前言

朱先生离席进入寝室，把妻子朱白氏牵着手臂扶坐到席上，然后斟满一杯酒，自己也端起酒盅："咱们结发以来还没喝过酒。你跟我一辈子缝连补袂烧锅燎灶一辈子。我是雷声大雨点小，屁事未成，空受你服侍。我一生不说悄悄话，今日把我谢恩的话当着同仁们说出来：你要是不嫌弃我，我下辈子还寻你......"，朱白氏温厚的脸上泛起一缕羞悦的云霓，眼里涌出泪花：“我下辈子要托生个先生”。朱先生笑说：“那我就托生个女人服侍你。” ----------陈忠实《白鹿原》

前言还是一贯的head，分享下喜欢看的书中有意思的片段。最近在做金融行业的信息安全业务，补充下相关知识，文体没有段子和诙谐梗，朴实甚至有点苍白。拿了一些等级保护中相似的点比对，不知道这样是否合适，落笔时可能对这个行业的认知有些浅薄，烦请金融行业的前辈多担待，指出文中的不足，笔者在这里抱拳了。

引言

随着大数据、人工智能、云计算等新技术在金融行业的逐步应用，金融数据安全的重要程度已经从信息数据资产演变成生产要素，是金融行业中基础业务，乃至核心业务非常重要的一环。金融数据安全一旦遭到破坏，不仅影响金融机构间，行业间，甚至会影响国家安全、社会秩序、公共利益与金融市场稳定。所以对金融行业的数据进行分级，对不同重要程度的金融数据落实安全管理制度，在管理程度上有的放矢，更好保护数据安全，正是0197-2020制定的目的。从大体上来讲，和22240-2020的方法有点相似，但是保护的对象不一样，0197-2020可以说是等级保护在金融行业对数据安全保护的方向上更深一步的扩展。

金融数据安全的定级目标、定级原则、范围

目标

全面梳理数据资产，确立适当的数据安全分级

数据安全定级的原则

合法合规性原则：不仅要满足国家法律法规的要求，也要满足行业内的规定。

可执行性：就是说数据定级的规则不能过于复杂，易于数据定级工作的落地。

实效型：具有一定有效期限，可根据变更策略及时调整数据的级别。

自主性：金融机构就是要结合自身业务特点，数据管理的需求，在0197的标准下自主对数据进行定级。（没有等级保护对定级对象定级时有专家评审，主管部门核准等这些流程）

差异性：金融机构要根据自身的类型，敏感程度划分数据安全层级以后，不宜将所有数据集中划分到其中若干个级别中，而是强调分散划分。

客观性原则：数据的定级规则是客观存在，可校验的，根据敏感性定的级别也是可符合复核检查的

数据安全定级范围

未经电子化处理的金融数据和纸质文件经过扫描或其他电子化手段的电子数据（不涉及国家秘密的金融数据，不涉及证券行业的金融数据）

数据安全定级

定级要素

在等级保护中，22240指出定级要素为受侵害的对象和对对象的侵害程度，但是在0197是针对金融数据进行定级分类，定级要素为数据的CIA特性，确定安全级别要考虑的重要因素也是影响对象与对对象的影响程度。

影响对象/也可以理解为受侵害的客体

在等级保护中的等级保护对象收到破坏后受侵害的客体三个方面：一、公民、法人和其他组织的合法权益。二、社会秩序、公共利益。三、国家安全

金融数据中对CIA特性遭到破坏后，受侵害的客体包括四个方面：一、国家安全。二、公众权益。三、个人隐私。四、企业合法权益。

影响程度

在等级保护中，等级保护对象收到破坏后造成的侵害程度从低到高分为三种：一、一般损害。二、严重损害。三、特别严重损害。

在0197-2020中规定金融行业的数据CIA特性遭到破坏后，影响程度从低到高分为四种：一、无损害。二、轻微损害。三、一般损害。四、严重损害。详细参考说明见下表：

严重损害的影响程度最明显的特点就是可能会危及国家安全，对国家利益造成重大损失，对社会秩序，公共利益造成严重损失，造成重大安全事件，或遭受严重破坏，重大处罚。（假若危机到国家安全，就是严重损害）

定级规则

0197根据金融数据安全的CIA特性受到破坏后影响对象和所造成的影响程度，将安全级别从高到低分为5级，4级，3级，2级，1级。

5级的金融数据遭到破坏会影响国家安全，4级的是常见的金融机构对金融数据定级的天花板，3级是金融机构中重要的重要信息，关键信息。2级的金融数据为金融机构内部日常办公数据。1级的金融数据就是可公开的信息。

定级流程

对金融数据的安全定级流程可以分为五步，这其中包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核、数据安全级别批准。

数据资产梳理：

第一步：对现有的电子数据进行盘点、数据分类、形成统一的数据清单；数据资产梳理主要针对数据库中的资产以及数据库的账户，根据数据格式分类，形成统一的数据资产清单，接下来的数据分级工作基于此清单开始。

数据安全定级准备：

第二步：明确数据定级的颗粒度，对不同敏感度不同的数据（如库文件、表、字段等）在明确颗粒度上应做到有的放矢，哪些该粗放，哪些该细化。识别数据安全定级关键要素，即为前面提到的CIA特性，因为不同的数据在CIA方面有不同的侧重点，识别关键要素作为最终数据安全级别评定时所使用的主要影响对象及影响程度。举个例子：有些数据，是实时采集，实施传输，传输结束后立即失效的，那在保密性上面可能就不是主要影响对象，完整性，可用性会受主要影响。

第三步：对分类的数据根据数据安全定级规则，结合国家及行业有关法律法规、部门章程、综合考虑数据规模、数据实效性、数据形态等因素对数据定级要素（影响对象、影响程度）进行初步的安全级别判定，对数据安全级别进行复核，根据定级不同生成不同安全级别的数据清单。

第四步：审核数据安全级别的评定过程和结果，必要时重复第二步循环重新定级，直至划定的安全级别与本机构数据安全保护目标一致。

第五步：由数据安全管理最高决策组织者对数据安全分级的结果进行审批。

注意：当数据安全定级后，因数据内容的变化、CIA特性的变化、数据聚合，或因国家和行业主管部门要求，金融机构要对相关数据的安全级别进行变更。

总结

至此本次对0197-2020正文的解读就结束了，0197-2020是行业内第一套对金融数据进行分级保护的标准，明确了目标，范围和分级方法。对接下来金融数据的保护和发展，意义重大！