銀行保險機構(gòu)數(shù)據(jù)安全實踐指南（2024）-數(shù)據(jù)安全推進計劃

銀行保險機構(gòu)數(shù)據(jù)安全數(shù)據(jù)安全推進計劃中國通信標準化協(xié)會大數(shù)據(jù)技術(shù)標準推進委員會2024年12月版權(quán)聲明本報告版權(quán)屬于數(shù)據(jù)安全推進計劃，并受法律保護。轉(zhuǎn)載、摘編或利用其它方式使用本報告文字或者觀點的，應(yīng)注明“來源：數(shù)據(jù)安全推進計劃”。違反上述聲明者，編者將追究其相關(guān)法律責(zé)任。I隨著金融行業(yè)數(shù)字化變革的加速演進，數(shù)據(jù)已成為金融機構(gòu)最重要的資產(chǎn)之一，與之而來的新技術(shù)、新業(yè)務(wù)不斷涌現(xiàn)，數(shù)據(jù)的使用、加工、傳輸、共享等活動日益頻繁，進一步凸顯了數(shù)據(jù)安全的重要意義。在此背景下，國家金融監(jiān)管總局充分發(fā)揮監(jiān)管“指揮棒”作用，在2024年12月發(fā)布《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》,旨在幫助銀行保險機構(gòu)或企業(yè)(以下簡稱企業(yè))規(guī)范數(shù)據(jù)處理活動，指導(dǎo)行業(yè)開展數(shù)據(jù)相關(guān)的技術(shù)研究與開發(fā)利用。為進一步提升金融行業(yè)數(shù)據(jù)安全保護水平，增強金融機構(gòu)數(shù)據(jù)安全合規(guī)保障能力，推動金融數(shù)據(jù)價值安全釋放，保障安全與發(fā)展的雙向促進，特編制本指南。本指南依據(jù)監(jiān)管要求，同時參考行業(yè)最佳實踐，針對金融行業(yè)數(shù)據(jù)安全的重要合規(guī)要求，結(jié)合金融行業(yè)特有場景，提出合規(guī)實踐建議。目錄 1 1 11.數(shù)據(jù)安全工作缺少高層關(guān)注和全員參與 12.數(shù)據(jù)安全責(zé)任劃分成為焦點問題 1 21.建立覆蓋全員的數(shù)據(jù)安全組織架構(gòu)，提升高層參與度 22.明確各部門工作內(nèi)容與權(quán)責(zé)邊界，建立協(xié)同工作機制 4 5 5 5 5(三)合規(guī)實踐建議 1.建立數(shù)據(jù)分類分級組織保障，推動跨部門協(xié)同 62.依據(jù)數(shù)據(jù)分類分級成熟度評價模型，對標建設(shè)過程及成效 6 1.數(shù)據(jù)安全管理體系建設(shè)框架如何設(shè)計 2.數(shù)據(jù)與業(yè)務(wù)緊耦合增加管理策略制定難度 1.梳理數(shù)據(jù)全生命周期安全要求，明確管理框架及管理辦法 2.分析業(yè)務(wù)場景安全風(fēng)險，梳理個性化管控方案 2.多種技術(shù)產(chǎn)品如何體系化呈現(xiàn) (三)合規(guī)實踐建議 2.用戶對其主體權(quán)益保護的要求高 20 20 六、數(shù)據(jù)安全風(fēng)險監(jiān)測與處置 2 22 22 22 2.開展大模型數(shù)據(jù)安全風(fēng)險評估 251一、數(shù)據(jù)安全責(zé)任體系(一)合規(guī)要點《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》“第二章數(shù)據(jù)安全治理”要求企業(yè)建立數(shù)據(jù)安全責(zé)任機制，明確數(shù)據(jù)安全責(zé)任人，指定歸口管理部門負責(zé)本機構(gòu)的數(shù)據(jù)安全工作，明確各業(yè)務(wù)領(lǐng)域的數(shù)據(jù)安全管理職責(zé)。(二)面臨問題1.數(shù)據(jù)安全工作缺少高層關(guān)注和全員參與數(shù)據(jù)安全工作具備來自監(jiān)管要求和業(yè)務(wù)發(fā)展的雙重驅(qū)動，一方面需要企業(yè)從整體管理層面進行合規(guī)的要點宣講、要求內(nèi)化、分工協(xié)作，另一方面需要從業(yè)務(wù)層面進行落地執(zhí)行、效果反饋、優(yōu)化糾偏。由于數(shù)據(jù)和業(yè)務(wù)的伴生關(guān)系，數(shù)據(jù)安全風(fēng)險的防范與治理往往涉及企業(yè)所有業(yè)務(wù)部門及大多數(shù)職能部門。為了推動數(shù)據(jù)安全工作的高效協(xié)作與落實，企業(yè)高層領(lǐng)導(dǎo)的關(guān)注必不可少一數(shù)據(jù)安全工作也經(jīng)常被稱為“一把手”工程。這也意味著，提升企業(yè)高層對數(shù)據(jù)安全工作的關(guān)注度，提升企業(yè)員工參與度，確保數(shù)據(jù)安全管理與企業(yè)戰(zhàn)略發(fā)展同步，已成為當(dāng)下亟待解決的問題。2.數(shù)據(jù)安全責(zé)任劃分成為焦點問題據(jù)《2023年數(shù)據(jù)安全行業(yè)調(diào)研報告》調(diào)查情況，45.3%的企業(yè)在數(shù)據(jù)安全工作開展過程中面臨數(shù)據(jù)使用部門、數(shù)據(jù)屬主部門、數(shù)據(jù)安全牽頭部門的數(shù)據(jù)安全權(quán)責(zé)劃分不清晰，數(shù)據(jù)安全工作開展拉通困難2大的問題。因此，在企業(yè)內(nèi)部，數(shù)據(jù)安全工作“誰牽頭、誰輔助、誰執(zhí)行、誰監(jiān)督”成為熱議話題，如何建立一套行之有效的數(shù)據(jù)安全責(zé)任劃分體系備受關(guān)注。(三)合規(guī)實踐建議1.