單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第,三級,第,四級,第,五級,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第,三級,第,四級,第,五級,POWERPOINT DESIGN,2024,主講人：XXX,時間：2025.2,銀行保險機(jī)構(gòu)數(shù)據(jù)安,全管理辦法,重點(diǎn)解讀,目錄,制定背景及適用范圍,一,組織架構(gòu),二,數(shù)據(jù)安全管理,三,技術(shù)安全保護(hù),四,個人信息保護(hù),五,監(jiān)管報告義務(wù),六,制定背景及適用范圍,一,隨著信息技術(shù)的快速發(fā)展，數(shù)據(jù)已經(jīng)成為銀行保險機(jī)構(gòu)的核心資產(chǎn)然而，數(shù)據(jù)安全風(fēng)險也與日俱增，數(shù)據(jù)泄露、篡改等事件頻發(fā)，給機(jī)構(gòu)和個人帶來嚴(yán)重?fù)p失為了加強(qiáng)數(shù)據(jù)安全管理，,2024年12月27日,，,國家金融監(jiān)督管理總局（“金監(jiān)總局”）,發(fā)布了,銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法,（“,以下簡稱,辦法”）并于當(dāng)日施行對銀行保險機(jī)構(gòu)的數(shù)據(jù)安全提出了明確要求一）制定,背景,在,數(shù)據(jù)安全法個人信息保護(hù)法,等法規(guī)基礎(chǔ)上，針對銀行保險業(yè)特性制定現(xiàn)有法規(guī),強(qiáng)調(diào)銀行保險機(jī)構(gòu)的行業(yè)特性，提出全面的公司治理要點(diǎn)行業(yè)特性與公司治理,結(jié)合金融行業(yè)數(shù)據(jù)安全及個人金融信息保護(hù)規(guī)則，提供更具體要求。

與現(xiàn)有法規(guī)的關(guān)系,對銀行保險機(jī)構(gòu)提出全面、完整的數(shù)據(jù)安全和個人信息保護(hù)要求具體要求的全面性,01,02,03,04,（一）,制定,背景,根據(jù)辦法的第二條，銀行保險機(jī)構(gòu)主要包括在中華人民共和國,境內(nèi)設(shè)立,的,政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用合作社、金融資產(chǎn)管理公司、企業(yè)集團(tuán)財務(wù)公司、金融租賃公司、汽車金融公司、消費(fèi)金融公司、貨幣經(jīng)紀(jì)公司、信托公司、理財公司、保險公司、保險資產(chǎn)管理公司、保險集團(tuán)（控股）公司,而根據(jù)第八十條，,金監(jiān)總局批準(zhǔn)設(shè)立的其他銀行業(yè)金融機(jī)構(gòu)、保險業(yè)金融機(jī)構(gòu)、金融控股公司以及總局管理單位參照適用本辦法,地方金融管理部門批準(zhǔn)設(shè)立的金融組織參照適用本辦法,由此，,無論機(jī)構(gòu)規(guī)模大小、治理能力如何，市場上相關(guān)銀行保險機(jī)構(gòu)在數(shù)據(jù)安全領(lǐng)域都將面臨高度統(tǒng)一的無差別合規(guī)及監(jiān)管要求,二）,適用范圍,組織架構(gòu),二,（一）,數(shù)據(jù)安全,責(zé)任人,明確,董（理）事會、高管層,等在數(shù)據(jù)安全中的職責(zé)，確保數(shù)據(jù)安全工作全面覆蓋01,組織架構(gòu)要求,建立,黨委（黨組）、董（理）事會,為責(zé)任主體的數(shù)據(jù)安全責(zé)任制，明確各級責(zé)任02,數(shù)據(jù)安全責(zé)任制,銀行保險機(jī)構(gòu),主要負(fù)責(zé)人,擔(dān)任數(shù)據(jù)安全,第一責(zé)任人,，,分管領(lǐng)導(dǎo),為,直接責(zé)任人,。

