在數字化浪潮席卷下,銀行保險業的運營模式發生了翻天覆地的變化,數據已然成為行業發展的核心驅動力。從客戶基本信息、交易記錄,到業務運營的關鍵數據、市場分析報告,海量數據背后潛藏巨大價值。然而,數據安全風險也隨之加劇,數據泄露、惡意篡改等安全事件不僅會對客戶造成經濟損失,還可能引發系統性金融風險,動搖整個行業的信任根基。
2024年底,國家金融監督管理總局正式發布《銀行保險機構數據安全管理辦法》(以下簡稱“辦法”),其中第十一條明確指出:銀行保險機構應當指定數據安全歸口管理部門,作為本機構負責數據安全工作的主責部門,且需將組織建立和維護數據目錄、推動實施數據分類分級保護列為數據安全工作的主要職責之一。這一政策的出臺,為銀行保險業的數據安全管理和實施指明了方向。
· 銀行保險機構如何有效推進數據分類分級保護?
· 分類分級應遵循怎樣的原則與方法?
· 數據目錄與分類分級存在何種關聯?
· 分類分級結果又該應用于哪些業務場景與環節?
· 金監局又將如何開展監督管理?
針對上述關鍵問題,《辦法》分別在“數據分類分級”、“數據安全管理”、“數據安全技術保護”、“個人信息保護”、“數據安全風險監測與處置”、“監督管理”等章節對數據分類分級實施路徑、分類分級結果的防護應用場景、監管細則,作出了詳盡且明確的規定。
第十六條:銀行保險機構應當制定數據分類分級保護制度,建立數據目錄和分類分級規范,動態管理和維護數據目錄,采取差異化安全保護措施;
第二十一條:銀行保險機構應當建立企業級數據架構,統籌開展對全域數據資產登記管理,建立數據資產地圖,以數據分類分級為基礎明確數據保護對象,圍繞數據處理活動實施安全管理。
《辦法》明確要求銀行保險機構建立完善的數據分類分級保護制度,其核心要點涵蓋以下方面:
全域數據資產登記:銀行保險機構需開展全域數據資產登記管理,建立數據資產地圖
構建分類分級規范與可持續運行機制:銀行保險機構需建立數據安全分類分級規范,并實施分類分級、輸出數據目錄并進行動態更新,確保分類分級結果實效性
差異化數據安全管理與保護:銀行保險機構需明確數據保護對象,并采取差異化數據安全保護措施
· 圍繞數據處理活動實施對應的安全管理
· 圍繞數據全生命周期進行數據安全防護
智能數據安全分類分級平臺,助力銀行保險業高效落地分類分級防護制度
對于銀行保險業而言,海量數據的資產登記、分類分級無疑是龐大且復雜的工作,尤其在缺乏分類分級大綱、缺乏可持續的運營手段、人員緊缺等背景之下,簡單的分類分級工具已然無法滿足組織機構的精準、高效、及時的分類分級要求。
美創數據安全分類分級V3.0,引入智能化能力,基于《銀行保險機構數據安全管理辦法》的要求,可輔助銀行保險業快速落地分類分級防護制度。
第二十一條:明確銀行保險機構應當建立企業級數據架構,統籌開展對全域數據資產登記管理,建立數據資產地圖。
《辦法》要求在數據安全體系規劃過程中,相關機構需全面梳理自身數據資源,清晰掌握所有數據家底,掌握自己擁有哪些數據資產、數據資產的分布狀況及關聯關系等關鍵信息,并據此構建起數據資產地圖,實施統一管理。
僅需根據IP及IP段,即可自動探查各類結構化、非結構化數據源,精準掃描發現數據庫、大數據平臺等各類數據源。同時,平臺提供數據權限功能,為不同數據源分配管理賬戶,銀行保險業數據源相關責任人可通過在平臺按部門、按業務類型、按所屬應用等維度設置資產分組標簽,或上傳離線數據源列表,系統即可自動匯總形成完整的數據源清單,這份清單不僅方便銀行保險機構對數據資產進行集中管理和監控,還為后續的數據分類分級、安全防護等工作奠定了堅實基礎。
平臺全方位掃描各數據源、自動探測表結構,通過采集「Schema、表、字段」元數據、數據抽樣、計算數據規模等動作,輸出元數據清單,同時,平臺可智能識別主副表、關聯字段等數據關系,以提升分類分級效率。
基于以上,形成完備的全域數據資產地圖,實現數據的統一管理。
第十六條:銀行保險機構應當制定數據分類分級保護制度,建立數據目錄和分類分級規范,動態管理和維護數據目錄,采取差異化安全保護措施。
第十七條:對于銀行保險業的數據分類規范做了闡述,要求對機構業務及經營管理過程中獲取、產生的數據按要求進行分類管理
