2024已悄然接近尾聲

這一年，以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)加速構(gòu)建

這一年，數(shù)據(jù)要素加速釋放

數(shù)據(jù)安全重要性日益凸顯

這一年，金融行業(yè)數(shù)字化變革加速演進(jìn)

新技術(shù)、新業(yè)務(wù)模式不斷涌現(xiàn)

銀行業(yè)作為數(shù)據(jù)密集型行業(yè)

對數(shù)據(jù)的安全性和合規(guī)性要求持續(xù)提高

這一年，《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》

《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》

先后公開征求意見

數(shù)據(jù)安全責(zé)任和工作內(nèi)容進(jìn)一步細(xì)化

數(shù)據(jù)安全監(jiān)管力度再度加強(qiáng)

體系化、多方協(xié)同、循序漸進(jìn)

是數(shù)據(jù)安全工作的特點(diǎn)

深入政策、厘清脈絡(luò)、把握要點(diǎn)

是做好數(shù)據(jù)安全工作的基礎(chǔ)

一份《銀行領(lǐng)域數(shù)據(jù)安全工作備忘錄》

清單式羅列出銀行領(lǐng)域開展數(shù)據(jù)處理活動(dòng)

必備的數(shù)據(jù)安全工作事項(xiàng)

收藏起來照著做

↓↓↓

1、建立數(shù)據(jù)安全管理體系

政策要點(diǎn)：

《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》要求銀行保險(xiǎn)機(jī)構(gòu)建立與本機(jī)構(gòu)業(yè)務(wù)發(fā)展目標(biāo)相適應(yīng)的數(shù)據(jù)安全治理體系，包括建立健全數(shù)據(jù)安全管理制度，構(gòu)建覆蓋數(shù)據(jù)全生命周期和應(yīng)用場景的安全保護(hù)機(jī)制等。

《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》雖未明確提出需要需要建立治理體系，但其提出的總體保護(hù)要求及其他各章節(jié)內(nèi)容覆蓋了數(shù)據(jù)安全管理體系所需要素的所有建設(shè)要求。

工作備忘：

金融行業(yè)數(shù)據(jù)安全管理體系強(qiáng)調(diào)與應(yīng)用場景的融合，銀行需確認(rèn)當(dāng)前的數(shù)據(jù)安全管理體系是否涵蓋數(shù)據(jù)全生命周期和應(yīng)用場景兩個(gè)維度。

2、開展數(shù)據(jù)分類分級工作

政策要點(diǎn)：

《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》要求制定數(shù)據(jù)分類分級保護(hù)制度，建立數(shù)據(jù)目錄和分類分級規(guī)范，并根據(jù)數(shù)據(jù)的重要性和敏感程度將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)。

《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》要求建立健全本單位數(shù)據(jù)分類分級實(shí)施制度，規(guī)范分類分級工作操作規(guī)程，將數(shù)據(jù)按照精度、規(guī)模和對國家安全的影響程度分為一般、重要、核心三級，并且進(jìn)一步將數(shù)據(jù)項(xiàng)敏感性從低至高分為一至五共五個(gè)層級。

工作備忘：

當(dāng)前數(shù)據(jù)分類分級行業(yè)標(biāo)準(zhǔn)已發(fā)布，銀行需確認(rèn)是否建立了分類分級管理規(guī)范和數(shù)據(jù)目錄，是否按要求開展了分類分級工作。

3、完善數(shù)據(jù)安全管理組織架構(gòu)與責(zé)任

政策要點(diǎn)：

《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》要求建立覆蓋董（理）事會、高管層、數(shù)據(jù)安全統(tǒng)籌、數(shù)據(jù)安全技術(shù)保護(hù)等部門的數(shù)據(jù)安全管理組織架構(gòu)，并明確崗位職責(zé)和工作機(jī)制。同時(shí)，該辦法還規(guī)定了數(shù)據(jù)安全責(zé)任制，明確了黨委（黨組）、董（理）事會、主要負(fù)責(zé)人、分管數(shù)據(jù)安全的領(lǐng)導(dǎo)等各層級負(fù)責(zé)人的責(zé)任。

《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》則要求明確數(shù)據(jù)安全管理相關(guān)內(nèi)設(shè)部門職責(zé)分工和人員管理要求，并細(xì)化各類違規(guī)數(shù)據(jù)處理活動(dòng)的定責(zé)問責(zé)規(guī)程。

工作備忘：

各部門工作協(xié)同既是數(shù)據(jù)安全工作的必要條件也是主要難點(diǎn)。當(dāng)前，監(jiān)管要求對銀行各部門及角色的職責(zé)進(jìn)行了劃分，銀行需基于自身原有的工作責(zé)任界限參照執(zhí)行。