03,數(shù)據(jù)安全責(zé)任人,銀行保險機(jī)構(gòu)內(nèi)控風(fēng)險管理、內(nèi)控合規(guī)、審計部門,需將數(shù)據(jù)安全納入全面風(fēng)險管理體系、內(nèi)控評價體系，定期開展審計、監(jiān)督檢查與評價，督促問題整改并開展問責(zé)其他部門數(shù)據(jù)安全職責(zé),辦法明確,信息科技部門為數(shù)據(jù)安全的技術(shù)保護(hù)主要責(zé)任部門,，主要職責(zé)包括,建立技術(shù)保護(hù)體系、落實(shí)技術(shù)保護(hù)措施，制定技術(shù)標(biāo)準(zhǔn)規(guī)范制度、組織開展技術(shù)風(fēng)險評估、信息系統(tǒng)生命周期安全管理，建立應(yīng)急管理機(jī)制,等信息科技部門職責(zé),銀行保險機(jī)構(gòu),須指定數(shù)據(jù)安全歸口管理部門,，負(fù)責(zé),制定內(nèi)部規(guī)范、建立數(shù)據(jù)目錄、組織風(fēng)險評審、統(tǒng)籌建立應(yīng)急機(jī)制、組織內(nèi)部培訓(xùn)、建立數(shù)據(jù)應(yīng)用及共享管理機(jī)制、向高層匯報,等數(shù)據(jù)安全歸口管理部門職責(zé),（二）,數(shù)據(jù)安全,部門職責(zé),設(shè)立數(shù)據(jù)安全,歸口部門,明確組織架構(gòu),職責(zé),銀行保險公司應(yīng)建立數(shù)據(jù)安全管理組織架構(gòu)，明確各部門及崗位職責(zé)，確保數(shù)據(jù)安全責(zé)任到人指定信息技術(shù)或合規(guī)部門作為數(shù)據(jù)安全歸口管理部門，賦予其足夠的專業(yè)能力和資源定期培訓(xùn)與考核,對相關(guān)人員進(jìn)行定期培訓(xùn)和考核，確保其掌握最新數(shù)據(jù)安全法規(guī)和公司內(nèi)部管理制度三）,建議,數(shù)據(jù)安全管理,三,明確,橫向分類,和,縱向分級,管理要求,數(shù)據(jù)分類分級,覆蓋數(shù)據(jù)處理全生命周期及應(yīng)用場景的合規(guī)要求,數(shù)據(jù)安全管理,辦法要求銀行保險機(jī)構(gòu)建立健全覆蓋數(shù)據(jù)全生命周期和應(yīng)用場景的保護(hù)機(jī)制和安全管理制度。

三、數(shù)據(jù)安全管理,銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法,辦法要求銀行保險機(jī)構(gòu)將業(yè)務(wù)及經(jīng)營管理過程中獲取、產(chǎn)生的數(shù)據(jù)分為,客戶數(shù)據(jù),、,業(yè)務(wù)數(shù)據(jù),、,經(jīng)營管理數(shù)據(jù),、,系統(tǒng)運(yùn)行和安全管理數(shù)據(jù),等四大類進(jìn)行管理數(shù)據(jù)分類管理要求,（一）,數(shù)據(jù)分類分級,辦法規(guī)定銀行保險機(jī)構(gòu)應(yīng)依據(jù)數(shù)據(jù),覆蓋程度,和,影響程度,兩個標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)分類數(shù)據(jù)分類依據(jù),數(shù)據(jù)被分為,核心數(shù)據(jù),、,重要數(shù)據(jù),、,一般數(shù)據(jù),三個級別，其中一般數(shù)據(jù)進(jìn)一步細(xì)分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)數(shù)據(jù)分類級別,敏感數(shù)據(jù)指,泄露或篡改后對經(jīng)濟(jì)、社會、公共利益或組織、個人造成重要影響的數(shù)據(jù),敏感數(shù)據(jù)定義,除核心數(shù)據(jù)、重要數(shù)據(jù)、敏感數(shù)據(jù)之外的數(shù)據(jù)，歸類為其他一般數(shù)據(jù)其他一般數(shù)據(jù),（一）,數(shù)據(jù)分類分級,銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法與金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