2024已悄然接近尾聲

這一年，以數據為關鍵要素的數字經濟加速構建

這一年，數據要素加速釋放

數據安全重要性日益凸顯

這一年，金融行業數字化變革加速演進

新技術、新業務模式不斷涌現

銀行業作為數據密集型行業

對數據的安全性和合規性要求持續提高

這一年，《銀行保險機構數據安全管理辦法》

《中國人民銀行業務領域數據安全管理辦法》

先后公開征求意見

數據安全責任和工作內容進一步細化

數據安全監管力度再度加強

體系化、多方協同、循序漸進

是數據安全工作的特點

深入政策、厘清脈絡、把握要點

是做好數據安全工作的基礎

一份《銀行領域數據安全工作備忘錄》

清單式羅列出銀行領域開展數據處理活動

必備的數據安全工作事項

收藏起來照著做

↓↓↓

1、建立數據安全管理體系

政策要點：

《銀行保險機構數據安全管理辦法》要求銀行保險機構建立與本機構業務發展目標相適應的數據安全治理體系，包括建立健全數據安全管理制度，構建覆蓋數據全生命周期和應用場景的安全保護機制等。

《中國人民銀行業務領域數據安全管理辦法》雖未明確提出需要需要建立治理體系，但其提出的總體保護要求及其他各章節內容覆蓋了數據安全管理體系所需要素的所有建設要求。

工作備忘：

金融行業數據安全管理體系強調與應用場景的融合，銀行需確認當前的數據安全管理體系是否涵蓋數據全生命周期和應用場景兩個維度。

2、開展數據分類分級工作

政策要點：

《銀行保險機構數據安全管理辦法》要求制定數據分類分級保護制度，建立數據目錄和分類分級規范，并根據數據的重要性和敏感程度將數據分為核心數據、重要數據、一般數據。

《中國人民銀行業務領域數據安全管理辦法》要求建立健全本單位數據分類分級實施制度，規范分類分級工作操作規程，將數據按照精度、規模和對國家安全的影響程度分為一般、重要、核心三級，并且進一步將數據項敏感性從低至高分為一至五共五個層級。

工作備忘：

當前數據分類分級行業標準已發布，銀行需確認是否建立了分類分級管理規范和數據目錄，是否按要求開展了分類分級工作。

3、完善數據安全管理組織架構與責任

政策要點：

《銀行保險機構數據安全管理辦法》要求建立覆蓋董（理）事會、高管層、數據安全統籌、數據安全技術保護等部門的數據安全管理組織架構，并明確崗位職責和工作機制。同時，該辦法還規定了數據安全責任制，明確了黨委（黨組）、董（理）事會、主要負責人、分管數據安全的領導等各層級負責人的責任。

《中國人民銀行業務領域數據安全管理辦法》則要求明確數據安全管理相關內設部門職責分工和人員管理要求，并細化各類違規數據處理活動的定責問責規程。

工作備忘：

各部門工作協同既是數據安全工作的必要條件也是主要難點。當前，監管要求對銀行各部門及角色的職責進行了劃分，銀行需基于自身原有的工作責任界限參照執行。

4、建設多元異構環境下的數據分級管控能力

政策要點：

《銀行保險機構數據安全管理辦法》針對敏感級數據提出了圍繞數據全生命周期的安全保護要求。

《中國人民銀行業務領域數據安全管理辦法》依據數據分類分級結果，圍繞數據全生命周期提出了差異化的安全管理和技術措施管控要求。

工作備忘：

分級管控的技術措施最終落地到不同的環境和載體上，銀行需進一步設計適用于多元異構環境下的分級管控建設方案，并逐步落地實施。

5、開展個人信息保護工作

政策要點：

《銀行保險機構數據安全管理辦法》設置了專門的個人信息保護章節，詳細規定了處理個人信息的原則、告知義務、數據共享/提供、跨境傳輸、委托處理、自動化決策等方面的要求，強調了事件處置與報送要求。

