在数字化浪潮席卷下,银行保险业的运营模式发生了翻天覆地的变化,数据已然成为行业发展的核心驱动力。从客户基本信息、交易记录,到业务运营的关键数据、市场分析报告,海量数据背后潜藏巨大价值。然而,数据安全风险也随之加剧,数据泄露、恶意篡改等安全事件不仅会对客户造成经济损失,还可能引发系统性金融风险,动摇整个行业的信任根基。
2024年底,国家金融监督管理总局正式发布《银行保险机构数据安全管理办法》(以下简称“办法”),其中第十一条明确指出:银行保险机构应当指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门,且需将组织建立和维护数据目录、推动实施数据分类分级保护列为数据安全工作的主要职责之一。这一政策的出台,为银行保险业的数据安全管理和实施指明了方向。
· 银行保险机构如何有效推进数据分类分级保护?
· 分类分级应遵循怎样的原则与方法?
· 数据目录与分类分级存在何种关联?
· 分类分级结果又该应用于哪些业务场景与环节?
· 金监局又将如何开展监督管理?
针对上述关键问题,《办法》分别在“数据分类分级”、“数据安全管理”、“数据安全技术保护”、“个人信息保护”、“数据安全风险监测与处置”、“监督管理”等章节对数据分类分级实施路径、分类分级结果的防护应用场景、监管细则,作出了详尽且明确的规定。
第十六条:银行保险机构应当制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,采取差异化安全保护措施;
第二十一条:银行保险机构应当建立企业级数据架构,统筹开展对全域数据资产登记管理,建立数据资产地图,以数据分类分级为基础明确数据保护对象,围绕数据处理活动实施安全管理。
《办法》明确要求银行保险机构建立完善的数据分类分级保护制度,其核心要点涵盖以下方面:
全域数据资产登记:银行保险机构需开展全域数据资产登记管理,建立数据资产地图
构建分类分级规范与可持续运行机制:银行保险机构需建立数据安全分类分级规范,并实施分类分级、输出数据目录并进行动态更新,确保分类分级结果实效性
差异化数据安全管理与保护:银行保险机构需明确数据保护对象,并采取差异化数据安全保护措施
· 围绕数据处理活动实施对应的安全管理
· 围绕数据全生命周期进行数据安全防护
智能数据安全分类分级平台,助力银行保险业高效落地分类分级防护制度
对于银行保险业而言,海量数据的资产登记、分类分级无疑是庞大且复杂的工作,尤其在缺乏分类分级大纲、缺乏可持续的运营手段、人员紧缺等背景之下,简单的分类分级工具已然无法满足组织机构的精准、高效、及时的分类分级要求。
美创数据安全分类分级V3.0,引入智能化能力,基于《银行保险机构数据安全管理办法》的要求,可辅助银行保险业快速落地分类分级防护制度。
第二十一条:明确银行保险机构应当建立企业级数据架构,统筹开展对全域数据资产登记管理,建立数据资产地图。
《办法》要求在数据安全体系规划过程中,相关机构需全面梳理自身数据资源,清晰掌握所有数据家底,掌握自己拥有哪些数据资产、数据资产的分布状况及关联关系等关键信息,并据此构建起数据资产地图,实施统一管理。
仅需根据IP及IP段,即可自动探查各类结构化、非结构化数据源,精准扫描发现数据库、大数据平台等各类数据源。同时,平台提供数据权限功能,为不同数据源分配管理账户,银行保险业数据源相关责任人可通过在平台按部门、按业务类型、按所属应用等维度设置资产分组标签,或上传离线数据源列表,系统即可自动汇总形成完整的数据源清单,这份清单不仅方便银行保险机构对数据资产进行集中管理和监控,还为后续的数据分类分级、安全防护等工作奠定了坚实基础。
平台全方位扫描各数据源、自动探测表结构,通过采集「Schema、表、字段」元数据、数据抽样、计算数据规模等动作,输出元数据清单,同时,平台可智能识别主副表、关联字段等数据关系,以提升分类分级效率。
基于以上,形成完备的全域数据资产地图,实现数据的统一管理。
第十六条:银行保险机构应当制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,采取差异化安全保护措施。
第十七条:对于银行保险业的数据分类规范做了阐述,要求对机构业务及经营管理过程中获取、产生的数据按要求进行分类管理