4、建設(shè)多元異構(gòu)環(huán)境下的數(shù)據(jù)分級管控能力

政策要點(diǎn)：

《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》針對敏感級數(shù)據(jù)提出了圍繞數(shù)據(jù)全生命周期的安全保護(hù)要求。

《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》依據(jù)數(shù)據(jù)分類分級結(jié)果，圍繞數(shù)據(jù)全生命周期提出了差異化的安全管理和技術(shù)措施管控要求。

工作備忘：

分級管控的技術(shù)措施最終落地到不同的環(huán)境和載體上，銀行需進(jìn)一步設(shè)計(jì)適用于多元異構(gòu)環(huán)境下的分級管控建設(shè)方案，并逐步落地實(shí)施。

5、開展個(gè)人信息保護(hù)工作

政策要點(diǎn)：

《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》設(shè)置了專門的個(gè)人信息保護(hù)章節(jié)，詳細(xì)規(guī)定了處理個(gè)人信息的原則、告知義務(wù)、數(shù)據(jù)共享/提供、跨境傳輸、委托處理、自動(dòng)化決策等方面的要求，強(qiáng)調(diào)了事件處置與報(bào)送要求。

《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》雖然未專門設(shè)立個(gè)人信息保護(hù)章節(jié)，但在數(shù)據(jù)收集、使用、提供等環(huán)節(jié)也均有個(gè)人信息保護(hù)的相關(guān)要求。

工作備忘：

個(gè)人金融信息保護(hù)相關(guān)行業(yè)標(biāo)準(zhǔn)早已發(fā)布，《個(gè)人信息保護(hù)法》及相關(guān)法規(guī)標(biāo)準(zhǔn)也陸續(xù)實(shí)施。個(gè)人信息保護(hù)工作是一項(xiàng)綜合性的工作，銀行需體系化、系統(tǒng)化地建立個(gè)人信息保護(hù)體系并逐步開展相關(guān)工作。

6、進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測與處置

政策要點(diǎn)：

《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》要求將數(shù)據(jù)安全風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系，明確了風(fēng)險(xiǎn)管理機(jī)制，并細(xì)化了數(shù)據(jù)安全風(fēng)險(xiǎn)的9類監(jiān)測內(nèi)容。

《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》側(cè)重于數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測的手段，明確了告警規(guī)則需關(guān)注的14個(gè)事項(xiàng)，以及監(jiān)測規(guī)則應(yīng)關(guān)注的5類事項(xiàng)。

工作備忘：

數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測工作能夠?qū)崟r(shí)識別可能面臨的安全風(fēng)險(xiǎn)，有效降低數(shù)據(jù)安全事件發(fā)生的可能性。銀行需完善數(shù)據(jù)安全風(fēng)險(xiǎn)建設(shè)的技術(shù)手段，全面監(jiān)測數(shù)據(jù)安全風(fēng)險(xiǎn)。

7、建設(shè)組件化、服務(wù)化的數(shù)據(jù)安全基礎(chǔ)設(shè)施

政策要點(diǎn)：

《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》要求銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)開展數(shù)據(jù)安全的技術(shù)基礎(chǔ)設(shè)施建設(shè)，支持用戶身份管理、數(shù)據(jù)匿名化、行為監(jiān)測、日志審計(jì)、數(shù)據(jù)虛擬化等功能的組件化、服務(wù)化，保障安全標(biāo)準(zhǔn)在信息系統(tǒng)中執(zhí)行的一致性。

工作備忘：

從各項(xiàng)監(jiān)管政策看，建設(shè)組件化、服務(wù)化、集中統(tǒng)一的數(shù)據(jù)安全技術(shù)能力已成為技術(shù)發(fā)展趨勢。銀行需持續(xù)關(guān)注相關(guān)技術(shù)發(fā)展，并在工作中逐步落地應(yīng)用。

8、自行或委托開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估

政策要點(diǎn)：

《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全監(jiān)管辦法》要求每年開展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評估，并于每年1月15日前向國家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)報(bào)送上一年度數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告。同時(shí)，要求數(shù)據(jù)安全技術(shù)保護(hù)部門組織開展數(shù)據(jù)安全技術(shù)風(fēng)險(xiǎn)評估，并細(xì)化涉及到跨機(jī)構(gòu)等數(shù)據(jù)處理活動(dòng)時(shí)需進(jìn)行的評估工作。

《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》要求重要數(shù)據(jù)處理者需每年自行或委托機(jī)構(gòu)進(jìn)行全面數(shù)據(jù)安全風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)評估報(bào)告需在下年度一季度末前報(bào)送中國人民銀行或其分支機(jī)構(gòu)，并按要求報(bào)送網(wǎng)信部門。同時(shí)，也細(xì)化了在各數(shù)據(jù)處理活動(dòng)的重要環(huán)節(jié)需開展的評估工作。

