分条析理安全有道：分类分级成为企业数据安全差异化管理的先驱者.pdf

IBM 商业价值研究院 专家洞察 分条析理 安全有道 分类分级成为企业数据 安全差异化管理的先驱者 扫码关注 IBM 商业价值研究院 官网微博微信公众号微信小程序 主题专家 张宁 IBM GBS CBDS 团队 数据治理解决方案 首席业务咨询顾问 张骐微 IBM GBS CBDS 团队 数据治理高级顾问 王莉 IBM 商业价值研究院 高级咨询经理 1 谈话要点 数据分类分级既是合规要求，也有现实意义 数据分类是数据安全保护的重要基础性工作 之一，其最终目的是实现数据的安全共享。 建设分类分级清单需要四大抓手 要做好数据分类分级清单建设，可以从权威 保障、逻辑梳理、物理映射、技术工具四个 方面着手。 数据分类分级不是终点，而是安全管理的 起点 数据分类分级是一个从整体规划、建设分类 分级清单、到采取保护措施的闭环管理过程。 整 体来看，证券期货行业数据空间可以划 分为三个维度： 一 是 业 务空间，即金融机构在开展交易中介、资本中介、 融 资 中 介、投资研究、自营投资、 OTC 市场 等业 务活 动时 产生的数据。二是管理空间，即金融机构在进行人力、合规、 风 控、财务等对内经营管理活动时产生的数据。三是服务 空 间 ， 即金融机构在和外部的个人投资者、机构投资者、 融资机构等相关服务对象进行交互时产生的数据。 从 以上三个维度的数据不难看出，证券期 货 行 业 的 数 据具 有体量大、敏感程度高、重要程度高的特点： 体量大： 特别是交易所或结算公司这类大型机构，汇聚了 行业内多家机构的数据。 敏感程度高：大量数据涉及投资者的基本信息 、账户信息、 财务信息等。 重要程度高：涉及到交易数据、风控数据、经营管理数据等。 因 此，金融机构数据基于安全的差异化管 理，以 及合 规使 用 尤为重要。意识到数据安全重要性的金 融机构，纷 纷在 安全保护领域发力。 分 类分级是数据安全保护体系中一项重要的基础性工作， 然 而 在 开展数据安全分类分级工作时，很多企业面临着挑战： 缺乏整体解决方案 ：面对企业自身众多的数据，分类要 如何划分、级别设置几个层级、分类分级结果要如何落 地？这些问题导致企业不知如何着手数据分类分级工作。 缺少数据安全差异化管理 ：很多企业都有建立数据使用 的审批流程，但审批流于形式，因为并不清楚哪些属于 敏感数据或者敏感数据存在哪里。导致管理成本虽高， 但安全保护方面收效甚微。 欠缺专业人才和能力 ：数据安全的分类分级对专业能力 要求较高，一方面需要有金融业务的知识储备，并且熟 悉对应系统中的数据；另一方面需要具备数据治理能力， 特别是数据安全领域的专业能力。 随着监管的要求越来越严格，如何切实做好数据的分类分 级，保障数据安全？ IBM 结合多年的项目实施经验，总结 了关键的应对策略。 数据安全，刻不容缓 近年来，国内外数据泄露的事件屡屡发生，泄露事故严重 影响了客户的满意度和企业的声誉，进而对企业效益产生 负面影响。在 IBM Security 发布的 2020 年数据泄露成 本报告 1 中显示，数据泄露事件给企业造成的平均成本为 386 万美元。其中，客户个人身份信息是造成企业耗费成 本最高的一项。 金融行业也存在数据泄露事件。 2017 年底，广州某证券公 司报案称，该公司多名客户投诉，刚开户不久就有冒充该 证券公司的人员打电话或发微信推荐股票，让客户跟单操 作，怀疑客户个人信息泄露。广州市公安机关在北京、湛江、 深圳、珠海等地同步收网，抓获犯罪嫌疑人 40 余人，源头 “内鬼” 2 人，缴获公民个人信息 230G。 林某为某券商的证券经纪人，利用自学黑客技术，攻破了 多家政府网站和证券或期货公司内部系统。林某非法获取 公民个人信息共计 400 余万条，情节特别严重，有期徒刑 5 年 2 个月，并处罚金人民币 2 万元。 2 上述案例提醒我们，证券期货行业应严格落实信息安全保 密措施、加强管理，严防信息泄露。 数据分类分级管理体系 1 清 单 建 设 制定数据分类框架 制定数据分级规则 建设分类分级清单 提出路径建议 2 组 织 保 障 3 制 度 流 程 数据分类分级管理办法 数据权限审批管理办法 数据分类分级工作标准管理流程 数据分类分级清单管理流程 数据分类分级变更管理流程 组织框架设计 组织能力设计 岗位权责设计 协作机制 需求调研4 系 统 支 持 系统功能需求规划 2 警钟长鸣，监管亮剑 为了维护市场安全运行和维护投资者合法权益，监管机构针 对数据分类分级工作，从不同层面明确了证券期货经营机构 的合规责任，成为业内机构满足法规依从性的重要依据。 