金融数据安全数据安全分级指南.

金融数据安全+数据生命周期安全规范ICS 35. 240. 40 CCS A 11 JR 中华人民共和国金融行业标准JR/T 0223—2021 金融数据安全数据生命周期安全规范Financial data security一Security specification of data life cycle 2021 -04-08 发布2021 -04-08 实施中国人民银行发布目次金融数据安全数据生命周期安全规范1 1范围1 2规范性引用文件1 3术语和定义1 3.1 1 3. 32 3.4 2 3.5 2 金融数据f i nanci a l data 2 3. 10 2 3. 113 3.123 3.13 3 3. 14 3 特权账户pr i v i I eged account 3 4缩略语3 5概述4 5. 1安全框架4 5.2分级保护5 6数据安全原则5 7数据生命周期安全防护6 7.1数据采集6 7.1.1概述6 7.1.2从外部机构采集数据6 7.1.3从个人金融信息主体处采集数据7 7. 2数据传输7 7.3数据存储8 7. 3. 1概述8 7.3.2存储安全8 7.3.3备份和恢复9 7.4数据使用9 7. 4. 1概述9 7. 4.2数据访问10 7. 4. 2. 1 基本要求10 7. 4.2. 2特权访问安全要求10 7. 4.3数据导出10 7. 4.4数据加工11 7.4. 5数据展示11 7. 4.6开发测试11 7. 4.7汇聚融合12 7. 4.8公开披露12 7. 4.9数据转让13 7. 4. 10委托处理13 7.4.11数据共享14 7.5数据删除15 7.6数据销毁15 8数据安全组织保障16 8. 1组织结构16 8.2制度体系19 8.3人员管理19 8.4第三方机构管理20 9信息系统运维保障22 9.1边界管控22 9.2访问控制22 9. 2. 1访问控制策略22 9.2.2物理环境访问控制23 9. 2. 3信息系统与介质访问控制23 9. 2. 4数据存储系统的访问控制23 9.3安全监测24 9.3.1数据溯源24 9.3.2流量分析24 9.3.3异常行为监测24 9. 3.4 态势感知26 9.4安全审计26 9.5检查评估26 9.6应急响应与事件处置27 附录A 28 附录B 28 C. 1概述30 C.2数据脱敏的定义30 C.3数据脱敏基本原则31 C.4数据脱敏方法技术32 C. 4. 1泛化32 C. 4. 2抑制32 C. 4. 3扰乱33 C. 4.4有损33 C.5数据脱敏应用分类34 C.5. 1概述34 C. 5.2静态数据脱敏34 C. 5.3动态数据脱敏34 C.6数据脱敏应用场景35 C.7隐私数据脱敏方法参考37 C. 7.1联系人姓名的脱敏37 C. 7.2企业户名的脱敏37 C. 7. 3身份证号码的脱敏39 C. 7.4护照号码的脱敏41 C. 7.5地址的脱敏41 C. 7.6车牌号码的脱敏43 C.7.7联系电话（固定电话）的脱敏44 C. 7.8联系电话（手机号码）的脱敏44 C. 7.9日期请注意本文件的某些内容可能涉及专利。

第一章总则第一条为加强金融信息安全工作，保障金融业健康发展，维护国家金融安全和社会公共利益，根据《中华人民共和国网络安全法》、《中华人民共和国金融法》等相关法律法规，制定本制度。

