金融数据具有高价值和高敏感性,金融数据安全关乎国家安全和金融消费者权益密切相关。在当前数字化进程加速的背景下,数据合作频繁,安全风险也随之增加,给机构管理带来了新挑战。
为规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,维护社会公共利益和金融消费者合法权益,金融监管总局近日制定并发布了《银行保险机构数据安全管理办法》(以下简称《办法》)。
一、《银行保险机构数据安全管理办法》主要内容和特点
《办法》共9章81条,主要规定了以下内容:
一是强化数据治理顶层设计
要求银行保险机构建立与业务发展目标相适应的数据安全治理体系,落实数据安全责任制,按照“谁管业务、谁管业务数据、谁管数据安全”的原则开展数据安全保护工作。
二是落实分类分级管理要求
要求对业务经营管理过程中获取、产生的数据进行分类管理。根据数据的重要性和敏感程度,将数据分为核心、重要、一般三个级别,并将一般数据进一步细分为敏感数据和其他一般数据,并采取差异化的安全保护措施。
三是强化数据安全管理体系
要求银行保险机构建立健全数据安全管理制度,对委托处理、共同处理、转移、公开、共享等相关数据处理活动开展安全评估,采取相应技术手段保障数据全生命周期安全,保障数据开发利用活动安全稳健开展。
四是加强个人信息保护
按照“明确告知、授权同意”的原则处理个人信息,按照金融业务处理目的的最小范围收集个人信息。共享和向外部提供个人信息,应履行个人告知及取得同意的义务。
五是完善风险监测处置机制
将数据安全风险纳入全面风险管理体系,明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程,有效防范和处置数据安全风险。
二、《办法》详解:银行保险机构数据分类分级具体要求
数据分类
应当对机构业务及经营管理过程中获取、产生的数据进行分类管理。具体类型包含以下:
数据分级
应根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据,其中一般数据细分为敏感数据和其他一般数据。
当数据的业务属性、重要程度和可能造成的危害程度发生变化,导致安全级别不再适用的,及时进行动态调整。
三、《办法》详解:数据安全管理职责要求数据安全评估
应当根据数据处理目的、性质和范围,按照法律法规和伦理道德规范要求,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性,评估数据安全风险及防控措施的有效性。
数据全生命周期安全
要求银行保险机构按照国家政策要求,根据自身发展战略,制定数据安全保护策略。
四、《办法》详解:数据安全事件应急响应与处置机制
数据安全事件分级
数据安全事件根据影响范围和程度,分为特别重大、重大、较大和一般四个级别。
应急响应与处置机制
建立内部协调联动机制和外部服务商、第三方机构的报告机制。
五、安胜的多元场景数据安全服务助力企业
筑牢安全防线
作为网络空间安全和大数据智能化综合解决方案提供商,安胜在国家顶层法规指引下,以“数据安全”为核心,推出了围绕数据全生命周期并涵盖管理策略与防护技术的安全服务体系,协助企业从技术上打通数据孤岛,解决数据开放共享链条上的安全顾虑。从监管者和使用者的角度出发,提供全方位的数据安全咨询、数据安全建设、数据安全运营为一体的数据安全服务解决方案。
1、数据安全产品
安胜的提供包括数据分类分级、数据加密与脱敏、数据访问审计与监控、数据库防火墙与安全管控、威胁检测与应急响应等相关产品及服务,为企业搭建强大的数据安全体系,有效防范安全威胁和泄露风险。
2、数据安全服务
数据分类分级服务
安胜的数据安全分类分级服务,面向组织数据和个人信息,对数据资产进行发现与梳理。从业务角度出发,对企业数据进行分类分级标识并形成数据分类分级目录,最后对数据目录进行审核、上报备案,并且动态更新管理。
服务流程是基于国标GB/T 43697-2024《数据安全技术数据分类分级规则》的分类分级实施步骤。
其中,安胜推出的“数网”数据资产梳理与数据库扫描系统,一款用于帮助数据资产管理者全面掌握数据资产分布、构建数据资产类目、洞悉数据资产风险的系统,可有效协助企事业单位满足数据分类分级管理的合规要求,同时优化和提升数据资产的管理和使用规范。目前,公司已推出“数网”数据资产梳理与数据库扫描系统的免费版——“数网”数据分类分级工具,欢迎体验!
数据安全风险评估服务
安胜的数据安全风险自评估服务,依据国家、行业数据安全风险评估要求,结合企业数据安全现状,围绕数据和数据处理活动,聚焦可能影响数据安全风险,评估数据安全全生命周期的各项指标,对评估的问题进行分析,提出数据安全管理和技术防护措施建议。
部分内容来自:《银行保险机构数据安全管理办法》、国家金融监督管理总局公众号