在法律层面，在全国人大 2016 年 11 月发布的网络安 全法 3 和 2020 年 10 月发布的个人信息保护法（草 案） 4 中均有相关规定。网络安全法中要求网络运营 者应当按照网络安全等级保护制度的要求，采取数据分类、 重要数据备份和加密等措施。个人信息保护法（草案） 中要求个人信息处理者需对个人信息实行分类分级管理。 在行业标准层面，证监会于 2018 年 9 月发布了金融行业 标准证券期货业数据分类分级指引 5 （以下简称“指 引”）。该指引详细阐明了适用范围、数据分类分级的 前提条件、数据分类及分级方法、数据分类分级中的关键 问题处理。 我们梳理数据分类分级的监管脉络，可以发现网络安全法 提出了数据分类分级要求，为后续出台的证券期货行业的 具体指引提供了法律渊源。而指引虽然是推荐性行业 标准，但金融机构开展数据分类分级工作，不仅是满足法 规依从性的要求，也具有极强的现实意义，有以下几点尤 其值得关注： 适用数据范围广 除了经营和管理活动中常用的产生、采集、加工、使用或 管理的网络数据或非网络数据之外，甚至包括了通过购买 或数据共享等方式获得的外部数据，可谓是基本涵盖了数 据获得的所有可能方式。 因地制宜采取安全保护措施 在考虑数据定级和数据的安全保护环节时，要根据不同的 安全属性侧重，采取相适应的保护措施。并且综合考虑数 据体量的大小，在实际使用中，采取适当的、合理的安全 防护措施。例如同级别的单个客户信息和批量客户信息， 查询批量客户信息时应增加更严格的访问控制手段，且对 查询行为进行审计。 分类分级的最终目的是实现数据的安全共享 数据分类分级是数据安全保护的重要基础性工作之一，基 于分类分级从而实现对重要、敏感数据的进一步安全保护， 使数据能够在安全合规的情况下被共享使用，发挥更大的 价值。 数据分类分级和个人信息保护、网络安全等问题密切相关。 证券期货行业的经营机构在未能满足监管合规要求的情况 下，可能面临中国证监会采取的从责令改正、责令增加合 规检查次数，到暂停业务等的行政监管措施。需要提醒的 是，除了证监会外，主要执法机构还有国家网信办、工信部、 公安部等。多重执法主体间不仅可能存在着权责边界模糊、 交叉执法的问题，在监管“九龙治水”现象存在的情况下， 证券期货行业的经营机构需要结合自身情况，进行全面的 合规建设，避免监管风险和行政处罚。 图 1 数据分类分级管理体系 3 分类分级，从容应对 如何开展数据分类分级工作呢？从数据安全保护的落地性、 有效性和持续性等角度考虑，首先要建设数据分类分级清 单，这是数据分类分级的核心工作内容；其次要有健全的 保障机制，即在组织架构、制度流程、技术工具方面为数 据分类分级工作保驾护航（见图 1）。 IBM 认为，要做好数据分类分级清单建设，可以从以下四 个方面着手： 权威保障：充分研读和理解行业权威机构的发文，保障数 据分类分级工作的正确性、合理性以及业务覆盖的完整性。 逻辑梳理：在逻辑层面构建数据分类分级清单，包括数据 分类框架、数据定级规则和数据项清单三部分内容。 物理映射：完成数据分类分级的落地实现，即把数据分类 分级清单中逻辑层面的数据项，与 IT 系统的字段关联起来。 技术工具：金融机构的数据量庞大，借助技术工具有效、 持续的开展数据分类分级工作。 下面，我们将分别进行阐述。 权威保障 以证券行业为例，证券期货业数据分类分级指引在工 作方法、工作原则等方面提供了理论指导；证券期货业 业务标准规划从业务条线、业务过程的角度提供了三级 的业务分类参考；证券期货业逻辑数据模型从数据角 度提供了数据的分类参考。这些都可作为数据分类分级工 作的重要输入。 逻辑梳理 分类框架和定级规则是数据项分类分级清单的前提，有了 分类的框架和定级的规则，才可以为数据项确定其归属的 分类和级别。数据的逻辑梳理可以按以下三个步骤开展： 智能化的数据资产发现和分类 6 某金融机构与 IBM 合作，进行数据治理工作，其中一项工 作是对客户重要信息实现在系统中的定位，即客户的重要 信息，需要被映射到各个系统数据库表的具体字段。 