第二条本制度适用于我国境内所有金融机构，包括银行、证券、保险、基金、信托等金融机构及其分支机构。

第三条金融信息安全工作应遵循以下原则：（一）依法合规：金融机构应严格遵守国家法律法规，确保金融信息安全。

（二）安全优先：将金融信息安全放在首位，确保金融业务稳定运行。

（三）技术保障：采用先进技术手段，加强金融信息安全防护。

（四）全员参与：加强员工培训，提高全员安全意识，形成全员参与金融信息安全的良好氛围。

（五）持续改进：不断完善金融信息安全制度，提高金融信息安全防护能力。

第二章组织架构与职责第四条金融机构应设立金融信息安全工作领导小组，负责统筹协调、指导、监督金融信息安全工作。

第五条金融信息安全工作领导小组的主要职责：（一）制定金融信息安全战略规划，明确金融信息安全目标。

（二）组织制定金融信息安全管理制度，监督实施。

（三）组织金融信息安全风险评估，及时处理重大安全事件。

（四）协调相关部门，推动金融信息安全技术研究和应用。

（五）开展金融信息安全宣传教育，提高员工安全意识。

第六条金融机构应设立金融信息安全管理部门，负责具体实施金融信息安全工作。

第七条金融信息安全管理部门的主要职责：（一）贯彻落实金融信息安全工作领导小组的决策部署。

（二）组织制定、修订和完善金融信息安全管理制度。

（三）负责金融信息安全风险评估，及时报告重大安全事件。

（四）负责金融信息安全技术保障，确保系统安全稳定运行。

（五）负责金融信息安全宣传教育，提高员工安全意识。

第三章金融信息安全管理制度第八条金融机构应建立健全金融信息安全管理制度，包括但不限于以下内容：（一）信息安全组织架构及职责分工。

（二）信息安全风险评估及应急响应。

（三）信息系统安全防护措施。

（四）数据安全管理制度。

守正创新构筑多层次数据安全防护饨系文II浙商银行金融科技部总经理杨国正i杨国正现任浙商银行金融科技部总经理，主要负责企 业级面向服务信息架构谉系、区块链及物联网 等技本平台、平台化金融服务产品等系统规划建设，在金融科技应用、产业链金融产品创新、数据治理等领域具有丰富的管理和实践经验,多次获得人民银行科技发展奖。

字经济时代席卷而来，数据作为战略性新兴生产要索，对生产力发展 产生屯要驱动作用和深远彩响，随之而来 的数据安全、个人隐私保护风险已成为数 字经济安全的核心问题。

新冠疫情加速经 济社会数字化进程，金融业数据呈爆发式 增长，进一步加剧了金融数据共享与安全 矛盾浙商银行以数据分级分类管理为先 导，构建基于数据安全竹理、安全技术防 护和安全运营的数据安企保障体系，不断 提升金融数据和个人金融信总安余保护能力，守住数字时代的“安企底线”，全面解放数据要素生产力。

建立数据分级分类管理机制浙商银行贯彻落实《金融数据安全数据安全分级指南》，制定了《浙商银行数据安全分级分类规范》，实施“数据安企三不同策略”，即对不同等级的数据在不同应用场景下实施不同类型的防护措施，奠定数据安全保护体系建设基础，合理分配数据安全保护资源和成本，实现数据安全保护与开放共享的-f•衡优化。

推进数据安全保障体系建设浙商银行以“数据使用更安全”为目标，以“数据分级分类tr理、角色授权管观、场景化安金1钟丨丨”为核心H念，违立了以数据安全管理体系、技术体系和运营体系为架构的全行数据安全保障体系^1.数据安全保护管理体系。

一是健伞制度体系：认真落实国家法律法规和行业监管规则，建立了贯穿数据全生命周期的制度体系，纵向上涵盖体系规划、管理办法、实施细则和操作规范等层级，横向上覆盖信息安全、个人金融信息管理、生产数据管理、对外数据合作1T理、外部数据管理、终端安全管理、涉密资源管理、应急管理等内容，并持续完善风险评估》检测认证等流程机制，强化数据安全的精细化管理，二是明确主体责任：建立党委领导下的网络安全工作责任制，明确了网络安令、数据安全“一把手”负责制。

2022年南京公需课参考答案：规范数据处理活动,保障数据安全,促进数据开发利用——《数据安全法》解读2022年度南京继续教育公需课《数据安全法》解读，旨在规范数据处理活动，保障数据安全，促进数据开发利用。

本课程共4学时，适用于2022年度。

其中包括单选题15道、多选题14道、判断题12道。

详细答案见后文第5页答案汇总。

单选题：1.数据安全审查制度的审查范围和审查重点是什么？答案是A，即数据处理活动是否安全有效。

2.根据《数据安全法》规定，违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处什么等级的罚款？答案是C，即二百万元以下。

3.在大数据时代，所谓数据往往是指什么？答案是C，即网络数据。

4.哪个条例率先提出了数据权益的概念，强化了个人数据保护，探索建立数据交易制度，力图在确保数据安全的基础上，最大程度激发数据作为生产要素的经济价值？答案是B，即《贵州省大数据安全保障条例》。

5.从事数据交易中介服务的机构未履行相关义务的，由有关主管部门责令改正，没收违法所得，处违法所得一倍以上什么等级的罚款？答案是D，即二十倍。

6.《数据安全法》在哪个法律的基础上规定了有关数据歧视的对等措施？答案是A，即《网络安全法》。

7.国家互联网信息办公室发布的《网络安全审查办法（修订草案征求意见稿）》规定了网络安全审查的基本原则，以下哪个表述是错误的？答案是D，即企业承诺与社会监督相结合。

