贵州农信：“数据分类分级”构建数据差异化管控能力

随着数字经济的快速发展以及金融业务数字化转型的推进，数据要素价值化大幕已经开启。党的二十大提出，加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国。2021年以来，我国陆续发布《“十四五”国家信息化规划》《“十四五”数字经济发展规划》等重要战略，强调加强数据治理、保障数据安全。

贵州农信高度重视数据安全工作，为进一步明确数据保护对象，合理分配数据保护资源和成本，构造数据差异化管控能力，促进数据内外部安全共享，贵州农信根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等国家法律法规要求，参照《JR/T 0197-2020 金融数据安全 数据安全分级指南》《JR/T 0171-2020 个人金融信息保护技术规范》等文件，以数据生命周期为主线，数据分类分级为抓手，以敏感数据管理为核心，通过“摸家底、建工具、建制度、强应用”四步，对重要信息系统字段进行数据分类分级，沉淀出贴合贵州农信实际情况的数据分类分级标准、操作细则及分级管控措施，确保数据可管、可控、可用，为数字化转型工作保驾护航。

摸家底，构建重要数据分类分级资产目录

数据是银行最本质、最核心、最关键的生产要素，数据安全关系到银行资金安全以及对数据的增值分析、利用而带来的衍生价值。对数据资产进行及时准确地梳理，对数据进行分类分级以掌握其中敏感数据的分布、数量、权限及使用状况，是进行数据安全工作的基础与先导。

贵州农信以重要业务系统关键字段为基础，进行数据资产梳理，生成数据资产清单，清单内容包括数据内容描述、归属部门、保存位置、保存期限等。依据《JR/T 0197-2020 金融数据安全 数据安全分级指南》，以梳理形成的数据资产清单为基础，将数据分为客户、业务、经营管理和监管四个一级子类，根据隶属逻辑关系又细分为二级分类、三级分类、四级分类三个层级，将具体的数据项映射到对应的数据类别，输出分类结果。依据《JR/T 0197-2020 金融数据安全 数据安全分级指南》，进行数据安全性评估、数据定级要素识别、数据安全级别判定以及数据安全级别调整工作。根据安全性遭到破坏后的影响范围和影响程度，将数据安全级别由高到低划分为5级、4级、3级、2级、1级，对数据的分布、位置、类型、级别进行摸底梳理，形成数据资产目录以及分类分级清单，并结合全生命周期的数据管理过程编写各等级数据的管控策略，为全量信息系统的数据资产盘点和分类分级工作打下良好基础。

建工具，提升数据分类分级效率及资产复用能力

贵州农信的数据资产量级大、流动广且较为分散。鉴于信息系统众多、敏感数据本身数据量大、存在的范围广且分布零散、质量良莠不齐、命名规范不统一等诸多问题，导致出现数据资产梳理难、数据分级分类耗时费力、敏感数据识别准确率低等问题，亟需通过自动化的技术手段梳理数据资产，提高数据分类分级效率与质量。对此，贵州农信全力开展数据分类分级技术工具的选型、测试及部署工作。

部署数据分类分级自动化工具，其数据全量快速扫描和增量数据自动发现功能有助于资产台账的全面梳理和实时更新，工具中内置的行业通用数据标签加上定制的业务适配分类分级框架，并结合机器智能学习功能，有助于数据类目和等级的精准识别以及高效落地。基于已分类分级的数据资产结果集，将结果中的表名、字段名、字段描述、数据特征等作为向量，进行机器学习建模，运用语义分析技术，根据知识库模型智能预测数据的分类分级，进而实现全量信息系统数据资产盘点和分类分级，极大地提升了数据分类分级工作的效率。

此外，贵州农信将梳理的数据资产盘点结果沉淀到贵州农信数据管控平台元数据管理模块中，沉淀出贵州农信独有的数据分类分级基础标准，减轻了数据分类分级工作的共享障碍，极大提升了数据资产的复用能力。

建制度，提升数据分类分级工作的规范性和程序性

贵州农信为实现系统且高效进行数据资产盘点和差异化管控的能力，对数据分类分级工作进行复盘总结，特制定贴合实际情况且可行性较高的数据分类分级操作细则，规范相关部门进行分类分级工作，确保数据分类分级工作客观、准确、高效、可执行。

贵州农信在数据分类分级操作细则中对数据分类分级流程、原则、数据分类分级清单模版及不同等级数据的管控措施进行了明确，设计了数据资产清单模版、数据分类分级清单模版，为数据分类分级工作奠定理论基准，提升了数据分类分级工作的规范性和程序性。

强运用，全链路加强数据分类分级管控

随着金融行业数据分类分级相关标准的发布，敏感数据有了非常清晰的标准定义，因敏感数据重要等级高、遭到破坏或丢失后的影响大，需针对敏感数据配套差异化的安全策略。贵州农信以敏感数据管理为核心，采用精细化的安全管控手段，区分不同的访问者身份，针对不同安全级别的数据制定不同的数据安全防护策略，平衡了数据使用的便捷性和数据保护的安全性之间的关系。

贵州农信以数据分类分级为基础，数据全生命周期为主线，制定了全链路的数据分类分级管控措施。在数据采集环节，强化对数据源的管理，采集个人敏感数据需符合“知晓同意”以及“最小采集”原则，采集流程和方式需符合相关要求，数据采集设备或系统需经过真实性的多因素增强验证；在数据传输环节，传输个人敏感数据需经过审批授权并采取数据加密、安全传输通道或安全传输协议进行传输；在数据存储环节，存储个人敏感数据需遵循最小够用、最短必要时间原则，采取多因素认证、固定处理终端、双人双岗控制、权限控制等安全策略以及加密等技术措施保证数据完整性和保密性，同时建立同城异地数据备份机制，进行数据实时备份；在数据访问环节，明细数据和汇总数据权限分离，针对个人敏感数据，遵循最小化数据访问原则，综合考虑业务需要、时效性等因素，仅供部分人员访问，并结合业务需要对数据采取脱敏和控制访问数据行数、频率的技术措施，对访问者实名认证，进行多因素认证或二次授权，并留存相关访问操作日志，建立访问权限申请和审核批准机制；在数据导出环节，针对个人敏感数据，遵循最小够用的数据导出原则，明确数据导出安全责任人和授权审批机制；在数据展示环节，针对个人敏感数据，增加页面水印功能，标识访问主体、访问时间等要素，同时为防范未经授权的拷贝，对所有访问者进行细粒度的权限和行为审计；在数据共享环节，针对个人敏感数据，需要明确共享场景和责任部门，并建立相应的审核批准机制，对数据使用目的、内容、使用时间、技术防护措施、数据使用后的处置方式等进行审批后留存相关记录，在不影响业务进行情况下，进行脱敏处理，若因业务确需无法对数据进行脱敏的，要在申请表中补充说明理由，并对数据进行加密、选用安全可靠的传输协议或在安全可控的环境中进行数据共享。

数据在流动，可见才安全。通过数据分类分级做到数据可见，不仅数据来源可见，数据类目、等级、存储情况等均可见，从而更好地平衡数据使用的便捷性和数据保护的安全性之间的关系，进一步提高数据管理和安全防护水平，确保数据的安全应用。