12月27日��,金融監(jiān)管總局發(fā)布了《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法》(下稱《辦法》)����。從數(shù)據(jù)安全治理、數(shù)據(jù)分類分級����、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護(hù)��、個人信息保護(hù)��、數(shù)據(jù)安全風(fēng)險監(jiān)測與處置等方面提出了81條具體管理辦法���。
數(shù)據(jù)安全風(fēng)險將納入機(jī)構(gòu)全面風(fēng)險管理體系
金融監(jiān)管總局有關(guān)司局負(fù)責(zé)人表示���,金融數(shù)據(jù)具有高價值和高敏感性,金融數(shù)據(jù)安全與國家安全和金融消費者權(quán)益密切相關(guān)��。近年來�,銀行業(yè)保險業(yè)數(shù)字化變革加速演進(jìn),新技術(shù)����、新業(yè)態(tài)不斷涌現(xiàn)��,數(shù)據(jù)合作共享日益頻繁���。與此同時,金融領(lǐng)域面臨的數(shù)據(jù)安全風(fēng)險形勢復(fù)雜嚴(yán)峻��,也給金融機(jī)構(gòu)數(shù)據(jù)安全管理帶來新的挑戰(zhàn)��。
“有必要充分發(fā)揮監(jiān)管的‘指揮棒’作用���,通過強(qiáng)化政策要求引導(dǎo)銀行保險機(jī)構(gòu)壓實主體責(zé)任����,完善內(nèi)部機(jī)制��,采取有效的管理和技術(shù)措施加強(qiáng)數(shù)據(jù)安全保護(hù)���,確??蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)的安全����。”該負(fù)責(zé)人稱���。
其中����,《辦法》要求銀行保險機(jī)構(gòu)將數(shù)據(jù)安全風(fēng)險納入全面風(fēng)險管理體系�,明確管理流程,主動評估風(fēng)險����,對數(shù)據(jù)安全風(fēng)險進(jìn)行有效監(jiān)測,防止數(shù)據(jù)破壞�、泄露、非法利用等安全事件發(fā)生�����。風(fēng)險管理����、內(nèi)控合規(guī)和審計部門定期對數(shù)據(jù)安全開展審計、監(jiān)督檢查與評價�。
同時,要將數(shù)據(jù)納入網(wǎng)絡(luò)安全等級保護(hù)��,對存放或傳輸敏感級及以上數(shù)據(jù)的機(jī)房、網(wǎng)絡(luò)實施重點防護(hù)�����,在數(shù)據(jù)全生命周期內(nèi)采取有效訪問控制管理措施���,采用安全有效的傳輸方式保障數(shù)據(jù)完整性�����、保密性����、可用性�。
加強(qiáng)個人信息保護(hù)
《辦法》要求銀行保險機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)分類分級保護(hù)制度,建立數(shù)據(jù)目錄和分類分級規(guī)范����,動態(tài)管理和維護(hù)數(shù)據(jù)目錄,采取差異化安全保護(hù)措施��。
具體來看�,《辦法》將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)����。其中,一般數(shù)據(jù)細(xì)分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)����。
其中���,核心數(shù)據(jù)是指對領(lǐng)域���、群體、區(qū)域具有較高覆蓋度或者達(dá)到較高精度�、較大規(guī)模、一定深度的重要數(shù)據(jù)����,一旦被非法使用或者共享,可能直接影響政治安全���、國家安全重點領(lǐng)域�、國民經(jīng)濟(jì)命脈�����、重要民生、重大公共利益��。