8.作为政务数据的处理者，国家机关应当履行哪些义务？答案是D，即合法处理数据义务、尽责保护数据安全义务、委托处理的特别义务。

9.哪个机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制？答案是A，即中央国家安全领导机构。

10、实施危害网络安全行为的人，将受到治安处罚，并在五年内不得从事网络安全管理和网络运营关键岗位的工作。

数据分类分级安全管理办法XX股份有限公司20XX年XX月目录第一章总则 (3)第一条【目的依据】 (3)第二条【管控范畴】 (3)第三条【适用范围】 (3)第四条【适用范围】∙∙∙∙∙∙∙.∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙4第三章数据分类分级 (4)第一节数据分类 (4)第五条【数据分类管理】 (4)第六条【用户身份相关数据（A类）】 (5)第七条【用户服务内容数据（B类）】 (6)第八条【用户服务衍生数据（C类）】 (6)第九条【企业运营管理数据（D类）】 (7)第二节数据分级 (8)第十条【数据级别划分】 (8)第十一条【数据分级原则】 (9)第十二条【数据分级明细】 (9)第四章数据对外分级管理 (10)第一节开放形式 (10)第十三条【数据开放形式】 (10)第十四条【原始数据定义】 (10)第十五条【脱敏数据定义】 (10)第十六条【标签数据定义】 (10)第十七条【群体数据定义】............................... H 第二节数据分级管控要求 (11)第十八条【通用数据分级管控要求】 (11)第十九条【第4级数据管控要求】 (12)第二十条【第2、3级数据管控要求】 (12)第二十一条【第1级数据管控要求1 (12)第三节数据对外开放管控 (12)第二十二条【数据对外开放原则】 (12)第二十三条【数据对外开放审批流程】 (13)第二十四条【用户个人信息对外开放管控】 (14)第二十五条【企业管理数据对外开放管控】 (15)第二十六条【数据输出管控意义解释】 (17)第二十七条【数据对外开放要求】 (18)第四节数据对内开放管控 (18)第二十八条【数据对内开放管控】 (18)第五章数据对内分级管理 (19)第二十九条【采集环节管控要求】 (19)第三十条【传输环节管控要求】 (20)第三十一条【存储环节管控要求】 (21)第三十二条【使用环节管控要求】 (22)第三十三条【共享环节管控要求】 (23)第三十四条【销毁环节管控要求】 (25)第一章总则第一条【目的依据】为促进XX股份有限公司（以下简称XXXX）数据业务健康有序发展，保障公司数据资产安全，保障用户合法权益，进一步提高XXXX数据安全管控能力，驱动公司精细化、智能化管理，参阅《信息安全技术大数据安全管理指南》、《信息安全技术个人信息安全规范》、《信息安全技术个人信息去标识化指南》、《关于印发中国XX用户个人信息保护工作提升实施细则的通知》（中国XX（20XX）XXX号）、《关于印发中国XX用户个人信息管理办法（试运行）的通知》（中国XX（20XX）XXX号）文件特制定本管理办法。

数据能力Data Capability 流动可见，风险可控，安全可管随着数据安全相关法律法规和行业标准规范的相继出台，银行机构大多形成了覆盖组织架构、技术保护、制度流程、人员管理等方面的数据安全体系，数据安全建设成效初显。

当前，由于数据全生命周期环节多、链路复杂，各个环节的数据安全事件时有发生，以“管控数据全生命周期流动”为核心的数据安全链路建设已刻不容缓。

金融数据从被采集到销毁，其价值的体现过程通常会在组织内不同部门或外部合作机构之间相互流动，随着流动链路节点的增多，数据的安全风险也会随之增加。

传统的数据安全体系建设大多聚焦于数据生命周期的技术防护和管理要求，对于数据流动环节的风险的重视程度不高，数据安全的科技伦理体现不充分，缺乏对数据全链路流动的可知可感。

浙商银行在监管部门的指导下，积极开展数据安全的科技伦理治理，全面摸排数据安全链路的潜在风险，探索建设一条“流动可见，风险可控，安全可管”的数据安全链路。

一、以数据资产梳理为抓手，做好分类分级，明确数据流向1.多源纳管，摸清数据资产家底数据资产梳理以掌握组织内现有数据资产的分布情况、权限情况以及使用情况等为目的，通过静态梳理和动态梳理等手段，对IP网段和端口以及网络流量等进行主动监测，结合数据库字段识别、特征识别、接口对接、数据血缘分析匹配等技术，形成数据资产清单。

浙商银行以系统建设为发力点，秉持“理存量、明增量”理念，开展数据资产梳理工作。

一是以“先外后内，价值为先”为原则，通过问卷调研和访谈方式，对涉及个人信息及外联的信息系统数据分布情况进行重点摸排，初步掌握涉敏信息系统的静态数据分布情况，绘好数据资产分布的“草稿图”。

