以实践助力《银行保险机构数据安全管理办法》规范落地-编程知识

日前，金融监管总局网站显示，为规范银行业保险业数据处理活动，保障数据安全，促进数据合理开发利用，金融监管总局起草了《银行保险机构数据安全管理办法（征求意见稿）》（下称《办法》）。

原点安全公众号后台回复关键词“数据安全管理办法”，即可获取《办法》PDF 文件完整版本。

主要内容

一是明确数据安全治理架构。

要求银行保险机构建立数据安全责任制，指定归口管理部门负责本机构的数据安全工作；按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任，落实数据安全保护管理要求。

二是建立数据分类分级标准。

要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施。

三是强化数据安全管理。

要求银行保险机构按照国家数据安全与发展政策要求，根据自身发展战略建立数据安全管理制度和数据处理管控机制，在开展相关数据业务处理活动时应当进行数据安全评估。

四是健全数据安全技术保护体系。

要求银行保险机构建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系，建立数据安全技术架构，明确数据保护策略方法，采取技术手段保障数据安全。

五是加强个人信息保护。

要求银行保险机构在处理个人信息时，应按照“明确告知、授权同意”的原则实施，并履行必要的告知义务；收集个人信息应限于实现金融业务处理目的的最小范围，不得过度收集；共享和对外提供个人信息时，应取得个人同意。

六是完善数据安全风险监测与处置机制。

要求银行保险机构将数据安全风险纳入本机构全面风险管理体系，明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程，有效防范和处置数据安全风险。

七是明确监督管理职责。

规定国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理，开展非现场监管、现场检查，依法对银行保险机构数据安全事件进行处置。对违反《办法》要求的依法追究相应责任。

规范落地

一、数据分类分级

第十六条

银行保险机构应当制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，采取差异化安全保护措施。

一体化数据安全平台 uDSP 可根据业务情况自定义规则与分类分级模版，并支持与已有分类分级成果无缝衔接，帮助企业高效完成敏感数据的发现、识别与安全分类分级标注，全面掌握企业敏感数据在各个数据源中的分布情况，并形成统一的可视化敏感数据目录，实时跟踪、掌握敏感数据的动态变化，实现全链路敏感数据流转轨迹，帮助企业洞察敏感数据的使用状况。

二、数据安全技术保护

第五章数据安全技术保护

第三十九条

银行保险机构应当建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系，建立数据安全技术架构，明确数据保护策略方法，采取技术措施，保障数据安全。

一体化数据安全平台 uDSP ，帮助企业在多云、混合云环境中的敏感数据配置实施统一的数据安全保护策略，实现从敏感数据发现、识别、保护、监督到治理的一体化协同保护措施，满足数据安全与个人信息保护合规要求，简化数据安全管理，让企业的数据更安全，合规更高效。

三、个人信息保护

第六十三条

发生或者可能发生个人信息泄露、篡改、丢失的，银行保险机构应当立即采取补救措施，同时通知个人并报送国家金融监督管理总局或者其派出机构。

一体化数据安全平台 uDSP 针对敏感个人信息保护方案，具备从发现、保护、审计与风险监测告警的全流程保护能力。事前自动发现业务系统数据库中敏感个人信息并自动化标注，形成敏感数据目录清单；事中辅助安全管理人员方便的配置管控策略，实现最小授权及必要原则；事后通过全链路用户数据访问轨迹查询，提升追溯定位能力；可有效保护敏感个人信息免受未经授权的访问、篡改、泄露、破坏和过度暴露，合规更高效。

四、数据安全风险监测与处置

第六十四条

银行保险机构应当将数据安全风险纳入本机构全面风险管理体系，明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程，有效防范和处置数据安全风险。

第六十五条

银行保险机构应当对数据安全威胁进行有效监测，实施监督检查，主动评估风险，防止数据篡改、破坏、泄露、非法利用等安全事件发生。

一体化数据安全平台 uDSP 数据安全风险监测能力以审计日志为基础，多维量化数据安全风险，提供可视化交互式分析工具，提高事件追踪溯源效率，驱动持续运营；支持自定义UEBA模型，进行行为分析告警及指标监测精确告警，及时发现数据安全风险并通知责任人，支撑数据安全应急响应、实战演练活动。

近年来，《数据安全法》《个人信息保护法》等上位法相继发布，对规范数据处理活动、个人信息保护等提出了明确要求。同时，金融行业数字化变革加速演进，新技术、新业务模式不断涌现，数据的使用、加工、传输、共享等活动日益频繁，进一步凸显数据安全保护的重要性。

原点安全基于云原生技术栈构建的“一体化数据安全平台 uDSP”，目前产品已在金融、政务、互联网等多行业取得广泛应用。所实施项目获信通院云大所、安全所、泰尔实验室、上海市互联网业联合会、上海市信息安全行业协会、上海金融信息行业协会等机构颁发的“星熠、星河优秀数据安全案例”、“2023年度数据安全优秀案例”等荣誉。能够降低数据安全技术措施的复杂度，提升数据安全运营的效率，让繁琐、繁重的数据安全管理工作变得更加简单、高效！