数据分类分级监管要求适配与落地

IBM商业价值研究院|专家洞察 数要据求分适类配分与级落监地管 主专家题 张玉明 IBM副合伙人， IBMConsulting金融核心锐变团队数据转型与创新负责人zhangyum@cn.ibm.com 孙怡然 IBMConsulting金融核心锐变团队数据转型与创新高级咨询顾问Yi.Ran.Sun@ibm.com 张玉明先生是IBM副合伙人，IBMConsulting金融核心锐变团队数据转型与创新负责人，主要关注于金融行业数据中台、大数据战略与分析咨询、数字化战略转型、企业级数据治理及数据资产管理解决方案等方面。张玉明先生拥有超过15年的数据咨询与实施项目经验，领导过多个金融企业的大数据分析与人工智能技术应用、大数据应用架构、数据运营体系、业务咨询乃至系统实施项目。 孙怡然女士是IBMConsulting金融核心锐变团队的高级咨询顾问。她拥有8年以上的金融行业数据战略规划、数据治理、数据资产咨询经验，为银行、保险、资管、金融基础设施等多元化金融机构提供企业级的数字化转型、数据治理、数据管控、数据分析解决方案。 谢晨希 IBMConsulting金融核心锐变团队数据转型与创新咨询顾问Chen.Xi.Xie@ibm.com 谢晨希女士是IBMConsulting金融核心锐变团队的咨询顾问，在金融行业数据治理、数据安全、数据战略规划、人工智能应用领域具备5年以上的管理咨询经验，旨在为金融企业提供专业性数字化转型服务。 王莉 IBM商业价值研究院高级咨询经理gbswangl@cn.ibm.com 王莉女士是IBM商业价值研究院的高级咨询经理，担任IBM全球高管调研项目和对标分析项目的大中华区项目负责人。她拥有15年以上的管理咨询和管理研究经验。王莉女士目前所关注的研究领域包括数字化转型、无边界企业、人工智能等，旨在帮助各行业客户创造新的商业机会、发现和传递价值。 摘要 难点 数据分类分级工作箭在弦上，但存在 数据分类分级未来趋势 数据分类分级落地五步走 数据分类分级面临两大难点：如何适配各类外部要求、如何落地实施。 五大关键步骤：解读权威、选准载体、多方合作、智能工具、成果应用。 三大趋势：“动静结合”落地实施、智能化工具应用、业务部门高度参与。 1 前言 数据作为新兴生产要素正崭露头角，近年来备受关注。数据在不断被生产、挖掘、加工、利用并产生价值的同时，随之而来的是时刻需要面临的数据安全挑战。 继我国在2017年正式实施《中华人民共和国网络安全法》1以来，陆续出台各项与数据安全相关的法律法规，筑建起以《数据安全法》2、《个人信息保护法》3、《网络安全法》为主的数据安全法律框架。在2023年十四届全国人大会议中发布《2023年政府工作报告》4，公开表明“加强网络、数据安全和个人信息保护”，以“深入推进国家安全体系和能力建设”。今年已是连续第三年把数据安全和个人信息保护列入政府工作报告中，由此可见，数据安全逐渐成为社会和企业发展的重要引擎，进一步而言更是与国家命脉紧密相连。 如何在数据安全被高度重视的背景之下脚踏实地走好每一步路，数据分类分级在其中扮演着尤为关键的角色。数据分类分级是指依据数据本身的内容、属性、特征以及不同的数据管理目的，将不同数据按照其所需要的安全保护等级，进行阶梯化归类与划分，是数据安全保护的基础工作之一。 通过数据分类分级，企业可以更加清晰地了解所拥有的数据资产中，各类数据的重要性和敏感程度，从而有针对性地制定数据安全管控策略与措施，保障数据从采集为起点，所需经历的生命周期各个阶段都能得到有效的防护；通过嵌入可落地的数据审批流程，基于数据级别开展差异性的权限统筹与管理5，使得数据资源能在企业各部门间被合理且正确地访问、传输与使用。特别是在数据对外开放、数据跨境等企业外部应用场景中，为数据流通建筑合法合规屏障，能在避免“一刀切”的同时，又能达到“因地制宜、分而治之”的效果，确保企业在利用大数据产生大价值的过程中不触碰法律红线、不挑战道德底线。 