第十八條:對于銀行保險業的數據規范原則做了闡述,要求需根據數據的重要程度、敏感程度進行分級,并給出了不同分級的定義
第十九條:進一步要求銀行保險機構應當加強數據安全級別的時效管理,當數據的業務屬性、重要程度和可能造成的危害程度發生變化,導致原安全級別不再適用的,應當及時動態調整。
第七十一條:國家金融監督管理總局按照國家數據分類分級要求,制定銀行業保險業重要數據目錄,提出核心數據目錄建議,監督指導銀行保險機構開展數據分類分級管理和數據保護。銀行保險機構應當按要求向國家金融監督管理總局或者其派出機構報送重要數據目錄。重要數據目錄發生重大變化應當及時報備更新后的數據目錄。
1. 這意味著差異化安全保護的前提一定是合規分類分級,銀行保險機構需以安全為目的,結合自身業務特性,制定包含一定原則和要求的合規分類分級規范和制度,且需嚴格參照規范進行分類分級;
2. 分類分級不是一次性任務,需要在各類場景中,及時發現數據源變化、并對分類分級結果進行更新,確保數據的時效性;
3. 重要數據目錄,由國家金融監督管理總局定義,銀行業保險業需及時識別并上報重要數據目錄。
銀行保險業數據分類分級基本規范:
美創智能數據安全分類分級平臺 數據一鍵分類分級能力
平臺內置多年實戰經驗沉淀的銀行業數據安全分類分級標準,標準依照《銀行保險機構數據安全管理辦法》、《金融數據安全 數據安全分級指南(JR/T 0197—2020)》、《個人信息保護法》等分類分級規范,明確了各類業務術語對應的所屬分類、所屬分級、及分級依據等內容,用戶無需自行解讀合規分類分級要求,即可實現分類分級標準的一鍵調用,有效解決用戶缺乏分類分級經驗的難題。
平臺融合識別規則、NLP、大模型等多種智能化能力,實現高效、精準分類分級。
·智能語義識別:基于元數據清單和樣本數據,一鍵作業智能精準識別語義,數據識別率高達99%+,可有效大幅降低人工介入成本;
·智能化分類分級:依據產品內置的分類分級標準對海量字段進行智能化分類分級匹配,分類分級率達到99.32%,準確率高達90%+;
·智能自檢:單模型自檢、多模型智能協同校驗分類分級結果,減少人工核驗、提質增效。
分類分級作業結束后,平臺自動輸出多視角的、完整的分類分級目錄詳情,同時,針對分類分級結果分析,提供可視化展示,讓數據安全狀態一目了然,比如敏感數據占比、數據分級分布、數據敏感指數等關鍵信息都清晰可見。
針對數據源變化,如數據量變化、字段變更等情況,美創數據安全分類分級平臺V3.0通過自適應分類分級、分類分級結果持續反哺等能力,持續提升分類分級識別率、準確率、及結果的時效性,可實現分類分級的可持續運營、確保數據分類分級結果實時更新,具備時效性:
·自適應分類分級:支持對源數據及元數據進行持續監測,針對增量變化、字段變更等數據,動態調整分類分級結果,如針對數量發生明顯變化的數據,自動計算其數據量,根據分類分級標準動態升降安全級別;
·分類分級結果持續反哺:支持將已確認的分類分級結果息一鍵更新到標準中,如陌生業務術語及其分類分級結果更新至標準后,可在后期的分類分級作業中高效復用,持續提升識別率和準確率。
第二十一條:銀行保險機構應當建立企業級數據架構,統籌開展對全域數據資產登記管理,建立數據資產地圖,以數據分類分級為基礎明確數據保護對象,圍繞數據處理活動實施安全管理。
第三十九條:要求銀行保險機構應當建立數據安全技術保護體系,明確數據保護策略方法,采取技術措施,保障數據安全。
其中針對數據安全管理、數據安全技術保護,這里不再羅列原文,但整體而言,圍繞分類分級管理與保護,可以明確辦法的內涵:
1. 應基于數據安全分類分級結果,明確數據保護對象;
2. 數據分類分級結果需要實時應用于各類數據安全場景;
3. 數據分級管理要求覆蓋數據收集、引入、加工、訪問、共享、委托/外包/共同處理、轉移、外發、公開、出境、備份、銷毀等各類數據使用場景,不同場景采取不同管理策略,如:
1. 業務活動評估:涉及三方機構參與的敏感級及以上數據業務活動,應先開展數據安全合規評估;
2. 數據收集:跨機構收集行業重要級及以上數據,需經國家金融監督管理總局同意;
3. 數據加工:處理敏感級及以上數據需采取匿名化等措施,新衍生敏感數據也要調整保護措施;
