JR∕T 0158-2018 证券期货业数据分类分级指引(金融).pdf

《JR∕T 0158-2018 证券期货业数据分类分级指引(金融).pdf》由会员分享，可在线阅读，更多相关《JR∕T 0158-2018 证券期货业数据分类分级指引(金融).pdf（103页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 03.060A11JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 01582018证券期货业数据分类分级指引Data classification guidelines for securities and futures industry2018-09-27 发布2018-09-27 实施中国证券监督管理委员会发 布JR/T 01582018I目次前言.III引言.IV1 范围.12 规范性引用文件.13 术语和定义.14 适用的数据范围.25 数据分类分级前提条件.25.1 建立数据分类分级组织保障.25.2 建立数据分类分级管理制度.35.3 建立数据资产分类分级

2、清单.36 数据分类分级方法概述.36.1 分类分级方法的来源.36.2 主要用语说明.36.3 数据分类分级的前提.46.4 数据分类层级.46.5 三个基本流程阶段.56.5.1 总体说明.56.5.2 业务细分阶段.66.5.3 数据归类阶段.66.5.4 级别判定阶段.77 数据分类.77.1 数据分类原则.77.2 数据分类方法.87.2.1 第一阶段：业务细分阶段.87.2.2 第二阶段：数据归类阶段.108 数据分级.148.1 数据分级原则.148.2 数据分级要点.148.3 数据分级方法.148.3.1 数据定级要素.158.3.2 数据定级方法.178.3.3 数据定级规

3、则表.178.3.4 数据级别判定参考规则表.189 数据分类分级中的关键问题处理.219.1 数据体量与数据级别的确定.219.2 数据聚合与数据分类分级的变更.21JR/T 01582018II9.3 数据时效性与数据分类分级的变更.219.4 数据的获取与提供.219.5 数据的汇总、统计、分析、加工.21附录 A（规范性附录）证券期货行业典型数据分类分级模板.23A.1 关于数据分类分级模板的说明.23A.1.1 总体说明.23A.1.2 基本原则.23A.1.3 分类与定级的细分说明.23A.1.4 定级与安全保护说明.24A.2 数据汇集型会管单位典型数据分类分级模板.25A.3

4、一般会管单位典型数据分类分级模板.39A.4 行业协会典型数据分类分级模板.54A.5 证券公司典型数据分类分级模板.61A.6 期货公司典型数据分类分级模板.75A.7 基金管理公司典型数据分类分级模板.86参考文献.97JR/T 01582018III前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由全国金融标准化技术委员会证券分技术委员会（SAC/TC180/SC4）提出。本标准由全国金融标准化技术委员会（SAC/TC180）归口。本标准起草单位：中国证券监督管理委员会信息中心、中国证券监督管理委员会证券基金机构监管部、中国金融期货交易所、上海证券交易所、深圳证券交易所、上

5、海期货交易所、大连商品交易所、郑州商品交易所、中国证券投资者保护基金有限责任公司、中证信息技术服务有限责任公司、中国证券金融股份有限公司、全国中小企业股份转让系统有限责任公司、中国证券登记结算有限责任公司、中国期货市场监控中心有限责任公司、中证资本市场运行统计监测中心有限责任公司、中国证券业协会、中国期货业协会、中国证券投资基金业协会、上海金融期货信息技术有限公司、中国银河证券股份有限公司、海通证券股份有限公司、中信证券股份有限公司、华泰证券股份有限公司、兴业证券股份有限公司、国泰君安期货有限公司、华泰期货有限公司、中信保诚基金管理有限公司、交银施罗德基金管理有限公司。本标准主要起草人：张野、

6、刘铁斌、周云晖、王东明、毛嘉伟、王恺、高红洁、朱翔、郭郛、祁博、曹雷、许凯文、史光伟、鲁继东、戴鹏、张千里、吕德旭、于培言、朱明康、翁念龙、林林、谢冉、王欣、邵辰、丛日权、周桉、吴忠华、林鹏、向春丞、和冲宇、张婧妍、崔慧阳、陈明、张诗潮、周常顺、艾青、郑文天、邓廷勋、王东、吴保杰、李琛、张嵩、王玥、倪韬雍、胡卫宁、吴福文、陈逸辛、董明余、唐华。JR/T 01582018IV引言我国证券期货市场信息化程度起点较高，随着近年来信息技术进步与行业内应用程度进一步加深，包括行业主管部门(或监管机构)直接管理的行业机构（简称“会管单位”）及证券期货基金经营机构在内的各类市场主体都沉淀了大量数据。一方面，