建立覆蓋全員的數(shù)據(jù)安全組織架構(gòu)，提升高層參與度數(shù)據(jù)安全組織架構(gòu)是數(shù)據(jù)安全治理體系建設(shè)的前提條件。通過建立專門的數(shù)據(jù)安全組織，落實數(shù)據(jù)安全管理責(zé)任，確保數(shù)據(jù)安全相關(guān)工作能夠持續(xù)穩(wěn)定的貫徹執(zhí)行。同時，因數(shù)據(jù)安全治理是一項多元化主體共同參與的復(fù)雜工作，明確的組織架構(gòu)有助于劃分各參與主體的數(shù)據(jù)安全權(quán)責(zé)邊界，促進協(xié)同機制的建立，實現(xiàn)組織數(shù)據(jù)安全治理一在一個企業(yè)內(nèi)部，安全部門合規(guī)部門、風(fēng)控部門、內(nèi)審部門、業(yè)務(wù)部門、人力部門等都需要參與到數(shù)據(jù)安全治理的具體工作中，相互協(xié)同，共同保障組織的數(shù)據(jù)安全。一種較為典型的數(shù)據(jù)安全治理組織架構(gòu)一般由決策層、管理層、執(zhí)行層與監(jiān)督層構(gòu)成，如圖1所示，各層之間通過定期會議溝通等工作機制實現(xiàn)緊密合作、相互協(xié)同。決策層指導(dǎo)管理層工作的開展，并聽取管理層關(guān)于工作情況和重大事項等的匯報。管理層對執(zhí)行層的數(shù)據(jù)安全提出管理要求，并聽取執(zhí)行層關(guān)于數(shù)據(jù)安全執(zhí)行情況和重大事項的匯報，形成管理閉環(huán)。監(jiān)督層對管理層和執(zhí)行層各自職責(zé)范圍內(nèi)的數(shù)據(jù)安全工作情況進行監(jiān)督，并聽取各方匯報，形成最終監(jiān)督結(jié)論后同步匯報至決策層。1來自：數(shù)據(jù)安全推進計劃《數(shù)據(jù)安全治理實踐指南(4.0)》3決策層決策層(數(shù)據(jù)安全領(lǐng)導(dǎo)小組)匯報執(zhí)行層(數(shù)據(jù)安全執(zhí)行團隊)管理層(數(shù)據(jù)安全管理團隊)監(jiān)督層(數(shù)據(jù)安全監(jiān)督團來源：數(shù)據(jù)安全推進計劃各層的主要分工和構(gòu)成如表1所示。決策層以虛擬組織的形式存在，如數(shù)據(jù)安全領(lǐng)導(dǎo)小組，該小組由企業(yè)的高層領(lǐng)導(dǎo)及相關(guān)部門負責(zé)人共同構(gòu)成，主要負責(zé)對數(shù)據(jù)安全的重大事項進行統(tǒng)籌決策。管理層一般由數(shù)據(jù)安全歸口管理部門與數(shù)據(jù)安全技術(shù)保護部門構(gòu)成，通常是企業(yè)內(nèi)部的安全部門或數(shù)據(jù)部門，負責(zé)數(shù)據(jù)安全的管理、建設(shè)、宣貫等工作。執(zhí)行部門一般由業(yè)務(wù)部門或數(shù)據(jù)生產(chǎn)部門構(gòu)成，負責(zé)在本部門內(nèi)落實執(zhí)行各項數(shù)據(jù)安全管理要求。監(jiān)督層涉及到合規(guī)部門、風(fēng)控部門、內(nèi)審部門等，負責(zé)從不同的角度對數(shù)據(jù)安全治理工作的開展情數(shù)據(jù)安全責(zé)任決策層管理層執(zhí)行層監(jiān)督層組織高層領(lǐng)導(dǎo)及相關(guān)部門負責(zé)人安全部門/數(shù)據(jù)部門據(jù)生產(chǎn)部門合規(guī)、風(fēng)控、內(nèi)審等部門安全策略規(guī)劃牽頭負責(zé)落實執(zhí)行遵照執(zhí)行落實監(jiān)督安全工作管理/牽頭負責(zé)遵照執(zhí)行落實監(jiān)督4安全能力建設(shè)/牽頭負責(zé)遵照執(zhí)行落實監(jiān)督安全制度建設(shè)/牽頭負責(zé)遵照執(zhí)行落實監(jiān)督安全落地執(zhí)行/日常監(jiān)督牽頭負責(zé)落實監(jiān)督安全運營管理/牽頭負責(zé)遵照執(zhí)行落實監(jiān)督安全教育培訓(xùn)/牽頭負責(zé)遵照執(zhí)行落實監(jiān)督因不同企業(yè)的部門設(shè)置都有較大不同，涉及到實際治理體系建設(shè)時，不同企業(yè)還需結(jié)合現(xiàn)有組織架構(gòu)，進行適度的調(diào)整和補充。2.明確各部門工作內(nèi)容與權(quán)責(zé)邊界，建立協(xié)同工作機制在傳統(tǒng)“主體責(zé)任制”的責(zé)任劃分基礎(chǔ)上，企業(yè)應(yīng)充分考慮監(jiān)管“誰管業(yè)務(wù)，誰管業(yè)務(wù)數(shù)據(jù)，誰管數(shù)據(jù)安全”2的核心思想與數(shù)據(jù)自身的強業(yè)務(wù)屬性，細化數(shù)據(jù)安全責(zé)任劃分機制，將數(shù)據(jù)安全融入業(yè)務(wù)規(guī)劃，從源頭保障數(shù)據(jù)處理活動的安全合規(guī)。建議如下：一是應(yīng)由業(yè)務(wù)部門直接參與。業(yè)務(wù)部門作為數(shù)據(jù)的生產(chǎn)者和使用者，對數(shù)據(jù)價值與風(fēng)險有著最直觀的了解?？梢宰裱罢l創(chuàng)建，誰主管；誰使用、誰負責(zé)”的原則進行數(shù)據(jù)安全責(zé)任的劃分，確保數(shù)據(jù)在采集、使用和流轉(zhuǎn)的每一個環(huán)節(jié)得到有效保護。二是強化組織內(nèi)部協(xié)同工作機制。建立企業(yè)內(nèi)部數(shù)據(jù)安全歸口管理部門、數(shù)據(jù)安全技術(shù)保護部門、業(yè)務(wù)部門、風(fēng)險合規(guī)與審計部門等之間的協(xié)同工作機制，是數(shù)據(jù)安全工作能夠有效承接、完整落實監(jiān)管合規(guī)要求，抵御相關(guān)風(fēng)險的關(guān)鍵舉措。