数据分类是数据治理的重要环节,有助于挖掘数据价值,促进数据开发利用。数据安全为数据治理提供保障和运营,因此数据分类也是数据安全工作的基础性环节之一。
银行数据分类维度多样,应该要依据银行实际业务和安全需求来做分类。数据分类维度最重要的包含技术选型维度、业务应用维度、安全隐私保护维度。为满足数据安全保护等级确定的需求,为数据安全工作打好坚实的基础,网御星云可协助银行重点从数据安全隐私保护维度和业务应用维度对数据来进行分类。
数据安全隐私保护维度分类的要素包括:①数据敏感度,即数据本身或其衍生数据是不是涉及国家秘密、银行及企业秘密或个人隐私;②数据保密性,即数据可被知悉的范围;③数据重要性,即数据没有经过授权披露、丢失、滥用、篡改或销毁后对国家安全、银行及企业利益或公民权益的危害程度。
银行按照数据安全隐私保护维度,将数据划分为重要数据、敏感数据和一般数据。其中敏感数据有中度敏感和轻度敏感之分。数据安全隐私保护分类依据如表1所示:
在此基础上,网御星云结合《个人金融信息保护技术规范》(JR/T 0171-2020)将其中的C3类、C2类、C1类信息与银行数据安全隐私保护分类的重要数据、敏感数据和一般数据一一对应,具体银行个人金融信息分类参考表2所示:
(注:“红色方框”为C3类信息,“黄色方框”为C2类信息,“绿色方框”为C1类信息。)
银行数据业务应用维度分类要素主要有两种:①数据产生主体,如人工、机器、应用软件、信息系统等;②数据权属,即数据所有权的归属。基于此分类要素,银行数据可划分为客户类数据、业务类数据、经营管理类数据和监管类数据。分类参考如表3所示:
银行数据按照业务应用维度简单分类后,会结合实际业务需要的应用深度进行逐步细化,从而有利于数据价值转化。
通过以上数据分类工作,网御星云为银行提供了数据分类的思路、方法和依据,并在此基础上,协助银行逐步形成一套完整的数据分级管理制度,为后续新数据的分类工作提供参考依据。
数据分类管理制度包括但不限于:总则、适合使用的范围、编制依据、数据分类维度、数据分类参考表单等,其中,数据分类维度至少包括数据分类要素、数据类别、数据分类适用场景等。
网御星云助力银行通过数据分类工作初步确定数据资产的敏感程度和业务关联程度,有助于数据的二重、多重价值挖掘,同时明确要重点关注的数据安全保护对象范畴。随着数据更新迭代,数据分类逐渐多元、细致,将对数据价值挖掘和数据安全保护提供精准支撑。
多年来,网御星云深耕数据安全领域,已协助政府、公安、金融等多个行业用户开展数据安全治理工作,拥有丰富的场景化实践经验。未来,网御星云还将发挥自身技术优势,为各行业用户更好的提供全面、专业、细致的网络安全保障。