7、需要有效甄别合理化的数据使用需求，明确关键环节的技术标准，确定使用新型技术的范围；另一方面需要结合行业发展变化，有效识别新增风险隐患，持续加强数据安全管理，建立健全数据管理制度，采取必要的数据安全防护措施，切实维护市场安全运行，切实维护投资者合法权益。证券期货行业业务种类繁多，数据呈现出复杂性高，多样性强的特点。采用规范的数据分类、分级方法，有助于行业机构厘清数据资产、确定数据重要性或敏感度，并针对性地采取适当、合理的管理措施和安全防护措施，形成一套科学、规范的数据资产管理与保护机制，从而在保证数据安全的基础上促进数据开放共享。数据分类是数据保护工作中的一个关键部分，是建立统一、准确、完善的数

8、据架构的基础，是实现集中化、专业化、标准化数据管理的基础。行业机构按照统一的数据分类方法，依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类，可以全面清晰地厘清数据资产，对数据资产实现规范化管理，并有利于数据的维护和扩充。数据分类为数据分级管理奠定基础。数据分级是以数据分类为基础，采用规范、明确的方法区分数据的重要性和敏感度差异，并确定数据级别。数据分级有助于行业机构根据数据不同级别，确定数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施，进而提高机构的数据管理和安全防护水平，确保数据的完整性、保密性和可用性。本标准为数据分类分级工作提供指导性原则，并以证券期货行业数据模型

9、的业务条线划分为基础，结合行业特点提出一种从业务到数据逐级划分的数据分类分级方法，同时提供数据分类分级管理的相关建议，供证券期货行业相关机构参考。此外，可供行业制定数据管理、数据安全防护等相关标准时参考。JR/T 015820181证券期货业数据分类分级指引1范围本标准给出了证券期货业数据分类分级方法概述及数据分类分级方法的具体描述，并就数据分类分级中的关键问题处理给出建议。本标准适用于证券期货行业机构、相关专项业务服务机构、相关信息技术服务机构开展数据分类分级工作时使用。注：专项业务服务机构和信息技术服务机构在开展涉及证券期货业相关数据的业务服务和技术服务时适用。行业其他相关机构可参照本标准

10、进行数据分类分级。本标准不适用于涉及国家秘密的数据。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本适用于本文件。GB/T 101132003分类与编码通用术语GB/T 222402008信息安全技术 信息系统安全等级保护定级指南中国证券监督管理委员会公告201246号 证券期货业信息安全事件报告与调查处理办法3术语和定义下列术语和定义适用于本文件。3.1数据 data信息的可再解释的形式化表示，以适用于通信、解释或处理。注：可以通过人工或自动手段处理数据。GB/T 5271.1-2000.定义01.0

11、1.023.2保密性 confidentiality信息不能被未授权的个人、实体或者过程利用或知悉的特性。GB/T 29246-2012.术语和定义2.93.3可用性 availability根据授权实体的要求可访问和使用的特性。GB/T 29246-2012.术语和定义2.73.4完整性 integrity保护资产的准确和完整的特性。JR/T 015820182GB/T 29246-2012.术语和定义2.253.5网络 network由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。3.6网络安全 network security通过

12、采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。3.7网络运营者 network operator网络的所有者、管理者和网络服务提供者。3.8网络数据 network data通过网络收集、存储、传输、处理和产生的各种电子数据。3.9个人信息 personal information以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。注：包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。4适用的数据范围指证券期货行业经营和管理活动

13、中产生、采集、加工、使用或管理的网络数据或非网络数据（指非经网络收集、存储、传输、处理和产生的各种电子或非电子数据），包括但不限于以下：a)行业机构通过开展业务或经其他渠道获取的投资者个人信息，如：个人身份信息、财产信息、账户信息、信用信息、交易信息及其他反映特定个人某些情况的信息；b)机构投资者相关信息，如：机构投资者基本信息、机构投资者财产信息、机构投资者账户信息、机构投资者信用信息、机构投资者交易信息、相关衍生信息等；c)证券期货市场交易信息，如：证券市场交易信息、期货市场交易信息、基金交易信息、其他衍生品交易信息等；d)业务管理相关信息，如：监管信息、统计信息、公告信息等。此处“监管信

14、息”，特指证券期货行业机构收到的来自监管部门的信息或按照监管部门要求报送的信息；e)经营管理数据，如：客户管理信息、渠道管理信息、经营状况信息、人力管理信息、财务管理信息、技术管理信息等；f)通过购买或数据共享等方式获得的外部数据，如：研究报告、指数信息等；g)其数据完整性、保密性和可用性遭到破坏，可能严重危害国家安全、国计民生、公共利益的其他各类数据。5数据分类分级前提条件5.1建立数据分类分级组织保障数据分类分级工作的开展需要有组织保障，明确：JR/T 015820183a)数据分类分级的管理部门；b)数据分类分级的最高责任人；c)数据分类分级相关的管理角色和职能；d)数据分类分级相关的授

