由于是金融业的标准,整体上包括从事金融服务、资本市场服务、保险业等金融业务的机构。确定等级对象时,《指南》建议全面整理数据资产,确定适当的数据安全等级。这里的等级范围包括金融产品和服务收集的数据(纸质文件的电子化)、金融机构系统的生产和存储数据(业务数据、经营数据)、金融机构日常办公网生产的数据、电子化或扫描的电子数据等。当中有好几个强调指出的例外对象,如未经许可电子化的金融数据、涉及到国家机密的金融数据、证券业数据,这些类别不在等级范围内。
数据安全等级、数据安全等级实际上与等级保护制度有些相似,等级要素仍然是CIA(保密性、完整性、可用性),这里的关注点是数据被破坏后的影响。那么,同样有对应的影响对象。第一次将个人隐私列入等级对象,这在以前的等级保护系统下是没有的,可以看出个人信息保护的重视程度和声音的高度,其他3个对象基本上与等级保护等级的对象相同。影响程度的说明,在此引用《指南》原文。
因素鉴别、安全影响评价类似风险评价,强调保密性、完整性、可用性评价(分别评价),综合判定影响,在此不说明风评价的理论。以下是以下三个评估中关注的要点。具体内容可以参考《指南》原文的5.2部分。保密性评价关注数据受到未经许可披露的影响,完整性评价关注数据受到未经许可的篡改和破坏的影响。可用性评价对访问数据和使用中断产生影响。在等级过程中,《指南》强调鉴别重要因素,作为数据安全等级的最终判定依据,提出以下原则。
根据数据重点的安全性评价结果,作为保密性、完整性、可用性之一。如果三个因素的重要性相当高,保密性评价决定的因素优先作为等级判定的依据。数据安全定级也是五级,从高到低依次为五级、四级、三级、二级、一级。每个级别都有数据特征的说明。这里有强制性的要求,重要的数据直接定为5级。有关于这一重要数据,在《指南》附件中给出了相关的描述和定义,在此引用《指南》原文。
有关于各级数据的特点,请参阅下图总结。当中,有关于个人金融信息服务的C1、C2、C3类信息内容,参考了《个人金融信息服务保护技术规范》(JR/T0171-2020)的定义,在此介绍原文的定义。C3类别信息内容主要是用户鉴别信息内容。这种信息内容一旦被未经许可或未经许可的变更,就会严重危害个人金融信息服务主体的信息安全和财产安全。C2类别信息内容主要是鉴别实际个人金融信息服务主体身份和金融状况的个人金融信息服务和**金融产品和服务的重要信息。这种信息内容一旦被未经许可或未经许可的变更,就会对个人金融信息服务主体的信息安全和财产安全造成一定的危害。
C1类别信息内容主要是机构内部的信息内容资产,主要是指金融业机构内部使用的个人金融信息服务。如果这种信息内容被未经许可或未经许可的变更,可能会影响个人金融信息服务主体的信息安全和财产安全。