1、1CS35.240.40A11R中华人民共和国金融行业标准JR/T0197-2020金融数据安全数据安全分级指南Financial data security-Guidelines for data security classification2020-09-23发布2020-09-23实施中国人民银行发布JR/T0197-2020目次前言44引言】范围.2规范性引用文件3术语和定义4目标、原则和范围。.35数据安全定级6重要数据识别附录A(资料性附录)数据定级规则参考表附录B(资料性附录)数据安全级别变化事宜46附录C(资料性附录)重要数据47参考文献JR/T01972020前言本标准按照
2、GBT1.1一2009给出的规则起草。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC180)归口。本标准起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、国家金融C卡安全检测中心(银行卡检测侧中心)、深圳市长亮科技股份有限公可、中国银行保险信息技术管理有限公司、招商银行股份有限公司、中国平安财产保险股份有限公司、中国长城资产管理股份有限公司、蚂蚁科技集团股份有限公司、平安保险(集团)股份有限公司、中国人民银行金融信息中心、中国人民银行数字货币研究所、兴业银行股份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公司、中国工商银行股份有
3、限公司、恒丰银行股份有限公司、中国银联股份有限公司、网联清算有限公司、中国银行股份有限公司、平安银行股份有限公司、中电数据服务有限公司,中国电力财务有限公司、中国外汇交易中心、中国人民银行营业管理部、中国人民银行南京分行、中国人民银行福州中心支行、中国金融电子化公司、西南财经大学。0JR/T0197-2020引言随着信息技术的发展,众多金融基础业务、核心流程、行业间往来等事务和活动均已运行在信息化支撑载体之上,金融业机构生产运行过程中产生的信息也逐步以不同形式转化为数字资产,在不同信息网络与系统之间流转。随着大数据、人工智能、云计算等新技术在金融业的深入应用,数据逐步实现了从信息化资产到生产要
4、素的转变,其重要性日益凸显。金融业机构数据安全威胁的影响范围逐步从机构内扩大至行业间,甚至影响国家安全、社会秩序、公众利益与金融市场稳定。金融数据复杂多样,对数据实施分级管理,能够进一步明确数据保护对象,有助于金融业机构合理分配数据保护资源和成本,是金融业机构建立完善的金融数据生命周期保护框架的基础,也是有的放矢地实施数据安全管理的前提条件。同时,统一的数据分级管理制度,能够促进数据在机构间、行业间的安全共享,有利于金融行业数据价值的挖据与实现。为落实中共中央、国务院加强数据资源整合和安全保护相关工作要求,指导金融业机构合理开展金融数据安全定级工作,有效落实金融数据生命周期全过程安全管理策略,
5、进一步提高金融业数据管理和安全防护水平,确保金融数据的安全应用,编制本标准。11IJR/T0197-2020金融数据安全数据安全分级指南1范围本标准给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。本标准适用于金融业机构开展电子数据安全分级工作,并为第三方评估机构等单位开展数据安全检查与评估工作提供参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T4754一2017国民经济行业分类GB/T5271.1一2000信息技术词汇第1部
6、分:基本术语GB/T25069一2010信息安全技术术语GB/228828一2012信息安全技术公共及商用服务信息系统个人信息保护指南GB/T35273一2020信息安全技术个人信息安全规范JR/T0158一2018证券期货业数据分类分级指引JR/T0171一2020个人金融信息保护技术规范3术语和定义GB/T25069一2010、GB/T35273一2017界定的以及下列术语和定义适用于本文件。3.1信息information关于客体(如事实、事件、事物、过程或思想,包括概念)的知识,在一定的场合中具有特定的意义。注:改写GB/T5271.1一2000,定义2.01.01.01.3.2数据d
7、ata信息的可再解释的形式化表示,以适用于通信、解释或处理。注:可以通过人工或自动手段处理GB/T5271.1-2000,定义2.01.01.023.3隐私privacy个人所具有的控制或影响与之相关信息的权限,涉及由谁收集和存储、由谁披露。1JR/T0197-2020GB/T250692010,定义2.1.633.4信息处理information processing对信息操作的系统执行,包括数据处理,也可包括诸如数据通信和办公自动化之类的操作。注:术语“信息处理”不能用为“数据处理”的同义司。GB/T5271.1一2000,定义2.01.01.05J3.5数据处理data processi
8、ng数据操作的系统执行。示例:数据的数学运算或逻辑运算,数据的归并域分类,程序的汇编或编译,或文本的操作,诸如编辑、分类、归并、存储、检索、显示或打印。注1:术语“数据处理”不能用为“信息处理”的同义词。注2:改写GB/T5271.1一2000,定义2.01.01.063.6保密性confidentiality使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。GB/T25069-2010,定义2.1.13.7完整性integrity保卫资产准确和完整的特性。注:改写GB/T25069一2010,定义2.1.42.3.8可用性availability已授权实体一旦需要就可访问和使用的数据和资源的特性GB/T25069-2010,定义2.1.203.9安全级别security level有关嫩感信息访问的级别划分,以此级别加之安全范畴能更精细地控制对数据的访间。GB/T250692010,定义2.2.1.63.10金融数据financial data金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。注:该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理。3.11个人金融信息personal financial information2
