金融数据安全 数据安全分级指南

Financial data security—Guidelines for data security classification

1 范围

本标准给出了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程。

本标准适用于金融业机构开展电子数据安全分级工作，并为第三方评估机构等单位开展数据安全检查与评估工作提供参考。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 4754—2017 国民经济行业分类

GB/T 5271.1—2000 信息技术词汇第1部分：基本术语

GB/T 25069—2010 信息安全技术术语

GB/Z 28828—2012 信息安全技术公共及商用服务信息系统个人信息保护指南

GB/T 35273—2020 信息安全技术个人信息安全规范

JR/T 0158—2018 证券期货业数据分类分级指引

JR/T 0171—2020 个人金融信息保护技术规范

3 术语和定义

GB/T 25069—2010、GB/T 35273—2017界定的以及下列术语和定义适用于本文件。

3.1 信息 information

关于客体（如事实、事件、事物、过程或思想，包括概念）的知识，在一定的场合中具有特定的意义。

注：改写GB/T 5271.1—2000，定义2.01.01.01。

3.2 数据 data

信息的可用解释的形式化表示，以适用于通信、解释或处理。

注：可以通过人工或自动手段处理。

[GB/T 5271.1—2000，定义2.01.01.02]

3.3 隐私 privacy

个人所具有的控制或影响与之相关信息的权限，涉及由谁收集和存储、由谁披露。

3.4 信息处理 information processing

对信息操作的系统执行，包括数据处理，也可包括诸如数据通信和办公自动化之类的操作。

注：术语“信息处理”不能用为“数据处理”的同义词。

[GB/T 5271.1—2000, 定义2.01.01.05]

3.5 数据处理 data processing

数据操作的系统执行。

示例：数据的数字运算或逻辑运算，数据的归并或分类，程序的汇编或编译，或文本的操作，诸如编辑、分类、归并、存储、检索、显示或打印。

注1：术语“数据处理”不能用为“信息处理”的同义词。

注2：改写 GB/T 5271.1—2000，定义 2.01.01.06

3.6 保密性 confidentiality

使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。

[GB/T 25069—2010, 定义2.1.1]

3.7 完整性 integrity

保卫资产准确和完整的特性。

注：改写GB/T 25069—2010，定义2.1.42。

3.8 可用性 availability

已授权实体一旦需要就可访问和使用的数据和资源的特性。

[GB/T 25069—2010, 定义2.1.20]

3.9 安全级别 security level

有关敏感信息访问的级别划分，以此级别加之安全范畴能更精细地控制对数据的访问。

[GB/T 25069—2010, 定义2.2.1.6]

3.10 金融数据 financial data

金融业机构开展金融业务，提供金融服务以及日常经营管理所需或产生的各类数据。

注：该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理。

3.11 个人金融信息 personal financial information

金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。

注1：个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。

注2：改写GB/T 35273—2020，定义3.1。

3.12 个人金融信息主体 personal financial information subject

个人金融信息所标识的自然人。

注：改写GB/T 35273—2020，定义3.3。

3.13 影响 impact

事件的后果。在信息安全中，一般指不测事件的后果。

[GB/T 25069—2010, 定义2.3.105]

4 目标、原则和范围

4.1 数据安全定级目标

数据安全定级旨在对数据资产进行全面梳理并确立适当的数据安全分级，是金融业机构实施有效数据分级管理的必要前提和基础。数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工作，能够为金融业机构制定有针对性的数据安全管理措施提供支持。金融业包括货币金融服务、资本市场服务、保险业务等，参见GB/T 4754—2017。本标准所述“金融业机构”是指从事上述金融业的相关机构。

