《銀行保險機構數據安全管理辦法》正式實施，分類分級、安全評估共筑安全防線

金融數據具有高價值和高敏感性，金融數據安全關乎國家安全和金融消費者權益密切相關。在當前數字化進程加速的背景下，數據合作頻繁，安全風險也隨之增加，給機構管理帶來了新挑戰。

為規范銀行業保險業數據處理活動，保障數據安全、金融安全，促進數據合理開發利用，維護社會公共利益和金融消費者合法權益，金融監管總局近日制定并發布了《銀行保險機構數據安全管理辦法》（以下簡稱《辦法》）。

《銀行保險機構數據安全管理辦法》主要內容和特點

《辦法》共9章81條，主要規定了以下內容：

一是強化數據治理頂層設計

要求銀行保險機構建立與業務發展目標相適應的數據安全治理體系，落實數據安全責任制，按照“誰管業務、誰管業務數據、誰管數據安全”的原則開展數據安全保護工作。

二是落實分類分級管理要求

要求對業務經營管理過程中獲取、產生的數據進行分類管理。根據數據的重要性和敏感程度，將數據分為核心、重要、一般三個級別，并將一般數據進一步細分為敏感數據和其他一般數據，并采取差異化的安全保護措施。

三是強化數據安全管理體系

要求銀行保險機構建立健全數據安全管理制度，對委托處理、共同處理、轉移、公開、共享等相關數據處理活動開展安全評估，采取相應技術手段保障數據全生命周期安全，保障數據開發利用活動安全穩健開展。

四是加強個人信息保護

按照“明確告知、授權同意”的原則處理個人信息，按照金融業務處理目的的最小范圍收集個人信息。共享和向外部提供個人信息，應履行個人告知及取得同意的義務。

五是完善風險監測處置機制

將數據安全風險納入全面風險管理體系，明確數據安全風險監測、風險評估、應急響應及報告、事件處置的組織架構和管理流程，有效防范和處置數據安全風險。

《辦法》詳解：銀行保險機構數據分類分級具體要求

數據分類

應當對機構業務及經營管理過程中獲取、產生的數據進行分類管理。具體類型包含以下：

數據分級

應根據數據的重要性和敏感程度，將數據分為核心數據、重要數據、一般數據，其中一般數據細分為敏感數據和其他一般數據。

當數據的業務屬性、重要程度和可能造成的危害程度發生變化，導致安全級別不再適用的，及時進行動態調整。

《辦法》詳解：數據安全管理職責要求

數據安全評估

應當根據數據處理目的、性質和范圍，按照法律法規和倫理道德規范要求，分析數據安全風險和對數據主體權益影響，評估數據處理的必要性、合規性，評估數據安全風險及防控措施的有效性。

數據全生命周期安全

要求銀行保險機構按照國家政策要求，根據自身發展戰略，制定數據安全保護策略。

《辦法》詳解：數據安全事件應急響應與處置機制

數據安全事件分級

數據安全事件根據影響范圍和程度，分為特別重大、重大、較大和一般四個級別。

應急響應與處置機制

建立內部協調聯動機制和外部服務商、第三方機構的報告機制。

國家頂層法規指引下，機構應以“數據安全”為核心，圍繞數據全生命周期并涵蓋管理策略與防護技術的安全服務體系，從技術上打通數據孤島，解決數據開放共享鏈條上的安全顧慮。

企業開展數據分類分級需要：

面向組織數據和個人信息，對數據資產進行發現與梳理。從業務角度出發，對企業數據進行分類分級標識并形成數據分類分級目錄，最后對數據目錄進行審核、上報備案，并且動態更新管理。

服務流程應該基于國標GB/T 43697-2024《數據安全技術數據分類分級規則》的分類分級實施步驟。

安勝“數網”數據資產梳理與數據庫掃描系統，一款用于幫助數據資產管理者全面掌握數據資產分布、構建數據資產類目、洞悉數據資產風險的系統，可有效協助企事業單位滿足數據分類分級管理的合規要求，同時優化和提升數據資產的管理和使用規范。

企業開展數據安全風險評估服務需要：

依據國家、行業數據安全風險評估要求，結合企業自身數據安全現狀，圍繞數據和數據處理活動，聚焦可能影響數據安全風險，評估數據安全全生命周期的各項指標，對評估的問題進行分析，提出數據安全管理和技術防護措施建議。