三是強化監(jiān)督與考核獎懲機制。企業(yè)應(yīng)建立并維護一個安全穩(wěn)定5的數(shù)據(jù)活動工作環(huán)境，這種環(huán)境的建立及維護除了依靠技術(shù)手段之外，還需要通過管理手段來激勵并約束。通過建立明確的數(shù)據(jù)安全考核標準和獎懲措施，將數(shù)據(jù)安全工作納入考核體系，可以引導(dǎo)員工形成正確的行為模式，自覺遵守相關(guān)法律法規(guī)和企業(yè)規(guī)章制度，促進數(shù)據(jù)安全合規(guī)文化與企業(yè)氛圍的建立。二、數(shù)據(jù)分類分級《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》“第三章數(shù)據(jù)分類分級”要求企業(yè)制定數(shù)據(jù)分類分級保護制度，建立數(shù)據(jù)目錄和分類分級規(guī)范，動態(tài)管理和維護數(shù)據(jù)目錄，并采取差異化的安全保護措施。(二)面臨問題1.數(shù)據(jù)分類分級跨部門協(xié)調(diào)待提效數(shù)據(jù)分類分級旨在根據(jù)數(shù)據(jù)的重要性、敏感程度以及業(yè)務(wù)價值等，對數(shù)據(jù)進行合理的劃分與保護，以確保數(shù)據(jù)的安全與合規(guī)使用。當(dāng)前，企業(yè)通常具備數(shù)據(jù)量級大、結(jié)構(gòu)多樣化、分布范圍廣等特點，在開展數(shù)據(jù)分類分級工作時，必然要面臨數(shù)據(jù)、技術(shù)、業(yè)務(wù)、安全等多個部門的協(xié)調(diào)溝通，協(xié)同推進。如何統(tǒng)籌安排各部門工作職責(zé)、統(tǒng)一分類定級標準是保障數(shù)據(jù)分類分級工作高效開展的重要內(nèi)容。2.數(shù)據(jù)分類分級工作成效待評價數(shù)據(jù)分類分級是一項持續(xù)、動態(tài)的工作，一方面需要花費大量的6人力、物力、財力去盤點存量及增量數(shù)據(jù)資源信息；另一方面需要根據(jù)級別制定安全保護策略，讓技術(shù)可行，讓業(yè)務(wù)可用，以確保精細化管控的目標達成。近年來，數(shù)據(jù)分類分級作為金融監(jiān)管的重要事項之一，各企業(yè)也在快速響應(yīng)，積極推進，如何評價數(shù)據(jù)分類分級建設(shè)成效也成為大家關(guān)心的問題。(三)合規(guī)實踐建議1.建立數(shù)據(jù)分類分級組織保障，推動跨部門協(xié)同數(shù)據(jù)分類分級是業(yè)務(wù)知識、數(shù)據(jù)知識和安全知識的交叉領(lǐng)域，是一項復(fù)雜的長期性工作，需要相關(guān)部門協(xié)作開展。這就需要通過明確數(shù)據(jù)分類分級工作的組織架構(gòu)，劃分各部門職責(zé)分工，為數(shù)據(jù)分類分級工作的協(xié)同開展提供支撐。在實際工作中，我們觀察到數(shù)據(jù)分類分級工作多由數(shù)據(jù)管理部門牽頭，主要職責(zé)包括統(tǒng)籌工作計劃、牽頭數(shù)據(jù)資源盤點、制定標準規(guī)范、分類定級結(jié)果復(fù)核等內(nèi)容，安全部門負責(zé)明確分級安全管理策略和技術(shù)要求，技術(shù)部門負責(zé)建設(shè)技術(shù)工具或平臺，業(yè)務(wù)等其他部門負責(zé)配合執(zhí)行及問題反饋。2.依據(jù)數(shù)據(jù)分類分級成熟度評價模型，對標建設(shè)過程及成效2023年中國信息通信研究院牽頭制定BDC155-2023《數(shù)據(jù)分類分級成熟度評價模型》,根據(jù)PDCA的閉環(huán)工作思路，按照“規(guī)劃-實施-運營”三大模塊內(nèi)容評價數(shù)據(jù)分類分級工作成效。(1)數(shù)據(jù)分類分級規(guī)劃7金融機構(gòu)在制定數(shù)據(jù)分類分級規(guī)劃時，應(yīng)至少包含數(shù)據(jù)分類分級戰(zhàn)略規(guī)劃、數(shù)據(jù)分類分級的資源保障以及數(shù)據(jù)分類分級的標準設(shè)計三部分內(nèi)容：●數(shù)據(jù)分類分級的戰(zhàn)略規(guī)劃應(yīng)具備幫助金融機構(gòu)為其開展分類分級工作制定指導(dǎo)要求，進行資源規(guī)劃的能力?！駭?shù)據(jù)分類分級資源保障應(yīng)確保金融機構(gòu)提供的資源保障能力能夠完整覆蓋分類分級工作的開展。特別是金融機構(gòu)數(shù)據(jù)量級龐大、分布廣泛，分類分級工作需要較強的跨部門聯(lián)動能力，所以足夠的高層關(guān)注和資源保障是促進數(shù)據(jù)管理部門、科技部門、職能部門與業(yè)務(wù)部門攜手推進分類分級的前提條●數(shù)據(jù)分類分級標準設(shè)計應(yīng)考慮監(jiān)管要求、行業(yè)標準，并結(jié)合企業(yè)實際情況，明確數(shù)據(jù)范圍、概念定義、執(zhí)行步驟、反饋優(yōu)化等工作內(nèi)容，迅速對齊參與方理解與認知。尤其針對一些平臺級企業(yè)和關(guān)鍵信息基礎(chǔ)設(shè)施企業(yè)，對于重要、核心數(shù)據(jù)的識別管理也應(yīng)當(dāng)納入分類分級的考量范圍。(2)數(shù)據(jù)分類分級實施數(shù)據(jù)分類需要充分考慮監(jiān)管要求，根據(jù)數(shù)據(jù)屬性、對象、使用場景、格式等，對數(shù)據(jù)基本信息進行識別分析。金融機構(gòu)應(yīng)根據(jù)已制定的數(shù)據(jù)分類原則，定義包含多個層級的數(shù)據(jù)類別清單，再對數(shù)據(jù)資源清單中的數(shù)據(jù)逐個進行分類。