数字安全 | 金融领域数据安全风险评估

2021年12月3日，全国金融标准化技术委员会发布《》（以下简称《规范》）。《规范》包括了金融数据安全评估触发条件、原则、参与方、内容、流程及方法，明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域，以及安全评估主要内容和方法。《规范》适用于金融业机构开展金融数据安全评估使用，并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。

评估周期与触发条件

《规范》对评估开展提出了定期与不定期相结合的要求，一方面要求每年至少应开展一次全面的数据安全检查评估，另一方面也明确了金融业机构在金融产品或服务上线前、业务功能或信息系统发生较大变更以及本机构发生重大数据安全事件等情况时均应开展全面评估，并给出了相应的8种触发条件。

评估内容

《规范》主要依据JR/T0197-2020《金融数据安全数据安全分级指南》、JR/T0223-2021《金融数据安全数据生命周期安全规范》等相关行业标准所提出的规范要求，形成相应的评估要点，其主要包含数据安全管理（S1)、数据安全保护（S2）、及数据安全运维（S3）三方面内容。

1）数据安全管理（S1）：主要包含了金融业机构数据安全管理相关组织架构及制度体系建设，其中制度体系建设又从总体规划、技术管理、人员管理、合作管理、流程管理五个方面进行细化，给出相关安全评估的具体内容、评估方法和结果判定依据。

评估流程

《规范》明确了评估流程包含如下步骤：

1）评估准备：主要包含明确评估目标、评估范围（所涉及的金融数据、金融产品和服务、信息系统、人员及组织等），确认评估工作的主要任务、任务分工、人员安排、时间计划等内容，并形成评估方案。评估方案作为实施评估工作的依据，应通过评估人员内部与被评估方的评审。

2）评估实施：评估人员根据已确定的评估方案，围绕数据安全管理、数据安全保护、数据安全运维等方面开展评估实施工作，留存评估实施过程相关记录材料并形成各部分评估结果。

3）安全分析：根据本次金融数据安全评估的评估结果，评估人员对本机构当前数据安全现状、所面临的各类数据安全问题严重程度及主要安全风险情况等进行分析，并提出相应改进建议。

4）报告编制：根据评估结果及安全分析结论编制评估报告，对评估内容、过程、结果、问题等进行总结和分析，并给出总体评估结论。

5）结果评审：为保证最终形成的评估报告及总体结论的质量，切实辅助相关组织提高数据治理水平，《规范》明确要求评审团队对评估的过程、参与人员、评估结论等进行确认，审核确定各评估事项及参与人员行为等公平公正、真实有效及合法合规。

扫码进星球下载公众号文件