南在數(shù)據(jù)分級方法上存在差異數(shù)據(jù)分級方法差異,01,建議金融機(jī)構(gòu)關(guān)注數(shù)據(jù)分級是否符合銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法要求金融機(jī)構(gòu)關(guān)注點(diǎn),02,根據(jù)業(yè)務(wù)特點(diǎn)和數(shù)據(jù)類型，金融機(jī)構(gòu)需制定詳細(xì)的數(shù)據(jù)分類分級標(biāo)準(zhǔn)，并建立相應(yīng)的數(shù)據(jù)目錄制定數(shù)據(jù)分類分級標(biāo)準(zhǔn),03,定期對數(shù)據(jù)進(jìn)行分類分級的動態(tài)調(diào)整，確保數(shù)據(jù)分類的準(zhǔn)確性和合理性。

數(shù)據(jù)分類分級的動態(tài)調(diào)整,04,（一）,數(shù)據(jù)分類分級,全生命周期管理,辦法要求銀行保險機(jī)構(gòu)對數(shù)據(jù)的,收集、存儲、使用、加工、傳輸、提供、共享、轉(zhuǎn)移、公開、刪除、銷毀等全生命周期,進(jìn)行安全管理，并針對敏感級及以上數(shù)據(jù)的安全保護(hù)提出了額外要求數(shù)據(jù)共享,建立銀行母行、保險集團(tuán)或者母公司與其子行、子公司數(shù)據(jù)安全隔離的,“防火墻”,，并對共享數(shù)據(jù)采取有效保護(hù)措施數(shù)據(jù)收集,堅持,“合法、正當(dāng)、必要、誠信”原則,，明確數(shù)據(jù)收集和處理的目的、方式、范圍、規(guī)則，確保數(shù)據(jù)收集過程的安全性和數(shù)據(jù)來源的可追溯性數(shù)據(jù)使用,制定,數(shù)據(jù)訪問閉環(huán)管理機(jī)制,，并對數(shù)據(jù)訪問行為實(shí)施審計，確保數(shù)據(jù)使用的合規(guī)性和安全性二）,數(shù)據(jù)安全管理,數(shù)據(jù)處理/管理流程,針對一般數(shù)據(jù)的合規(guī)要求,針對敏感級及以上數(shù)據(jù)的額外要求,數(shù)據(jù)收集,堅持“合法、正當(dāng)、必要、誠信”原則；,明確數(shù)據(jù)收集和處理的目的、方式、范圍、規(guī)則；,收集過程的數(shù)據(jù)安全性、數(shù)據(jù)來源可追溯；,除非法律、行政法規(guī)另有規(guī)定，不得超出數(shù)據(jù)主體同意的范圍向其收集數(shù)據(jù)向其他銀行保險機(jī)構(gòu)收集行業(yè)重要級及以上數(shù)據(jù)，需經(jīng)國家金融監(jiān)督管理總局同意外部數(shù)據(jù)采購,制定外部數(shù)據(jù)采購、引入的集中審批管理制度；,納入外包風(fēng)險管理體系進(jìn)行統(tǒng)籌管理；統(tǒng)籌建立數(shù)據(jù)需求、安全評估、收集引入、數(shù)據(jù)運(yùn)維、登記備案和監(jiān)督評價管理機(jī)制；,對數(shù)據(jù)來源的真實(shí)性、合法性進(jìn)行調(diào)查；評估數(shù)據(jù)提供者的安全保障能力及其數(shù)據(jù)安全風(fēng)險；,明確雙方數(shù)據(jù)安全責(zé)任及義務(wù)。

/,數(shù)據(jù)加工,/,除非法律另有規(guī)定，應(yīng)采用匿名化、去標(biāo)識化或者其他必要安全措施保護(hù)數(shù)據(jù)主體權(quán)益；,數(shù)據(jù)匯聚融合衍生敏感級及以上數(shù)據(jù)，或者導(dǎo)致數(shù)據(jù)安全級別變化的，應(yīng)當(dāng)及時評估、調(diào)整安全保護(hù)措施數(shù)據(jù)處理/管理流程,針對一般數(shù)據(jù)的合規(guī)要求,針對敏感級及以上數(shù)據(jù)的額外要求,數(shù)據(jù)使用,（訪問、共享等）,制定數(shù)據(jù)訪問閉環(huán)管理機(jī)制，并對數(shù)據(jù)訪問行