15、权机制；5.2建立数据分类分级管理制度数据分类分级工作的开展需要有制度保障，明确：a)数据分类分级的具体要求；b)数据分类分级工作中涉及的角色及职责；c)数据分类分级的相关制度和操作流程的制定、发布、维护和更新的机制以及评审和修订周期；d)数据分类分级管理相关绩效考评和评价机制；e)数据分类分级的原则、方法；f)数据级别的相关变更原则及变更后的通知原则；g)数据资产分类分级清单的审核与修订周期和原则；h)数据分类分级保护的总体原则和目标；i)数据分类分级的日常管理流程；j)操作人员的操作规程。5.3建立数据资产分类分级清单至少采取以下措施，有效管理数据资产：a)收集所有产生、采集、加工、使用或

16、管理的数据，对数据进行明确的定义，并根据数据分类分级方法对数据进行分类分级并标识，建立数据资产分类分级清单；b)数据资产分类分级清单的内容宜经数据管理相关方评审确认；c)对数据资产分类分级清单进行定期修订。6数据分类分级方法概述6.1分类分级方法的来源数据分类是按照GB/T 101132003中的线分类法为基础进行分类。数据分级是按照GB/T 222402008中的定级方法为基础进行分类。在数据分类基础上，对已分类数据按照数据泄露或损坏造成的影响进行分级，形成统一的分类分级方法。6.2主要用语说明分类分级方法中使用到的主要用语说明如下：a)业务条线1)泛指机构内部广义概念的业务，可能包含一系列

17、相关业务内容和业务范围。例如某机构的“交易业务”、“信息披露业务”等；2)业务条线可参考证券期货行业数据模型的定义，并可根据本机构业务情况增补；3)业务条线在分类分级方法中作为“业务一级子类”。b)业务管理JR/T 0158201841)指业务条线下，根据管理主体、管理范围（或称管理内容）的不同，细分出的不同业务类别。例如“交易管理”、“结算管理（或清算管理）”、“风险监控”等，具体名称，各机构可能有所不同。2)业务管理在分类分级方法中作为“业务二级子类”。c)管理主体（Management Subject；MS）指对某类具体业务的管理工作负责的组织、部门、岗位、人员等。例如在某机构中结算部负

18、责“结算管理”业务。根据机构规模，可能在某些机构中仅存在“结算岗”。d)管理范围（Management Scope；MS）指某类具体业务涉及的，与其他业务之间有明显区别的管理内容，例如在机构内部所指的“结算操作”、“结算查询”、“结算文件发布”一般属于“结算管理”的业务范围。e)管理对象（Management Object；MO）在本标准中，特指某类具体业务，其管理范围内涉及的数据。例如“结算管理”涉及“结算参数数据”、“结算文件”、“结算日志”等数据。6.3数据分类分级的前提数据分类分级要做好两个前提工作：a)全面梳理本机构业务条线1)数据一般因业务而产生，供业务需要使用；无业务需求，也无数

19、据的产生和消费；2)首先需要厘清业务，才能区分业务涉及的具体数据。b)收集、整理全部数据资产1)数据资产包含以物理或电子形式记录的数据表、数据项、数据文件等；2)数据资产梳理方法可参考证券期货行业数据模型的方法。6.4数据分类层级本标准推荐的分类分级方法，从业务条线出发，首先对业务细分，其次对数据细分，形成从总到分的树形逻辑体系结构，最后，对分类后的数据确定级别；同时，推荐考虑确定数据形态，见图1。JR/T 015820185图 1数据层级体系示意图6.5三个基本流程阶段6.5.1总体说明本标准提供的数据分类分级方法，分为三个阶段，见图2。a)第一阶段：业务细分。解决业务分类问题，同时确定数据

20、的管理主体。数据管理主体的确定是数据分类准确性和定级准确性的基本保证。b)第二阶段：数据归类。在明确数据管理主体和业务分类的基础上，重点解决数据分类问题。c)第三阶段：级别判定。在数据分类基础上，进行数据定级。数据分类后，宜同时明确数据的具体“数据形态”，即所处的系统、存储的媒介、物理位置等。JR/T 015820186图 2数据分类分级的基本流程6.5.2业务细分阶段业务细分阶段的简要说明如下：a)目标，对业务条线（业务一级子类）细分后，得到一系列有较清晰界限的业务二级子类（一般可以视为“业务管理”子类）。b)方法，依据具体业务的管理主体对应管理范围（MS-MS）对业务一级子类细分。c)过程