工作備忘：

數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作既是合規(guī)必要工作，也是一項(xiàng)主要的數(shù)據(jù)安全風(fēng)險(xiǎn)識別手段。銀行應(yīng)當(dāng)建立完善的評估機(jī)制，及時(shí)識別評估的觸發(fā)條件，并有序開展。

9、自行或委托開展數(shù)據(jù)安全審計(jì)

政策要點(diǎn)：

《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》要求審計(jì)部門應(yīng)當(dāng)每三年至少開展一次數(shù)據(jù)安全全面審計(jì)，發(fā)生重大數(shù)據(jù)安全事件后應(yīng)當(dāng)開展專項(xiàng)審計(jì)。銀行保險(xiǎn)機(jī)構(gòu)委托專業(yè)機(jī)構(gòu)進(jìn)行數(shù)據(jù)安全審計(jì)時(shí)，不得使用該機(jī)構(gòu)提供的產(chǎn)品和其他服務(wù)。

《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》要求數(shù)據(jù)處理者需每年至少開展一次數(shù)據(jù)安全合規(guī)審計(jì)，重大事件后需及時(shí)專項(xiàng)審計(jì)。審計(jì)需關(guān)注全流程管理制度執(zhí)行情況、投訴處理情況，并督促過程留痕與責(zé)任落實(shí)。

工作備忘：

數(shù)據(jù)安全審計(jì)是數(shù)據(jù)安全工作中的主要監(jiān)督手段。銀行需依據(jù)監(jiān)管要求的頻率和范圍，開展數(shù)據(jù)安全審計(jì)工作，同時(shí)針對審計(jì)中發(fā)現(xiàn)的問題，及時(shí)落實(shí)整改。

10、開展數(shù)據(jù)出境安全評估和申報(bào)

政策要點(diǎn)：

《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》要求向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息，應(yīng)當(dāng)承擔(dān)數(shù)據(jù)安全主體責(zé)任，并按照國家有關(guān)政策要求進(jìn)行安全評估。

《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》要求每年1月底前測算或者估算其上兩年內(nèi)累計(jì)出境數(shù)據(jù)規(guī)模與范圍，并保存測算估算結(jié)果和對應(yīng)的境外接收方聯(lián)系方式至少三年。涉及數(shù)據(jù)出境安全評估的，數(shù)據(jù)處理者還應(yīng)當(dāng)保存有效期內(nèi)的數(shù)據(jù)出境風(fēng)險(xiǎn)自評估報(bào)告、數(shù)據(jù)出境安全評估申報(bào)書和評估結(jié)果。

工作備忘：

在重要數(shù)據(jù)和個(gè)人信息出境前，進(jìn)行評估和申報(bào)是合規(guī)必要工作。銀行需建立數(shù)據(jù)出境安全工作機(jī)制，及時(shí)識別評估和報(bào)備的觸發(fā)條件，有序推進(jìn)相關(guān)工作。

11、開展數(shù)據(jù)安全工作報(bào)備和報(bào)送

政策要點(diǎn)：

《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》要求涉及批量敏感級及以上數(shù)據(jù)的數(shù)據(jù)共享、委托處理、轉(zhuǎn)讓交易、數(shù)據(jù)轉(zhuǎn)移，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在處理、合同簽署前二十個(gè)工作日向國家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)報(bào)告，法律、行政法規(guī)另有規(guī)定的除外。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)于每年1月15日前向國家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)報(bào)送上一年度數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告。

《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》要求報(bào)備數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告，報(bào)備重要數(shù)據(jù)目錄。

工作備忘：

兩份監(jiān)管文件中均要求及時(shí)報(bào)備數(shù)據(jù)安全相關(guān)工作，銀行應(yīng)理清需報(bào)備的數(shù)據(jù)安全工作清單，并在規(guī)定時(shí)限內(nèi)完成上報(bào)。

加強(qiáng)數(shù)據(jù)安全治理和合規(guī)體系建設(shè)，提高數(shù)據(jù)安全防護(hù)能力，可以說是銀行乃至金融業(yè)未來一段時(shí)間內(nèi)持續(xù)穩(wěn)定發(fā)展不可或缺的基礎(chǔ)環(huán)節(jié)之一。

圍繞以上十一項(xiàng)必備工作，天融信基于在網(wǎng)絡(luò)安全與數(shù)據(jù)安全領(lǐng)域的持續(xù)探索實(shí)踐，以提升銀行數(shù)據(jù)安全合規(guī)及管控能力、保障客戶業(yè)務(wù)價(jià)值為目標(biāo)，圍繞數(shù)據(jù)的全生命周期安全形成了完善的數(shù)據(jù)安全服務(wù)體系，從規(guī)劃、治理、建設(shè)、運(yùn)營四個(gè)層面幫助客戶全面提升數(shù)據(jù)安全防御能力。

