商业热点 > 商业洞察 > 金融监管总局 - 银行保险机构应制定数据分类分级保护制度

【数据安全】金融监管总局 - 银行保险机构应制定数据分类分级保护制度

查看信息来源】   发布日期:12-28 19:42:37    文章分类:商业洞察   
专题:数据安全】 【银行保险

  最近,金融监管总局制定发布《银行保险机构 数据安全 管理办法》(以下简称《办法》)。据了解,《办法》主要特点包含:

  一是落实 数据安全 责任制。明确银行保险机构党委(党组)、董(理)事会对本单位 数据安全 工作负主体责任,机构主要责任人为 数据安全 第壹责任人,分管 数据安全 的领导为直接责任人。

  二是明确 数据安全 归口管理部门。要求银行保险机构指定 数据安全 归口管理部门,作为本机构负责 数据安全 工作的主责部门,承担制定 数据安全 管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。

  三是将 数据安全 风险并入全面风险管理体系。要求银行保险机构明确管理流程,主动评估风险,对 数据安全 风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对 数据安全 开展审计、监督检查与评价。

  四是强化 数据安全 评估。要求银行保险机构开展相关数据处理活动时,应事先开展安全评估。根据数据处理目的、性质和范围,分析 数据安全 风险和对数据主体权益影响,评估数据处理的必要性、合规性及防控措施的有效性。

  五是建立 数据安全 保护基线。将数据并入 网络安全 等级保护,对存放或传输敏感级及以上数据的机房、网络实施重点防护,在数据全生命周期内采取有效访问控制管理措施,采用安全有效的传输方式保障数据完整性、保密性、可用性。

  国家金融监督管理总局有关司局责任人表示,金融数据具有高价值和高敏感性,金融 数据安全 与国家安全和金融消费者权益密切相关。近年来,银行业保险业数字化变革加速演进,新技术、新业态不断涌现,数据合作共享日益频繁。这时,金融领域面临的 数据安全 风险形势复杂严峻,也给金融机构 数据安全 管理造成新的挑战。对此,有必要充分施展监管的“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部机制,采取有效的管理和技术措施加强 数据安全 保护,确保客户信息和金融交易数据的安全。

  记者留意到,数据分类分级方面,《办法》要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取不同化的安全保证措施。在数据分类方面,对机构业务及经营管理进程中获取、引发的数据进行分类管理,具体类型包含客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。在数据分级方面,银行保险机构应根据数据的重要性和敏感水平,将数据分为核心数据、重要数据、一般数据,其中一般数据细分为敏感数据和其它一般数据;当数据的业务属性、重要水平和可能造成的危害水平发生变化,造成安全级别不再适用的,及时进行动态调整。

  另外,《办法》要求银行保险机构根据国家政策要求,根据自身发展战略,制定 数据安全 保护策略;根据数据处理目的、性质和范围,根据法律法规和伦理道德规范要求,对相关数据业务处理活动进行安全评估,分析 数据安全 风险和对数据主体权益影响,评估数据处理的必要性、合规性及防控措施的有效性;收集数据应坚持“合法、正当、必要、诚信”原则,明确数据收集和处理的目的、方式、范围、规则,保障收集过程的 数据安全 性、数据来源可追溯;在数据集团内部共享的进程中,应建立总行(公司)与其子公司 数据安全 隔离的“防火墙”,并对共享数据采取有效保障措施;《办法》还对数据加工、委托处理、共同处理、数据转移、数据跨境等具体的数据处理场景分别提出了相应安全管理要求。

  在个人信息保护方面,《办法》单独设置“个人信息保护”章节,以进一步落实《 数据安全 法》《个人信息保护法》等上位法要求,体现保护消费者信息和权益的政策导向。主要规定包含:银行保险机构处理个人信息应根据“明确告知、授权同意”的准则实施,并限于实现金融业务处理目的的最小范围,不得过度收集个人信息。处理、共享和对外提供个人信息时,应当履行必要的告知义务,并取得必要同意。不得以个人不答应处理其个人信息或取消同意为由,拒绝提供产品或服务,处理个人信息属于提供产品或服务所务必的除外。在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估。委托第叁方处理个人信息时,应明确受托人对个人信息的保护义务、保障措施和期限等。发生或可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施,并向监管职能部门报告。

  《办法》将 数据安全 事件根据影响范围和水平,分为特别重大、重大、较大和一般四个级别。要求机构建立内部协调联动机制和外部服务商、第叁方机构的报告机制。银行保险机构应在 数据安全 事件发生2小时内向总局或其派出机构报告,并在事件发生后24小时内提交正式书面报告。发生特别重大 数据安全 事件,银行保险机构应当立即采取处置措施,根据规定及时告知用户并向属地公安机关、金融监管机构报告。银行保险机构应当每2小时将处置进展情况上报,直至处置结束。 数据安全 事件处置结束后,银行保险机构应当在五个工作日内将事件及其处置的评估、总结和改进报告报送属地监管职能部门。

手机扫码浏览该文章
 ● 相关商业动态
【数据安全】金融监管总局 - 银行保险机构应制定数据分类分级保护制度
【数据安全】金融监管总局发布-银行保险机构数据安全管理办法-
【数据安全】国家金融监督管理总局有关司局负责人就 -银行保险机构数据安全管理办法-答记者问
【数据安全】银保机构迎数据安全管理办法,制定分类分级保护制度,压实主体责任
 ● 相关商业热点

繁体中文