二是开展主动扫描，利浙商银行科技管理部 郭金 陈佳宁 张丹 吴米奇——银行数据安全链路探索用敏感数据扫描平台针对信息系统数据库存储的数据进行定期批量扫描，掌握数据资产分布的明细，明确增量数据的分布情况，上好数据资产分布的“着色图”。

金融数据安全+数据生命周期安全规范金融数据安全+数据生命周期安全规范在当今信息化社会，金融数据安全已经成为各个金融机构和企业关注的焦点。

随着金融科技的快速发展，金融数据的规模和复杂度不断增加，数据安全问题也变得愈发重要。

为了保障金融数据的安全，建立数据生命周期安全规范是至关重要的。

本文将从金融数据安全和数据生命周期安全规范两个方面展开讨论。

一、金融数据安全1.1 数据加密技术数据加密是保障金融数据安全的基础。

通过对数据进行加密，可以有效防止数据在传输和存储过程中被窃取或篡改。

金融机构应采用先进的加密算法，如AES 、RSA等，确保数据的机密性和完整性。

1.2 访问控制机制建立严格的访问控制机制是保障金融数据安全的重要手段。

金融机构应设定不同级别的权限，对不同用户进行身份验证和授权，确保只有合法用户才能访问和操作数据。

同时，要定期审计和监控用户的操作行为，及时发现异常情况并采取相应措施。

1.3 数据备份和灾难恢复数据备份和灾难恢复是金融数据安全的重要保障措施。

金融机构应建立完善的备份策略，定期备份数据并存储在安全的地方，以应对数据丢失或遭受破坏的情况。

同时，要制定灾难恢复计划，确保在发生灾难时能够及时恢复数据并保障业务的连续性。

二、数据生命周期安全规范2.1 数据采集阶段在数据采集阶段，金融机构应确保数据来源的可靠性和合法性。

建立数据采集规范，明确数据采集的目的和范围，规范数据采集的流程和方式，避免采集到错误或非法数据。

同时，要对采集到的数据进行验证和清洗，确保数据的准确性和完整性。

2.2 数据存储阶段在数据存储阶段，金融机构应建立安全的数据存储系统，确保数据的机密性和可靠性。

采用安全存储设备和技术，对数据进行分类和分级存储，设定访问权限和备份策略，确保数据在存储过程中不受损坏或泄露。

2.3 数据处理和传输阶段在数据处理和传输阶段，金融机构应建立安全的数据处理和传输机制，确保数据在处理和传输过程中不受攻击或泄露。

浅谈金融数据安全分级随着信息技术的发展，信息化服务已经渗透到社会的各行各业，影响着每个人生活的方方面面，而数据作为信息化作用的载体，已然成为一种为企业创造价值的重要资产，在很多领域甚至毫不夸张的说“谁拥有大数据，谁将拥有未来”。

引言随着信息技术的发展，信息化服务已经渗透到社会的各行各业，影响着每个人生活的方方面面，而数据作为信息化作用的载体，已然成为一种为企业创造价值的重要资产，在很多领域甚至毫不夸张的说“谁拥有大数据，谁将拥有未来”。

金融业机构从诞生之初就是建立在数据的基础之上的，在信息化的今天，数据已俨然成为金融业机构重要生产要素之一，因此采取必要的数据保护措施，对金融业机构的稳定发展至关重要。

金融数据复杂多样，对数据实施分级管理，能够进一步明确数据保护对象，有助于金融业机构合理分配数据保护资源和成本，因此本文主要依据《金融数据安全数据安全分级指南》（2020.04送审稿）对金融业机构数据安全分级方法和流程进行简单介绍，内容包括：1）定义；2）数据安全定级；3）数据定级流程。

一、定义金融业机构（financial institution），指从事金融业有关的金融中介机构，为金融体系的一部分，金融业包括银行、保险、信托、基金等行业。

数据（data），数据是信息的表现形式和载体，是信息的可再解释的形式化表示，可以被用于通信、解释或加工处理的符号。

金融数据（financial data），金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。

安全分级（security classification）,根据数据的重要性和受损影响，而确定的特定保护程度，并对该保护程度给予量化和命名。

二、数据安全定级金融数据安全定级主要考虑以下四个方面：——数据定级的范围如何划定？——影响数据定级的要素如何确定？——如何去识别这些要素？——数据一共分为几级，如何根据要素确定数据的安全级别？数据安全定级的范围：金融业机构能全面的识别其金融数据是实现数据分级管理的必要条件。