标准规范下载简介和预览

JR／T 0197-2020 金融数据安全 数据安全分级指南.pdf简介：

JR/T 0197-2020《金融数据安全 数据安全分级指南》是由中*金融标准化委员会（JR/T）制定的一项技术标准。该标准的目的是为了规范和指导金融行业在数据安全领域的实践，特别是对金融数据的保护等级进行划分和管理。它提供了关于数据安全的分级框架，根据数据的重要程度、敏感性、业务影响等因素，将数据安全划分为不同的级别，如基础级、一般级、重要级和关键级等。

该指南涵盖了数据的生命周期，包括数据的产生、处理、存储、传输和销毁等各个环节，强调了金融机构在处理金融数据时应遵循的安全策略、技术和管理措施。它不仅适用于金融机构，也适用于与金融行业有数据交互的其他组织或企业，以确保金融数据的保密性、完整性和可用性。

通过实施JR/T 0197-2020，金融机构可以有效地评估和提升自身数据安全水平，以应对日益增长的网络安全威胁，保护客户的个人信息和企业的商业机密。

JR／T 0197-2020 金融数据安全 数据安全分级指南.pdf部分内容预览：

下列文*对于本文*的应用是必不可少的。凡是注日期的引用文*，仅注日期的版本适用于本文*。 凡是不注日期的引用文*，其最新版本（包括所有的修改单）适用于本文*。 GB/T4754一2017*民经济行业分类 GB/T5271.1一2000信息技术词汇第1部分：基本术语 GB/T25069—2010 信息安全技术术语 GB/Z28828—2012 信息安全技术公共及商用服务信息系统个人信息保护指南 GB/T35273—2020 信息安全技术个人信息安全规范 JR/T0158—2018 证券期货业数据分类分级指引 JR/T0171—2020 个人金融信息保护技术规范

JR/T0197—2020[GB/T25069—2010，定义2.1.63]3. 4信息处理informationprocessing对信息操作的系统执行，包括数据处理，也可包括诸如数据通信和办公自动化之类的操作。注：术语“信息处理”不能用为“数据处理”的同义词。[GB/T5271.1—2000，定义2.01.01.05]3.5数据处理dataprocessing数据操作的系统执行。示例：数据的数学运算或逻辑运算，数据的归并或分类，程序的汇编或编译，或文本的操作，诸如编辑、分类、归并、存储、检索、显示或打印。注1：术语“数据处理”不能用为“信息处理”的同义词。注2：改写GB/T5271.1—2000，定义2.01.01.063. 6保密性confidentiality使信息不泄露给未授*的个人、实体、进程，或不被其利用的特性，[GB/T25069—2010，定义2.1.1]3. 7完整性integrity保卫资产准确和完整的特性。注：改写GB/T25069—2010，定义2.1.42。3.8可用性availability已授*实体一旦需要就可访问和使用的数据和资源的特性[GB/T25069—2010，定义2.1.20]3. 9安全级别securitylevel有关敏感信息访问的级别划分，以此级别加之安全范畴能更精细地控制对数据的访问。[GB/T25069—2010，定义2.2.1.6]3.10金融数据financialdata金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。注：该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理。3.11个人金融信息personalfinancialinformation2

1.1数据安全定级目标

数据安全定级旨在对数据资产进行全面梳理并确立适当的数据安全分级，是金融业机构实施有效数 据分级管理的必要前提和基础。数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工 作，能够为金融业机构制定有针对性的数据安全管控措施提供支撑。金融业包括货币金融服务、资本市 场服务、保险业等，参见GB/T4754一2017。本标准所述“金融业机构”是指从事上述金融业的相关机 构。

DB32／T 2887-2016标准下载4.2数据安全定级原则

数据安全定级遵循以下原则： a）合法合规性原则：满足**法律法规及行业主管部门有关规定。 b）可执行性原则：数据定级规则避免过于复杂，以确保数据定级工作的可行性。 c）时效性原则：数据安全级别具有一定的有效期限，金融业机构宜按照级别变更策略对数据级别 进行及时调整。 d）自主性原则：结合金融业机构自身数据管理需要（如战略需要、业务需要、风险接受程度等）， 在本标准的框架下自主确定数据安全级别。 e）差异性原则：根据本机构数据的类型、敏感程度等差异，划分不同的数据安全层级，并将数据 分散至不同的级别中，不宜将所有数据集中划分到其中若干个级别中。 f）客观性原则：数据定级规则是客观且可校验的，即通过数据自身的属性和定级规则即可判定其 级别，并且数据的定级是可复核和检查的。

4.3数据安全定级范围

金融数据安全定级过程中，未经**化的金融数据，依据档案文*等有关管理规范执行；涉及** 必密的金融数据，依据**有关法律法规执行，不在本标准规定的范围之内。证券行业数据安全分级工 作可参照JR/T0158一2018执行。其中，安全定级工作所涉及的金融数据包括但不限于： 提供金融产品或服务过程中直接（或间接）采集的数据，包括通过柜面以纸质协议签署或收

JR/I 01972020

集，并经信息处理后在计算机系统中流转或保存的数据，以及通过信息系统签约或收集的* *信息。 金融业机构信息系统内生成和存储的数据，包括业务数据、经营管理数据等，其中： ·业务数据指金融业机构在提供金融产品或服务过程中产生的数据，如交易信息、统计数据 等。 经营管理数据指金融业机构在履行职能与经营管理过程中采集、产生的数据，如营销服务 数据、运营数据、风险管理数据、技术管理数据（如程序代码、系统以及网络等）、统计 分析数据、综合管理数据等。 一金融业机构内部办公网络与办公设备（终端）中产生、交换、归档的**数据，如机构内部 日常事务处理信息、*策法规与部门规章、业务终端临时存储的业务或经营管理数据、** **信息等。 金融业机构原纸质文*经过扫描或其他**化手段形成的**数据。 其他宜进行分级的金融数据。