21、说明：1)根据本机构实际情况，按照推荐的方法，将“业务条线”（业务一级子类）细分为不同的“业务管理”（业务二级子类）；2)除特殊情况，一般将业务条线仅细分到二级。6.5.3数据归类阶段数据归类阶段的简要说明如下：a)目标，如下：JR/T 0158201871)确定业务二级子类对应的“单类业务数据总和”；2)对“单类业务数据总和”细分得到数据一级子类；3)如有必要，对数据一级子类进行细分。b)方法，如下：1)依据第一阶段划分的每个业务二级子类的“管理范围”对应的“管理对象”（MS-MO），对数据进行归类，确定对应某业务的“单类业务数据总和”。这是一个过渡性成果。2)按照数据性质、重要程度、管理需

22、要、使用需要等要素，将“单类业务数据总和”细分为不同的数据一级子类。3)如有必要，按照细分方法，进一步细分为数据二级子类、三级子类等。c)过程说明：1)先确定各个业务二级子类下的全部数据（各种数据表、数据项、数据文件等），称为“单类业务数据总和”。这个过程用于确定某类业务下存在的数据。例如先确定“结算管理”业务下的各类数据表、数据项、数据文件等。2)之后对“单类业务数据总和”按照“细分方法”细分后得到数据一级子类。通常一个“业务管理”子类下，有多个不同的数据一级子类。例如，“结算管理”下的数据一级子类可能有“账户信息”、“持仓信息”等。3)数据一级子类可根据需要，按照细分方法再细分，得到数据二

23、级子类。（详见 7.2.2.5）4)数据分类层级过少，不利于定级；过多，不利于管理。一般划分到适合本机构定级需要即可，宜不超过三个层级。6.5.4级别判定阶段级别判定阶段的简要说明如下：a)目标，对已完成分类的数据子类进行定级。b)方法，采用基于影响的判定方法。由影响对象、影响范围、影响程度三要素按照表 4 判定。c)过程说明：1)将已划分完，可定级的数据子类（一级、二级、三级等），按照“基于影响的判定方法”进行定级；2)分类后的数据，均应有明确的级别。例如“结算管理”下的数据一级子类有“持仓信息”、“账户信息”。“持仓信息”如不再细分，应定级。“账户信息”如进一步细分为二级子类如“机构账户信

24、息”、“个人账户信息”等，则一级子类、二级子类均应定级。7数据分类7.1数据分类原则数据分类宜遵循以下原则：a)系统性原则：数据分类宜基于对机构所有数据的考量，建立一个层层划分、层层隶属的、从总到分的分类体系，每一次划分应有单一、明确的依据。数据类目的排列宜依据数据类目主题之间的内在联系，遵循概念逻辑，遵循最大效用原则，将全部类目系统地组织起来，形成具有隶属和并列关系的分类体系，以揭示出机构数据不同类别之间的联系和区别。b)规范性原则：所使用的词语或短语能确切表达数据类目的实际内容范围，内涵、外延清楚；在表达相同的概念时，保证用语一致性；在不影响数据类目涵义表达的情况下，保证用语简洁性。在证券

25、期货行业已有统一数据用语的情况下，使用统一数据用语。JR/T 015820188c)稳定性原则：宜选择分类对象的最稳定的本质特性作为数据分类的基础和依据。d)明确性原则：同一层级的数据类目间宜界限分明。当数据类目名称不能明确各自界限时，可以用注释来加以明确。e)扩展性原则：在数据类目的设置或层级的划分上，宜保留适当余地，利于分类数据增加时的扩展。7.2数据分类方法7.2.1第一阶段：业务细分阶段7.2.1.1阶段工作说明本阶段，将业务条线作为业务一级子类进行细分，确定业务二级子类(业务管理)，并对其命名。7.2.1.2业务细分的原因对业务进行细分的原因如下：a)业务条线一般是逻辑划分，范围广，

26、业务内容涵盖多，无法直接与具体数据对应；b)业务条线下存在不同管理主体，各自管理的范围、内容不同，对应的数据也有区别；c)明确不同业务的管理主体，才能确定数据管理的基本责任主体。7.2.1.3业务细分步骤业务细分的主要步骤如下，见图3：a)步骤一：确定业务一级子类基本业务条线。1)参考证券期货行业数据模型确定的业务条线作为基础；2)一般划分为交易、监管、信息披露、其他。b)步骤二：确定每个业务条线下所有的业务管理主体(MS)。1)管理主体一般是特定的管理组织、部门、岗位、人员；2)管理主体需对管理的业务范围负责；3)管理主体应可决定业务管理范围内涉及的数据的权限；4)管理主体的确定宜适当，范围

