北京
国家金融监督管理总局自12月发布 金办发[2025]93号文以来,各金融机构基于自身数据安全建设现状,积极响应跟进,目前在紧锣密鼓的准备与自查整改中,其中数据分类分级与以往要求有着明显的细化,本文试着整理具体的要求以及如何在短期内提升数据安全管理能力。严格遵循金监总局93号文“限期整改、集中整治”的要求,完成自查整改,并建立一套准确、可用、可持续运营的数据分类分级体系,为后续数据安全风险监测、技术管控等全面能力提升奠定坚实基础。
核心原则:
- 合规驱动,限期达标:以93号文为当前工作主线,聚焦快速补齐基础性、普适性短板,确保按时完成合规基线。
- 提质增效,智能赋能:在满足基础要求的同时,引入智能化工具,提升工作效率与准确性,为长期能力建设(如对标人行7号文)做好准备。
- 业务协同,成果可用:建立跨部门协同流程,确保分类分级成果得到业务部门确认,并直接应用于后续的数据安全保护场景,实现“整改”与“提质”一体化推进。
需求分析:
1、建立数据分类分级标准与动态目录
行动方案:
智能数据分类分级引擎实现多源异构统一视图,自动发现并纳管全行传统数据库、数据仓库、大数据平台等异构数据源。结合主动扫描(确保完整性)与被动监听(实时感知变化),构建动态更新的数据资产目录。预置金融行业标准(JR/T 0197)及金监分类指南模板,开箱即用,确保标准符合性。私有化大模型(如通义千问),利用其语义理解能力,自动化完成字段分类分级与打标,显著提升处理效率与准确性。
实现收益:
快速建立全行级数据资产目录,覆盖核心业务系统。自动化打标效率提升近10倍(参考银行案例),确保在限期内完成海量数据处理。分类分级打标覆盖率超95%,形成高质量、可用的数据目录。
2、落实分类分级,明确保护对象
行动方案:
业务部门深度参与协同打标与审核流程,数据门户(DP)可以提供协同工作平台。数据安全团队可向信贷、客户管理、运营等业务部门下发打标任务。业务人员基于自身知识,在门户中对自动分类结果进行确认、修正或补充打标,确保分类结果贴合业务实际,提升数据分类分级效率。
实现收益:
打通安全与业务的协作壁垒,落实“谁管业务,谁管数据安全”原则。确保分类分级结果的业务准确性和权威性,为差异化保护提供可靠依据。
3、实现数据目录动态管理与维护
行动方案:
分类分级持续运营机制实现实时联动,当数据源结构发生变化(新增表/字段)时,平台能自动发现并纳入分类分级流程。运营看板可以提供分类分级覆盖率、准确率、待办任务等可视化看板,便于管理者监控进度与质量。定期更新机制支持设定周期性的扫描与分类任务,确保目录持续更新。
实现收益:
建立可持续的运营机制,避免“一次性工程”,满足监管对动态管理的要求。降低长期维护成本,自动化工具减少人工重复劳动。
4、基于分类分级采取差异化保护措施
行动方案:
分类分级成果与安全管控无缝衔接:• 敏感数据目录(SDI):分类分级成果实时生成统一的敏感数据目录,作为所有数据安全策略的唯一事实来源。• 策略联动:该目录直接驱动数据动态脱敏、访问控制(行/列权限)、数据加密、风险监测等策略的自动生成与执行,实现“分类即保护”。
实现收益:
将管理要求转化为技术措施,快速落地数据安全管控。• 在数据库运维、BI分析、业务系统访问等重点场景,立即实现基于敏感级别的差异化保护,有效降低数据泄露风险。
5、夯实数据安全工作基础
行动方案:
一体化平台提供全面能力支撑:
• 统一管理:在一个平台内完成分类分级、策略配置、审计分析,避免多产品组合带来的策略不一致、日志碎片化问题。
• 组织与流程固化:通过平台工具将分类分级的管理制度、操作流程、部门职责进行固化与落地。
实现收益:
降低建设与运维复杂度,提升整体安全管理效率。为满足《银行保险机构数据安全管理办法》等更全面的数据安全治理要求提供可扩展的基础平台。
方案实施路径建议
第一阶段:试点与快速启动(1-2个月)
- 范围选定:选取1-2个核心业务系统(如信贷、核心数仓)作为试点。
- 平台部署:部署完成试点系统数据源的接入。
- 模板定制:基于金监标准和行内规范,在平台内定制分类分级模板。
- 智能分类:利用平台的大模型能力,对试点系统进行自动化分类分级。
- 业务协同:通过数据门户组织业务部门完成结果确认。
- 成效验证:产出试点系统的高覆盖率数据目录,并验证其在动态脱敏或访问控制场景中的应用。
第二阶段:全面推广与深化应用(3-6个月)
- 范围扩展:将分类分级工作推广至全行其他主要业务系统。
- 能力衔接:将生成的敏感数据目录,系统性地应用于更多的数据安全技术管控场景(如API数据安全、大数据平台保护、数据库运维管控)。
- 运营体系建立:基于平台运营看板,建立常态化的数据目录更新、策略优化和风险监测流程。
第三阶段:持续优化与融合提升(长期)
- 对标提升:在满足93号文基础上,参考人行7号文要求,探索引入更细粒度的业务关联性、可用性等多维度分类。
- 智能深化:持续利用AI能力优化分类模型,提升自动化水平。
- 价值扩展:将数据资产目录用于数据治理、数据服务质量提升等更广泛的业务领域。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
