ICS 35.240.40 A 11 JR 中华人民共和国 金融行业标准 JR/T 0197—2020 金融数据安全 数据安全分级指南 Financial data security—Guidelines for data security classification 2020 - 09 - 23发布 2020 - 09 - 23实施 中国人民银行 发布 JR/T 0197—2020 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 目标、原则和范围 ................................ ................................ ... 3 5 数据安全定级 ................................ ................................ ....... 4 6 重要数据识别 ................................ ................................ ...... 10 附录A（资料性附录） 数据定级规则参考表 ................................ ............... 11 附录B（资料性附录） 数据安全级别变化事宜 ................................ ............. 46 附录C（资料性附录） 重要数据 ................................ ......................... 47 参考文献 ................................ ................................ ............ 48 JR/T 0197—2020 II 前 言 本标准按照 GB/T 1.1 —2009给出的规则起草。 本标准由 中国人民银行 提出。 本标准由全 国金融标准化技术委员会（ SAC/TC 180 ）归口。 本标准起草单位 ：中国人民银行 科技司、中国银行保险监督管理委员会 统计信息与风险监测部 、国 家金融 IC卡安全检测中心（银行卡检测中心） 、深圳市长亮科技股份有限 公司、中国银行保险信 息技术 管理有限 公司、招商银行 股份有限公司、中国平安财产保险股份有限公司 、中国长城资产管理股份有限 公司、蚂蚁科技集团股份有限公司 、平安保险（集团）股份 有限公司 、中国人民银行 金融信息中心 、中 国人民银行 数字货币研究所 、兴业银行股份有限公司 、中国农业银行股份有限公司 、中国建设银行股份 有限公司 、中国工商银行股份有限公司 、恒丰银行股份有限公司 、中国银联股份有限公司 、网联清算有 限公司、中国银行股份有限公司 、平安银行股份有限公司 、中电数据服务有限公司 ，中国电力财务有限 公司、中国外汇交易中 心、中国人民银行 营业管理部 、中国人民银行南京分行 、中国人民银行 福州中心 支行、中国金融电子化公司 、西南财经大学 。 本标准主要起草人： 李伟、陈立吾、沈筱彦、车珍、曲维民、昝新、夏磊 、方怡、孙衍琪、渠韶光、 陈聪、居崑、杨波、高强裔、熊琳、辜敏、 陈裕源、张曦、李隆春、李水旺 、俞吴杰、刘建民 、张小松、 由宜、吕良玉 、落红卫、王昕、姜永庆 、黄飞生、王衍强 、朱建强、时向一、狄刚、吕毅 、栾家阳，郭 智超、赵珺、万适 、刘静芳、刘超 、范博文、李雯、张耀峰 、郑超、吴彦涵、杨溢 、强群力、郭林 、陈 雪秀、公丽丽 、母延燕、马鑫 、周亚超、王良浩、梁钰清、 缪章娟、薛金川、任军远、廖学清、刘书元、 侯漫丽、陈文。 JR/T 0197—2020 III 引 言 随着信息技 术的发展 ，众多金融基础业务 、核心流程、行业间往来等事务和活 动均已运行在信息化 支撑载体之上， 金融业机构生产运行过程中产生的信息也逐步以不同形式转化为数字资产 ，在不同信息 网络与系统之间流转。随着大数据、人工智能、云计算等新技术在金融业的深入应用，数据逐步实现了 从信息化资产到生产要素的转变，其重要性日益凸显。金融业机构 数据安全威胁的影响 范围逐步从机构 内扩大至行业间，甚至影响 国家安全、社会秩序、公众利益与金融市场稳定。 金融数据复杂多样，对 数据实施分级管理，能够 进一步明确数据 保护对象 ，有助于 金融业机构 合理 分配数据保护 资源和成 本，是金融业机构 建立完善的 金融数据生命周期 保护框架的基础 ，也是有的放矢 地实施数据安全管理的前 提条件。同时，统一的数据分级管 理制度，能够促进数据在机构间、行业间的 安全共享，有利 于金融行业数据价值的挖掘与实现。 为落实中共中央 、国务院加强数据资源整合和安全保护 相关工作要求，指导金融业机构合理 开展金 融数据安全 定级工作，有效落实金融数据生命周期 全过程安全管理 策略，进一步提高金融业数据管理和 安全防护水平，确保金融数据的 安全应用， 编制本标 准。 JR/T 0197—2020 1 金融数据安全 数据安全分 级指南 1 范围 本标准给出了金融数据安全分级 的目标、 原则和 范围， 以及数 据安全定级 的要素、 规则和定级过程 。 本标准适用于金融业机构开展电 子数据安全分级工作 ，并为第三方 评估机构等单位开展数据安全检 查与评估工作提供参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅 注日期的版本适用于本文件。 凡是不注日期的引用文件 ，其最新版本（包括 所有的修改单）适用于本文件。 GB/T 4754 —2017 国民经济行业分类 GB/T 5271.1—2000 信息技术 词汇 第1部分：基本术语 GB/T 25069—2010 信息安全技术 术语 GB/Z 28828—2012 信息安全 技术 公共及商用服务 信息系统个人信息保护指南 GB/T 35273 —2020 信息安全 技术 个人信息安全规范 JR/T 0158—2018 证券期货业数据分类分级指引 JR/T 0171 —2020 个人金融 信息保护 技术规范 3 术语和定义 GB/T 25069 —2010、GB/T 35273 —2017界定的以及下列术语和定义适用于本文件。 3.1 信息 information 关于客体 （如事实、事件、 事物、过程 或思想，包括概念）的知 识，在一定的场 合中具有特定的 意 义。 注：改写GB/T 5271.1—2000，定义2.01.01.01 。 3.2 数据 data 信息的可再解释的形式化表示， 以适用于通信、解释或处理。 注：可以通过人工或自动手段处理。 [GB/T 5271.1 —2000，定义2.01.01.02] 3.3 隐私 privacy 个人所具有的控制或影响与之相关信息的权限，涉及由谁收集和存储、由谁披 露。 JR/T 0197—2020 2 [GB/T 25069 —2010，定义2.1.63] 3.4 信息处理 information pro cessing 对信息操作 的系统执行，包括数据处 理，也可包括诸 如数据通信和办 公自动化之类的操作。 注：术语“信息处理”不能用为 “数据处理”的同义词。 [GB/T 5271.1—2000，定义2.01.01.05] 3.5 数据处理 data processing 数据操作的系统执行。 示例：数据的数学运算或逻辑运算，数据的归并或分类，程序的汇编或编译，或文本 的操作，诸如编辑、分类、归 并、存储、检索、显示或打印。 注1：术语“数据处理”不能用为“信息处理”的同义词。 注2：改写GB/T 5271.1 —2000，定义2.01.01.06 3.6 保密性 confiden tiality 使信息不泄露给未授权 的个人、实体、进程， 或不被其利用的特性。 [GB/T 25069 —2010，定义2.1.1] 3.7 完整性 integrity 保卫资产准 确和完整的特性。 注：改写GB/T 25069 —2010，定义2.1.42。 3.8