4.2 数据安全定级原则

数据安全定级遵循以下原则：

a) 合法合规性原则：满足国家法律法规及行业主管部门有关规定。

b) 可执行性原则：数据定级规则避免过于复杂，以确保数据定级工作的可行性。

c) 时效性原则：数据安全级别具有一定的有效期限，金融业机构直接组织到变更策略对数据级别进行及时调整。

d) 自主性原则：结合金融业机构自身数据管理需要（如战略需要、业务需要、风险接受程度等），在本标准的框架下自主确定数据安全级别。

e) 差异性原则：根据本机构数据的类型、敏感程度等差异，划分不同的数据安全层级，并将数据分散至不同的级别中，不宜将所有数据集中划分到其中若干个级别中。

f) 客观性原则：数据定级规则是客观且可校验的，即通过数据自身的属性和定级规则即可判定其级别，并且数据的定级是可复核和检查的。

4.3 数据安全定级范围

金融数据安全定级过程中，未经电子化的金融数据，依据档案文件等有关管理规范执行；涉及国家秘密的金融数据，依据国家有关法律法规执行，不在本标准规定的范围之内。证券行业数据安全分级工作参照JR/T 0158—2018执行。其中，安全定级工作所涉及的金融数据包括但不限于：

——提供金融产品或服务过程中的直接（或间接）采集的数据，包括通过柜面以纸质协议签署或收集，并经信息处理后在计算机系统中流转或保存的数据，以及通过信息系统签约或收集的电子信息。

——金融业机构信息系统内生成和存储的数据，包括业务数据、经营管理数据等，其中：

- 业务数据指金融业机构在提供金融产品或服务过程中产生的数据，如交易信息、统计数据等。

- 经营管理数据指金融业机构在履行职能与经营管理过程中采集、产生的数据，如营销服务数据、运营数据、风险管理数据、技术管理数据（如程序代码、系统以及网络等）、统计分析数据、综合管理数据等。

——金融业机构内部办公网络与办公设备（终端）中产生、交换、归档的电子数据，如机构内部日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子邮件信息等。

——金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据。

——其他在进行分级的金融数据。

5 数据安全定级

5.1 定级要素

5.1.1 概述

表B.1 数据安全级别升降示例

附录 C

（资料性附录）

重要数据

重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据），一旦未经授权披露、丢失、滥用、篡改或销毁，或汇聚、整合、分析后，可能造成以下后果：

——危害国家安全、国防利益，破坏国际关系。

——损害国家财产、社会公共利益和个人合法利益。

——影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等。

——影响行政机关依法调查处理违法、渎职或涉嫌违法、渎职行为。

——干扰政府部门依法开展监督、管理、检查、审计等行政活动，妨碍政府部门履行职责。

——危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全。

——影响政府国家经济秩序和金融安全。

——可分析出国家秘密或敏感信息。

——影响政府国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等其他国家安全事项。

重要数据可包括宏观特征数据、海量信息汇聚得到的衍生特征数据、行业监管机构决策和执法过程中的数据，以及关键信息基础设施网络安全缺陷信息等，如：

——宏观特征：可反映不可更改或长时间保持稳定的经济特征、社会特征的数据。

——海量信息汇聚得到的衍生特征数据：汇聚后覆盖多省份的金融消费者真实交易信息。

——行业监管机构决策和执法过程中的数据：行政机关、执法机关在履职或执法过程中收集和产生的不涉及国家秘密且未公开的受控数据。

——关键信息基础设施网络安全缺陷信息：网络设备、服务器、信息系统等有关漏洞信息。

重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

47

参 考 文 献

[1] GB/T 13016—2018 标准体系构建原则和要求

[2] GB/T 13017—2018 企业标准体系表编制指南

[3] GM/Z 0001—2013 密码术语

[4] JR/T 0061—2011 银行卡名词术语

[5] JR/T 0149—2016 中国金融移动支付标记化技术规范

[6] Guide for Mapping Types of Information and Information Systems to Security Categories, NIST Special Publication 800-60 Volume I: NIST, 2008, Revision 1

[7] Appendices to Guide for Mapping Types of Information and Information Systems to Security Categories, NIST Special Publication 800-60 Volume II: NIST, 2008, Revision 1

[8] Classified National Security Information Program for State, Local, Tribal and Private Sector Entities Implementing Directive, Department of Homeland Security Office of the Chief Security Officer of U.S.A., February, 2012

[9] Marking Controlled Unclassified Information, Version 1.1, National Archives of U.S.A., December 6, 2016

[10] 中国人民银行. 中国人民银行关于印发《中国人民银行金融消费者权益保护实施办法》的通知（银发〔2016〕314号），2016-12-14

[11] 中国人民银行. 中国人民银行关于印发《金融科技（FinTech）发展规划（2019—2021年）》的通知（银发〔2019〕209号），2019-08-19

48