為實(shí)施審計；,因業(yè)務(wù)需要從生產(chǎn)環(huán)境提取數(shù)據(jù)的，應(yīng)建立嚴(yán)格的審批程序，并明確數(shù)據(jù)使用或者保存期限；,對數(shù)據(jù)共享使用進(jìn)行集中安全管控，明確企業(yè)級數(shù)據(jù)共享策略，評估數(shù)據(jù)共享使用的必要性、合規(guī)性、安全性及倫理道德規(guī)范的符合度；,建立銀行母行、保險集團(tuán)或者母公司與其子行、子公司數(shù)據(jù)安全隔離的“防火墻”，并對共享數(shù)據(jù)采取有效保護(hù)措施按照“業(yè)務(wù)必要授權(quán)”原則，對敏感級及以上數(shù)據(jù)嚴(yán)格實(shí)施授權(quán)管理；,銀行保險機(jī)構(gòu)與其母行、集團(tuán)，或者其子行、子公司共享敏感級及以上數(shù)據(jù)，應(yīng)當(dāng)獲得數(shù)據(jù)主體的授權(quán)同意，法律、行政法規(guī)另有規(guī)定的除外；,不得以數(shù)據(jù)主體拒絕同意共享敏感數(shù)據(jù)而終止或者拒絕單家子行、子公司對其提供金融服務(wù)，所共享數(shù)據(jù)屬于提供產(chǎn)品或者服務(wù)所必需的除外；,共享需要實(shí)現(xiàn)安全評估數(shù)據(jù)委托處理,明確所涉數(shù)據(jù)外部使用和處理的條件、場景、方式；,以合同協(xié)議方式約定委托處理的目的、期限、處理方式、數(shù)據(jù)范圍、保護(hù)措施、雙方的數(shù)據(jù)安全責(zé)任和義務(wù)，以及受托方返還或者刪除數(shù)據(jù)的方式等；,對數(shù)據(jù)處理活動進(jìn)行記錄和審計，可對外公開披露的數(shù)據(jù)除外；,要求受托方在未取得其同意時，不得轉(zhuǎn)委托其他主體處理數(shù)據(jù)，不得對外共享數(shù)據(jù)，不得加工、訓(xùn)練、挪用數(shù)據(jù)，或者采取其他形式處理數(shù)據(jù)以謀取合同或者協(xié)議約定以外的利益。

/,數(shù)據(jù)處理/管理流程,針對一般數(shù)據(jù)的合規(guī)要求,針對敏感級及以上數(shù)據(jù)的額外要求,數(shù)據(jù)共同處理,按照“業(yè)務(wù)必要授權(quán)”原則制定方案并采取有效管理和技術(shù)保護(hù)措施確保數(shù)據(jù)安全；,以合同協(xié)議方式明確雙方在數(shù)據(jù)處理過程中的數(shù)據(jù)安全責(zé)任和義務(wù)/,數(shù)據(jù)轉(zhuǎn)移,明確數(shù)據(jù)轉(zhuǎn)移內(nèi)容，通過協(xié)議、承諾等方式約定數(shù)據(jù)接收方全面承接對應(yīng)數(shù)據(jù)的安全保護(hù)義務(wù)；,通過公告等方式告知數(shù)據(jù)主體；,采用安全可靠方式進(jìn)行，并確保轉(zhuǎn)移過程可追溯/,數(shù)據(jù)對外提供,/,取得數(shù)據(jù)主體同意,數(shù)據(jù)公開,建立對外公開披露數(shù)據(jù)的審批機(jī)制，研判可能產(chǎn)生的影響；,數(shù)據(jù)公開應(yīng)當(dāng)在機(jī)構(gòu)官方渠道進(jìn)行發(fā)布，確保數(shù)據(jù)真實(shí)、準(zhǔn)確、防篡改，記錄審批和發(fā)布情況不得公開，法律、行政法規(guī)另有規(guī)定或者取得數(shù)據(jù)主體授權(quán)同意的除外,數(shù)據(jù)刪除,制定數(shù)據(jù)銷毀管理制度，按照國家、行業(yè)有關(guān)規(guī)定及與數(shù)據(jù)主體的約定進(jìn)行數(shù)據(jù)刪除或者匿名化處理/,辦法將數(shù)據(jù)委托處理納入信息科技外包管理范圍，并提出了特殊管理要求，包括：,事先開展數(shù)據(jù)安全評估對涉及敏感級及以上數(shù)據(jù)處理的供應(yīng)鏈服務(wù)商加強(qiáng)準(zhǔn)入和安全管理明確所涉數(shù)據(jù)外部使用和處理的條件、場景、方式，并按要求與受托方簽署相關(guān)協(xié)議將相關(guān)數(shù)據(jù)操作日志及其備份數(shù)據(jù)保存不低于三年。

