《银行保险机构数据安全管理办法》重点解读

1、,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第,三级,第,四级,第,五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第,三级,第,四级,第,五级,POWERPOINT DESIGN,2024,主讲人：XXX,时间：2025.2,银行保险机构数据安,全管理办法,重点解读,目录,制定背景及适用范围,一,组织架构,二,数据安全管理,三,技术安全保护,四,个人信息保护,五,监管报告义务,六,制定背景及适用范围,一,随着信息技术的快速发展，数据已经成为银行保险机构的核心资产。然而，数据安全风险也与日俱增，数据泄露、篡改等事件频发，给机构和个人带来严重损失。为了加强数据安全管理，,2024年12月27日,，,国家金融监督管理总局（“金监总局”）,发布了,银行保险机构数据安全管理办法,（“,以下简称,办法”）并于当日施行。对银行保险机构的数据安全提出了明确要求。,（一）制定,背景,在,数据安全法个人信息保护法,等法规基础上，针对银行保险业特性制定。,现有法规,强调银行保险机构的行业特性，提出全面的公司治理要点。,行业特性与公司治理,结合金融行业数据安全及个人金融信

2、息保护规则，提供更具体要求。,与现有法规的关系,对银行保险机构提出全面、完整的数据安全和个人信息保护要求。,具体要求的全面性,01,02,03,04,（一）,制定,背景,根据办法的第二条，银行保险机构主要包括在中华人民共和国,境内设立,的,政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团（控股）公司,。而根据第八十条，,金监总局批准设立的其他银行业金融机构、保险业金融机构、金融控股公司以及总局管理单位参照适用本办法,。,地方金融管理部门批准设立的金融组织参照适用本办法,。,由此，,无论机构规模大小、治理能力如何，市场上相关银行保险机构在数据安全领域都将面临高度统一的无差别合规及监管要求,。,（二）,适用范围,组织架构,二,（一）,数据安全,责任人,明确,董（理）事会、高管层,等在数据安全中的职责，确保数据安全工作全面覆盖。,01,组织架构要求,建立,党委（党组）、董（理）事会,为责任主体的数据安全责任制，明确各级责任。,02,数据安全责

3、任制,银行保险机构,主要负责人,担任数据安全,第一责任人,，,分管领导,为,直接责任人,。,03,数据安全责任人,银行保险机构内控风险管理、内控合规、审计部门,需将数据安全纳入全面风险管理体系、内控评价体系，定期开展审计、监督检查与评价，督促问题整改并开展问责。,其他部门数据安全职责,办法明确,信息科技部门为数据安全的技术保护主要责任部门,，主要职责包括,建立技术保护体系、落实技术保护措施，制定技术标准规范制度、组织开展技术风险评估、信息系统生命周期安全管理，建立应急管理机制,等。,信息科技部门职责,银行保险机构,须指定数据安全归口管理部门,，负责,制定内部规范、建立数据目录、组织风险评审、统筹建立应急机制、组织内部培训、建立数据应用及共享管理机制、向高层汇报,等。,数据安全归口管理部门职责,（二）,数据安全,部门职责,设立数据安全,归口部门,明确组织架构,职责,银行保险公司应建立数据安全管理组织架构，明确各部门及岗位职责，确保数据安全责任到人。,指定信息技术或合规部门作为数据安全归口管理部门，赋予其足够的专业能力和资源。,定期培训与考核,对相关人员进行定期培训和考核，确保其掌握最新数

4、据安全法规和公司内部管理制度。,（三）,建议,数据安全管理,三,明确,横向分类,和,纵向分级,管理要求,数据分类分级,覆盖数据处理全生命周期及应用场景的合规要求,数据安全管理,办法要求银行保险机构建立健全覆盖数据全生命周期和应用场景的保护机制和安全管理制度。,三、数据安全管理,银行保险机构数据安全管理办法,办法要求银行保险机构将业务及经营管理过程中获取、产生的数据分为,客户数据,、,业务数据,、,经营管理数据,、,系统运行和安全管理数据,等四大类进行管理。,数据分类管理要求,（一）,数据分类分级,办法规定银行保险机构应依据数据,覆盖程度,和,影响程度,两个标准进行数据分类。,数据分类依据,数据被分为,核心数据,、,重要数据,、,一般数据,三个级别，其中一般数据进一步细分为敏感数据和其他一般数据。,数据分类级别,敏感数据指,泄露或篡改后对经济、社会、公共利益或组织、个人造成重要影响的数据,。,敏感数据定义,除核心数据、重要数据、敏感数据之外的数据，归类为其他一般数据。,其他一般数据,（一）,数据分类分级,银行保险机构数据安全管理办法与金融数据安全 数据安全分级指南在数据分级方法上存在差异

