2024已悄然接近尾声

这一年，以数据为关键要素的数字经济加速构建

这一年，数据要素加速释放

数据安全重要性日益凸显

这一年，金融行业数字化变革加速演进

新技术、新业务模式不断涌现

银行业作为数据密集型行业

对数据的安全性和合规性要求持续提高

这一年，《银行保险机构数据安全管理办法》

《中国人民银行业务领域数据安全管理办法》

先后公开征求意见

数据安全责任和工作内容进一步细化

数据安全监管力度再度加强

体系化、多方协同、循序渐进

是数据安全工作的特点

深入政策、厘清脉络、把握要点

是做好数据安全工作的基础

一份《银行领域数据安全工作备忘录》

清单式罗列出银行领域开展数据处理活动

必备的数据安全工作事项

收藏起来照着做

↓↓↓

1、建立数据安全管理体系

政策要点：

《银行保险机构数据安全管理办法》要求银行保险机构建立与本机构业务发展目标相适应的数据安全治理体系，包括建立健全数据安全管理制度，构建覆盖数据全生命周期和应用场景的安全保护机制等。

《中国人民银行业务领域数据安全管理办法》虽未明确提出需要需要建立治理体系，但其提出的总体保护要求及其他各章节内容覆盖了数据安全管理体系所需要素的所有建设要求。

工作备忘：

金融行业数据安全管理体系强调与应用场景的融合，银行需确认当前的数据安全管理体系是否涵盖数据全生命周期和应用场景两个维度。

2、开展数据分类分级工作

政策要点：

《银行保险机构数据安全管理办法》要求制定数据分类分级保护制度，建立数据目录和分类分级规范，并根据数据的重要性和敏感程度将数据分为核心数据、重要数据、一般数据。

《中国人民银行业务领域数据安全管理办法》要求建立健全本单位数据分类分级实施制度，规范分类分级工作操作规程，将数据按照精度、规模和对国家安全的影响程度分为一般、重要、核心三级，并且进一步将数据项敏感性从低至高分为一至五共五个层级。

工作备忘：

当前数据分类分级行业标准已发布，银行需确认是否建立了分类分级管理规范和数据目录，是否按要求开展了分类分级工作。

3、完善数据安全管理组织架构与责任

政策要点：

《银行保险机构数据安全管理办法》要求建立覆盖董（理）事会、高管层、数据安全统筹、数据安全技术保护等部门的数据安全管理组织架构，并明确岗位职责和工作机制。同时，该办法还规定了数据安全责任制，明确了党委（党组）、董（理）事会、主要负责人、分管数据安全的领导等各层级负责人的责任。

《中国人民银行业务领域数据安全管理办法》则要求明确数据安全管理相关内设部门职责分工和人员管理要求，并细化各类违规数据处理活动的定责问责规程。

工作备忘：

各部门工作协同既是数据安全工作的必要条件也是主要难点。当前，监管要求对银行各部门及角色的职责进行了划分，银行需基于自身原有的工作责任界限参照执行。

4、建设多元异构环境下的数据分级管控能力

政策要点：

《银行保险机构数据安全管理办法》针对敏感级数据提出了围绕数据全生命周期的安全保护要求。

《中国人民银行业务领域数据安全管理办法》依据数据分类分级结果，围绕数据全生命周期提出了差异化的安全管理和技术措施管控要求。

工作备忘：

分级管控的技术措施最终落地到不同的环境和载体上，银行需进一步设计适用于多元异构环境下的分级管控建设方案，并逐步落地实施。

5、开展个人信息保护工作

政策要点：

《银行保险机构数据安全管理办法》设置了专门的个人信息保护章节，详细规定了处理个人信息的原则、告知义务、数据共享/提供、跨境传输、委托处理、自动化决策等方面的要求，强调了事件处置与报送要求。

《中国人民银行业务领域数据安全管理办法》虽然未专门设立个人信息保护章节，但在数据收集、使用、提供等环节也均有个人信息保护的相关要求。

工作备忘：

个人金融信息保护相关行业标准早已发布，《个人信息保护法》及相关法规标准也陆续实施。个人信息保护工作是一项综合性的工作，银行需体系化、系统化地建立个人信息保护体系并逐步开展相关工作。

6、进行数据安全风险监测与处置

政策要点：

《银行保险机构数据安全管理办法》要求将数据安全风险纳入全面风险管理体系，明确了风险管理机制，并细化了数据安全风险的9类监测内容。

《中国人民银行业务领域数据安全管理办法》侧重于数据安全风险监测的手段，明确了告警规则需关注的14个事项，以及监测规则应关注的5类事项。

工作备忘：

数据安全风险监测工作能够实时识别可能面临的安全风险，有效降低数据安全事件发生的可能性。银行需完善数据安全风险建设的技术手段，全面监测数据安全风险。

7、建设组件化、服务化的数据安全基础设施

政策要点：

《银行保险机构数据安全管理办法》要求银行保险机构应当开展数据安全的技术基础设施建设，支持用户身份管理、数据匿名化、行为监测、日志审计、数据虚拟化等功能的组件化、服务化，保障安全标准在信息系统中执行的一致性。

工作备忘：

从各项监管政策看，建设组件化、服务化、集中统一的数据安全技术能力已成为技术发展趋势。银行需持续关注相关技术发展，并在工作中逐步落地应用。

8、自行或委托开展数据安全风险评估

政策要点：

《银行保险机构数据安全监管办法》要求每年开展一次数据安全风险评估，并于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告。同时，要求数据安全技术保护部门组织开展数据安全技术风险评估，并细化涉及到跨机构等数据处理活动时需进行的评估工作。

