案例名称

兴业银行数据安全分类分级实践

案例简介

在国家《数据安全法》、《网络安全法》和《个人信息保护法》三部上位法相继颁布后，数据安全已经成为关系国家安全、社会稳定和个人权益的核心战略，而数据分类分级则是数据安全的基石。2020年9月，中国人民银行正式印发《金融数据安全数据安全分级指南》（下称《指南》），为金融机构的数据安全分级管理提供了明确的方向和指导。作为数据安全领域监管重点关注内容，建设数据安全分类分级系统有助于加强我行数据资产分类分级管理，有效发现敏感数据，降低数据安全运营成本，为促进数据流动、发挥数据要素新质生产力价值提供基础支撑。

创新技术/模式应用

1、系统自动化分类分级流程

系统提供自动化分类分级工具。对于待分类分级数据，首先检索历史固化结果库，无历史结果对应的情况下交由决策树引擎进行初步识别，部分未能识别的数据通过数据模型继续识别。自动化识别结果交由人工进行审核，审核通过则进入历史固化结果库作为后续参考依据。

2、决策树引擎

决策树引擎是整个分类分级的核心，当前是通过构建标签体系、配置识别规则和匹配标签三步走，构筑了分类分级自动化识别的基础架构。

第一步，构建标签体系。通过分析企业、金融业机构的典型数据和《指南》的全目录，结合常用语言习惯，梳理出一套完整的数据安全分类分级标签，并在标签中同时包含关键词、场景词以及它们的同义词，且附有相应的分类和等级信息。第二步，配置识别规则。为每个标签配置灵活多样的规则，如正则匹配、精确匹配、模糊匹配和分词匹配，形成丰富的识别规则库，并配置各类规则的权重。第三步，决策树引擎基于构建的标签体系和规则库，通过筛选和排序两类模式来匹配合适的标签。筛选模式根据数据特征和规则条件过滤出可能适用的标签，排序模式则根据匹配度从高到低对筛选出的标签进行排序，最终，引擎会推荐出最符合数据特征的分类分级结果。

3、机器学习模型

充分利用我行已建设的企业级数据字典的成果和行内丰富的元数据资源，通过构建适应不同业务要求的数据安全分类分级体系、标记数据样例、构建标签体系，同时结合FastText文本分类模型进行分类分级模型的监督训练和学习，逐步构筑分类分级自动化识别模型。

第一步，通过对行内元数据和企业级数据字典进行分析和调整，在《指南》建设指导基础上，分别构建不同的数据安全分类分级模型体系，以适应不同的业务要求。第二步，依据分类体系指导，分别标记不同的数据样例，用于指导标签构建和模型学习训练。第三步，结合标签体系构建和文本语义分析模型对企业数据进行模型监督训练和学习，实现了结合标签与基于FastText模型的文本分类分级模型，进而实现了对数据安全分类分级的自动化预测和研判。

项目效果评估

在实施数据安全分类分级项目后，会在效率和成本两个方面显著获益，具体体现在以下两个方面：

一、分类分级自动化，提升效率

我行建设的数据安全分类分级系统将极大地提高数据分类分级的自动化程度。内部管理人员通过系统快速打标、数据采集和分类分级项目协同打标等功能，可以快速对批量数据进行分类分级。系统会根据预设的标签规则和算法对数据进行自动分类分级，并快速提供推荐结果。这种方式不仅减少了人工干预，提高了工作效率，还能确保分类分级的准确性和一致性。

此外，系统的自动化特性还意味着它可以持续不断地对数据分类分级，并且随着分析的数据越来越多，固化的成果越来越多，系统自动化推荐结果也会日趋准确。

二、与行内流程紧密结合，降本增效

金融行业有严格的流程化管控要求，在数据安全分类分级的结果审核方面，我行通过在系统内置流程引擎，直接完成整个分类分级审批流程的办理。各级数据安全专业人员根据审核规则和流程要求，在系统内部即可完成对推荐结果的审核、修订、会办和征求意见等核心功能，避免了导入导出、通过外部流程二次审核的繁琐，有效的提升了办公效率，降低了人力审核成本，还大大提高了审核的效率和准确性。内部管理人员可以将更多的时间和精力投入到其他重要工作中，而不再需要花费大量时间在繁琐的审核任务上。

综上所述，我行建设的数据安全分类分级系统创新的通过决策树引擎和机器学习模型实现了分类分级的自动化，构筑了数据安全分类分级识别能力；并通过流程引擎实现了审批流程的系统化，提升了工作效率并降低了成本。通过建设数据安全分类分级系统，有效加强了我行的数据安全基础支撑能力，为促进数据流动、规范数据活动、保障我行金融业务的稳健运行提供有力支持。

项目牵头人

江志辉 数据管理部数据安全处负责人

项目团队成员

吴择金、杨润泓、杨捷、周刚慧、詹赵林、江志辉、张金龙、胡飞、江寒尽、曾海天、吴佩凝、李雪、全莉莉、全彬元、高建、黄隆贵、吴佳浩、王旌宇、赵晨曦、刘明阳

责任编辑：方杰