5、。,数据分级方法差异,01,建议金融机构关注数据分级是否符合银行保险机构数据安全管理办法要求。,金融机构关注点,02,根据业务特点和数据类型，金融机构需制定详细的数据分类分级标准，并建立相应的数据目录。,制定数据分类分级标准,03,定期对数据进行分类分级的动态调整，确保数据分类的准确性和合理性。,数据分类分级的动态调整,04,（一）,数据分类分级,全生命周期管理,办法要求银行保险机构对数据的,收集、存储、使用、加工、传输、提供、共享、转移、公开、删除、销毁等全生命周期,进行安全管理，并针对敏感级及以上数据的安全保护提出了额外要求。,数据共享,建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的,“防火墙”,，并对共享数据采取有效保护措施。,数据收集,坚持,“合法、正当、必要、诚信”原则,，明确数据收集和处理的目的、方式、范围、规则，确保数据收集过程的安全性和数据来源的可追溯性。,数据使用,制定,数据访问闭环管理机制,，并对数据访问行为实施审计，确保数据使用的合规性和安全性。,（二）,数据安全管理,数据处理/管理流程,针对一般数据的合规要求,针对敏感级及以上数据的额外要求,数据

6、收集,坚持“合法、正当、必要、诚信”原则；,明确数据收集和处理的目的、方式、范围、规则；,收集过程的数据安全性、数据来源可追溯；,除非法律、行政法规另有规定，不得超出数据主体同意的范围向其收集数据。,向其他银行保险机构收集行业重要级及以上数据，需经国家金融监督管理总局同意。,外部数据采购,制定外部数据采购、引入的集中审批管理制度；,纳入外包风险管理体系进行统筹管理；统筹建立数据需求、安全评估、收集引入、数据运维、登记备案和监督评价管理机制；,对数据来源的真实性、合法性进行调查；评估数据提供者的安全保障能力及其数据安全风险；,明确双方数据安全责任及义务。,/,数据加工,/,除非法律另有规定，应采用匿名化、去标识化或者其他必要安全措施保护数据主体权益；,数据汇聚融合衍生敏感级及以上数据，或者导致数据安全级别变化的，应当及时评估、调整安全保护措施。,数据处理/管理流程,针对一般数据的合规要求,针对敏感级及以上数据的额外要求,数据使用,（访问、共享等）,制定数据访问闭环管理机制，并对数据访问行为实施审计；,因业务需要从生产环境提取数据的，应建立严格的审批程序，并明确数据使用或者保存期限；,对数

7、据共享使用进行集中安全管控，明确企业级数据共享策略，评估数据共享使用的必要性、合规性、安全性及伦理道德规范的符合度；,建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”，并对共享数据采取有效保护措施。,按照“业务必要授权”原则，对敏感级及以上数据严格实施授权管理；,银行保险机构与其母行、集团，或者其子行、子公司共享敏感级及以上数据，应当获得数据主体的授权同意，法律、行政法规另有规定的除外；,不得以数据主体拒绝同意共享敏感数据而终止或者拒绝单家子行、子公司对其提供金融服务，所共享数据属于提供产品或者服务所必需的除外；,共享需要实现安全评估。,数据委托处理,明确所涉数据外部使用和处理的条件、场景、方式；,以合同协议方式约定委托处理的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任和义务，以及受托方返还或者删除数据的方式等；,对数据处理活动进行记录和审计，可对外公开披露的数据除外；,要求受托方在未取得其同意时，不得转委托其他主体处理数据，不得对外共享数据，不得加工、训练、挪用数据，或者采取其他形式处理数据以谋取合同或者协议约定以外的利益。,/,数据处理/管理

