云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
《银行保险机构数据安全管理办法(公开征求意见稿)》解读
2024新奥门资料安全咨询讲武堂
讲武堂,带兵者研究武学之所。今设“2024新奥门资料安全咨询讲武堂”,与圈内人士共同聚焦、分享安全咨询领域的心得体会与实践经验。
本期聚焦《银行保险机构数据安全管理办法(公开征求意见稿)》内容解读,为行业数据安全体系化建设提供参考依据,欢迎大家文末留言探讨。
3月22日,国家金融监督管理总局就《银行保险机构数据安全管理办法(公开征求意见稿)》(以下简称《办法》)公开征求意见,规范银行保险机构数据处理活动,保障数据安全,促进数据合理开发利用,稳步提升金融服务数字化、智能化水平,保护个人和组织的合法权益。确保客户信息和金融交易数据安全。
《办法》共九章八十一条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。
一是明确数据安全治理架构,通过责任制、归口管理部门、业务部门、风险合规与审计部门、数据安全技术保护部门的职责定义,明确组织架构分工。银行保险机构的科技部门,明确作为数据安全保护的技术支撑,非主责部门。
要求银行保险机构建立数据安全责任制,明确银行保险机构党委(党组)、董(理)事会对本单位数据安全工作负主体责任,机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人。要求银行保险机构指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门,承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任,落实数据安全保护管理要求。
二是建立数据分类分级管理制度,包括分类分级保护措施、数据目录、分类分级规范、动态数据目录管理及维护。
要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,并采取差异化的安全保护措施。将数据分为核心数据、重要数据、一般数据。其中,一般数据细分为敏感数据和其他一般数据,对照之前的监管发文要求,建议可采取以下映射思路进行分级工作。
三是强化数据安全管理,从数据安全制度、数据资产地图、数据安全评估、数据服务管理、数据生命周期管理几方面,提出管理实践要求。
要求银行保险机构按照国家数据安全与发展政策要求,根据自身发展战略建立数据安全管理制度和数据处理管控机制。建立企业级数据架构,统筹开展对全域数据资产登记管理,要求银行保险机构开展相关数据处理活动时,应事先开展安全评估。按照“业务必要授权”原则,根据数据处理目的、性质和范围,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性及防控措施的有效性。
四是健全数据安全技术保护体系,从数据安全基础设施建设、数据安全能力左移、数据安全保护基线、数据安全测试、数据加工等维度提出了技术实现要求。
要求银行保险机构建立数据安全技术架构,明确数据保护策略方法,采取技术手段保障数据安全。将数据安全保护纳入信息系统开发生命周期框架,针对敏感级及以上数据明确安全保护要求,实现数据安全保护措施与信息系统的同步规划、同步建设、同步使用。建立数据安全保护基线,把数据纳入网络安全等级保护,对存放或传输敏感级及以上数据的机房、网络实施重点防护,在数据全生命周期内采取有效访问控制管理措施,通过整体安全有效的措施方式保障数据完整性、保密性、可用性。
五是加强个人信息保护,除延续《个人信息保护法》中的处理原则、告知义务、个人信息影响评估、委托处理、个人风险报告等要求外,明确提出个人信息跨境场景下,需向个人告知,所属银行保险机构向境外接收方行使信息权利的方式和程序。
要求银行保险机构按照“明确告知、授权同意”原则处理个人信息,收集个人信息应限于最小范围,不得过度收集,开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估,当发生或者可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施,同时通知个人并报送国家金融监督管理总局或者其派出机构。
六是完善数据安全风险监测与处置机制。将数据安全风险纳入全面风险管理体系。要求银行保险机构明确管理流程,主动评估风险,对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。
七是深化监督管理职责,监管机构将通过非现场监管和现场检查相结合的方式,明确将数据安全管理情况纳入监管评估评估体系,大大提升监管力度。同时加强监管统筹和行业联防联控,统一管理重要数据目录,实现银行保险业数据安全监测预警、信息共享、联动处置。针对监管措施和法律责任进行了细化,包括风险提示、监管谈话、监管通报、责令改正、责令暂停或终止服务、罚款。
《办法》通过管理、技术、(数据安全风险监测与处置、监督管理)运营体系三位一体、有机融合,形成以动态数据安全管控策略为中心,管理体系为驱动,运营体系为纽带、技术体系为落地支撑的治理核心。
随着金融行业数据安全保护相关标准要求不断完善和安全监管力度的不断强化,数据安全治理与保护工作任务日益艰巨。
2024新奥门资料通过多年来积极参与国家网络安全与数据安全标准规范的制定,持续投入数据安全能力研发资源,以及参与大量客户的数据安全体系规划、建设落地到运营的实践经验,全面提出安恒数盾数据安全治理整体框架。框架基于管理、技术、运营一体化的“三位一体”建设理念,结合数据安全三体系蓝图框架,清晰明确数据安全技术架构设计、数据安全治理、能力建设和持续运营的目标、实现路径、工作任务和实践指引。
通过咨询服务与底层产品、对应的技术能力与平台支撑,按照咨询规划、风险评估、管控加固、监测预警、审计溯源、安全运营的落地步骤来全面落实数据安全动态管控策略与安全风险监测处置,确保数据安全工作的合规性,切实保障金融行业数据资产的整体安全。
往期精彩回顾