27、过小可能导致对应业务划分颗粒度过细；范围过大可能导致对应业务划分颗粒度过粗，无法区分不同业务。示例：某机构中“结算部”负责管理“结算”相关业务。在另外一些机构中“结算岗”管理“结算”相关业务。“结算部”、“结算岗”就是管理主体。c)步骤三：确定每个业务管理主体对应的管理范围，明确对应关系(MS-MS)。1)管理范围一般指由业务特点决定的管理内容；2)业务管理范围之间应相互独立；3)每个管理主体及其对应的管理范围，形成一一映射关系；4)一般情况下，一组映射关系即是一个业务二级子类；5)多个管理主体对应的管理范围相同，应视为一个业务二级子类；6)一个管理主体对应的不同管理范围，应视为多个映射，即多

28、个业务二级子类。示例 1：某机构中“结算部”负责管理“结算”相关业务，其中“结算操作”、“结算查询”、“结算文件发布”等是“结算部”的业务管理范围。“交易部”负责管理的“交易启停”、“交易参数设置”等是“交易部”的业务管理范围。JR/T 015820189“交易部”和“结算部”对应的业务管理范围之间相互独立。“交易部”和“结算部”和其对应的业务管理范围之间形成一一映射。这些映射，前者可以称为“交易管理”，后者可以称为“结算管理”。示例 2：某机构内部有“交易操作岗”、“交易复核岗”、“交易监控岗”，三个岗位虽然都可以是管理主体，但对应的管理范围都在“交易启停”、“交易参数设置”、“交易运行监控

29、”内，如无必要，则应统一视为“交易管理”子类。示例 3：某机构内部有“业务管理员”岗位，该岗位分别管理“交易启停”和“风险监控”，则“业务管理员-交易启停”和“业务管理员-风险监控”视为两个不同映射，前者作为“交易管理”子类，后者作为“风险管理”子类。d)步骤四：命名映射关系业务二级子类。即对步骤三完成后确定的各类业务“管理主体-管理范围”映射关系进行命名，得到业务二级子类的命名。图 3业务细分方法图7.2.1.4细分说明业务细分，一般仅在业务一级子类基础上按照“MS-MS”方法划分一次。过度划分可能导致第二阶段划分后层级过多，不利于管理。如需细分，要在业务二级子类基础上进一步细分，以确保层级

30、体系唯一性。JR/T 0158201810业务一级子类的两个细分举例如下：a)业务一级子类“交易”：细分后，得到业务二级子类包含“交易管理”、“结算管理”、“机构管理”等。b)业务一级子类“其他”：细分后，得到业务二级子类包含“技术管理”、“综合管理”等。7.2.2第二阶段：数据归类阶段7.2.2.1阶段工作说明在第一阶段对业务细分基础上，找到数据与业务二级子类之间对应关系，经归类后，确定数据一级子类。7.2.2.2数据归类的原因对数据归类主要基于以下原因：a)数据（数据表、数据项、数据文件等）是已存在的或已设计准备使用的；b)数据（数据表、数据项、数据文件等）是具体业务的“管理对象”；c)数

31、据表或数据项内容多而庞杂，无法直接定级，且定级的意义不大。7.2.2.3数据归类步骤数据可按照以下步骤进行归类,见图4：a)步骤一：明确各个业务二级子类的管理范围（MS）。第一阶段已完成此项工作。b)步骤二：确定业务二级子类的管理范围对应的管理对象（MS-MO）,即找到业务二级子类下的全部数据。说明如下：1)管理对象在本标准中指特定业务管理范围内对应的数据，由一系列数据表、数据项或数据文件等组成；2)本步骤即针对每个业务子类，找到其对应的一系列数据总和。这些“数据总和”是全部数据的一个个子集；3)部分数据表、数据项和数据文件可能出现在多个“数据总和”中；4)本步骤的结果：得到每个业务子类对应的

32、数据总和，称为“单类业务数据总和”。示例：“结算管理”业务下的各类数据表、数据项、数据文件等构成“结算管理”对应的“单类业务数据总和”，包括客户信息、结算参数表、结算价、持仓明细表、交割明细表等。其中客户信息可能出现在多个不同业务对应的“单类业务数据总和”中。JR/T 0158201811图 4数据归类方法图c)步骤三：按照数据细分方法对各个“单类业务数据总和”分别细分，得到数据一级子类,见图5。细分规则如下：1)按照数据性质、重要程度、管理需要、使用需要进行细分；2)按照数据性质细分，一般指划分后的子类之间，数据性质之间有所差异；3)按照重要程度细分，一般指划分后的子类之间，重要程度之间有所