《中國人民銀行業務領域數據安全管理辦法》雖然未專門設立個人信息保護章節，但在數據收集、使用、提供等環節也均有個人信息保護的相關要求。

工作備忘：

個人金融信息保護相關行業標準早已發布，《個人信息保護法》及相關法規標準也陸續實施。個人信息保護工作是一項綜合性的工作，銀行需體系化、系統化地建立個人信息保護體系并逐步開展相關工作。

6、進行數據安全風險監測與處置

政策要點：

《銀行保險機構數據安全管理辦法》要求將數據安全風險納入全面風險管理體系，明確了風險管理機制，并細化了數據安全風險的9類監測內容。

《中國人民銀行業務領域數據安全管理辦法》側重于數據安全風險監測的手段，明確了告警規則需關注的14個事項，以及監測規則應關注的5類事項。

工作備忘：

數據安全風險監測工作能夠實時識別可能面臨的安全風險，有效降低數據安全事件發生的可能性。銀行需完善數據安全風險建設的技術手段，全面監測數據安全風險。

7、建設組件化、服務化的數據安全基礎設施

政策要點：

《銀行保險機構數據安全管理辦法》要求銀行保險機構應當開展數據安全的技術基礎設施建設，支持用戶身份管理、數據匿名化、行為監測、日志審計、數據虛擬化等功能的組件化、服務化，保障安全標準在信息系統中執行的一致性。

工作備忘：

從各項監管政策看，建設組件化、服務化、集中統一的數據安全技術能力已成為技術發展趨勢。銀行需持續關注相關技術發展，并在工作中逐步落地應用。

8、自行或委托開展數據安全風險評估

政策要點：

《銀行保險機構數據安全監管辦法》要求每年開展一次數據安全風險評估，并于每年1月15日前向國家金融監督管理總局或者其派出機構報送上一年度數據安全風險評估報告。同時，要求數據安全技術保護部門組織開展數據安全技術風險評估，并細化涉及到跨機構等數據處理活動時需進行的評估工作。

《中國人民銀行業務領域數據安全管理辦法》要求重要數據處理者需每年自行或委托機構進行全面數據安全風險評估。風險評估報告需在下年度一季度末前報送中國人民銀行或其分支機構，并按要求報送網信部門。同時，也細化了在各數據處理活動的重要環節需開展的評估工作。

工作備忘：

數據安全風險評估工作既是合規必要工作，也是一項主要的數據安全風險識別手段。銀行應當建立完善的評估機制，及時識別評估的觸發條件，并有序開展。

9、自行或委托開展數據安全審計

政策要點：

《銀行保險機構數據安全管理辦法》要求審計部門應當每三年至少開展一次數據安全全面審計，發生重大數據安全事件后應當開展專項審計。銀行保險機構委托專業機構進行數據安全審計時，不得使用該機構提供的產品和其他服務。

《中國人民銀行業務領域數據安全管理辦法》要求數據處理者需每年至少開展一次數據安全合規審計，重大事件后需及時專項審計。審計需關注全流程管理制度執行情況、投訴處理情況，并督促過程留痕與責任落實。

工作備忘：

數據安全審計是數據安全工作中的主要監督手段。銀行需依據監管要求的頻率和范圍，開展數據安全審計工作，同時針對審計中發現的問題，及時落實整改。

10、開展數據出境安全評估和申報

政策要點：

《銀行保險機構數據安全管理辦法》要求向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息，應當承擔數據安全主體責任，并按照國家有關政策要求進行安全評估。

《中國人民銀行業務領域數據安全管理辦法》要求每年1月底前測算或者估算其上兩年內累計出境數據規模與范圍，并保存測算估算結果和對應的境外接收方聯系方式至少三年。涉及數據出境安全評估的，數據處理者還應當保存有效期內的數據出境風險自評估報告、數據出境安全評估申報書和評估結果。

