商业银行数据分类分级的管理实践

这份草案从国家层面确立了数据分类分级保护制度。至此，国家标准、银行业标准、金标委标准均明确提出数据分类分级的要求。

商业银行数据安全管理的要求始终存在且愈发严格。但是，由于缺乏数据层面的分类分级，精细化的安全管理有难度，实施层面缺依据。为此，商业银行的安全管理一般会采取以下几种方式：

1）按数据环境进行安全管理。就商业银行的实际操作而言，对数据环境静态的安全保护已经基本覆盖，包括物理的机房准入、网络的访问控制和用户访问权限授权等。

2）按照系统等级进行安全管理。系统等级是在数据环境基础上的进一步细分，同一生产环境中的系统也有重要性高低，进而适配不同的数据保护策略。

在这样的管理思路下，形成了相关的制度办法、管理工具、流程规范。总体而言，这样的管理模式在实践中具有一定的优势，即实施的操作性强，管理目标清晰。

同时，这种管理模式也存在一定的疏漏和问题。在一些特定场景中，尤其是数据交换要求和频率日趋提高的情况下，如果商业银行传统的数据安全仍然按照系统环境进行“一刀切”，将会带来更多管理难题。特别是在数据的动态传输中，如何快速识别一系列数据需求中的敏感数据项，如何在出现数据泄露时追踪定责，传统数据需求申请的相关部门或开发项目组“一事一议”流程慢、主观性大，在数据开放共享、快速迭代的背景下，越来越需要进一步优化。

简单的说，数据的分类分级，分为几个工作目标：

（一）数据标准化

数据标准化，就是厘清进行分类分级管理的数据范围，进行元数据的规范化管理。一个企业的数据，按照技术元数据估算，规模动辄数十万，按照数据明细条数直接上数十亿，按照容量计算要到P级或者Z级。显然，分类分级管理的目标，不可能是这种原始数据，而只能是“有限可控”的数据标准项。

（二）数据分类

数据分类，就是把数据标准按照一定的规则和类目体系进行归类，抽取它们的业务属性、管理属性的共性，形成“业务主题”的归类。这种归类，从管理的角度，可以分层进行，一般而言“三层”或“四层”管理模式比较适合管理体系的搭建和维护，层级太少则“业务主题”太粗，层级太多则管理成本太高。按照业务主题，一般商业银行的数据标准可以分为10到20个一级类目，50-100个二级类目，200+个三级类目。

安全等级一般根据数据的完整性、保密性、可用性遭到破坏、损失后的影响对象（国家安全、公众权益、个人隐私、企业合法权益）和影响程度划分为5级。

（一）“对标”数据标准

数据标准体系的建设参见本公众号《数据标准体系建设的实践之路》。通过将原始数据“对标”数据标准，分类分级的工作对象转变成了对数据标准的分类分级，数十亿的原始数据直接聚焦成了有限的数据标准。数据标准是数据分类分级工作的“锚点”。

（二）认定归属部门

即为数据标准项找到主管部门，一般是根据业务属性或产生该项数据的信息系统主管部门来认定。数据治理部门不能了解所有数据标准的业务属性，完成不了全部数据标准的准确分类，更不能替代业务部门确定数据安全级别和推进后续安全管控。通过数据标准归属部门的认定，才能“数有所属”、“数有所依”。

（三）确立分类分级

目前，人民银行科技司已经发布了《金融数据安全分类分级指引》，提出了4个一级主题，14个二级主题，76个三级主题和300+四级分类的建议性数据分类，以及重要性依次是：非常严重、严重、中等、轻微、无的五级划分。

这个分类分级体系为商业银行具体实施数据分类提供了指引和参考，商业银行可以在此基础上裁剪和补充，进而得到自己的分类分级体系。

（四）实施分类分级

通过数据标准归属部门在企业级数据管理平台上的在线化分类与在线化定级，数据标准的分类分级也就完成了。此时的数据标准成为“架接”原始数据桥梁，以映射关系完成原始数据的分类分级。

在这样的体系下，数十万、数亿条、P+Z规模的数据最终有了自己的安全级别，为后续的安全管理提供实践基础。

数据分类分级是监管对商业银行提出的要求，但分类分级不会仅仅止步于应对监管。整个实施过程更是数据的资产化，能够让数据走向价值化管理与精细化管控，数据共享“有级可循”。

在银行业的数据治理实践中，人力还承担着数据分类分级的绝大部分工作，分类以及定级的自动化识别是未来持续探索的方向，仍有待数据管理工作者的深度思考。

联系我们

扫描二维码关注我们

微信：DaasCai

邮箱：ccjiu@163.com

QQ：2286075659

了解更多精彩内容

长按，识别二维码，关注我们吧！

数据工程师

微信号：sjgcs

构建数据工程师生态圈