33、差异；4)按照管理需要细分，一般指因不同的管理目的划分不同子类；5)按照使用需要细分，一般指划分后的子类之间，使用范围之间有所差异；6)机构可参照此方法，选择适当的要素进行细分。示例:“交易管理”对应数据中，可以分为“成交信息”、“委托信息”、“交易参数信息”、“交易日志信息”等。其中“成交信息”、“委托信息”可以视为是数据性质不同而作的划分。“交易参数信息”、“交易日志信息”等可以视为是因管理需要不同而作的划分。JR/T 0158201812图 5数据细分方法图d)步骤四：命名数据一级子类。即对步骤三完成后确定的数据一级子类命名。7.2.2.4数据归类说明在数据归类过程中，需注意以下内容：a

34、)每个业务二级子类具有一组数据（数据表、数据项、数据文件等）总和；b)全部数据可以多个不同组合方式分别隶属于不同的业务二级子类；c)如有数据无法确定对应业务二级子类，说明业务二级子类划分不完全，需对第一阶段工作进行检验；d)如有业务二级子类下不存在数据，说明可能存在冗余的业务二级子类或数据资产未厘清；e)根据实际业务需要、管理需要，按照数据细分方法可以对数据一级子类进一步细分。细分层级宜不超过三级。7.2.2.5数据一级子类的细分对已划分明确的数据一级子类进一步细分，细分后产生一个或者多个数据子集，见图 6。参照以下规则进行细分：a)按照数据性质划分：对某数据一级分类进一步细分，细分后的数据二

35、级子类之间数据性质有所区别。b)按照重要程度划分：对某数据一级分类进一步细分，细分后的数据二级子类之间重要程度有所区别。细分后的数据级别一般会不同。c)按照管理需要划分：对某数据一级分类进一步细分，细分后的数据二级子类之间需要进行有区别的管理。JR/T 0158201813d)按照使用需要划分：对某数据一级分类进一步细分，细分后的数据二级子类之间使用范围/目的不同。图 6数据一级子类细分方法图7.2.2.6数据分类示例经过一阶段、二阶段工作后，得到的数据分类示例如表1所示：表1 数据分类示例表业务条线业务条线数据数据一级子类一级子类二级子类二级子类一级子类一级子类二级子类二级子类交易交易管理成

36、交信息委托信息交易业务参数信息交易日志信息订单日志成交日志监管监察与评价管理监察参考信息监管统计及预警信息监管统计分析结果监管预警信息评价、处罚与违规信息上报信息上报信息信息披露信息披露管理产品发行信息（公开）产品发行信息（未公开）JR/T 0158201814表1 数据分类示例表（续）业务条线业务条线数据数据一级子类一级子类二级子类二级子类一级子类一级子类二级子类二级子类其他业务管理统计信息其他业务管理技术管理规划类数据技术管理运行管理配置信息数据信息资产管理数据字典类日志类数据8数据分级8.1数据分级原则数据分级宜遵循以下原则：a)依从性原则：数据级别划分应满足相关法律、法规及监管要求。b

37、)可执行性原则：宜避免对数据进行过于复杂的分级规划，保证数据分级使用和执行的可行性。c)时效性原则：数据的分级具有一定的有效期。数据的级别可能因时间变化按照一些预定的安全策略发生改变。d)自主性原则：机构可根据自身的数据管理需要，例如战略需要、业务需要、对风险的接受程度等，按照数据分类原则进行分类之后，按照数据分级方法自主确定更多的数据层级，并为数据定级，但不宜将高敏感度数据定为低敏感度级别。e)合理性原则：数据级别宜具有合理性，不能将所有数据集中划分一两个级别中，而另外一些没有数据。级别划定过低可能导致数据不能得到有效保护；级别划定过高可能导致不必要的业务开支。f)客观性原则：数据的分级规则

38、是客观并可以被校验的，即通过数据自身的属性和分级规则就可以判定其分级，已经分级的数据是可以复核和检查的。8.2数据分级要点数据分级工作中，注意以下方面:a)对数据泄露或损坏影响宜基于数据完全泄露或损坏来考虑，而不宜基于已有任何技术的防护措施来考虑。b)中国人民共和国网络安全法 已明确要对个人信息保护，要高度重视投资者或业务相关的个人信息保护，在数据分级中从高考虑。c)一般而言，数据体量大，涉及的客户（包含机构或个人投资者）多、涉及客户（包含机构或个人投资者）的资金量大的情况，影响程度宜考虑从高确定。d)安全属性（完整性、保密性、可用性）是信息安全风险评估中的重要参考属性，针对数据分级，数据安全