客户当前的数据字典和元数据描述存储于 Excel 中，包括 10 个系统、 1 万余张表、 20 多万个字段。其中字典数据 质量欠佳，有一半字段没有中文名，而且还有一部分字段 的英文名是由拼音首字母组成（例如，资金流向和证件类 型都是 ZJLX）。如果按照英文到中文的关键字进行匹配和 定位具体字段就很容易出错。 如果采用人工方式锁定和分析个人客户重要信息的分布情 况，则至少需要一名有经验的数据分析师 15 个工作日以上 的时间。针对相关法律规定、监管文档及附件进行个人客 户相关的重要信息进行搜集得到的大约 50 种信息项， IBM 使用词向量技术，泛化为 12 类客户重要信息，包括涉及联 系电话的手机号、座机号在内的词库扩展，并使用泛化后 的信息和业务系统数据库进行匹配。 借助人工智能技术， IBM 帮助客户在 3 个工作日内完成了 客户重要信息定位的全部工作，而且准确性优于人工分析 的结果。 4 搭建数据分类框架 首先要进行业务细分。银行、证券等金融机构的业务条线 众多，业务细分通常是逻辑划分，不与细节的、具体的数 据对应。业务细分根据业务条线的复杂程度，一般划分 1 至 2 个层级，层级过多不利于分类的维护和管理。 其次是数据归类。在业务细分的基础上，按数据性质、管 理需要、使用需要、重要程度进行数据归类。如，按数据 性质，证券行业的账户数据可分为交易账户数据、资金账 户数据和银行账户数据；按管理需要，风控数据可分为市 场风险数据、信用风险数据、操作风险数据等；按使用需要， 客户数据可分为个人客户数据、机构客户数据；按重要程度， 信息披露数据可分为公开信息和未公开信息。 确定数据定级规则 数据的安全属性包括数据的完整性、保密性和可用性。分 析数据的安全属性遭到破坏后的影响对象、影响范围和影 响程度，以此确定数据的安全保护级别，数据安全级别通 常分为 4 级。在完整性和可用性要求基本一致的情况下， 则以保密性为主要定级依据。 由于数据在传输、使用等过程中，因各类业务需要，在数 据体量或敏感程度等方面会发生变化，因此数据的级别也 要随之调整。如个人客户的手机号码是高敏感字段，但经 过脱敏处理后，其数据级别可向下调整一级。 制定数据项分类分级清单 梳理各业务条线的重点业务及其产生的数据，然后分析数 据项所属的分类，与数据分类框架进行映射。再根据数据 定级规则，确定数据项的安全级别。最终形成数据项分类 分级清单。 物理映射 数据分类分级清单中的一个数据项可能对应多个系统中的 多个字段，例如清单中的“个人手机号码”，它可以表示 个人客户的手机号码，也可以表示本机构员工的手机号码。 因此逻辑层面的数据分类分级清单建设完成后，要想切实 发挥作用，还需要进行物理映射，即数据分类分级清单与 业务系统进行映射关联。建立映射有两种方式，一种基于 数据字典进行映射，一种在系统中的物理表上新增分类分 级的属性列。 海通证券：数据分类分级，促进 数据共享与价值发挥 7 海通证券作为国内头部券商，积累了大量的业务数据，也 十分注重数据资产的安全保护。在证券期货业数据分类 分级指引发布后，与 IBM 合作开展数据分类分级与业务 数据安全保护项目，旨在通过开展数据分类分级工作，建 立数据分类分级清单及管理规范，完善公司数据访问控制 手段。 该项目结合海通证券的数据现状、监管要求和行业标准， 以及 IBM 的领先实践，为海通证券构建了 2 大类 5 层级 的分类框架， 4 层级的数据定级规则和定级调整规则，近 1200 项的经纪业务条线数据分类分级清单。在分类框架的 设计上，考虑到逻辑数据模型的主题划分在金融领域是一 套成熟的分类结构并被广泛地应用，且预定义了丰富的业 务属性信息，因此引入了逻辑数据模型作为参考，以保证 分类结构的稳定性和实用性。如“交易”业务分类下的二 级分类由“主体、账户、品种、合同、事件、资产、渠道、 营销、行情资讯”组成。数据级别由低到高分为四级： 1 级 最低，表示可被公开或可被公众获知使用的数据，如公开 渠道的行情资讯； 4 级最高，表示可以识别触达到个人信 息主体的数据，一旦泄露、滥用可能危害人身和财产安全， 如个人手机号码。定级调整规则包括公开披露、脱敏处理、 数据时效等情况下数据级别的调整，如披露信息未公开时 的数据级别是 2 级，公开后满足数据 1 级的定级条件，则 其数据级别下调至 1 级。