結(jié)合金融監(jiān)管要求與業(yè)實際業(yè)務(wù)場景，本指南建議將數(shù)據(jù)類型劃分為客戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、8系統(tǒng)運行和安全管理數(shù)據(jù)四個一級分類?。數(shù)據(jù)定級需要充分考慮數(shù)據(jù)的重要性、敏感程度、精度、規(guī)模等諸多因素。因此，金融機構(gòu)在定級過程中，可以通過綜合評估數(shù)據(jù)本身的重要程度和所面臨的風(fēng)險危害程度。具體的評估要素應(yīng)至少包括影響對象和影響程度。若定級過程中出現(xiàn)多個影響對象，應(yīng)按照影響程度的最高等級進行判定。影響對象是指數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能影響的對象。數(shù)據(jù)安全風(fēng)險涉及的影響對象包括國家安全、公共利益、組織權(quán)益、個人權(quán)益。影響程度是指數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能造成的影響程度。影響程度從高到低可分為特別嚴重危害、嚴重危害、一般危害。對不同影響對象進行影響程度判斷時，采取的基準不同。如果影響對象是組織或個人權(quán)益，則以本單位或本人的總體利益作為判斷影響程度的基準。如果影響對象是國家安全、經(jīng)濟運行、社會穩(wěn)定或公共利益，則以國家、社會或行業(yè)領(lǐng)域的整體利益作為判斷影響程度的基準。根據(jù)上述內(nèi)容，通過判斷數(shù)據(jù)一旦被泄露、篡改、破壞或者非法獲取、非法利用、非法共享，對國家安全、經(jīng)濟運行、社會秩序、公共利益、組織權(quán)益與個體合法權(quán)益的影響程度，本指南建議金融機構(gòu)將數(shù)據(jù)等級分為核心、重要、一般(敏感)、一般(其他)四個安全級別，分級方法如表2所示。4來自：國家金融監(jiān)督管理總局《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法(征求意見稿)》9影響對象/影響等級特別嚴重危害嚴重危害一般危害國家安全核心數(shù)據(jù)核心數(shù)據(jù)重要數(shù)據(jù)經(jīng)濟運行核心數(shù)據(jù)重要數(shù)據(jù)一般數(shù)據(jù)(其他)社會秩序核心數(shù)據(jù)重要數(shù)據(jù)一般數(shù)據(jù)(其他)公共利益核心數(shù)據(jù)重要數(shù)據(jù)一般數(shù)據(jù)(其他)組織權(quán)益、個人權(quán)益一般數(shù)據(jù)(敏感)一般數(shù)據(jù)(敏感)一般數(shù)據(jù)(其他)注：如果影響大規(guī)模的個人或組織權(quán)益，影響對象可能不只包括個人權(quán)益或組織權(quán)益，也可能對國家安全、經(jīng)濟運行、社會秩序或公共利益造成影響。(3)數(shù)據(jù)分類分級運營●金融機構(gòu)在建立常態(tài)化運營機制和開展檢查優(yōu)化工作方面重●數(shù)據(jù)分類分級結(jié)果應(yīng)用方面應(yīng)重點關(guān)注分類分級結(jié)果是否能三、數(shù)據(jù)安全管理體系建設(shè)(一)合規(guī)要點《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》“第四章數(shù)據(jù)安全管理”要求企業(yè)強化數(shù)據(jù)安全管理，按照國家數(shù)據(jù)安全與發(fā)展政策要求，根據(jù)自身發(fā)展戰(zhàn)略，制定數(shù)據(jù)安全保護策略，建立數(shù)據(jù)安全管理制度和數(shù)據(jù)處理管控機制。(二)面臨問題1.數(shù)據(jù)安全管理體系建設(shè)框架如何設(shè)計企業(yè)在建立數(shù)據(jù)安全管理體系時，首先要明確數(shù)據(jù)安全管理邊界，方面，數(shù)據(jù)安全的保護主體是數(shù)據(jù)本身，保護能力要貫穿數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等數(shù)據(jù)全生命周期處理活動。另一方面，數(shù)據(jù)安全要在制度流程、組織建設(shè)、管控機制等方面明確管理要求，開展管理工作。2.數(shù)據(jù)與業(yè)務(wù)緊耦合增加管理策略制定難度數(shù)據(jù)與業(yè)務(wù)的強關(guān)聯(lián)關(guān)系導(dǎo)致數(shù)據(jù)安全管理策略需要更加精細化和動態(tài)化。不同業(yè)務(wù)場景下的數(shù)據(jù)使用需求和風(fēng)險等級各異，傳統(tǒng)高彈性的數(shù)據(jù)安全管理措施，以確保在保障數(shù)據(jù)安全的同時，不阻礙業(yè)務(wù)的正常開展。(三)合規(guī)實踐建議1.梳理數(shù)據(jù)全生命周期安全要求，明確管理框架及管理辦法數(shù)據(jù)安全管理體系是企業(yè)開展數(shù)據(jù)安全工作需要具備的能力框架。針對該項工作，國家、行業(yè)均有相關(guān)標準供金融機構(gòu)參考。如圖2所示，GB/T37988-2019《數(shù)據(jù)安全能力成熟度模型》從宏觀數(shù)據(jù)管理的角度出發(fā)，定義了數(shù)據(jù)安全管理體系建設(shè)的過程維度、能力維度、等級維度等內(nèi)容。如圖3所示，JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》定義了圍繞數(shù)據(jù)全生命周期的安全框架及防護要求。