📊 数据安全法测试实践

📌 一句话概括

数据安全法要求银行对数据实行分类分级保护——不是所有数据都同等对待，而是根据数据的重要程度和敏感级别采取不同的安全措施。

💡 数据分类分级

① 四级分类

• L1 公开数据：产品宣传、利率公告
• L2 内部数据：内部制度、非敏感营运数据
• L3 敏感数据：客户基本信息、交易流水
• L4 核心数据：客户密码、生物特征、信贷审批意见

② 测试重点

• 高敏数据是否加密存储（AES-256）
• 数据脱敏是否在非生产环境生效
• 数据传输是否全程加密
• 数据导出是否有审批和审计

🔍 测试实战

1. 数据脱敏验证

操作：在测试环境查询客户信息，检查身份证号是否脱敏（如 110***********1234）

2. 数据导出审计

操作：检查数据导出操作是否有审批记录、导出的数据量是否合理

⚠️ 常见坑点

1. 脱敏规则不统一——不同系统对同一种数据采用不同脱敏规则
2. 日志中存明文敏感数据——日志系统未做脱敏处理
3. 测试数据残留——测试完成后未清理生产数据副本

📖 延伸阅读

• 《中华人民共和国数据安全法》2021年9月施行
• JR/T 0171-2020《个人金融信息保护规范》