探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击  "合规社"  > 点击右上角“···” > 设为星标⭐

《金融数据安全治理实施指南》（以下简称指南）由中国互联网金融协会指导并管理，奇富科技作为主起草单位，与多家金融机构和科技公司合作起草，覆盖了数据分类分级管理、数据安全风险管理、数据安全制度体系和数据安全技术体系等关键领域。本文对《指南》进行研究学习，并将其关键内容进行图解说明，方便理解。

《指南》重点内容包括金融数据安全治理概述、治理框架、治理实施、治理成果评估。

1.治理概述

定义：金融数据安全治理，是金融机构为确保数据安全状态，以达到维护国家安全、金融安全和社会公共利益、保护个人、组织的合法权益的目的，由内外部相关方协作持续实施的一系列建立并保持数据 安全能力的活动集合。

实施：金融数据安全治理以“人”与数据为中心，通过平衡业务需求与风险，对数据进行分类分级管理，制定数据安全策略，对数据的全生命周期进行管理和保护，从管理层、技术层、运营层，全方位与组织机构的业务体系相融合，贯穿始终。

2.治理框架

治理框架的三个要点：

(1) 以法律法规、政策指引及公司战略为指导思想，强调要结合机构业务发展相通过，是企业数据安全治理的合规总体导入；

(2) 以数据安全组织建设、数据分类分级管理为基础，是治理工作的前置；

(3) 以制度体系、技术体系、风险管理为治理核心。

图2：金融安全治理框架

3.治理实施

图3：金融安全治理实施

（1）治理组织建设

数据安全治理实施需要成立治理工作组，包括领导小组、实施小组、监督小组，工作组成员建议由“安全部门、业务部门、合规部门”组成。

《指南》提出了主导方和协同方的思路。例如治理实施小组由数据安全部门主导，业务部门协同配合，共同开展治理工作的执行落实。治理监督小组主要负责相关法律法规解读和培训，参与管理制度的制定和数据治理成果的评定等内容。

（2）数据分类分级管理

《指南》中提出该工作实施分为：数据资产盘点和数据分类分级。

数据资产盘点包括盘点准备和资产盘点。盘点准备包括明确盘点范围（组织范围、业务范围、系统范围）、明确盘点内容（数据实体、数据项、数据文件等）、制定盘点模版考虑数据的基础属性、业务属性、管理属性。

资产盘点是开展资产系统化梳理的实施工作，将数据资源转化为数据资产。工作内容包括制定盘点计划、选择盘点模式（自上而下的业务视角、自下而上的技术视角）、构建数据资产清单、资产发布与应用。

分类分级实施工作首先明确了分类原则和分级原则，然后按五个步骤开展工作，分别是“确定分类标准--划分数据安全等级--数据分类分级实施--分类分级结果发布--定期评估和更新”，详细见下图。

图4：分类分级实施步骤

• 风险消除：安全控制措施、最小化采集存储、非必要不采集、非必要不存储
• 风险减轻：监测与检测、备份和恢复、安全培训、数据分类分级、访问控制、敏感数据加密
• 风险接收：风险记录和报告、定期评估
• 风险转移：合同和法律保障、数据安全保险

（4）安全制度体系

数据安全制度体系包含数据安全管理制度、员工信息安全管理制度、合作方管理制度、应急与响应制度等内容，都是属于标准安全制度内容。《指南》提出要在制度体系基础上制定配套实施细则，如数据全过程的安全策略和流程控制、具体操作指南、记录和清单模版等。

（5）安全技术体系

技术体系属于标准化动作，围绕采集、传输、存储、使用、删除和销毁五个阶段提出具体的安全技术控制措施，重点考虑数据安全相关技术。

4.治理成果评价

《指南》对数据安全治理成果提出了评估体系，围绕数据安全管理评估、安全保护技术评估、安全风险运营评估三大类开展，共涉及13个二级指标，见下图。

图5：金融数据安全治理评价表

《指南》是今年10月发布，在反复阅读后，从数据安全视角提出个人看法，供参考：

• 治理是管理的管理，治理是定目标、指明战略方向，属于比较抽象且难执行的地方。大部分企业已有安全治理体系，作为数据安全体系如何融入原有的网络安全体系和信息安全体系，还是单独再建设一套体系，值得思考。《指南》中提出治理成果的评价指标体系，给出了一定参考。

• 该《指南》针对金融领域，因此风险管理始终是第一位，提出的风险识别、风险处置策略值得借鉴。其中“数据安全风险感知概念”，建议各机构主动感知数据处理活动中存在的风险，以及监测外部数据安全风险情报，是一种很好的策略。
  

• 数据安全除了防护技术，后续更多从安全风险监测视角主动发现风险，包括实时监测，也包括各类周期性性的安全检查和风险评估工作。例如定期开展审计工作、开展数据安全风险评估、业务流程数据验证、加强行为监测、情报监测、用户投诉监测等具体措施。