如圖4所示，YD/T4558-2023《數(shù)據(jù)安全治理能力通用評估方法》從數(shù)據(jù)安全管理工作開展的視角，明確了數(shù)據(jù)安全管理體系基本框架及總體要求。各企業(yè)可以根據(jù)現(xiàn)有標準及監(jiān)管要求，結(jié)合已經(jīng)開展的數(shù)據(jù)安全工作，梳理形成適用于自身的數(shù)據(jù)安全管理體系，并制定數(shù)據(jù)安全管理制度，通過將各項要求落實在制度文件中，形成對內(nèi)的統(tǒng)一管理，確保數(shù)據(jù)安全管理工作“有章可依”。5級：持續(xù)優(yōu)化4級：量化控制5級：持續(xù)優(yōu)化4級：量化控制2級：計劃跟蹤能力成熟度等級數(shù)據(jù)銷毀安全數(shù)據(jù)交換安全數(shù)據(jù)處理安全數(shù)據(jù)傳輸安安全能力維度全圖2數(shù)據(jù)安全能力成熟度模型最小夠用1級：如公開數(shù)據(jù)2級：如合作單位基本信息3級：如個人財產(chǎn)信息4級：如支付密碼5級：如重要數(shù)據(jù)數(shù)據(jù)采集數(shù)據(jù)存儲事件處置數(shù)據(jù)加工數(shù)據(jù)導(dǎo)出喻據(jù)同備份與恢復(fù)存儲安全合法正當(dāng)目的明確選擇同意委托處理數(shù)據(jù)轉(zhuǎn)讓公開披露,,,,,===第三方機構(gòu)管理制度安全組織人員管理邊界管控訪問數(shù)據(jù)傳輸數(shù)據(jù)刪除數(shù)據(jù)銷毀開發(fā)測試匯聚融合數(shù)據(jù)共享權(quán)責(zé)一致數(shù)據(jù)展示個人主體外部機構(gòu)圖3數(shù)據(jù)全生命周期安全框架數(shù)據(jù)安全運營體系數(shù)據(jù)安全運營體系數(shù)據(jù)安全策略管理安全風(fēng)險監(jiān)測審計安全事件應(yīng)急響應(yīng)數(shù)據(jù)安全運營管理平臺麟廠方針政策數(shù)據(jù)安全通用技術(shù)體系管控策略數(shù)據(jù)加密數(shù)據(jù)脫敏數(shù)據(jù)防泄漏數(shù)據(jù)分類分級、身份認證及訪問控制、日志管理、監(jiān)控審計、安全評估人員能力(明確人員能力要求，從意識、培訓(xùn)、考核數(shù)據(jù)安全意識數(shù)據(jù)安全技能數(shù)據(jù)安全技術(shù)介質(zhì)銷毀組織架構(gòu)(確定部門、崗位、制度流程(確定規(guī)范化、標準化的管理要求和執(zhí)行數(shù)據(jù)運營數(shù)據(jù)資產(chǎn)梳理數(shù)據(jù)分類分級合規(guī)庫管理數(shù)據(jù)安全管理體系操作指南監(jiān)督層支撐依據(jù)2.分析業(yè)務(wù)場景安全風(fēng)險，梳理個性化管控方案?數(shù)據(jù)存在于業(yè)務(wù)中，離業(yè)務(wù)越近越能發(fā)現(xiàn)數(shù)據(jù)安全建設(shè)需求，深入業(yè)務(wù)場景和數(shù)據(jù)視圖是制定有效管理策略的必經(jīng)之路，具體工作內(nèi)容如下。(1)全面梳理業(yè)務(wù)場景梳理數(shù)據(jù)資產(chǎn)和業(yè)務(wù)場景是企業(yè)進行場景化數(shù)據(jù)安全建設(shè)的前提，可以幫助組織了解數(shù)據(jù)安全管理對象全貌，為企業(yè)場景化數(shù)據(jù)安全管理提供行動地圖。(2)確定業(yè)務(wù)場景安全管理優(yōu)先級在業(yè)務(wù)場景梳理完成后，企業(yè)需要綜合考慮監(jiān)管要求、數(shù)據(jù)安全風(fēng)險和業(yè)務(wù)發(fā)展需要，明確業(yè)務(wù)場景治理的開展優(yōu)先級。例如，數(shù)據(jù)采集過程中個人信息主體數(shù)據(jù)采集、外部機構(gòu)數(shù)據(jù)采集等場景均涉及5來自：數(shù)據(jù)安全推進計劃《數(shù)據(jù)安全治理實踐指南(4.0)》到個人信息權(quán)益保護，是當(dāng)前數(shù)據(jù)安全合規(guī)出現(xiàn)問題的高危場景，容易影響企業(yè)形象，因而可以優(yōu)先治理。此外，數(shù)字經(jīng)濟的繁榮發(fā)展離不開數(shù)據(jù)的流通共享，隨之而來的風(fēng)險也在不斷顯現(xiàn)，對數(shù)據(jù)流通的安全保護勢在必行，因而也應(yīng)著重進行相關(guān)場景的安全建設(shè)。(3)評估業(yè)務(wù)場景數(shù)據(jù)安全風(fēng)險評估業(yè)務(wù)場景的數(shù)據(jù)安全風(fēng)險是指針對具體場景，綜合考慮合規(guī)要求、數(shù)據(jù)資源重要程度、面臨的數(shù)據(jù)安全威脅等因素，將數(shù)據(jù)流動過程的風(fēng)險點梳理出來，并明確數(shù)據(jù)安全風(fēng)險等級。業(yè)務(wù)方應(yīng)根據(jù)此項評估結(jié)果，確定要進行整改的風(fēng)險點，并將其作為數(shù)據(jù)安全治理建設(shè)需求的輸入，為制定場景化數(shù)據(jù)安全解決方案提供依據(jù)。(4)制定并實施業(yè)務(wù)場景解決方案結(jié)合業(yè)務(wù)場景的數(shù)據(jù)安全風(fēng)險評估結(jié)果，企業(yè)可以根據(jù)相關(guān)政策及標準要求，申請充分的資源保障，并制定可落地的解決方案。目前，對于部分場景，業(yè)界已經(jīng)形成了一些公認的典型解決方案，例如在數(shù)據(jù)加密存儲場景中使用加解密系統(tǒng)，并在算法的選擇上避開不安全的MD5、AES-ECB、SHA1等算法；在終端場景下部署終端DLP等。