩■國享安全.公眾權總.金

“也必帙/或杼令■業機構各*業務正常開發.

嚴重損害的影響程度最明顯的特點就是可能會危及國家安全，對國家利益造成重大損

失，對社會秩序，公共利益造成嚴重損失，造成重大安全事件，或遭受嚴重破壞，重大處

罰。（假若危機到國家安全，就是嚴重損害）

三、定級規則

0197根據金融數據安全的CIA特性受到破壞后影響對象和所造成的影響程度，將安

全級別從高到低分為5級，4級，3級，2級，1級。

5級的金融數據遭到破壞會影響國家安全，4級的是常見的金融機構對金融數據定級

的天花板，3級是金融機構中重要的重要信息，關鍵信息。2級的金融數據為金融機構內

部日常辦公數據。1級的金融數據就是可公開的信息。

四、定級流程

對金融數據的安全定級流程可以分為五步，這其中包括數據資產梳理、數據安全定級

準備、數據安全級別判定、數據安全級別審核、數據安全級別批準。

數據資產梳理：

第一步：對現有的電子數據進行盤點、數據分類、形成統一的數據清單；數據資產梳

理主要針對數據庫中的資產以及數據庫的賬戶，根據數據格式分類,形成統一的數據資產

清單，接下來的數據分級工作基于此清單開始。

數據安全定級準備：

第二步：明確數據定級的顆粒度，對不同敏感度不同的數據（如庫文件、表、字段

等）在明確顆粒度上應做到有的放矢，哪些該粗放，哪些該細化。識別數據安全定級關鍵

要素，即為前面提到的CIA特性，因為不同的數據在QA方面有不同的側重點，識別關鍵

要素作為最終數據安全級別評定時所使用的主要影響對象及影響程度。舉個例子：有些數

據，是實時采集，實施傳輸，傳輸結束后立即失效的，那在保密性上面可能就不是主要影

響對象，完整性，可用性會受主要影響。

第三步：對分類的數據根據數據安全定級規則，結合國家及行業有關法律法規、部門

章程、綜合考慮數據規模、數據實效性、數據形態等因素對數據定級要素（影響對象、影

響程度）進行初步的安全級別判定，對數據安全級別進行復核，根據定級不同生成不同安

全級別的數據清單。

第四步：審核數據安全級別的評定過程和結果，必要時重復第二步循環重新定級，直

至劃定的安全級別與本機構數據安全保護目標一致。

第五步：由數據安全管理最高決策組織者對數據安全分級的結果進行審批。

注意：當數據安全定級后，因數據內容的變化、QA特性的變化、數據聚合，或因國

家和行業主管部門要求，金融機構要對相關數據的安全級別進行變更。

數據僑產稅用

?對電「故卅避打a點、KR’J分奏.影

成績的做據曉產濟不，

?收用數據假產.*fc數照格式,

?數據安全分覆合堪壯巾鬻.

故

據

數據安全定統再茁

發

生?則?數第定編讀N度：

食

?雙冽3出安金定級關健要去.

化

/

致

恥數據安全級冽”定

市

核收據安個援闞初中討定.

結故依安全韁冽女技

果

根興定覆影成本”安全加別的數卅活中.

為

不

通

過數掀安全級別審核