金融行业数据分类分级实践：筑牢数据安全防护基础护航数字化转型

导语：

(资料图片仅供参考)

在被动满足合规和自主安全防护双向驱动下，各行业数据安全建设稳步推进。在数据安全体系化建设过程中，启明星辰（002439）贴合用户场景探索出大量全面、高效的建设思路。数据分类分级作为数据安全体系建设的基础，今天我们将结合金融行业数据分级分类工作实践经验与大家进行分享。

金融行业数据分类分级工作背景

随着金融技术的不断发展和应用，金融行业数字化转型加速。数据作为金融行业数字化转型的关键支撑，其重要性不言而喻。金融行业数据安全防护是确保金融安全的核心和关键，由于金融行业敏感度和严格的行业监管要求，需要对金融数据进行分类分级管理，数据安全分类分级成为数据安全防护的基础。

金融数据复杂多样，对数据实施分级管理，能够进一步明确保护对象，有助于金融业机构合理分配数据保护资源和节约成本，是金融业机构建立完善的金融数据生命周期保护框架的基础，也是关键性数据安全防护的前提条件。

金融数据分类分级，是开展数据全生命周期管理的基础。在金融行业领域，目前已出台《金融数据安全数据安全分级指南》（JR/T 0197—2020）（下称“《金融数据分级指南》”）及《证券期货业数据分类分级指引》（JR/T 0158—2018）（下称“《证券期货数据分级指引》”）、《个人金融信息保护技术规范》（JR/T 0171 —2020）等行业标准，为金融业机构的数据资产分类分级提供了重要参考。

金融行业数据分类分级工作难点

1、数据类型维度难定义

数据分类可以有很多维度，不同维度各有价值，如何选择一个维度对数据进行分类需要考虑数据分类的目的，分类维度的不清晰会导致后续基于分类的很多操作都出现问题。

2、数据分级标准面临实践挑战

数据分级涉及定量和定性分析等工具使用，尤其涉及国家安全、公众利益、个人隐私、企业合法权益等评价因素，在具体实践中需要找到一个适中的级数，使得在实践过程中达到效率和安全的平衡。定级过高会给实际使用带来困扰，过低的级别又会使得数据管控难以准确地得到约束。

金融行业数据分类分级工作实践

要做好数据资产识别及分类分级工作，当务之急是确定原则。选择一个方法论，例如MECE分析法，以“相互独立，完全穷尽”为要义，对于一个重大的议题，能够做到不重叠、不遗漏的分类，而且能够借此有效把握问题的核心，及解决问题的方法。

参考《金融数据安全数据安全分级指南》JR/T0197-2020基于对组织单位自身数据资产的整体梳理情况，金融业机构可以先将金融数据分为客户类、业务类、经营管理类和监管类的一级子类，在这一过程中，金融业机构可以对其所涉及的信息类别与信息量有一个较为科学准确的把握。然后根据信息主体或金融服务场景的不同再进行二级子类、三级子类下的细分（如作为一级子类的业务数据可再细分为账户信息、法定数字货币钱包信息、合约协议、金融监管和服务、交易信息等二级子类）。

业内已有一些提供数据云安全/管理解决方案的机构可以帮助企业在云上进行自动化、日常性的数据分类，金融业机构也可优化自身已有的数据管理系统对其金融数据类别进行整理。具体数据定级工作流程，可以参照《金融数据安全数据安全分级指南》中定级工作流程进行。

在搭建好金融数据分类分级的框架并备好数据分类分级清单后，由于金融数据的类别、级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变，还需要对金融数据分类分级进行定期审核并及时调整。

自动化数据识别关键技术实现

启明星辰在数据识别上积累了大量技术成果，覆盖大量金融场景下的数据特征以及技术方法。关键能力清单如下：

1、系统内置识别方法

应用场景：针对身份证、护照编号等通用数据类型，系统已内置识别方法，准确性高、识别效率快。

2、正则表达式识别方法

应用场景：针对邮箱、IP、URL等内容有规则的数据类型，可以使用正则表达式识别，可根据业务灵活定义识别规则。

3、关键字、关键词识别方法

应用场景：针对家庭住址、姓名等包含明显关键字、关键词组的场景，基于内置的词库进行识别。

4、基于字段名、字段类型的识别方法

应用场景：针对表结构定义比较规范的场景，可通过字段名、字段类型进行数据识别，比如email为邮箱地址。