为规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,保护个人、组织的合法权益,维护国家安全和社会公共利益,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》等法律法规,国家金融监督管理总局于2024年12月27日印发《银行保险机构数据安全管理办法》(以下简称《办法》),自公布之日起施行。《办法》在金融行业也称为24号文,文件层级较高,属于金融行业的政策法规,是指导银行业保险业在数据安全管理方面的顶层文件。
《办法》制定的背景
金融数据具有高价值和高敏感性,金融数据安全与国家安全和金融消费者权益密切相关。近年来,银行业、保险业数字化变革加速演进,新技术、新业态不断涌现,数据合作共享日益频繁。与此同时,金融领域面临的数据安全风险形势复杂严峻,也给金融机构数据安全管理带来新的挑战。对此,有必要充分发挥监管的“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部机制,采取有效的管理和技术措施加强数据安全保护,确保客户信息和金融交易数据的安全。
《办法》适用范围
《办法》中所称银行保险机构是指在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司。
《办法》主要内容
《办法》共9章81条,包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理、附则等。总体框架如下:
本《办法》的重要内容包含如下七个方面:
上下滑动查看详细解读
1
强化数据安全治理顶层设计
《办法》要求银行保险机构建立与业务发展目标相适应的数据安全治理体系,落实数据安全责任制,按照“谁管业务、谁管业务数据、谁管数据安全”的原则开展数据安全保护工作。明确银行保险机构党委(党组)、董(理)事会对本单位数据安全工作负主体责任,机构主要负责人为数据安全第一责任人,分管数据安全的高级管理人员为直接责任人。明确数据安全归口管理部门,岗位职责和工作机制,落实资源保障。
明确数据安全归口管理部门。要求银行保险机构指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门,承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。
2
落实分类分级管理要求
《办法》要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。
在数据分类方面,对机构业务及经营管理过程中获取、产生的数据进行分类管理,具体类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。
在数据分级方面,银行保险机构应根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据,其中一般数据细分为敏感数据和其他一般数据,并采取差异化的安全保护措施;当数据的业务属性、重要程度和可能造成的危害程度发生变化,导致安全级别不再适用的,及时进行动态调整。
3
强化数据安全管理体系
《办法》要求银行保险机构按照国家政策要求,根据自身发展战略,建立健全数据安全管理制度,制定数据安全保护策略;根据数据处理目的、性质和范围,按照法律法规和伦理道德规范要求,对数据全生命周期中相关数据业务处理活动进行安全评估,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性及防控措施的有效性;收集数据应坚持“合法、正当、必要、诚信”原则,明确数据收集和处理的目的、方式、范围、规则,保障收集过程的数据安全性、数据来源可追溯;在集团内部数据共享的过程中,应建立总行(公司)与其子公司数据安全隔离的“防火墙”,并对共享数据采取有效保护措施;《办法》还对数据全生命周期中的数据加工、委托处理、共同处理、数据转移、数据跨境等具体的银行保险机构业务的数据处理场景分别提出了相应安全管理要求。
4
强化数据安全技术保护体系
《办法》要求银行保险机构应建立数据安全技术架构,明确数据保护策略方法,采取技术手段保障数据安全。将数据安全保护纳入信息系统开发生命周期框架,针对敏感级及以上数据明确安全保护要求,实现数据安全保护措施与信息系统的同步规划、同步建设、同步使用。建立数据安全保护基线,把数据纳入网络安全等级保护,对存放或传输敏感级及以上数据的机房、网络实施重点防护,在数据处理活动全生命周期内采取有效访问控制管理措施,通过整体安全有效的措施方式保障数据完整性、保密性、可用性。在数据加工中对人工智能模型算法的安全管理、安全审查、退出替代方案等安全应用提出了技术要求。进一步强化了数据安全技术保护体系。
5
加强个人信息保护规范
《办法》单独设置“个人信息保护”章节,以进一步落实《数据安全法》《个人信息保护法》等上位法要求,体现保护消费者信息和权益的政策导向。按照“明确告知、授权同意”的原则处理个人信息,按照金融业务处理目的的最小范围收集个人信息。共享和向外部提供个人信息,应履行个人告知及取得同意的义务。不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估。委托第三方处理个人信息时,应明确受托人对个人信息的保护义务、保护措施和期限等。发生或者可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施,并向监管部门报告。
6
完善风险监测与处置机制