但更多情況下，企業(yè)需要根據(jù)實際情況自研解決方案或者甄選適宜的供應(yīng)側(cè)解決方案。(5)完善業(yè)務(wù)場景操作規(guī)范為規(guī)范業(yè)務(wù)場景日常的數(shù)據(jù)安全管理和運營工作，企業(yè)應(yīng)督促業(yè)務(wù)部門在實施具體的技術(shù)措施后，及時完善整體數(shù)據(jù)安全制度體系中關(guān)于三級與四級的制度文件，如《數(shù)據(jù)導(dǎo)出申請單》《數(shù)據(jù)脫敏規(guī)則》《數(shù)據(jù)安全合規(guī)清單》等，以保持制度流程和技術(shù)落地一致性。四、數(shù)據(jù)安全技術(shù)保護(一)合規(guī)要點《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》“第五章數(shù)據(jù)安全技術(shù)保護”要求企業(yè)健全數(shù)據(jù)安全技術(shù)保護體系，建立數(shù)據(jù)安全技術(shù)架構(gòu)，明確數(shù)據(jù)保護策略方法，采取技術(shù)手段保障數(shù)據(jù)安全。(二)面臨問題1.產(chǎn)品工具孤島現(xiàn)象阻礙安全作用發(fā)揮據(jù)《2022年數(shù)據(jù)安全行業(yè)調(diào)研報告》顯示，44%的企業(yè)已應(yīng)用了五到八項相關(guān)的技術(shù)產(chǎn)品，19.3%的企業(yè)甚至應(yīng)用了超過八項以上的技術(shù)產(chǎn)品。然而，由于企業(yè)在引入這些工具時，往往缺乏統(tǒng)一的規(guī)劃和標準，導(dǎo)致后續(xù)的技術(shù)棧和產(chǎn)品集較為雜亂，各項產(chǎn)品的堆疊與管理不僅為企業(yè)帶來困擾，不同產(chǎn)品之間的壁壘也為安全作用的發(fā)揮帶來了阻礙。2.多種技術(shù)產(chǎn)品如何體系化呈現(xiàn)數(shù)據(jù)安全技術(shù)作為數(shù)據(jù)安全各項要求及管理策略落地的重要支撐，主要圍繞數(shù)據(jù)在全生命周期中的安全需求，通過對數(shù)據(jù)進行識別、標記、變形、計算等操作，實現(xiàn)對數(shù)據(jù)的持續(xù)保護。據(jù)調(diào)研，敏感數(shù)據(jù)識別、數(shù)據(jù)脫敏、數(shù)據(jù)加密等多項安全技術(shù)產(chǎn)品在企業(yè)內(nèi)應(yīng)用廣泛。因此，如何編排已有的技術(shù)工具，使得其對數(shù)據(jù)安全的支撐更加有效，或者如何針對技術(shù)應(yīng)用現(xiàn)狀進行差缺補漏，都需要一個體系化的技術(shù)(三)合規(guī)實踐建議1.建立數(shù)據(jù)安全技術(shù)體系，有效落實安全管理要求?數(shù)據(jù)安全技術(shù)體系的技術(shù)架構(gòu)并非單一產(chǎn)品或平臺的構(gòu)建，而是結(jié)合組織自身使用場景，圍繞數(shù)據(jù)全生命周期各階段的安全要求，建立起來的與制度流程相配套的技術(shù)和工具。一種典型的數(shù)據(jù)安全技術(shù)體系如圖5所示，由基礎(chǔ)通用類技術(shù)、生命周期類技術(shù)、平臺類技術(shù)數(shù)據(jù)采集數(shù)據(jù)傳輸數(shù)據(jù)存儲備份與恢復(fù)數(shù)據(jù)使用數(shù)據(jù)共享數(shù)據(jù)銷毀隱私計算介質(zhì)銷毀數(shù)據(jù)水印數(shù)據(jù)防泄露來源：數(shù)據(jù)安全推進計劃基礎(chǔ)通用類技術(shù)工具為數(shù)據(jù)全生命周期的安全提供支撐：·數(shù)據(jù)分類分級相關(guān)工具平臺主要實現(xiàn)數(shù)據(jù)資產(chǎn)掃描梳理、數(shù)據(jù)分類分級打標和數(shù)據(jù)分類分級管理等功能?！ど矸菡J證及訪問控制相關(guān)工具平臺，主要實現(xiàn)在數(shù)據(jù)全生命周期各環(huán)節(jié)中涉及的所有業(yè)務(wù)系統(tǒng)和管理平臺的身份認證和權(quán)限管理?！けO(jiān)控審計相關(guān)工具平臺接入業(yè)務(wù)系統(tǒng)和管理平臺，實現(xiàn)對數(shù)據(jù)安全風(fēng)險的實時監(jiān)控，并能進行統(tǒng)一審計?！と罩竟芾砥脚_收集并分析所有業(yè)務(wù)系統(tǒng)和管理平臺的日志，并統(tǒng)一日志規(guī)范以支持后續(xù)的風(fēng)險分析和審計等工作?！癜踩昂弦?guī)評估相關(guān)工具平臺主要用于綜合評估數(shù)據(jù)安全現(xiàn)狀和合規(guī)風(fēng)險。數(shù)據(jù)全生命周期安全類技術(shù)為生命周期中特定環(huán)節(jié)面臨的風(fēng)險提供管控技術(shù)保障。整個數(shù)據(jù)全生命周期可以通過組合或復(fù)用以下多種技術(shù)實現(xiàn)數(shù)據(jù)安全：·敏感數(shù)據(jù)識別通過對采集的數(shù)據(jù)進行識別和梳理，發(fā)現(xiàn)其中的敏感數(shù)據(jù)，以便進行安全管理。·備份與恢復(fù)技術(shù)是防止數(shù)據(jù)破壞、丟失的的有效手段，用于保證數(shù)據(jù)可用性和完整性?！?shù)據(jù)加密相關(guān)工具平臺通過提供常見的加密模塊及密鑰管理能力，落地數(shù)據(jù)的加密需求?！?shù)據(jù)脫敏是通過一定的規(guī)則對特定數(shù)據(jù)對象進行變形的一類技術(shù)，用于防止數(shù)據(jù)泄露和違規(guī)使用等?！?shù)據(jù)安全網(wǎng)關(guān)通過建立統(tǒng)一的數(shù)據(jù)訪問、分發(fā)的出入口，基于協(xié)議訪問數(shù)據(jù)源，發(fā)現(xiàn)敏感數(shù)據(jù)，對訪問數(shù)據(jù)的行為進行分析、處理，提供持續(xù)的數(shù)據(jù)安全保障及監(jiān)測能力?！