個人信息保護(hù)是數(shù)據(jù)安全的重要內(nèi)容�,此次《辦法》單獨設(shè)置了“個人信息保護(hù)”章節(jié)。主要規(guī)定包括:銀行保險機(jī)構(gòu)處理個人信息應(yīng)按照“明確告知����、授權(quán)同意”的原則實施,并限于實現(xiàn)金融業(yè)務(wù)處理目的的最小范圍�,不得過度收集個人信息;處理�����、共享和對外提供個人信息時��,應(yīng)當(dāng)履行必要的告知義務(wù)����,并取得必要同意;在開展涉及對個人權(quán)益有重大影響的個人信息處理活動時�,應(yīng)當(dāng)進(jìn)行個人信息保護(hù)影響評估;發(fā)生或者可能發(fā)生個人信息泄露�、篡改���、丟失的,銀行保險機(jī)構(gòu)應(yīng)當(dāng)立即采取補(bǔ)救措施����,并向監(jiān)管部門報告。
建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)與處置機(jī)制
此外��,《辦法》還進(jìn)一步完善了風(fēng)險監(jiān)測處置機(jī)制�����,除了要求銀行保險機(jī)構(gòu)將數(shù)據(jù)安全風(fēng)險納入全面風(fēng)險管理體系����,還明確了數(shù)據(jù)安全風(fēng)險監(jiān)測���、風(fēng)險評估��、應(yīng)急響應(yīng)及報告��、事件處置的組織架構(gòu)和管理流程��。
在數(shù)據(jù)安全事件應(yīng)急響應(yīng)與處置中��,《辦法》將數(shù)據(jù)安全事件根據(jù)影響范圍和程度�,分為特別重大、重大���、較大和一般四個級別�����。要求機(jī)構(gòu)建立內(nèi)部協(xié)調(diào)聯(lián)動機(jī)制和外部服務(wù)商���、第三方機(jī)構(gòu)的報告機(jī)制。具體包括:
一是制定數(shù)據(jù)安全事件應(yīng)急預(yù)案���,定期開展應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練���。
二是數(shù)據(jù)安全事件發(fā)生后,立即啟動應(yīng)急處置�,分析事件原因、評估事件影響�、開展事件定級,按照預(yù)案及時采取業(yè)務(wù)����、技術(shù)等措施控制事態(tài)���。
三是建立數(shù)據(jù)安全事件報告機(jī)制,根據(jù)事件安全等級制定報告流程��,發(fā)生數(shù)據(jù)安全事件時按照規(guī)定報告��,同時按照合同����、協(xié)議等有關(guān)約定履行客戶及合作方告知義務(wù)。
四是發(fā)生數(shù)據(jù)安全事件或者使用的產(chǎn)品和服務(wù)存在缺陷時����,立即開展調(diào)查評估�����,及時采取補(bǔ)救措施����。
《辦法》要求,銀行保險機(jī)構(gòu)應(yīng)在數(shù)據(jù)安全事件發(fā)生2小時內(nèi)向金融監(jiān)管總局或其派出機(jī)構(gòu)報告����,并在事件發(fā)生后24小時內(nèi)提交正式書面報告�����。發(fā)生特別重大數(shù)據(jù)安全事件��,銀行保險機(jī)構(gòu)應(yīng)當(dāng)立即采取處置措施����,按照規(guī)定及時告知用戶并向?qū)俚毓矙C(jī)關(guān)�����、金融監(jiān)管機(jī)構(gòu)報告�。銀行保險機(jī)構(gòu)應(yīng)當(dāng)每2小時將處置進(jìn)展情況上報,直至處置結(jié)束�。數(shù)據(jù)安全事件處置結(jié)束后,銀行保險機(jī)構(gòu)應(yīng)當(dāng)在五個工作日內(nèi)將事件及其處置的評估�����、總結(jié)和改進(jìn)報告報送屬地監(jiān)管部門����。
校對:楊立林
聲明:證券時報力求信息真實、準(zhǔn)確���,文章提及內(nèi)容僅供參考�,不構(gòu)成實質(zhì)性投資建議,據(jù)此操作風(fēng)險自擔(dān)
下載“證券時報”官方APP����,或關(guān)注官方微信公眾號,即可隨時了解股市動態(tài)����,洞察政策信息,把握財富機(jī)會��。