委托處理終止時，要求服務(wù)提供商及時刪除數(shù)據(jù)，并采取現(xiàn)場檢查等有效監(jiān)督措施，確保數(shù)據(jù)被銷毀、不可恢復(fù)等三）,數(shù)據(jù)委托處理,技術(shù)安全保護(hù),四,（一）,構(gòu)建多元異構(gòu)環(huán)境下的數(shù)據(jù)安全體系,針對大數(shù)據(jù)、云計算等環(huán)境，銀行保險機(jī)構(gòu)需,構(gòu)建全面的數(shù)據(jù)安全技術(shù)保護(hù)體系,，確保數(shù)據(jù)安全建立數(shù)據(jù)安全技術(shù)體系,01,制定明確的,數(shù)據(jù)保護(hù)策略和方法,，涵蓋數(shù)據(jù)的存儲、傳輸、處理等各個環(huán)節(jié)，保障數(shù)據(jù)安全明確數(shù)據(jù)保護(hù)策略,02,采取,加密、訪問控制等技術(shù)措施,，對數(shù)據(jù)進(jìn)行有效保護(hù)，防止數(shù)據(jù)泄露和非法訪問采取技術(shù)措施保障數(shù)據(jù)安全,03,（二）,數(shù)據(jù)安全保護(hù)基線,敏感數(shù)據(jù)安全技術(shù)要求,對,敏感級,及以上數(shù)據(jù)，要求銀行保險機(jī)構(gòu)采取,更高標(biāo)準(zhǔn),的安全技術(shù)保護(hù)措施物理安全保護(hù)區(qū)域設(shè)立,要求對存放或傳輸敏感數(shù)據(jù)的機(jī)房、網(wǎng)絡(luò)設(shè)立專門的,物理安全保護(hù)區(qū)域,，保障數(shù)據(jù)安全數(shù)據(jù)安全保護(hù)基線概念,辦法首,次提出數(shù)據(jù)安全保護(hù)基線,，明確各區(qū)域網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的,最低要求,加強(qiáng)數(shù)據(jù)保護(hù)措施,機(jī)構(gòu)需對,多來源敏感數(shù)據(jù)采取加強(qiáng)性保護(hù),，確保數(shù)據(jù)安全不低于集中前的最高保護(hù)級別網(wǎng)絡(luò)邊界與節(jié)點(diǎn)監(jiān)控審計,對網(wǎng)絡(luò)邊界和重要網(wǎng)絡(luò)節(jié)點(diǎn)實(shí)施,安全監(jiān)控與審計,，防止數(shù)據(jù)泄露和非法訪問。

三）,數(shù)據(jù)操作日志與審計要求,日志記錄要求,對敏感及以上數(shù)據(jù)操作進(jìn)行日志記錄，包括操作時間、用戶標(biāo)識、行為類型等核心數(shù)據(jù)保存期限,核心數(shù)據(jù)操作日志及其備份數(shù)據(jù)保存時間不低于,三年,委托處理數(shù)據(jù)保存,涉及委托處理、共同處理的數(shù)據(jù)操作日志及其備份數(shù)據(jù)保存時間不低于,三年,定期審計要求,定期對數(shù)據(jù)操作行為進(jìn)行審計，審計周期不超過,六個月,重要數(shù)據(jù)保存期限,重要數(shù)據(jù)、敏感數(shù)據(jù)操作日志及其備份數(shù)據(jù)保存時間不低于,一年,個人信息保護(hù),五,銀行保險機(jī)構(gòu)需在信息收集前,明確告知,數(shù)據(jù)主體，確保其了解信息用途和處理方式01,機(jī)構(gòu)必須獲得數(shù)據(jù)主體的,明確同意,后方可處理個人信息，保障數(shù)據(jù)主體的知情權(quán)和選擇權(quán)02,信息收集和處理應(yīng)嚴(yán)格限定在,特定目的內(nèi),，且僅限于實(shí)現(xiàn)該目的所必需的最小范圍03,辦法在個人信息保護(hù)方面與個人信息保護(hù)法保持一致，未對銀行保險機(jī)構(gòu)提出額外要求04,明確告知原則,授權(quán)同意機(jī)制,目的限定與最小范圍,遵循個人信息保護(hù)法,（一）,重申個保法要求,強(qiáng)調(diào)告。