第十八条:对于银行保险业的数据规范原则做了阐述,要求需根据数据的重要程度、敏感程度进行分级,并给出了不同分级的定义
第十九条:进一步要求银行保险机构应当加强数据安全级别的时效管理,当数据的业务属性、重要程度和可能造成的危害程度发生变化,导致原安全级别不再适用的,应当及时动态调整。
第七十一条:国家金融监督管理总局按照国家数据分类分级要求,制定银行业保险业重要数据目录,提出核心数据目录建议,监督指导银行保险机构开展数据分类分级管理和数据保护。银行保险机构应当按要求向国家金融监督管理总局或者其派出机构报送重要数据目录。重要数据目录发生重大变化应当及时报备更新后的数据目录。
1. 这意味着差异化安全保护的前提一定是合规分类分级,银行保险机构需以安全为目的,结合自身业务特性,制定包含一定原则和要求的合规分类分级规范和制度,且需严格参照规范进行分类分级;
2. 分类分级不是一次性任务,需要在各类场景中,及时发现数据源变化、并对分类分级结果进行更新,确保数据的时效性;
3. 重要数据目录,由国家金融监督管理总局定义,银行业保险业需及时识别并上报重要数据目录。
银行保险业数据分类分级基本规范:
美创智能数据安全分类分级平台 数据一键分类分级能力
平台内置多年实战经验沉淀的银行业数据安全分类分级标准,标准依照《银行保险机构数据安全管理办法》、《金融数据安全 数据安全分级指南(JR/T 0197—2020)》、《个人信息保护法》等分类分级规范,明确了各类业务术语对应的所属分类、所属分级、及分级依据等内容,用户无需自行解读合规分类分级要求,即可实现分类分级标准的一键调用,有效解决用户缺乏分类分级经验的难题。
平台融合识别规则、NLP、大模型等多种智能化能力,实现高效、精准分类分级。
·智能语义识别:基于元数据清单和样本数据,一键作业智能精准识别语义,数据识别率高达99%+,可有效大幅降低人工介入成本;
·智能化分类分级:依据产品内置的分类分级标准对海量字段进行智能化分类分级匹配,分类分级率达到99.32%,准确率高达90%+;
·智能自检:单模型自检、多模型智能协同校验分类分级结果,减少人工核验、提质增效。
分类分级作业结束后,平台自动输出多视角的、完整的分类分级目录详情,同时,针对分类分级结果分析,提供可视化展示,让数据安全状态一目了然,比如敏感数据占比、数据分级分布、数据敏感指数等关键信息都清晰可见。
针对数据源变化,如数据量变化、字段变更等情况,美创数据安全分类分级平台V3.0通过自适应分类分级、分类分级结果持续反哺等能力,持续提升分类分级识别率、准确率、及结果的时效性,可实现分类分级的可持续运营、确保数据分类分级结果实时更新,具备时效性:
·自适应分类分级:支持对源数据及元数据进行持续监测,针对增量变化、字段变更等数据,动态调整分类分级结果,如针对数量发生明显变化的数据,自动计算其数据量,根据分类分级标准动态升降安全级别;
·分类分级结果持续反哺:支持将已确认的分类分级结果息一键更新到标准中,如陌生业务术语及其分类分级结果更新至标准后,可在后期的分类分级作业中高效复用,持续提升识别率和准确率。
第二十一条:银行保险机构应当建立企业级数据架构,统筹开展对全域数据资产登记管理,建立数据资产地图,以数据分类分级为基础明确数据保护对象,围绕数据处理活动实施安全管理。
第三十九条:要求银行保险机构应当建立数据安全技术保护体系,明确数据保护策略方法,采取技术措施,保障数据安全。
其中针对数据安全管理、数据安全技术保护,这里不再罗列原文,但整体而言,围绕分类分级管理与保护,可以明确办法的内涵:
1. 应基于数据安全分类分级结果,明确数据保护对象;
2. 数据分类分级结果需要实时应用于各类数据安全场景;
3. 数据分级管理要求覆盖数据收集、引入、加工、访问、共享、委托/外包/共同处理、转移、外发、公开、出境、备份、销毁等各类数据使用场景,不同场景采取不同管理策略,如:
1. 业务活动评估:涉及三方机构参与的敏感级及以上数据业务活动,应先开展数据安全合规评估;
2. 数据收集:跨机构收集行业重要级及以上数据,需经国家金融监督管理总局同意;
3. 数据加工:处理敏感级及以上数据需采取匿名化等措施,新衍生敏感数据也要调整保护措施;