2 现状 箭在弦上难点犹存 数据分类分级的工作迫在眉睫。然而，金融机构在实际操作过程中存在两大难点：一是需要适配和兼容各类外部要求；二是面对海量数据，分类分级如何落、怎么用。 难点1：各类外部要求需适配和兼容 数据分类分级工作须应对多种监管视角产生的管理要求，面临多种分级体系，以金融行业为例：中国人民银行、银保监会分别颁布了《金融数据安全数据安全分级指南》6（下称《指南》）、《银行保险机构数据安全办法》（下称《办法》）两份文件，其中对于数据分类与数据分级的侧重点有所不同，无法简单地通过把两套分类分级体系进行合并去重达到无缝衔接的目标。 因此，面对日趋严苛的法律法规、纵横交错的各类监管发文与要求，企业应如何求同存异、兼收并蓄，形成一套能够适配兼容各外部要求的数据分类分级体系的建设需求迫在眉睫。 难点2：面对海量数据，分类分级如何落、怎么用 随着互联网和技术日新月异，数据量以指数级增长，字段、表、数据集合等各类粒度的数据如何分类分级，企业应该如何在效益最大化地在目标与规划指引下开展数据分类分级落地实施工作，如何推动企业内部各方协同参与其中，如何展现分类分级成果让企业真正用起来等众多落地问题，是需要企业通过深思熟虑加以解决的难点。难以落地的纸上谈兵式分类分级方案对于企业来说毫无价值，非长久之计。 3 实践 五步推进有序落地 IBM将在数据分类分级规划与落地实践过程中的经验加以沉淀归纳，形成目标明确、落地指导性强的路线图（见图1），总结为以下五步：一、解读权威，求同存异；二、选准载体，梳理逻辑；三、多方合作，认定数据分类分级；四、智能工具，提质提效；五、成果应用，促进数据安全共享。 第一步：解读权威，求同存异 如何落好数据分类分级的第一步棋，首先是需要企业充分掌握并深入理解各类外部规范和监管发文的要求，寻找共性、紧抓重点、兼容差异，有的放矢地指导落地实施工作。如果盲目按部就班只停留在要求的表面意思，而未理解其中的深意与逻辑，则后续工作开展难以实现稳抓稳打，数据分类分级落地效果亦可能差强人意。 图1 数据分类分级落地路线图 2.梳选理准逻载辑体，4.智提能质工提效具， 1.解求读同权存威异， 3.多认方定合数作据，分类分级 5.成促果进应数用据，安全共享 信息来源：IBM商业价值研究院 44 案例 在与某股份制银行合作开展数据分类分级规划与落地过程中，IBM充分结合行内外有关要求与现状，围绕《指南》、《办法》等多项监管要求进行详细地解读与分析，寻找各文件的内在联系与对应关系（见图2），从而打造出一套适配各类监管来源的数据分类分级框架，为某股份制银行后续开展打标工作的提供清晰、明确、可操作性强的指导。 图2 《指南》与《办法》的对应关系 《JRT0197-2020金融数据安全 典型数据安分类全分级规指南则》参考表 《银行保险机构数据安全办法》对应数据分级 数据归类与细分 典分型类数分据级项 重要数据 敏感数据 一子类级 二子类级 三子级类 四子级类 典项名型称数据 数分据级 数特据征集合 数量据级 数合内据容集 数分据级 数合特据集征 数量据级 数内容据集合 数分据级 数合特据集征 数量据级 数合内据容集 数分据级 客户 个人 个然人信自息 个概人况基信本息 个姓人名客户 3 可体客识的别个人主户的 100万以级上 个本人信基息集合 重数要据 可主体识的别 — 法理感人层客个人户敏管信息 敏数据感 可主体识的别 — 个本人信基息 敏数据感 客户 个人 个然人信自息 个概人况基信本息 个名人称客户 3 可体客识的别个人主户的 100万以级上 个本人信基息集合 重数要据 可主体识的别 — 理法人层客个人户敏管感信息 敏数据感 可主体识的别 — 个本人信基息 敏数据感 客户 个人 个然人信自息 个概人况基信本息 个其人他客姓户名 3 可体客识的别个人主户的 100万以级上 个本人信基息集合 重数要据 可主体识的别 — 