安全性（保密性、完整性、可用性）是信息安全风险评估中的重要参考属性。数据安全性遭到破 能造成的影响（如可能造成的危害、损失或潜在风险等），是确定数据安全级别的重要判断依据 考虑影响对象与影响程度两个要素

影响对象指金融业机构数据安全性遭受破环后受到影响的对象，包括**安全、公众*益、个人隐 企业合法*益等。影响对象的确定主要考虑以下内容： 一影响对象为**安全的情况，一般指数据的安全性遭到破坏后，可能对****稳固、领土 主*、民族团结、社会和金融市场稳定等造成影响。 一影响对象为公众*益的情况，一般指数据的安全性遭到破坏后，可能对生产经营、教学科研、 医疗卫生、公共交通等社会秩序和公众的*治*利、人身自由、经济*益等造成影响。 影响对象为个人隐私的情况，一般指数据的安全性遭到破坏后，可能对个人金融信息主体的 个人信息、私人活动和私有领域等造成影响。 影响对象为企业合法*益的情况，一般指数据的安全性遭到破坏后，可能对某企业或其他组 织（可能是金融业机构，也可能是其他行业机构）的生产运营、声誉形象、公信力等造成影 响。

影响程度指金融业机构数据安全性遭到破环后所产生影响的大小，从高到低划分为严重损害、一般 损害、轻微损害和无损害，相关说明如表1所示，可作为影响程度判定的参考。影响程度的确定宜综合 考虑数据类型、数据特征与数据规模等因素，并结合金融业务属性确定数据安全性遭到破坏后的影响程 度，例如： 数据安全性遭到破坏后，客户的个人自然信息产生的影响程度通常要高于单位基本信息 数据安全性遭到破坏后，身份鉴别信息产生的影响程度通常要高于个人基本概况信息

交易信息中对实时性要求较高的数据DG∕TJ 08-2025-2020 建筑工程施工现场视频监控系统应用技术标准，其安全性遭到破坏产生的影响程度通常要高于实时性 要求较低的数据等

5.2.1安全影响评估

安全影响评估宜综合考虑数据类型、数据内容、数据规模、数据来源、机构职能和业务特点等因素， 对数据安全性（保密性、完整性、可用性）遭受破坏后所造成的影响进行评估。评估过程中，根据实际 情况识别各项安全性在影响评定中的优先级，分别进行保密性、完整性及可用性评估，并综合考虑保密 性、完整性及可用性的评估结果，形成最终安全影响评估。 保密性评估：通过评价数据遭受未经授*的披露所造成的影响，以及机构继续使用这些数据可 能产生的影响，进行数据保密性评估。评估的内容包括但不限于： 数据未经授*的披露，可能对**安全、公众*益、个人隐私及企业合法*益造成的损害， 以及损害的严重程度。 · 数据被非授*对象获取或利用，可能对**安全、公众*益、个人隐私及企业合法*益造 成的损害，以及损害的严重程度。 · 数据被非授*对象利用进行窃密、纂改、销毁或拒绝服务等攻击，可能对**安全、公众 *益、个人隐私及企业合法*益等造成的损害，以及损害的严重程度。 · 数据的未经授*披露或传播是否违反**法律法规、行业主管部门有关规定或机构内部管 理规定。 一一完整性评估：通过评价数据遭受未经授*的修改或损毁所造成的影响，以及机构继续使用这些 数据可能产生的影响，进行数据完整性评估。评估的内容包括但不限于： 数据未经授*修改或损毁，可能对**安全、公众*益、个人隐私及企业合法*益造成的 损害，以及损害的严重程度。 数据未经授*修改或损毁，可能对其他组织或个人造成的损害，以及损害的严重程度。 数据未经授*修改或损毁，可能对机构职能、公信力造成的损害，以及损害的严重程度。

JR/T 01972020

数据未经授*修改或损毁是否违反**法律法规、行业主管部门有关规定或机构内部管理 规定。 可用性评估：通过评价数据及其经组合/融合后形成的各类数据出现访问或使用中断所造成的 影响，以及机构无法正常使用这些数据可能产生的影响，进行数据可用性评估。评估的内容包 括但不限于： · 数据的访问或使用中断，可能对**安全、公众*益、个人隐私及企业合法*益造成的损 害，以及损害的严重程度。 数据的访问或使用中断，可能对机构职能、公信力造成的损害，以及损害的严重程度。 数据的访问或使用中断，可能对其他组织或个人造成的损害，以及损害的严重程度。 数据的访问或使用中断是否违反**法律法规、行业主管部门有关规定或机构内部管理规 正

5.2.2定级要素识别

通过综合考虑保密性、完整性和可用性的影响评估结果，识别数据安全定级关键要素，即作为最终 据安全级别评定时所使用的主要影响对象及影响程度，并根据5.3定级规则进行数据安全级别的评定 定级要素识别宜至少满足： 一一因不同数据在安全性（保密性、完整性、可用性）方面有不同侧重，以所侧重的安全性评估结 果，作为相应数据安全定级的主要依据。 一一数据的保密性、完整性和可用性要求基本一致的，则重点以保密性评估所确定的定级要素为主 要定级依据。

GB／T 51366-2019标准下载5.3.1安全级别概述