天融信數(shù)據(jù)安全體系規(guī)劃服務(wù)：

在數(shù)據(jù)安全體系規(guī)劃服務(wù)中，深入業(yè)務(wù)場景量體裁衣是關(guān)鍵。天融信可為客戶提供全方位深層次的規(guī)劃方案，全面提升數(shù)據(jù)安全管理水平。首先，分析銀行現(xiàn)狀，結(jié)合法律法規(guī)與行業(yè)標(biāo)準(zhǔn)，為客戶量身定制數(shù)據(jù)安全管理政策、流程及操作指南；其次，幫助客戶優(yōu)化數(shù)據(jù)安全管理組織架構(gòu)，厘清各崗位責(zé)任和分工界面；第三，提供個(gè)人信息保護(hù)專項(xiàng)方案，確保各z項(xiàng)個(gè)人信息處理活動(dòng)的合規(guī)。

天融信數(shù)據(jù)安全評估服務(wù)：

在數(shù)據(jù)安全評估服務(wù)中，形成持續(xù)性的自動(dòng)化評估機(jī)制是核心。天融信運(yùn)用先進(jìn)的評估工具與方法，對銀行數(shù)據(jù)資產(chǎn)進(jìn)行深度風(fēng)險(xiǎn)評估，并基于評估結(jié)果，為銀行提供針對性的風(fēng)險(xiǎn)緩解與應(yīng)對方案，涵蓋技術(shù)、流程等多個(gè)層面，快速發(fā)現(xiàn)并有效控制數(shù)據(jù)安全風(fēng)險(xiǎn)。

天融信數(shù)據(jù)安全建設(shè)服務(wù)：

在數(shù)據(jù)安全建設(shè)服務(wù)中，針對數(shù)據(jù)分類分級，理清脈絡(luò)并合理規(guī)劃，才能真正提升數(shù)據(jù)保護(hù)能力，降低數(shù)據(jù)安全風(fēng)險(xiǎn)。天融信具備完善的數(shù)據(jù)安全產(chǎn)品、方案與服務(wù)，可針對銀行多元異構(gòu)的數(shù)據(jù)環(huán)境，設(shè)計(jì)并實(shí)施定制化的數(shù)據(jù)安全技術(shù)方案，涵蓋加密、脫敏、防泄露等多個(gè)方面，提升數(shù)據(jù)處理活動(dòng)各環(huán)節(jié)管控措施的有效性。

天融信數(shù)據(jù)安全運(yùn)營服務(wù)：

在數(shù)據(jù)安全運(yùn)營服務(wù)中，天融信以數(shù)據(jù)安全管理的持續(xù)改進(jìn)為目標(biāo)，提供各項(xiàng)數(shù)據(jù)安全運(yùn)營服務(wù)，確保客戶數(shù)據(jù)安全的常態(tài)化運(yùn)營和數(shù)據(jù)安全管理的有效改進(jìn)。其中，數(shù)據(jù)安全審計(jì)服務(wù)可確保各項(xiàng)安全措施得到有效執(zhí)行；建立數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測體系可實(shí)時(shí)監(jiān)測數(shù)據(jù)處理活動(dòng)中的異常行為，及時(shí)發(fā)現(xiàn)并預(yù)警潛在安全事件；構(gòu)建高效的應(yīng)急機(jī)制可確保在安全事件發(fā)生時(shí)，能夠迅速響應(yīng)并處置。

TOPSEC

當(dāng)前，國家層面、中國人民銀行及國家金融監(jiān)督管理總局等發(fā)布了多項(xiàng)數(shù)據(jù)安全政策。如何有效應(yīng)對持續(xù)更新的法律法規(guī)要求，確保滿足各項(xiàng)合規(guī)要求，同時(shí)構(gòu)建起一套能夠覆蓋所有監(jiān)管需求的數(shù)據(jù)安全管理體系，成為銀行保險(xiǎn)機(jī)構(gòu)面臨的重大挑戰(zhàn)。

作為國家網(wǎng)絡(luò)空間安全建設(shè)的中堅(jiān)力量，天融信將攜手銀行客戶，持續(xù)加強(qiáng)關(guān)核心技術(shù)攻關(guān)，協(xié)同落實(shí)數(shù)據(jù)安全治理，促進(jìn)數(shù)據(jù)開發(fā)利用與安全防護(hù)的一體兩翼平衡發(fā)展，全面護(hù)航金融數(shù)字化轉(zhuǎn)型行穩(wěn)致遠(yuǎn)。