《办法》将数据安全风险纳入全面风险管理体系,明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程,有效防范和处置数据安全风险。
要求银行保险机构应当对数据安全威胁进行有效监测,实施监督检查,主动评估风险,防止数据篡改、破坏、泄露、非法利用等安全事件发生。要求银行保险机构每年开展一次数据安全风险评估。
要求建立内外部数据安全事件应急管理机制,制定数据安全事件应急预案,定期开展应急响应培训和应急演练。将数据安全事件根据其影响范围和程度,分为特别重大、重大、较大和一般四个事件级别;在数据安全事件发生2小时内,要求银行保险机构向国家金融监督管理总局或其派机构报告,并在事件发生后24小时内提交正式书面报告。当发生特别重大数据安全事件,还要及时告知用户并同步向属地公安机关报告,每2小时上报处置进展,直至处置结束,并在五个工作日内将事件及其处置的评估、总结和改进报告报送国家金融监督管理总局或其派机构。
7
监管与法律责任
对数据安全管理的持续监管,国家金融监督管理局及其派出机构,对银行保险机构开展非现场监管和现场检查;同时将数据安全管理情况纳入监管评级及评估体系,并依法对事件进行处罚和处置。
监管层职责层面,金管局会制定银行业保险业重要数据目录,指导银行保险机构开展分类分级管理和数据保护;金管局通过持续监测数据安全风险,会建立行业监控预警、通报处置机制,向行业发布风险提示,并与国家数据安全管理部门建立联防防控机制,实施信息共享和事件处置。
银行保险机构职责层面,应按要求向金管局报送重要数据目录;每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告;涉及批量敏感级及以上数据的数据共享、委托处理、转让交易、数据转移,银行保险机构应当在处理、合同签署前二十个工作日向国家金融监督管理总局或者其派出机构报告。
银行保险机构违反本《办法》要求的,金管局会根据违规情况,对银行保险机构依法采取风险提示、监管谈话、监管通报、责令改正等监管措施;对涉及违规处理行为的系统或者应用,责令暂停或者终止服务;对有重大违法违规情形,或者迟报、瞒报数据安全事件和案件,或者产生重大数据安全风险、事件、案件的第三方机构进行行业通报,责令银行保险机构暂缓或者停止合作。
银行业金融机构违反本《办法》要求的,金管局会根据相关规定,责令其改正并处罚款;情节特别严重或者逾期不改正的,可以责令停业整顿或者吊销其经营许可证。根据违规情况,可以责令银行业金融机构对直接负责的董事、高级管理人员和其他直接责任人员给予纪律处分,尚不构成犯罪的,给予警告并罚款;取消相关责任人员一定期限直至终身的任职资格,禁止相关责任人员一定期限直至终身从事银行业工作。
保险业金融机构违反本《办法》要求的,金管局依据相关规定,责令其改正并处罚款;机构违规情节严重的,限制其业务范围、责令停止接受新业务或者吊销业务许可证。根据违规情况,对其直接负责的主管人员和其他直接责任人员给予警告,并处罚款;人员违规情节严重的,撤销任职资格。构成犯罪的,依法追究刑事责任。
迪普科技银行保险机构数据安全解决方案
随着银行保险机构数据安全保护相关规范要求不断完善和安全监管力度的不断强化,针对银行保险机构数据安全治理的新挑战、新特点,迪普科技依托“3665”设计架构打造《银行保险机构可运营的数据安全治理体系建设方案》,方案以数据治理为前提、网络安全为基础、数据双生命周期为策略,通过构建可运营的数据安全治理体系建设,为业务数据创造价值,推动银行保险机构数据安全合规有序流动,确保客户信息和金融交易数据的安全。
“3665”方案架构
1
安全治理从三大要素 指导数据安全保障:
通过企业架构做好顶层规划,基于“技术、服务、管理”三要素,指导数据安全治理;
2
安全运营从六大能力 指导数据安全建设:
通过网络安全框架GIPDRR六大能力指导数据安全运营体系建设;
3
生命周期从六大阶段 指导数据安全闭环:
通过关口前移,基于数据双生命周期六大阶段,从源头指导数据安全策略闭环管理;
4
建设实施从五个步骤 指导数据安全落地:
聚焦关键安全控制措施,建立可执行,可量化的指标,与合规与业务对齐,基于滑动标尺五阶段模型推动数据安全运营体系落地。
相比传统网络安全,银行保险机构数据安全治理更需要从顶层开始做好体系规划,基于数据采集、存储、传输、使用加工及共享的特点,应当从数据的全生命周期做好安全运营的闭环管理;同时需要基于顶层架构思维,分阶段落实基础工作,实施建设专项工作。
迪普科技《银行保险机构可运营的数据安全治理体系建设方案》创新性地提出了“3665”的数据安全治理体系架构,包含了治理所需达成的目标,贯穿了治理维度、治理体系、实施路径以及数据安全运营,提供了映射于GIPDRR框架的网络安全关键控制措施的量化指标,采用基于AI 驱动的数据安全自动化工具与平台,可满足不同规模用户在不同数据安全建设阶段,对数据安全治理的需求,针对银行保险机构数据安全治理体系不同阶段落地方案实施,提供整体安全运营能力资源保障。
数据安全管控平台
数据分类分级平台
API风险监测系统
数据安全检查工具箱
左滑查看更多
为保障数据安全、金融安全,促进数据合理开发利用,保护个人、组织的合法权益,维护国家安全和社会公共利益,迪普科技将持续践行数据安全技术创新与服务,深度聚焦金融机构数据安全技术研发,通过前沿技术探索的创新与实践,继续加强研发投入和技术创新力度,为金融机构数据安全体系建设和运营服务提供强有力的支撑与赋能,为构建更加安全、智能的社会贡献力量。
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...