数据分类分级清单包括逻辑数据 项、逻辑数据项对应的业务一级分类、业务二级分类、数 据一级分类、数据二级分类、数据三级分类、数据级别、 定级说明。 海通证券数据分类分级清单是在行业监管、国家及行业标 准规范下进行建设的，充分满足合规要求。作为数据安全 管理工作的重要抓手，对数据实行差异化管理和保护，在 保证数据安全的基础上促进了数据的共享和价值发挥。 科技 部门 数据管理 部门 业务 部门 3级审批流程 4级审批流程 同 意 不 同 意 1 发起申请 填写申请单 3 权限开通 技术部门按需开通 查询权限 3 沟通物理处理措施 能否接受 4 级 数据脱敏 6 数据使用 5 权限开通 技术部门按需开通 查询权限 4 5 数据使用 2受理申请 是否含4 级数据 不含 含 接受脱 敏处理 4 权限开通 技术部门按需开通 查询权限 4 数据使用 审批会签 是否同意数据申请 不接受 5 技术工具 数据管理者实现数据分类分级信息的统一管理和日常维护， 需要借助相应的技术手段来提升工作的效率，降低人工成 本。搭建数据分类分级系统，作为工作平台以有效支撑数 据分类框架、数据定级规则、数据分类分级清单、业务系 统物理映射等的建设和日常维护工作。特别是物理映射环 节，运用 AI 技术以最小的投入来实现数据分类分级的落地。 同时通过这个平台，还可以解决数据分类分级的展示、查 询和管理需求。 下面，我们结合具体的应用场景，来对比一下引入数据分 类分级前后的审批流程。前文提到，很多企业内部的数据 审批由于缺乏审批依据而流于形式，未能起到有效的数据 保护作用。比如，一些企业在数据使用的审批环节设置了 很多审批节点，看似对数据安全保护有利，但每个审批者 对自己审批的重点不清晰，往往变成因为业务部门需要数 据，就只能提供数据的局面。这样的流程，既不能起到安 全保护的审批效果，又因冗长的审批节点增加了工作成本。 针对此痛点，建议企业结合自身具体情况，设计可落地的 数据审批流程（见图 2）。在数据使用审批环节，重点关 注所需数据是否涉及高等级数据；如果涉及，业务部门是 否能接受脱敏或加密等物理处理。通过基于数据级别的差 异化管理，使得数据分类分级和安全保护工作更具抓手。 在审批流程的设计中，有两个原则需要强调： 差异化原则：不同级别的数据使用申请要遵循不同的审 批流程，目前业内普遍以数据级别越高，越需要高层管 理者审批为原则。例如业务部门申请的数据存在不同的 风险类别，较低级别的数据、个人身份识别信息、以及 一旦泄露会造成巨大风险的高级别数据，所对应的审批 部门和流程应该存在差异化设计。 从严保护原则：建议企业对数据贯彻从严保护原则，若 申请的数据集包含四级 / 三级数据，数据集的整体安全级 别应当整体升级，从严保护。 图 2 引入数据分类分级后的审批流程 安全保护措施 安全硬件防护 数据权限管控 数据加密、脱敏处理 整体规划 审视现状 明确目标 分析差异 制定计划 清单建设 数据分类分级逻辑清单 分类分级物理映射 6 整体规划，有序推进 从实操层面看，金融机构开展数据分类分级工作，是一个 从整体规划到采取具体保护措施的闭环管理过程（见图 3）。 1.整体规划 金融机构首先要审视自身数据分类分级管理现状，以及明 确数据分类分级的管理目标。对比现状和目标的差距，分 析所需的各项资源，并制定工作计划。 2.建设分类分级清单 按照分类分级的工作方法开展数据分类分级清单的建设与 物理映射工作。清单的制定工作不是一蹴而就的，综合考 虑人员安排、技术工具等因素，可分阶段逐步落实。第一 阶段关注重点数据，如从重点业务条线下的数据着手，或 从敏感程度和重要程度较高的数据着手；第二阶段由点及 面，延续第一阶段的工作思路，配合技术工具等措施，扩 大数据分类分级清单的覆盖范围。 3.采取保护措施 根据数据分类分级的结果，对高级别数据采取适当的措施， 进行重点保护。根据数据特征的不同，可对高级别数据采 取加密、脱敏、设置访问权限等措施。 结语 开展数据分类分级不是终点，而是整个数据安全管理的起 点。数据分类分级后，金融机构需要采取包括但不限于如 下举措实现数据安全的全面管理： 组织保障 金融机构依据自身现有的组织情况，从组织架构、层级职能、 部门职责、人员能力等方面设计数据安全组织，设置数据 分类分级的机构和岗位，明确各部门岗位职责、协作机制 以及考核方法，开展相关人员贯穿全职业生命周期的背调、 管理、考核及培训等。 