《银行保险机构数据安全管理办法》重点解读.pptxVIP

2024

《银行保险机构数据安

全管理办法》重点解读;

制定背景及适用范围

组织架构

数据安全管理

技术安全保护

个人信息保护

监管报告义务;

制定背景及适用范围;

随着信息技术的快速发展，数据已经成为银行保险机构的核心资产。然而，

数据安全风险也与日俱增，数据泄露、篡改等事件频发，给机构和个人带来

严重损失。为了加强数据安全管理，2024年12月27日，国家金融监督管理总

局(“金监总局”)发布了《银行保险机构数据安全管理办法》(“以下简

称《办法》”)并于当日施行。对银行保险机构的数据安全提出了明确要求。;

与现有法规的关系

结合金融行业数据安全及个人金融信息保护规则，提供更具体要求。

具体要求的全面性

对银行保险机构提出全面、完整

的数据安全和个人信息保护要求。;

根据《办法》的第二条，银行保险机构主要包括在中华人民共和国境内设立的政策性银行、

商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、 保险资产管理公司、保险集团(控股)公司。而根据第八十条，金监总局批准设立的其他银

行业金融机构、保险业金融机构、金融控股公司以及总局管理单位参照适用本办法。地方金融管理部门批准设立的金融组织参照适用本办法。

由此，无论机构规模大小、治理能力如何，市场上相关银行保险机构在数据安全领域都将面临高度统一的无差别合规及监管要求。;

组织架构

。;

02

数据安全责任制

建立党委(党组)、董

(理)事会为责任主体的数据安全责任制，明确各级责任。;

其他部门数据安全职责

银行保险机构内控风险管理、内控合规、审计部门需将数据安全纳入全面风险管理体系、内控评价体系，定期开展审计、监督检查与评价，督促问题整改并开展问责。;

银行保险公司应建立数据安全管理组织架构，

明确各部门及岗位职责，确保数据安全责任

到人。;

数据安全管理

。;

《办法》要求银行保险机构建立健全覆盖数据全生命

周期和应用场景的保护机制和安全管理制度。;

数据分类管理要求

《办法》要求银行保险机构将业务及经营管理过程中获取、产生的数据分为客户数据、业务数据、经营管理数据、系统运行和安全管理数据等四大类进行管理。;

数据分类级别

数据被分为核心数据、重要数据、一般数据三个级别，其中一般数据进一步细分为敏感数据和其他一般数据。;

数据分级方法差异

《银行保险机构数据安全管理办法》与《金融数据安全数据安全分级指南》在数据分级方法上存在差异。

金融机构关注点

建议金融机构关注数据分级是否符合《银行保险机构数据安全管理办法》要求。

制定数据分类分级标准

根据业务特点和数据类型，金融机构需制定详细的数据分类分级标准，并建立相应的数据目录。

数据分类分级的动态调整

定期对数据进行分类分级的动态调整，确保数据分类的准确性和合理性。;

全生命周期管理

《办法》要求银行保险机

构对数据的收集、存储、使用、加工、传输、提供、

共享、转移、公开、删除、销毁等全生命周期进行安全管理，并针对敏感级及

以上数据的安全保护提出了额外要求。;

数据处理/管理流程;

数据处理/管理流

程;

数据处理/管理流程;

对涉及敏感级及以上数据处理的供应链服务商加强准入和安全管理。

委托处理终止时，要求服务提供商及时删除数据，并采取现场检查等有效监督措施，确保数据被销毁、不可恢复等。;

技术安全保护;;

数据安全保护基线概念

《办法》首次提出数据安全保护基

线，明确各区域网络安全和数据保

护的最低要求。

加强数据保护措施

机构需对多来源敏感数据采取加强

性保护，确保数据安全不低于集中前的最高保护级别。

网络边界与节点监控审计

对网络边界和重要网络节点实施安

全监控与审计，防止数据泄露和非法访问。;

lI(三)数据操作日志与审计要求

委托处理数据保存

涉及委托处理、共同处理的数据操作日志及其备份

核心数据保存期限e数据保存时间不低于三年。核心数据操作日志及其备

份数据保存时间不低于三

年。

日志记录要求

对敏感及以上数据操作进

行日志记录，包括操作时

间、用户标识、行为类型

等。;

个人信息保护

。;

04

遵循《个人信息

保护法》

《办法》在个人信息

保护方面与《个人信息保护法》保持一致，未对银行保险机构提出额外要求。;

银行保险机构在共享个人信息前，必须明确告

知个人并取得其同意。

《办法》未设定个人信息共享的除外条款，强

调了义务的普遍性。

机构与母公司或集团间业务合作频繁，需注意

合规处理个人信息共享