《金融数据安全 数据安全评估规范》

随着信息技术的发展，众多金融基础业务、核心流程、行业间往来等事务和活动均已运行在信息化支撑载体之上，金融业机构生产运行过程中产生的信息也逐步以不同形式转化为 数字资产 流转在金融 业信息系统之中。随着大数据、人工智能、云计算等新技术在金融业的深入应用，金融数据逐步实现了 从信息化资产到生产要素的转变，其重要性日益凸显。

数据泄露、滥用、篡改等安全威胁的影响逐步从 机构内转移扩大至机构间以及行业间，甚至影响国家安全、社会秩序、公众利益与金融市场稳定。如何在满足金融业务基本需求的基础上， 强化数据保护能力，防范数据安全风险 ，切实保障金融数据价值发 挥，已成为当前亟待解决的问题。

开展金融数据安全评估，一方面能够推动金融 业机构落实 金融业数据安全管理要求 ，提升金融业 数据安全保护工作 的规范化和标准化程度；另一方面 有助于金融业机构及时 全面掌握本机构数据安全管理水平 ， 预测并确认所面临的数据安全威胁和风险 ， 为金融业机构制定防范措施及应对安全事件提供科学依据和指导，可有效防控数据安全事件风险和危害，为金融数据的应用和流动提供有力保障。

2021年12月3日，全国金融标准化技术委员会发布公告，就《金融数据安全 数据安全评估规范》（以下简称“规范”）征求意见。

《规范》包括了金融数据安全评估触发条件、原则、参与方、内容、流程及方法，明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域，及安全评估主要内容和方法。该标准适用于金融业机构开展金融数据安全评估使用，并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。

本标准提出了金融行业数据安全评估的内容和方法，适用于金融业机构开展金融数据安全评估使用，并为第三方安全评估机构等单位开展金融 数据安全检查与评估工作提供参考。

本标准提出金融行业数据安全评估的方法和标准，作为行业性的指导文件，具备很强的政策指引性，也是我们金融行业咨询服务工作的一个重要的参考文件和行动指导。

金融数据安全评估的主要内容包括JR/T 0197-2020中的金融数据及其安全分级，以及JR/T 0223-2021中的金融数据生命周期安全要求。主要评估域：包括数据安全管理（S1）、数据安全保护（S2）、数据安全运维（S3）三方面内容。

金融数据安全管理： 明确了金融业机构数据安全管理相关组织架构及制度体系建设相关安全评估的具体内容、评估方法和结果判定依据。要求建立包括决策层、管理层、执行层以及监督层的完善管理体系，建立能够确保数据安全管理落地的制度体系。

金融数据安全保护： 明确了金融业机构数据资产分级管理、数据生命周期安全保护相关安全评估的具体内容、评估方法和结果判定依据。切合金融行业的特点，对重要的评估项要求旁站验证，需要金融机构在这些评估项上，做得更细致更专业。

金融数据安全运维： 明确了金融业机构边界管控、访问控制、安全监测、安全审计、安全检查、应急响应与事件处置等数据安全运维相关安全评估的具体内容、评估方法和结果判定依据。金融数据安全评估采用的评估方法与风险评估类似，采用问卷调查、人员访谈、文档查验、配置核查、工具测试和旁站验证6种评估手段。

明确了金融业机构边界管控、访问控制、安全监测、安全审计、安全检查、应急响应与事件处置等数据安全运维相关安全评估的具体内容、评估方法和结果判定依据。

金融数据安全评估规范 评估结果解析

金融数据安全评估规范 评估结果解析

金融数据安全评估规范 附表内容解析

有效开展金融数据安全评估，一方面能够推动金融业机构落实金融业数据安全管理要求，提升金融业数据安全保护工作的规范化和标准化程度；另一方面有助于金融业机构及时全面掌握本机构数据安全管理水平，预测并确认所面临的数据安全威胁和风险，为金融业机构制定防范措施及应对安全事件提供科学依据和指导，可有效防控数据安全事件风险和危害，为金融数据的应用和流动提供有力保障。

金融数据安全相关规范

• JR/ T 0171—2020 个人金融信息保护技术规范

• JR/T 0197—2020 金融数据安全 数据安全分级指南

• JR/T 0223—2021 金融数据安全 数据生命周期安全规范

• GB 50174—2017 数据中心设计规范

• GB/T 39335—2020 信息安全技术 个人信息安全影响评估指南

• 《中国人民银行网络数据安全管理指南》[2019] 7号

• 银行业金融机构数据治理指引 银保监发〔2018〕22号

• JR/T0068-2020_网上银行系统信息安全通用规范

• 中国人民银行关于进一步加强银行卡风险管理的通知（银发〔2016〕170号

• 中国人民银行办公厅文件【2016】