4. 數據訪問:敏感級及以上數據嚴格實施訪問授權、審計,從生產環境提取需嚴格審批和明確數據使用期限;
5. 數據共享:銀行保險機構與其母行、集團,或者其子行、子公司共享敏感級及以上數據,需獲數據主體授權;
6. 外包處理:涉及敏感級及以上數據處理,要加強供應商管理,責任不能外包;
7. 數據外發:敏感級及以上數據外發需數據主體同意,核心數據跨主體流動要按政策評估、審查;
8. 數據公開:敏感級及以上數據,不得公開;
9. 數據出境:向境外提供重要數據和個人信息,機構要按要求評估并擔責;
10. 數據備份:敏感級及以上數據備份要加強防護,嚴格管理訪問權限;
11. 數據銷毀…
4. 數據安全技術保護涵蓋信息系統開發、等級保護、數據全生命周期等各類技術規劃與應用場景,要求如下:
1. 信息系統開發:將數據安全納入信息系統開發生命周期框架,敏感及以上數據未經脫敏處理不得進入測試環境;
2. 等級保護:按數據安全級別建立數據安全保護基線,確保對應安全措施滿足處理和存儲最高級別數據安全保護要求,重點保護敏感及以上數據涉及的數據環境;
3. 信息系統保護:敏感級及以上數據全生命周期都要做好訪問控制,多來源敏感級及以上數據匯聚集中后,應當采取加強性或者至少不低于集中前最高級別數據保護強度的安全措施。
4. 生命周期保護:
· 數據訪問:敏感及以上數據,“業務必需”訪問策略需嚴格匹配數據安全級別,并記錄日志
|
數據級別
|
操作日志備份
(數據內部處理)
|
操作日志備份
(數據委托/共同處理)
|
|
核心數據
|
≥ 3年
|
≥ 3年
|
|
重要數據
|
≥ 1年
|
|
敏感數據
|
· 數據傳輸:涉及敏感級及以上數據傳輸應當采用安全的傳輸方式;
·數據存儲:應對敏感級及以上數據采取勒索防護、木馬防護、容災備份、介質受控訪問等安全存儲措施,個人身份鑒別數據不得明文存儲、傳輸和展示;
·數據銷毀:需要確保敏感及以上數據銷毀后不可恢復;
除此之外,辦法還在“數據安全風險監測與處置”、“監督管理”等章節明確了分類分級結果的應用:
數據安全風險監測與處置:
1. 重點監測敏感級及以上數據流動;
2. 數據安全事件分級和數據等級相關,涉及到重要數據的,一般為重大事件;涉及到核心、重要數據的,一般為特別重大事件,需按要求進行事件上報、處置、整改
監督管理:
1. 總局及其派出機構會檢查數據安全保護情況,將數據安全管理情況納入監管評級評估體系;
2. 銀行保險機構應當按要求向國家金融監督管理總局或者其派出機構報送重要數據目錄,重要數據目錄發生重大變化應當及時報備更新后的數據目錄。
3. 涉及批量敏感級及以上數據的數據共享、委托處理、轉讓交易、數據轉移,銀行保險機構應當在處理、合同簽署前二十個工作日向國家金融監督管理總局或者其派出機構報告;
…
美創智能數據安全分類分級平臺 分類分級結果賦能百態
平臺可通過標準化接口,將分類分級結果自動賦能至以上各類數據安全場景和數據安全應用,實現數據分類分級結果的多態賦能,可有效解決分類分級結果難以應用的問題,輔助銀行機構落實數據安全分類分級保護體系。如:
根據國家金融監督管理總局發布的重要數據目錄,平臺可一鍵精準識別銀行機構的數據含義,輸出《重要數據目錄清單》,支持通過下載表格或以標準接口向網信辦及行業監管單位上報數據目錄清單,快速響應合規訴求;
內置符合行業合規分類分級標準,可精準發現組織機構中存在的重要數據/個人信息/商業機密,并按要求分類、逐級打標,形成數據源視角或分類分級視角的《數據目錄清單》,分類分級結果自適應更新,可靈活應用于數據安全防護場景,其中,美創分類分級平臺已實現與美創自有數據安全一體化平臺的聯動,結果可一鍵應用于加密、脫敏、審計、運維管控等場景,無需額外對接。
平臺支持與銀行保險第三方業務流程進行快速融合,實現第三方業務系統通過實時調用分類分級產品能力,實現精準分類分級打標,輔助相關業務系統響應數據合規開放共享的要求,如分類分級結果實時對接至編目系統,通過實時推薦分級結果,促進數據合規開放共享;
平臺可快速輸出分類分級結果目錄,輔助篩選高敏感信息,避免數據違規進入流通市場,實現銀行業數據合規高效流通;
浙公網安備 33010502006954號 