《中国人民银行业务领域数据安全管理办法》要求重要数据处理者需每年自行或委托机构进行全面数据安全风险评估。风险评估报告需在下年度一季度末前报送中国人民银行或其分支机构，并按要求报送网信部门。同时，也细化了在各数据处理活动的重要环节需开展的评估工作。

工作备忘：

数据安全风险评估工作既是合规必要工作，也是一项主要的数据安全风险识别手段。银行应当建立完善的评估机制，及时识别评估的触发条件，并有序开展。

9、自行或委托开展数据安全审计

政策要点：

《银行保险机构数据安全管理办法》要求审计部门应当每三年至少开展一次数据安全全面审计，发生重大数据安全事件后应当开展专项审计。银行保险机构委托专业机构进行数据安全审计时，不得使用该机构提供的产品和其他服务。

《中国人民银行业务领域数据安全管理办法》要求数据处理者需每年至少开展一次数据安全合规审计，重大事件后需及时专项审计。审计需关注全流程管理制度执行情况、投诉处理情况，并督促过程留痕与责任落实。

工作备忘：

数据安全审计是数据安全工作中的主要监督手段。银行需依据监管要求的频率和范围，开展数据安全审计工作，同时针对审计中发现的问题，及时落实整改。

10、开展数据出境安全评估和申报

政策要点：

《银行保险机构数据安全管理办法》要求向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息，应当承担数据安全主体责任，并按照国家有关政策要求进行安全评估。

《中国人民银行业务领域数据安全管理办法》要求每年1月底前测算或者估算其上两年内累计出境数据规模与范围，并保存测算估算结果和对应的境外接收方联系方式至少三年。涉及数据出境安全评估的，数据处理者还应当保存有效期内的数据出境风险自评估报告、数据出境安全评估申报书和评估结果。

工作备忘：

在重要数据和个人信息出境前，进行评估和申报是合规必要工作。银行需建立数据出境安全工作机制，及时识别评估和报备的触发条件，有序推进相关工作。

11、开展数据安全工作报备和报送

政策要点：

《银行保险机构数据安全管理办法》要求涉及批量敏感级及以上数据的数据共享、委托处理、转让交易、数据转移，银行保险机构应当在处理、合同签署前二十个工作日向国家金融监督管理总局或者其派出机构报告，法律、行政法规另有规定的除外。银行保险机构应当于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告。

《中国人民银行业务领域数据安全管理办法》要求报备数据安全风险评估报告，报备重要数据目录。

工作备忘：

两份监管文件中均要求及时报备数据安全相关工作，银行应理清需报备的数据安全工作清单，并在规定时限内完成上报。

加强数据安全治理和合规体系建设，提高数据安全防护能力，可以说是银行乃至金融业未来一段时间内持续稳定发展不可或缺的基础环节之一。

围绕以上十一项必备工作，太阳集团电子游戏基于在网络安全与数据安全领域的持续探索实践，以提升银行数据安全合规及管控能力、保障客户业务价值为目标，围绕数据的全生命周期安全形成了完善的数据安全服务体系，从规划、治理、建设、运营四个层面帮助客户全面提升数据安全防御能力。

太阳集团电子游戏数据安全体系规划服务：

在数据安全体系规划服务中，深入业务场景量体裁衣是关键。太阳集团电子游戏可为客户提供全方位深层次的规划方案，全面提升数据安全管理水平。首先，分析银行现状，结合法律法规与行业标准，为客户量身定制数据安全管理政策、流程及操作指南；其次，帮助客户优化数据安全管理组织架构，厘清各岗位责任和分工界面；第三，提供个人信息保护专项方案，确保各z项个人信息处理活动的合规。

太阳集团电子游戏数据安全评估服务：

在数据安全评估服务中，形成持续性的自动化评估机制是核心。太阳集团电子游戏运用先进的评估工具与方法，对银行数据资产进行深度风险评估，并基于评估结果，为银行提供针对性的风险缓解与应对方案，涵盖技术、流程等多个层面，快速发现并有效控制数据安全风险。

太阳集团电子游戏数据安全建设服务：

在数据安全建设服务中，针对数据分类分级，理清脉络并合理规划，才能真正提升数据保护能力，降低数据安全风险。太阳集团电子游戏具备完善的数据安全产品、方案与服务，可针对银行多元异构的数据环境，设计并实施定制化的数据安全技术方案，涵盖加密、脱敏、防泄露等多个方面，提升数据处理活动各环节管控措施的有效性。

太阳集团电子游戏数据安全运营服务：

在数据安全运营服务中，太阳集团电子游戏以数据安全管理的持续改进为目标，提供各项数据安全运营服务，确保客户数据安全的常态化运营和数据安全管理的有效改进。其中，数据安全审计服务可确保各项安全措施得到有效执行；建立数据安全风险监测体系可实时监测数据处理活动中的异常行为，及时发现并预警潜在安全事件；构建高效的应急机制可确保在安全事件发生时，能够迅速响应并处置。

TOPSEC

当前，国家层面、中国人民银行及国家金融监督管理总局等发布了多项数据安全政策。如何有效应对持续更新的法律法规要求，确保满足各项合规要求，同时构建起一套能够覆盖所有监管需求的数据安全管理体系，成为银行保险机构面临的重大挑战。

作为国家网络空间安全建设的中坚力量，太阳集团电子游戏将携手银行客户，持续加强关核心技术攻关，协同落实数据安全治理，促进数据开发利用与安全防护的一体两翼平衡发展，全面护航金融数字化转型行稳致远。