制度流程 制定数据分类分级的管理制度与流程，尤其包括分类分级 的启动、实施及更新机制等。根据数据分类分级成果，实 施相适应的配套管理机制，例如明确数据分级存储（包括 但不限于软硬件要求、加密机制、存储期限、去标识化要 求等）及分类备份机制，制定并实施内外部数据访问及使 用权限机制，明确不同数据在上下游流动中的合规策略（包 括但不限于外包或合作红线、供应商资质、审批层级、合 同文本及审计要求等），明确不同类型的数据生命周期管 理指引，等等。 系统支持 金融机构综合考虑自身现有数据安全领域技术工具的完备 程度、对实现数据安全目标的重要程度以及技术实施的复 杂程度等因素，明确需部署落实的系统工具以实现数据安 全保护水平的提升。例如优先落实数据安全监控平台、数 据脱敏工具、数据库审计系统、终端防泄密系统等。 图 3 数据分类分级工作的行动计划 7 备注和参考资料 1 “年度重磅： IBM 发布 2020 年数据泄露成本报 告”。新浪财经。 20200804。 nance. doc-iivhuipn6800256.shtml 2 吴柯 . “证券公司客户信息被泄露，居然是行业内 鬼窃数据，背后产业链惊人”。南方号 广东警讯。 20180628。 content/201806/28/c1271485.html 3 “中华人民共和国网络安全法”。 20161107。 c_1119867116.htm 4 朱宁宁 . 个人信息保护法草案首次亮相 . 法治日报 . 20201014. content/2020-10/14/content_8327401.htm 5 “证券期货业数据分类分级指引”。中国期货业协会。 20180927。 cfachina/ZCFG/ BMGZ/201907/t20190731_2639332.html 6 IBM 案例研究 7 IBM 案例研究 选对合作伙伴，驾驭多变的世界 在 IBM，我们积极与客户协作，运用业务洞察和先进的研 究方法与技术，帮助他们在瞬息万变的商业环境中保持独 特的竞争优势。 IBM 商业价值研究院 IBM 商业价值研究院 (IBV) 站在技术与商业的交汇点，将 行业智库、主要学者和主题专家的专业知识与全球研究和 绩效数据相结合，提供可信的业务洞察。 IBV 思想领导力 组合包括深度研究、专家洞察、对标分析、绩效比较以及 数据可视化，支持各地区、各行业以及采用各种技术的企 业做出明智的业务决策。 访问 IBM 商业价值研究院中国网站，免费下载研究报告 : Copyright IBM Corporation 2020 IBM Corporation New Orchard Road Armonk, NY 10504 美国出品 2021 年 1 月 IBM、 IBM 徽 标 及 是 Business Machines Corp. 在世界各地司法辖区的注册商标。其他产品和服 务 名 称 可能是 IBM 或其他公司的注册商标。Web 站点 上 的 “ Copyright and trademark information” 部 分中包含了 IBM 商 标 的 最 新 列 表 。 本文档为自最初公布日期起的最新版本， IBM 可能随时对 其进行更改。 IBM 并不一定在开展业务的所有国家或地区 提供所有产品或服务。 本 文 档 内 的 信 息“按 现 状”提供，不附有任何种类（无论 是明示的还是默示的）的保证，包括不附有关于适销性、 适用于某种特定用途的任何保证以及非侵权的任何保证或 条件。IBM 产品根据其提供时所依据的协议条款和条件获 得保证。 本 报告的目的仅为提供通用指南。它并不 旨 在 代 替 详 尽的 研 究或专业判断依据。由于使用本出版物 对 任 何 企 业 或个 人所造成的损失， IBM 概不负责。 本报告中使用的数据可能源自第三方， IBM 并未对其进行 独立核实、验证或审查。此类数据的使用结果均“按现状” 提供， IBM 不作出任何明示或默示的声明或保证。 国际商业机器中国有限公司 北京市朝阳区北四环中路 27 号 盘古大观写字楼 25 层 邮编： 100101 71037371CNZH-00