首頁 > 關于我們 > 安恒動態 > 2024 > 正文

《銀行保險機構數據安全管理辦法（公開征求意見稿）》解讀

閱讀量：次 文章來源：安恒信息

安恒信息安全咨詢講武堂

講武堂，帶兵者研究武學之所。今設“安恒信息安全咨詢講武堂”，與圈內人士共同聚焦、分享安全咨詢領域的心得體會與實踐經驗。

本期聚焦《銀行保險機構數據安全管理辦法（公開征求意見稿）》內容解讀，為行業數據安全體系化建設提供參考依據，歡迎大家文末留言探討。

3月22日，國家金融監督管理總局就《銀行保險機構數據安全管理辦法（公開征求意見稿）》（以下簡稱《辦法》）公開征求意見，規范銀行保險機構數據處理活動，保障數據安全，促進數據合理開發利用，穩步提升金融服務數字化、智能化水平，保護個人和組織的合法權益。確保客戶信息和金融交易數據安全。

《辦法》共九章八十一條。包括總則、數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置、監督管理及附則。

一、數據安全治理

一是明確數據安全治理架構，通過責任制、歸口管理部門、業務部門、風險合規與審計部門、數據安全技術保護部門的職責定義，明確組織架構分工。銀行保險機構的科技部門，明確作為數據安全保護的技術支撐，非主責部門。

要求銀行保險機構建立數據安全責任制，明確銀行保險機構黨委（黨組）、董（理）事會對本單位數據安全工作負主體責任，機構主要負責人為數據安全第一責任人，分管數據安全的領導為直接責任人。要求銀行保險機構指定數據安全歸口管理部門，作為本機構負責數據安全工作的主責部門，承擔制定數據安全管理制度標準、建立維護數據目錄、推動數據分類分級保護、組織開展風險監測、預警及處置等職責。銀行保險機構應當按照“誰管業務、誰管業務數據、誰管數據安全”的原則，明確各業務領域的數據安全管理責任，落實數據安全保護管理要求。

二、數據分類分級

二是建立數據分類分級管理制度，包括分類分級保護措施、數據目錄、分類分級規范、動態數據目錄管理及維護。

要求銀行保險機構制定數據分類分級保護制度，建立數據目錄和分類分級規范，并采取差異化的安全保護措施。將數據分為核心數據、重要數據、一般數據。其中，一般數據細分為敏感數據和其他一般數據，對照之前的監管發文要求，建議可采取以下映射思路進行分級工作。

三、強化數據安全管理

三是強化數據安全管理，從數據安全制度、數據資產地圖、數據安全評估、數據服務管理、數據生命周期管理幾方面，提出管理實踐要求。

要求銀行保險機構按照國家數據安全與發展政策要求，根據自身發展戰略建立數據安全管理制度和數據處理管控機制。建立企業級數據架構，統籌開展對全域數據資產登記管理，要求銀行保險機構開展相關數據處理活動時，應事先開展安全評估。按照“業務必要授權”原則，根據數據處理目的、性質和范圍，分析數據安全風險和對數據主體權益影響，評估數據處理的必要性、合規性及防控措施的有效性。

四、健全數據安全技術保護體系

四是健全數據安全技術保護體系，從數據安全基礎設施建設、數據安全能力左移、數據安全保護基線、數據安全測試、數據加工等維度提出了技術實現要求。

要求銀行保險機構建立數據安全技術架構，明確數據保護策略方法，采取技術手段保障數據安全。將數據安全保護納入信息系統開發生命周期框架，針對敏感級及以上數據明確安全保護要求，實現數據安全保護措施與信息系統的同步規劃、同步建設、同步使用。建立數據安全保護基線，把數據納入網絡安全等級保護，對存放或傳輸敏感級及以上數據的機房、網絡實施重點防護，在數據全生命周期內采取有效訪問控制管理措施，通過整體安全有效的措施方式保障數據完整性、保密性、可用性。

五、加強個人信息保護

五是加強個人信息保護，除延續《個人信息保護法》中的處理原則、告知義務、個人信息影響評估、委托處理、個人風險報告等要求外，明確提出個人信息跨境場景下，需向個人告知，所屬銀行保險機構向境外接收方行使信息權利的方式和程序。

要求銀行保險機構按照“明確告知、授權同意”原則處理個人信息，收集個人信息應限于最小范圍，不得過度收集，開展涉及對個人權益有重大影響的個人信息處理活動時，應當進行個人信息保護影響評估，當發生或者可能發生個人信息泄露、篡改、丟失的，銀行保險機構應當立即采取補救措施，同時通知個人并報送國家金融監督管理總局或者其派出機構。

六、完善數據安全

風險監測與處置機制

六是完善數據安全風險監測與處置機制。將數據安全風險納入全面風險管理體系。要求銀行保險機構明確管理流程，主動評估風險，對數據安全風險進行有效監測，防止數據破壞、泄露、非法利用等安全事件發生。風險管理、內控合規和審計部門定期對數據安全開展審計、監督檢查與評價。

七、深化監督管理職責

七是深化監督管理職責，監管機構將通過非現場監管和現場檢查相結合的方式，明確將數據安全管理情況納入監管評估評估體系，大大提升監管力度。同時加強監管統籌和行業聯防聯控，統一管理重要數據目錄，實現銀行保險業數據安全監測預警、信息共享、聯動處置。針對監管措施和法律責任進行了細化，包括風險提示、監管談話、監管通報、責令改正、責令暫停或終止服務、罰款。

《辦法》通過管理、技術、（數據安全風險監測與處置、監督管理）運營體系三位一體、有機融合，形成以動態數據安全管控策略為中心，管理體系為驅動，運營體系為紐帶、技術體系為落地支撐的治理核心。

隨著金融行業數據安全保護相關標準要求不斷完善和安全監管力度的不斷強化，數據安全治理與保護工作任務日益艱巨。

安恒信息通過多年來積極參與國家網絡安全與數據安全標準規范的制定，持續投入數據安全能力研發資源，以及參與大量客戶的數據安全體系規劃、建設落地到運營的實踐經驗，全面提出安恒數盾數據安全治理整體框架。框架基于管理、技術、運營一體化的“三位一體”建設理念，結合數據安全三體系藍圖框架，清晰明確數據安全技術架構設計、數據安全治理、能力建設和持續運營的目標、實現路徑、工作任務和實踐指引。