在《数据安全法》(议案)《个人信息保护法》(议案)公布征询建议之际,国家、企业、社会团体和个人对信息安全问题日益重视。2021,估计十三届全国人民代表大会常务委员会第二十八次大会将对2个议案进行二审。央行于二零二一年四月八号公布了《金融信息安全数据资料产品生命周期安全规范》(JR/T0223-2021),并于从即日起宣布实行。该规范旨在为指导金融机构合理制定并有效实行金融数据产品生命周期安全管理战略提供依据,进一步提高金融机构数据管理和安全保护水准,确保金融信息安全应用。
现在,我要讨论的是数据资料产品生命周期中的1个基本工作,也就是数据资料分级分类。这其中包含此前公布的另1个国家标准《金融信息安全信息安全分级指南》(JR/T0197-2020,以下简称为“指南”)。身为信息安全小白,刚开始触碰数据资料和个人信息,还在不断的学习和摸索中,跟大家一起聊聊信息安全定级这事(也叫等级)。金融行业一直是网络安全领域的领头羊,大部分实践都来自于他们的实践和科学研究,因而,针对信息安全领域,也不例外。因而,在《信息安全保护法》、《个人信息保护法》等配套法规、规章尚未宣布公布之前,以金融行业信息安全标准为参照,可以在一定程度上指导企业落实相关工作及管理要求。
我把指南从头到尾读了好几遍,觉得很值得学习和探索,可以作为数据资料安全等级/等级划分的指导文件。由于在《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020)中明确规定了数据资料也应进行定级,配合《指南》中的原则,企业自身数据资料可以更清晰地进行实际操作。
本文对标准全文不作任何解读和分析,仅就这其中一些个人认为值得关注的重点内容进行探讨。
该指南对资料和数据资料作了以下相应定义:
资讯:关于对象(例如事实、事件、事物、过程或观念,包含概念)的知识,在某些情况下有特定的含义。资料(data):适用于通讯、解释或处理的可重新解释的信息的宣布表示。在此,没有考虑到其他法案、标准或框架的定义,而只是在指南范围内考虑。以下是一个有助于理解的例子。从定义上看,李女士,ATM,工行等等都属于数据资料,可以用来通信,解释或者处理,它们本身并不相关。把有关对象(即信息)的这些知识,结合具体情况,就可以表示为:李女士上午11点在工商银行ATM机上取一千元(事件、事实、事情等等)。