4. 数据访问:敏感级及以上数据严格实施访问授权、审计,从生产环境提取需严格审批和明确数据使用期限;
5. 数据共享:银行保险机构与其母行、集团,或者其子行、子公司共享敏感级及以上数据,需获数据主体授权;
6. 外包处理:涉及敏感级及以上数据处理,要加强供应商管理,责任不能外包;
7. 数据外发:敏感级及以上数据外发需数据主体同意,核心数据跨主体流动要按政策评估、审查;
8. 数据公开:敏感级及以上数据,不得公开;
9. 数据出境:向境外提供重要数据和个人信息,机构要按要求评估并担责;
10. 数据备份:敏感级及以上数据备份要加强防护,严格管理访问权限;
11. 数据销毁…
4. 数据安全技术保护涵盖信息系统开发、等级保护、数据全生命周期等各类技术规划与应用场景,要求如下:
1. 信息系统开发:将数据安全纳入信息系统开发生命周期框架,敏感及以上数据未经脱敏处理不得进入测试环境;
2. 等级保护:按数据安全级别建立数据安全保护基线,确保对应安全措施满足处理和存储最高级别数据安全保护要求,重点保护敏感及以上数据涉及的数据环境;
3. 信息系统保护:敏感级及以上数据全生命周期都要做好访问控制,多来源敏感级及以上数据汇聚集中后,应当采取加强性或者至少不低于集中前最高级别数据保护强度的安全措施。
4. 生命周期保护:
· 数据访问:敏感及以上数据,“业务必需”访问策略需严格匹配数据安全级别,并记录日志
|
数据级别
|
操作日志备份
(数据内部处理)
|
操作日志备份
(数据委托/共同处理)
|
|
核心数据
|
≥ 3年
|
≥ 3年
|
|
重要数据
|
≥ 1年
|
|
敏感数据
|
· 数据传输:涉及敏感级及以上数据传输应当采用安全的传输方式;
·数据存储:应对敏感级及以上数据采取勒索防护、木马防护、容灾备份、介质受控访问等安全存储措施,个人身份鉴别数据不得明文存储、传输和展示;
·数据销毁:需要确保敏感及以上数据销毁后不可恢复;
除此之外,办法还在“数据安全风险监测与处置”、“监督管理”等章节明确了分类分级结果的应用:
数据安全风险监测与处置:
1. 重点监测敏感级及以上数据流动;
2. 数据安全事件分级和数据等级相关,涉及到重要数据的,一般为重大事件;涉及到核心、重要数据的,一般为特别重大事件,需按要求进行事件上报、处置、整改
监督管理:
1. 总局及其派出机构会检查数据安全保护情况,将数据安全管理情况纳入监管评级评估体系;
2. 银行保险机构应当按要求向国家金融监督管理总局或者其派出机构报送重要数据目录,重要数据目录发生重大变化应当及时报备更新后的数据目录。
3. 涉及批量敏感级及以上数据的数据共享、委托处理、转让交易、数据转移,银行保险机构应当在处理、合同签署前二十个工作日向国家金融监督管理总局或者其派出机构报告;
…
美创智能数据安全分类分级平台 分类分级结果赋能百态
平台可通过标准化接口,将分类分级结果自动赋能至以上各类数据安全场景和数据安全应用,实现数据分类分级结果的多态赋能,可有效解决分类分级结果难以应用的问题,辅助银行机构落实数据安全分类分级保护体系。如:
根据国家金融监督管理总局发布的重要数据目录,平台可一键精准识别银行机构的数据含义,输出《重要数据目录清单》,支持通过下载表格或以标准接口向网信办及行业监管单位上报数据目录清单,快速响应合规诉求;
内置符合行业合规分类分级标准,可精准发现组织机构中存在的重要数据/个人信息/商业机密,并按要求分类、逐级打标,形成数据源视角或分类分级视角的《数据目录清单》,分类分级结果自适应更新,可灵活应用于数据安全防护场景,其中,美创分类分级平台已实现与美创自有数据安全一体化平台的联动,结果可一键应用于加密、脱敏、审计、运维管控等场景,无需额外对接。
平台支持与银行保险第三方业务流程进行快速融合,实现第三方业务系统通过实时调用分类分级产品能力,实现精准分类分级打标,辅助相关业务系统响应数据合规开放共享的要求,如分类分级结果实时对接至编目系统,通过实时推荐分级结果,促进数据合规开放共享;
平台可快速输出分类分级结果目录,辅助筛选高敏感信息,避免数据违规进入流通市场,实现银行业数据合规高效流通;
浙公网安备 33010502006954号 