工作備忘：

在重要數據和個人信息出境前，進行評估和申報是合規必要工作。銀行需建立數據出境安全工作機制，及時識別評估和報備的觸發條件，有序推進相關工作。

11、開展數據安全工作報備和報送

政策要點：

《銀行保險機構數據安全管理辦法》要求涉及批量敏感級及以上數據的數據共享、委托處理、轉讓交易、數據轉移，銀行保險機構應當在處理、合同簽署前二十個工作日向國家金融監督管理總局或者其派出機構報告，法律、行政法規另有規定的除外。銀行保險機構應當于每年1月15日前向國家金融監督管理總局或者其派出機構報送上一年度數據安全風險評估報告。

《中國人民銀行業務領域數據安全管理辦法》要求報備數據安全風險評估報告，報備重要數據目錄。

工作備忘：

兩份監管文件中均要求及時報備數據安全相關工作，銀行應理清需報備的數據安全工作清單，并在規定時限內完成上報。

加強數據安全治理和合規體系建設，提高數據安全防護能力，可以說是銀行乃至金融業未來一段時間內持續穩定發展不可或缺的基礎環節之一。

圍繞以上十一項必備工作，天融信基于在網絡安全與數據安全領域的持續探索實踐，以提升銀行數據安全合規及管控能力、保障客戶業務價值為目標，圍繞數據的全生命周期安全形成了完善的數據安全服務體系，從規劃、治理、建設、運營四個層面幫助客戶全面提升數據安全防御能力。

天融信數據安全體系規劃服務：

在數據安全體系規劃服務中，深入業務場景量體裁衣是關鍵。天融信可為客戶提供全方位深層次的規劃方案，全面提升數據安全管理水平。首先，分析銀行現狀，結合法律法規與行業標準，為客戶量身定制數據安全管理政策、流程及操作指南；其次，幫助客戶優化數據安全管理組織架構，厘清各崗位責任和分工界面；第三，提供個人信息保護專項方案，確保各z項個人信息處理活動的合規。

天融信數據安全評估服務：

在數據安全評估服務中，形成持續性的自動化評估機制是核心。天融信運用先進的評估工具與方法，對銀行數據資產進行深度風險評估，并基于評估結果，為銀行提供針對性的風險緩解與應對方案，涵蓋技術、流程等多個層面，快速發現并有效控制數據安全風險。

天融信數據安全建設服務：

在數據安全建設服務中，針對數據分類分級，理清脈絡并合理規劃，才能真正提升數據保護能力，降低數據安全風險。天融信具備完善的數據安全產品、方案與服務，可針對銀行多元異構的數據環境，設計并實施定制化的數據安全技術方案，涵蓋加密、脫敏、防泄露等多個方面，提升數據處理活動各環節管控措施的有效性。

天融信數據安全運營服務：

在數據安全運營服務中，天融信以數據安全管理的持續改進為目標，提供各項數據安全運營服務，確保客戶數據安全的常態化運營和數據安全管理的有效改進。其中，數據安全審計服務可確保各項安全措施得到有效執行；建立數據安全風險監測體系可實時監測數據處理活動中的異常行為，及時發現并預警潛在安全事件；構建高效的應急機制可確保在安全事件發生時，能夠迅速響應并處置。

TOPSEC

當前，國家層面、中國人民銀行及國家金融監督管理總局等發布了多項數據安全政策。如何有效應對持續更新的法律法規要求，確保滿足各項合規要求，同時構建起一套能夠覆蓋所有監管需求的數據安全管理體系，成為銀行保險機構面臨的重大挑戰。

作為國家網絡空間安全建設的中堅力量，天融信將攜手銀行客戶，持續加強關核心技術攻關，協同落實數據安全治理，促進數據開發利用與安全防護的一體兩翼平衡發展，全面護航金融數字化轉型行穩致遠。