8、流程,针对一般数据的合规要求,针对敏感级及以上数据的额外要求,数据共同处理,按照“业务必要授权”原则制定方案并采取有效管理和技术保护措施确保数据安全；,以合同协议方式明确双方在数据处理过程中的数据安全责任和义务。,/,数据转移,明确数据转移内容，通过协议、承诺等方式约定数据接收方全面承接对应数据的安全保护义务；,通过公告等方式告知数据主体；,采用安全可靠方式进行，并确保转移过程可追溯。,/,数据对外提供,/,取得数据主体同意,数据公开,建立对外公开披露数据的审批机制，研判可能产生的影响；,数据公开应当在机构官方渠道进行发布，确保数据真实、准确、防篡改，记录审批和发布情况。,不得公开，法律、行政法规另有规定或者取得数据主体授权同意的除外,数据删除,制定数据销毁管理制度，按照国家、行业有关规定及与数据主体的约定进行数据删除或者匿名化处理。,/,办法将数据委托处理纳入信息科技外包管理范围，并提出了特殊管理要求，包括：,事先开展数据安全评估。,对涉及敏感级及以上数据处理的供应链服务商加强准入和安全管理。,明确所涉数据外部使用和处理的条件、场景、方式，并按要求与受托方签署相关协议。,将相关数据操

9、作日志及其备份数据保存不低于三年。,委托处理终止时，要求服务提供商及时删除数据，并采取现场检查等有效监督措施，确保数据被销毁、不可恢复等。,（三）,数据委托处理,技术安全保护,四,（一）,构建多元异构环境下的数据安全体系,针对大数据、云计算等环境，银行保险机构需,构建全面的数据安全技术保护体系,，确保数据安全。,建立数据安全技术体系,01,制定明确的,数据保护策略和方法,，涵盖数据的存储、传输、处理等各个环节，保障数据安全。,明确数据保护策略,02,采取,加密、访问控制等技术措施,，对数据进行有效保护，防止数据泄露和非法访问。,采取技术措施保障数据安全,03,（二）,数据安全保护基线,敏感数据安全技术要求,对,敏感级,及以上数据，要求银行保险机构采取,更高标准,的安全技术保护措施。,物理安全保护区域设立,要求对存放或传输敏感数据的机房、网络设立专门的,物理安全保护区域,，保障数据安全。,数据安全保护基线概念,办法首,次提出数据安全保护基线,，明确各区域网络安全和数据保护的,最低要求,。,加强数据保护措施,机构需对,多来源敏感数据采取加强性保护,，确保数据安全不低于集中前的最高保护级别。

10、,网络边界与节点监控审计,对网络边界和重要网络节点实施,安全监控与审计,，防止数据泄露和非法访问。,（三）,数据操作日志与审计要求,日志记录要求,对敏感及以上数据操作进行日志记录，包括操作时间、用户标识、行为类型等。,核心数据保存期限,核心数据操作日志及其备份数据保存时间不低于,三年,。,委托处理数据保存,涉及委托处理、共同处理的数据操作日志及其备份数据保存时间不低于,三年,。,定期审计要求,定期对数据操作行为进行审计，审计周期不超过,六个月,。,重要数据保存期限,重要数据、敏感数据操作日志及其备份数据保存时间不低于,一年,。,个人信息保护,五,银行保险机构需在信息收集前,明确告知,数据主体，确保其了解信息用途和处理方式。,01,机构必须获得数据主体的,明确同意,后方可处理个人信息，保障数据主体的知情权和选择权。,02,信息收集和处理应严格限定在,特定目的内,，且仅限于实现该目的所必需的最小范围。,03,办法在个人信息保护方面与个人信息保护法保持一致，未对银行保险机构提出额外要求。,04,明确告知原则,授权同意机制,目的限定与最小范围,遵循个人信息保护法,（一）,重申个保法要求,强调告

《《银行保险机构数据安全管理办法》重点解读》由会员zxd****56分享，可在线阅读，更多相关《《银行保险机构数据安全管理办法》重点解读》请在金锄头文库上搜索。