駭?shù)據(jù)水印技術(shù)通過對數(shù)據(jù)進行處理使其承載特定信息，使得數(shù)據(jù)具備追溯數(shù)據(jù)所有者與分發(fā)對象等信息的能力。在數(shù)據(jù)處理過程中起到威懾及追責(zé)的作用?！?shù)據(jù)防泄露技術(shù)通過終端防泄露技術(shù)、郵件防泄露技術(shù)、網(wǎng)絡(luò)防泄露技術(shù)，防止敏感數(shù)據(jù)在違反安全策略規(guī)定的情況下流出組織?！る[私計算通過實現(xiàn)數(shù)據(jù)的可用不可見，從而滿足隱私安全保護、價值轉(zhuǎn)化及釋放?！PI管控相關(guān)工具平臺提供內(nèi)部接口和外部接口的安全管控和監(jiān)控審計能力，保障數(shù)據(jù)傳輸接口安全?！駭?shù)據(jù)刪除是一種邏輯刪除技術(shù)，為保證刪除數(shù)據(jù)的不可恢復(fù)，一般會采取數(shù)據(jù)多次的覆寫、清除等操作，·介質(zhì)銷毀一般通過消磁機或者物理搗毀等方式對數(shù)據(jù)所在的介質(zhì)進行物理銷毀。平臺類技術(shù)是打破“孤島”的關(guān)鍵。通過接入各技術(shù)工具的能力點，打破其之間的協(xié)作壁壘，實現(xiàn)對不同技術(shù)工具的能力編排與調(diào)度，進而提供統(tǒng)一的管理入口與操作方式，為組織的各項安全決策提供全局視角。2.構(gòu)建數(shù)據(jù)安全運營管理平臺，集中化調(diào)度安全能力數(shù)據(jù)安全運營管理平臺能夠為用戶提供統(tǒng)一的運營管理入口、全局一致的操作方式，實現(xiàn)對各安全工具的能力編排、調(diào)度，通過聚焦“人-業(yè)務(wù)-應(yīng)用-數(shù)據(jù)”鏈路，打破單點能力邊界，主要關(guān)注對外態(tài)勢感知與對內(nèi)業(yè)務(wù)免打擾，實現(xiàn)組織內(nèi)部一體化的數(shù)據(jù)安全運營。這意味著數(shù)據(jù)安全運營管理平臺實際接入的是組織的數(shù)據(jù)安全能力，而非簡單的工具集成。因此，數(shù)據(jù)安全運營管理平臺需要基于“持續(xù)運營”的設(shè)計理念，通過數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)合規(guī)管理、安全能力管理等核心功能，建立“協(xié)同管理”的能力，規(guī)避產(chǎn)品在實際應(yīng)用過程中的粗防護、弱聯(lián)動、單視角等問題。五、個人信息保護(一)合規(guī)要點《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》第五章“個人信息保護”章節(jié)要求企業(yè)加強個人信息保護，按照“明確告知、授權(quán)同意”原則處理個人信息，收集個人信息應(yīng)限于實現(xiàn)金融業(yè)務(wù)處理目的的最小范圍，不得過度收集。(二)面臨問題1.個人信息保護的監(jiān)管壓力大針對個人信息泄露產(chǎn)生的垃圾短信、電信詐騙、騷擾電話等負面社會現(xiàn)象，國家層面，2021年發(fā)布的《中華人民共和國個人信息保護法》,為個人信息權(quán)益保護提供法律依據(jù)。行業(yè)層面，金融監(jiān)督管理總局、人民銀行等部門通過一系列專項行動，嚴格治理企業(yè)個人信息泄露、濫用等問題。2.用戶對其主體權(quán)益保護的要求高隨著法律普及和個人維權(quán)意識提升，用戶對金融產(chǎn)品違規(guī)收集使用個人信息、過度索取、頻繁騷擾等侵害用戶主體權(quán)益的行為感受強烈。個人信息作為多數(shù)企業(yè)的主要數(shù)據(jù)類型，是安全保護的重點領(lǐng)域，一旦發(fā)生用戶個人信息泄露事件，企業(yè)將面臨巨大的社會輿論壓力和監(jiān)管處罰。(三)合規(guī)實踐建議1.全面排查，重點聚焦，提升APP個人信息保障能力建設(shè)結(jié)合監(jiān)管要求，建議從以下幾方面開展移動應(yīng)用軟件個人信息安全保護機制建立。權(quán)限管理：權(quán)限申請方面首先應(yīng)循序合理正當(dāng)必要原則，只申請與業(yè)務(wù)功能相關(guān)的權(quán)限，不應(yīng)過度申請無關(guān)權(quán)限，同時應(yīng)滿足事前告知原則，即在用戶作出明確的確認行為之后再向操作系統(tǒng)進行權(quán)限申請，不得默認授權(quán)；其次，軟件實際申請權(quán)限不應(yīng)超出告知同意的范疇，且不得以捆綁方式強制要求用戶一次性同意開啟多個可收集個人信息的權(quán)限；APP不得存在“不給權(quán)限不讓用”的情況。告知同意：當(dāng)移動應(yīng)用軟件出于提供產(chǎn)品或服務(wù)的目的收集使用個人信息時，應(yīng)當(dāng)在使用其實質(zhì)功能前，告知收集個人信息的目的、方式和范圍，以及拒絕提供將帶來的影響，并獲取用戶的主動授權(quán)同意(如主動勾選)。告知的時機應(yīng)滿足事前告知原則，在用戶做出明確的確認行為之后應(yīng)用軟件再進行處理個人信息的相關(guān)操作。告知方式宜滿足多樣性原則，采取多種形式，這樣更易于用戶感知與理解。定向推送：APP使用個人信息時，除目的所必須外，應(yīng)消除明確身份指向性，避免精確定位到特定個人。目前常見的定向推送有電話、短信、通知、業(yè)務(wù)內(nèi)容、廣告定推等。