理法人层客个人户敏管感信息 敏数据感 可主体识的别 — 个本人信基息 敏数据感 客户 个人 个然人信自息 个概人况基信本息 个关人联客人户客户姓名 3 可体客识的别个人主户的 100万以级上 本个人信基息集合 重数要据 可主体识的别 — 法理感人层客个人户敏管信息 敏数据感 可主体识的别 — 个本人信基息 敏数据感 客户 个人 个然人信自息 个概人况基信本息 个通人讯客录户联系人姓名 3 可体客识的别个人主户的 100万以级上 本个人信基息集合 重数要据 可主体识的别 — 法理感人层客个人户敏管信息 敏数据感 可主体识的别 — 个本人信基息 敏数据感 客户 个人 个然人信自息 个概人况基信本息 个配人偶客姓户名 3 可体客识的别个人主户的 100万以级上 个本人信基息集合 重数要据 可主体识的别 — 理法人层客个人户敏管感信息 敏数据感 可主体识的别 — 个本人信基息 敏数据感 客户 个人 个然人信自息 个概人况基信本息 个紧人急客联户系人姓名 3 可体客识的别个人主户的 100万以级上 本个人信基息集合 重数要据 可主体识的别 — 法理感人层客个人户敏管信息 敏数据感 可主体识的别 — 个本人信基息 敏数据感 客户 个人 个然人信自息 个概人况基信本息 个交人易客代户办人姓名 3 可体客识的别个人主户的 100万以级上 本个人信基息集合 重数要据 可主体识的别 — 法理感人层客个人户敏管信息 敏数据感 可主体识的别 — 个本人信基息 敏数据感 5 案例 第二步：选准载体，梳理逻辑 数据分类分级的落地实施需要通过打标载体，将分类分级标签流转到具体库表当中，是数据分类分级落地过程中重要的影响因素，因此选准载体不仅能够推动数据分类分级在系统中的落地成效，也能加速分类分级标签在系统间的流转效率。企业应全面调研自身系统建设情况，评估自身企业架构是否完备、数据标准建设是否成熟等因素，选择最合适的载体作为分类分级工作开展的主体，审慎平衡成本与效益。IBM总结出常见的四种数据分类分级打标载体的实施特点和前置条件（见表1）。 在某股份制银行开展数据分类分级落地工作中，IBM对该行的数据标准、C模型等载体进行摸查并结合企业特色，综合考虑所需投入的人力与物力因素及产出效益，建议选择企业级数据字典作为载体开展后续分类分级的落地。通过企业级数据字典打标的方式全方位覆盖该银行所涉及的业务范围，实现系统在新增数据项时能与已形成的数据分类分级规则正确映射、应落尽落。同时，通过元模型设计将两套不同视角的分类分级标签打到字典项，通过系统间的流转实现分类分级落地。 6 表1 数据分类分级打标载体实施特点与前置条件 载体 实施特点 前置条件 数据标准 打标后，通过数据标准落地实现全行数据安全管控；需打标数据量较小，较易开展 已有完备的数据标准 企业级C模型 打标后，通过C模型指导各系统C'模型设计实现全行数据安全管控；需打标数据量较小，较易开展 已有完备的企业级C模型 企业级数据字典 打标后，通过企业级数据字典指导各系统数据字典设计实现全行数据安全管控；需打标数据量较小，较易开展 已有完备的企业级数据字典 系统库表字段 确定打标优先级，由点及面、循序渐进推动在全行各系统库表字段的数据安全打标；需打标数据量较大，难以一次性铺开 可直接开展 7 第三步：多方合作，认定数据分类分级 数据分类分级落地工作不是仅凭数据管理部门一己之力能够完成的，需要多方携手共同推进。首先，应立足于企业组织架构与部门职责分工，在明晰各部门对数据的范围划分与责任归属的基础之上，协同调动对应业务部门参与到数据分类分级的工作中，对管辖数据的分类分级进行判定与确认；其次，数据分类分级工作需要与技术部门通力合作，将数据分类分级标签落地工作嵌入开发流程，由IT部门数据模型设计人员、系统开发人员在库表中将分类分级标签灌入各自应用系统，执行落地打标。 第四步：智能工具，提质提效 面对企业产生、存储的庞大数据量，实现分类分级落地必