数据泄露事件，一直在发生，从未停止。国家和行业监管对数据安全高度重视，出台了一系列法律法规，及相关标准要求。

Ø 《中华人民共和国网络安全法》

Ø 《中华人民共和国数据安全法》

Ø 《中华人民共和国个人信息保护法》

Ø 《个人金融信息保护技术规范》

Ø JR/T0197-2020《金融数据安全 数据安全分级指南》

政策法规和标准要求的推动之下，各行业数据安全建设稳步推进，用户跟数据安全服务商在数据安全体系合作共建的过程中，探索出高效而与自身需求匹配的建设方法论。其中，数据的分类分级就是帮助用户在最大化节约成本的前提下，高效完成数据安全的重要前置工作。今天，云集至结合金融行业用户的数据分级分类保护实战工作，展开分享。

一、特性

1、行业特性

金融行业的数据呈现出量大、多样性、高价值的大数据特征，是关乎企业核心竞争力的重要资产。因此，金融企业数据资产的安全性，直接左右行业自身健康可持续高质量发展，为满足国家政策要求，通过分类分级使数据得到有效的管控，并建立统一、准确、完善的数据架构基础，实现集中化、专业化、标准化数据管理的基础。

2、工作难点

金融客户数据安全分类分级工作难点总结如下：

• 多且杂。客户业务环境下的数据资产种类繁多，数据库类型多达十几种，管理难度大；且随着业务开展数据量呈指数级爆发式增长，数据复杂且海量；

• 不清晰。不清楚自身业务环境有多少资产和数据，这些资产和数据的分布情况，哪些是直接关系客户无法通过调研得到结果；

• 粗粒度。数据资产的防护粒度较粗，缺乏差异化保护，也影响数据管理效率；

• 特征新。除了姓名、证件号码、业务系统和平台账号、手机、邮箱、家庭住址等基础信息，客户数据特征紧贴业务特性，不仅包含金融资产特征信息、股票账号信息，还包括了微信号、GPSD定位、QQ号码等新型身份特征，以及新能源车辆信息…这些业务数据的种类多样，价值高低不一，需要进行分类分级管理。

二、流程

投入：2名安全服务人员，用时1个月

方法：采用人工+工具结合的方式推进

流程：整体分三个阶段：基础调研、工具部署、分类分级

1、调研数据资产

（1）资产调研

永远把客户需求摆在第一位。

第一步，充分了解和帮助客户一起挖掘自身对于数据分级分类的需求；

第二步，划分数据分类分级范围，根据圈定范围对接关涉部门及相应维护人员；

第三步，通过人工访谈/调研，了解数据资产有多少？是否已有数据清单？现阶段数据安全的防护状态？查阅已有制度类型有哪些？

第四步，利用工具进行分析。

（2）资产梳理

利用工具梳理出目标范围内全量数据资产信息，形成统一数据库级资产清单；明确庞杂数据的定级颗粒度（库级、表级、字段级）。帮助客户通过整体汇总情况，了解自身业务环境中的资产和数据的，通过梳理掌握所有数据库资产拥有多少表、多少个敏感字段以及多少数据量。

（3）数据梳理

由各业务部门提供所负责数据资产的只读账号，通过资产梳理工具在高性能需求场景下深入梳理海量数据情况，形成详尽数据台账（字段级），并且在梳理结果中自动打上数据级别标签。为了提升客户的数据管理效率，完成数据梳理后的查看页面能够自动展现客户真正关心的数据台账，无需全部把表全部展现。同时，针对最受黑客攻击和觊觎的数据表和数据资产进行专门展示，让客户能准确把握自身数据风险点，从而采取更严苛的防护措施。

2、可视化看板

引入云集至自研的梳理产品——云集数据资产梳理系统，满足金融客户复杂场景下的高性能需求，系统采用旁路部署模式，只需实现与数据库之间路由可达即可，对整体业务无影响。

通过云集数据资产梳理系统，对已梳理数据按照不同分类及重要程度打标处理，形成数据资产管理、账户管理、数据管理、数据流向、数据分布等可视化看板，帮助用户一站式解决管理、使用、统计、合规等问题，为数据安全防护提供强有力支撑。值得一提的是，我们的可视化看板满足客户关于数据流向对敏感信息、异常流量等的呈现和反映的需求。

3、完成分类分级

（1）数据分类

数据分类的依据主要有三方面，首先是前文提及的梳理形成的数据清单，其次是要结合人工调研了解到的数据应用场景及业务，第三是中国人民银行发布的JR/T0197-2020《金融数据安全 数据安全分级指南》，基于上述内容执行数据分类工作，具体归类路径分为三个阶段：

第一阶段：依据JR/T0197-2020《金融数据安全 数据安全分级指南》，确定数据应用场景和业务。

第二阶段：确定数据项，划分数据项集合。从数据应用场景和业务出发，梳理业务实现数据细分，确定数据项或数据项集合，进行数据项或数据项集合命名，找出数据项和数据项集合之间的对应关系，确定数据项所属的数据项集合。

第三阶段：确定数据项或数据项集合所属类别

依据类别划分方法，确定数据项或数据项集合所属数据类；依据子类划分方法，确定数据项或数据项集合所属数据子类。

（2）数据分级

数据分级要基于分级要素进行综合判定，分级要素包括：数据的安全性遭到破坏后的影响对象、影响广度、影响深度三要素。数据安全等级从低到高划分为1-5级。

（3）落地实行

结合客户实际情况，依据行业标准制定组织内部“分类分级清单”，达到数据共享“有级可循”。不仅便于后续进行常态化管理，还可以实现数据的价值化管理与精细化管控。

三、成果

本次分级分类项目，将客户数据分为两大类：个人信息和单位数据，帮助客户完成了数据资产汇总梳理，摸清楚了客户业务环境中的敏感字段、数据类型、敏感数据。云集至团队以工具和图表方式呈现了数据分级分类项目成果，方便客户直观了解自身数据信息，以下为部分成果展示：

1、数据分类分级展示

2、分类分级数据信息

3、个人信息占比情况

4、敏感数据统计情况

四、收益

通过本次金融行业数据安全分类分级服务，在专业性、服务水平、合作效率等方面获得客户的认可，真正帮助客户实现了数据安全管理多重收益：

1、全盘掌握自身数据资产数量，建立健全组织数据资产管理制度体系；

2、明晰不同类型数据的重要级别，提升数据资产管理的效率和安全性；

3、节约数据安全防护建设的投入，在管理的投入产出比方面有的放矢；

4、根据数据级别，让管理工作常态化和秩序化，充分释放数据的价值。