在向用戶提供業(yè)務(wù)功能中使用定向推送的，應(yīng)顯著區(qū)分定向推送展示內(nèi)容，如在板塊或頁面顯著位置，進行標識，并提供退出或關(guān)閉此類定向推送內(nèi)容及廣告的功能。存在通過通知、短信、電話等方式向用戶提供定向推送功能的，影響用戶提供通知關(guān)閉、短信退訂、電話退訂的相關(guān)功能。用戶主體權(quán)利實現(xiàn)：一是APP應(yīng)建立個人信息查詢、更正、刪除、撤回授權(quán)同意和獲取用戶個人信息副本等個人信息保護機制，提供訪問途徑，保證用戶個人權(quán)利。而是應(yīng)建立詢問、投訴的渠道與機制，并告知用戶申訴處理的方式、流程以及響應(yīng)時間，以及外部糾紛解決機構(gòu)及聯(lián)系方式。2.生物識別類信息應(yīng)謹慎收集生物識別類數(shù)據(jù)通常指代通過生物識別技術(shù)對自然人的物理、生理或行為特征進行特殊技術(shù)處理而得到的信息，并對獲得的數(shù)據(jù)信息進行處理的活動。通常用于與金融客戶相關(guān)的身份鑒別與認證等場景，如門禁、金融支付、語音識別、活體驗證等。依據(jù)R7T0171-2020《個人金融信息保護技術(shù)規(guī)范》等監(jiān)管要求，生物識別屬于C3類個人信息，安全保護要求更加嚴格。因此，企業(yè)應(yīng)當(dāng)在業(yè)務(wù)規(guī)則設(shè)計階段評估采用生物識別技術(shù)的必要性，并依據(jù)國家標準GB/T35273-2020《信息安全技術(shù)個人信息安全規(guī)范》、GB/T39335-2020《信息安全技術(shù)個人信息安全影響評估指南》等開展個人信息安全影響評估。同時，應(yīng)嚴格遵循“告知-同意”規(guī)則，與其他個人信息分開告知，并單獨征得用戶自愿、主動地授權(quán)同意。在這個過程中，原則上來講，企業(yè)不應(yīng)直接存儲原始生物識別信息，選擇“即采即用”的方式，或僅將數(shù)據(jù)存儲在用戶終端，使用后及時進行刪除。六、數(shù)據(jù)安全風(fēng)險監(jiān)測與處置(一)合規(guī)要點《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》“第六章數(shù)據(jù)安全風(fēng)險監(jiān)測與處置”要求企業(yè)完善數(shù)據(jù)安全風(fēng)險監(jiān)測與處置機制，將數(shù)據(jù)安全風(fēng)險納入全面風(fēng)險管理體系，明確風(fēng)險監(jiān)測評估、應(yīng)急響應(yīng)報告、事件處置的管理流程。(二)面臨問題1.監(jiān)管側(cè)及業(yè)務(wù)方對金融機構(gòu)的風(fēng)險防范能力提出了新要求政策方面，《中華人民共和國數(shù)據(jù)安全法》明確規(guī)定重要數(shù)據(jù)處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告。《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》要求定期開展本領(lǐng)域風(fēng)險評估?！躲y行保險機構(gòu)數(shù)據(jù)安全管理辦法(公開征求意見稿)》進一步明確了銀行保險領(lǐng)域的風(fēng)險評估要求。業(yè)務(wù)方面，隨著業(yè)務(wù)數(shù)字化、數(shù)字業(yè)務(wù)化的轉(zhuǎn)型不斷深入，業(yè)務(wù)方對基于數(shù)據(jù)的業(yè)務(wù)分析需求增加，對數(shù)據(jù)安全風(fēng)險的防范需求也同步增長。2.新技術(shù)應(yīng)用衍生新的安全風(fēng)險5G、人工智能、云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)分析等新興技術(shù)應(yīng)用極大地推動了各行業(yè)領(lǐng)域的組織發(fā)展與創(chuàng)新，為廣大用戶提供了更為智能、便利的服務(wù)，但同時也帶來了大量的安全漏洞、風(fēng)險。以人工智能為例，為了提高智能化輸出的準確率，提升用戶體驗，往往在模型訓(xùn)練過程需要用到個性化的敏感、隱私數(shù)據(jù)，但訓(xùn)練數(shù)據(jù)集的生成、訓(xùn)練環(huán)境的部署、模型的分發(fā)等過程都會存在數(shù)據(jù)泄露、篡改等(三)合規(guī)實踐建議1.定期開展數(shù)據(jù)安全風(fēng)險評估，加快風(fēng)險處置數(shù)據(jù)安全風(fēng)險評估工作得到了國家、行業(yè)主管部門以及產(chǎn)業(yè)多方的高度重視與關(guān)注，業(yè)內(nèi)相繼發(fā)布了多項風(fēng)險評估標準、實施指引，(1)評估準備企業(yè)內(nèi)部在評估準備階段首先需要明確數(shù)據(jù)安全風(fēng)險評估的目標，與相關(guān)方建立基本共識?；谧陨硇枨蠛鸵阎贫ǖ脑u估目標，組評估范圍可以覆蓋組織全部的數(shù)據(jù)和數(shù)據(jù)處理活動，也可以僅針對某個單獨的業(yè)務(wù)、信息系統(tǒng)涉及的數(shù)據(jù)和數(shù)據(jù)處理活動。企業(yè)可以采取“全面摸排、重點評估”的原則，結(jié)合數(shù)據(jù)分類分級工作成果，識別8來自：數(shù)據(jù)安全推進計劃《數(shù)據(jù)安全風(fēng)險評估實務(wù)：問題剖析與解決思路》9來自《數(shù)據(jù)安全治理實踐指南(4.0)》出重點評估對象，例如個人敏感信息、重要數(shù)據(jù)、核心數(shù)據(jù)及其相關(guān)的數(shù)據(jù)處理活動。針對已選定的評估對象和范圍，企業(yè)需要選取并參照自身適用的評估依據(jù)，規(guī)劃數(shù)據(jù)安全風(fēng)險評估工作，確定風(fēng)險評估依據(jù)。