39、属性遭到破坏后可能造成的影响，是确定数据级别的重要判断依据，推荐采用。e)在本标准附录 A 中，提供行业典型的数据类型和最低参考数据级别，可供机构在数据分类分级过程中参照。8.3数据分级方法JR/T 01582018158.3.1数据定级要素8.3.1.1数据定级的影响三要素数据定级三要素如下：a)影响对象，划分为：行业、机构、客户。b)影响范围，划分为：多个行业、行业内多机构、本机构。c)影响程度，一般指数据安全属性（完整性、保密性、可用性）遭到破坏后带来的影响大小。划分为：严重、中等、轻微、无。8.3.1.2关于影响对象的说明关于影响对象的说明如下：a)影响对象为行业的情形：一般指数据的安

40、全属性（完整性、保密性、可用性）遭到破坏后，可能对本行业及其他行业中一个或多个行业的经济活动秩序、生产经营秩序等造成影响。b)影响对象为机构的情形：一般指数据的安全属性（完整性、保密性、可用性）遭到破坏后，可能对证券期货行业内一家或多家机构的经济活动秩序、生产经营秩序等造成影响。c)影响对象为客户的情形：一般指数据的安全属性（完整性、保密性、可用性）遭到破坏后，可能对公民、法人、组织的社会权益、经济利益等造成影响。8.3.1.3关于影响程度的说明影响程度，是一个定性的说明方式。在事件没有实际发生并产生影响的情况下，无法以具体量化指标或者参数来衡量。即便在实践中，由各类事件、事故引发的直接和间接

41、后果也难以简单衡量或者量化。影响程度的判定，宜综合考虑数据类型特征。数据类型根据业务条线划分并确定，不同业务对应不同的数据类型，体现不同的业务特点，因此，结合数据类型分析，有利于更加准确地判断影响程度。例如：交易类业务数据安全属性遭到破坏产生的影响程度通常要高于信息披露类数据；涉及个人信息的数据安全属性（保密性）遭到破坏产生的影响程度通常要高于已公开披露信息；交易、结算类型的数据安全属性遭到破坏产生的影响程度通常要高于非实时的行情信息类数据等。为便于确定“影响程度”，表2 中提供影响程度的参考说明，供判定影响程度时参考。表2 影响程度分类表影响程度影响程度参考说明参考说明严重1、可能导致全部业

42、务无法开展，造成重大经济损失。2、可能引发或导致证券期货业信息安全事件报告与调查处理办法确定的特别重大、重大事件。3、可能引发公众广泛诉讼或集体诉讼，甚至引发群体性事件。4、可能导致监管部门严重处罚（包括取消经营资格、长期暂停相关业务等）的情况。中等1、可能导致部分业务无法开展，造成较大经济损失。2、可能引发或导致证券期货业信息安全事件报告与调查处理办法确定的较大事件。3、可能引发一定数量投资者对本机构诉讼。4、可能导致监管部门较严重处罚（包括一段时间内暂停经营资格或业务等）的情况。JR/T 0158201816表2 影响程度分类表（续）影响程度影响程度参考说明参考说明轻微1、可能导致个别业务

43、短时间无法开展，造成轻微的经济损失。2、可能引发或导致证券期货业信息安全事件报告与调查处理办法确定的一般事件。3、可能导致至监管部门轻微处罚（包括罚款、公开批评等）的情况。4、可能对本机构声誉造成一定程度损害。无1、不造成任何影响。8.3.1.4数据等级描述标识数据定级一般使用等级描述标识进行描述。本标准中的数据等级分为四级，描述标识分为数据级别标识和数据重要程度标识两类，相互一一对应。a)数据级别标识，从高到低划分为：4、3、2、1。b)数据重要程度标识，与数据级别标识相对应，从高到低划分为：极高、高、中、低。8.3.1.5数据特征描述数据级别从高到低，一般具有如下数据特征：a)4 级（极高

44、）：数据主要用于行业内大型或特大型机构中的重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。b)3 级（高）：数据用于重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。c)2 级（中）：数据用于一般业务使用，一般针对受限对象公开；一般指内部管理且不宜广泛公开的数据。d)1 级（低）：数据一般可被公开或可被公众获知、使用。注：“必须知悉”是指对数据确定知悉范围，只有对数据知悉有明确的必要性时，该对象才能对数据知悉。一般情况下遵循工作需要原则和最小化原则，前者指因工作需要才可知悉，后者指知悉的范围尽可能小。关于数据特征的说明:a)数据特征中所指的数据内容可公开的

