分条析理，安全有道：分类分级成为企业数据安全差异化管理的先驱者

报告要点

数据分类分级既是合规要求，也有现实意义

数据分类是数据安全保护的重要基础性工作之一，其最终目的是实现数据的安全共享。

建设分类分级清单需要四大抓手

要做好数据分类分级清单建设，可以从权威保障、逻辑梳理、物理映射、技术工具四个方面着手。

数据分类分级不是终点，而是安全管理的起点

数据分类分级是一个从整体规划、建设分类分级清单、到采取保护措施的闭环管理过程。

数据安全，刻不容缓

近年来，国内外数据泄露的事件屡屡发生，泄露事故严重影响了客户的满意度和企业的声誉，进而对企业效益产生负面影响。在IBM Security 发布的《2020 年数据泄露成本报告》中显示，数据泄露事件给企业造成的平均成本为386 万美元。其中，客户个人身份信息是造成企业耗费成本最高的一项。

金融行业也存在数据泄露事件。2017 年底，广州某证券公司报案称，该公司多名客户投诉，刚开户不久就有冒充该证券公司的人员打电话或发微信推荐股票，让客户跟单操作，怀疑客户个人信息泄露。广州市公安机关在北京、湛江、深圳、珠海等地同步收网，抓获犯罪嫌疑人40 余人，源头“内鬼”2 人，缴获公民个人信息230G。

林某为某券商的证券经纪人，利用自学黑客技术，攻破了多家政府网站和证券或期货公司内部系统。林某非法获取公民个人信息共计400 余万条，情节特别严重，有期徒刑5 年2 个月，并处罚金人民币2 万元。

上述案例提醒我们，证券期货行业应严格落实信息安全保密措施、加强管理，严防信息泄露。

整体来看，证券期货行业数据空间可以划分为三个维度： 一是业务空间，即金融机构在开展交易中介、资本中介、融资中介、投资研究、自营投资、OTC 市场等业务活动时产生的数据。二是管理空间，即金融机构在进行人力、合规、风控、财务等对内经营管理活动时产生的数据。三是服务空间，即金融机构在和外部的个人投资者、机构投资者、融资机构等相关服务对象进行交互时产生的数据。

从以上三个维度的数据不难看出，证券期货行业的数据具有体量大、敏感程度高、重要程度高的特点：

• 体量大：特别是交易所或结算公司这类大型机构，汇聚了行业内多家机构的数据。
• 敏感程度高：大量数据涉及投资者的基本信息、账户信息、财务信息等。
• 重要程度高：涉及到交易数据、风控数据、经营管理数据等。

因此，金融机构数据基于安全的差异化管理，以及合规使用尤为重要。意识到数据安全重要性的金融机构，纷纷在安全保护领域发力。

分类分级是数据安全保护体系中一项重要的基础性工作，然而在开展数据安全分类分级工作时，很多企业面临着挑战：

• 缺乏整体解决方案：面对企业自身众多的数据，分类要如何划分、级别设置几个层级、分类分级结果要如何落地？这些问题导致企业不知如何着手数据分类分级工作。
• 缺少数据安全差异化管理：很多企业都有建立数据使用的审批流程，但审批流于形式，因为并不清楚哪些属于敏感数据或者敏感数据存在哪里。导致管理成本虽高， 但安全保护方面收效甚微。
• 欠缺专业人才和能力：数据安全的分类分级对专业能力要求较高，一方面需要有金融业务的知识储备，并且熟悉对应系统中的数据；另一方面需要具备数据治理能力， 特别是数据安全领域的专业能力。

随着监管的要求越来越严格，如何切实做好数据的分类分级，保障数据安全？ IBM 结合多年的项目实施经验，总结了关键的应对策略。