45、范围、对象需由各机构自行指定。b)数据级别确定中，需综合考虑数据安全属性（完整性、保密性、可用性）因素。在完整性和可用性要求基本一致情况下，宜重点以保密性为定级依据。此外，经综合分析后，允许存在数据内容面向公众公开，但完整性或可用性要求高，而最终确定的数据级别较高的情况。数据级别标识、数据重要程度标识、数据特征对应关系，如表 3 所示。JR/T 0158201817表3 数据级别标识表数据级别标识数据级别标识数据重要程度标识数据重要程度标识数据特征数据特征4极高1、数据的安全属性（完整性、保密性、可用性）遭到破坏后数据损失后，影响范围大（跨行业或跨机构），影响程度一般是“严重”。2、一般特征：

46、数据主要用于行业内大型或特大型机构中的重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。3高1、数据的安全属性（完整性、保密性、可用性）遭到破坏后数据损失后，影响范围中等（一般局限在本机构），影响程度一般是“严重”。2、一般特征：数据用于重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。2中1、数据的安全属性（完整性、保密性、可用性）遭到破坏后数据损失后，影响范围较小（一般局限在本机构），影响程度一般是“中等”或“轻微”。2、一般特征：数据用于一般业务使用，一般针对受限对象公开；一般指内部管理且不宜广泛公开的数据。1低1、数据的安全属性（完整性、保密性、可用

47、性）遭到破坏后数据损失后，影响范围较小（一般局限在本机构），影响程度一般是“轻微”或“无”。2、一般特征：数据可被公开或可被公众获知、使用。8.3.2数据定级方法数据定级一般按照如下四个步骤执行：a)步骤一：确定影响对象。确定需定级的某类数据的安全属性（完整性、保密性、可用性）遭到破坏后可能影响的对象，包括行业、机构、客户。b)步骤二：确定影响范围。确定该类数据安全属性（完整性、保密性、可用性）遭到破坏后可能影响的范围，包括多个行业、行业内多个机构、本机构。c)步骤三：确定影响程度。确定该类数据安全属性（完整性、保密性、可用性）遭到破坏后可能影响程度，包括严重、中等、轻微、无。d)步骤四：综合

48、上述三要素，对数据定级。综合上述步骤确定的该类数据安全属性（完整性、保密性、可用性）遭到破坏后的影响对象、影响范围、影响程度，对数据进行定级如下：1)影响对象为“行业”的，且影响范围是“多个行业”的，该类数据定为 4 级，其影响程度默认为“严重”；2)其他根据影响对象、影响范围、影响程度的组合确定数据级别，具体可按照以下表 4 定级。8.3.3数据定级规则表数据定级规则表，用于统一描述影响对象、影响范围、影响程度及数据级别之间的关系，并帮助快速定级。JR/T 0158201818影响对象与影响范围之间构成映射关系，并依据该映射关系区分不同的影响程度，进而确定数据级别。表4 数据定级规则表影响影

49、响对象对象影响范围影响范围影响程度影响程度数据一般特征数据一般特征数据重要程数据重要程度标识度标识数据级数据级别标识别标识行业多个行业严重数据主要用于行业内大型或特大型机构中的重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。极高4机构行业内多机构严重极高4客户行业内多机构严重极高4机构本机构严重数据用于重要业务使用，针对特定人员公开，且仅为必须知悉的对象访问或使用。高3客户本机构严重高3机构本机构中等、轻微数据用于一般业务使用，针对受限对象公开；一般指内部管理、办公类且不宜广泛公开的数据。中2客户本机构中等中2机构本机构无数据可被公开或可被公众获知、使用。低1客户本机构轻微

50、低18.3.4数据级别判定参考规则表结合数据定级规则表，补充“数据示例”和“升降级因素处理”，形成表 5，供定级参考。JR/T 0158201819表5 数据级别判定参考规则表影响对象影响对象影响范围影响范围影响程度影响程度数据一般特征数据一般特征数据重要数据重要程度标识程度标识数据级数据级别标识别标识数据示例数据示例升降级因素处理升降级因素处理行业多个行业数据主要用于行业内大型或特大型机构中的重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。极高4注：一般此类数据在证券期货行业极少出现1、从聚合性考虑，聚合了多家证券期货行业机构的数据宜从高定级。2、大量数据聚合宜升级，机构