《辦法》所稱監管數據安全是指監管數據在采集、處理、存儲、使用等活動(以下簡稱監管數據活動)中,處于可用、完整和可審計狀態,未發生泄露、篡改、損毀、丟失或非法使用等情況。
其中在數據采集和使用方面,《辦法》明確監管數據的采集應按照安全、準確、完整和依法合規的原則進行,避免重復、過度采集。監管數據僅限于銀保監會履行監管工作職責使用,監管數據的使用行為應通過管理和技術手段確保可追溯。
受銀保監會委托或委派,為銀保監會提供監管數據采集、處理或存儲服務的企事業單位適用于本辦法。
數據的采集、存儲和加工處理 數據的采集 按照安全、準確、完整和依法合規的原則進行,避免重復、過度采集。 數據的監管 通過監管工作網或金融專網進行傳輸。因客觀條件限制需要通過物理介質、互聯網或其它網絡傳輸的,應經歸口管理部門評估同意。 數據的存儲 存儲在銀保監會機房,并具有完備的備份措施。 數據的加工 應在監管工作權限或受托范圍內進行。未經歸口管理部門同意,任何單位和個人不得將代碼、接口、算法模型和開發工具等接入監管信息系統。 監管數據采集、傳輸、存儲、加工處理、轉移交換、銷毀,以及用于系統開發測試等活動,應根據監管數據類型和管理要求采取分級分類安全技術防護措施。 監控數據安全的要求 監管數據的使用行為應通過管理和技術手段確保可追溯。監管數據用于信息系統開發測試以及對外展示時,應經過脫敏處理。 使用未公開披露的監管數據,原則上應在不可連接互聯網的臺式機或筆記本等銀保監會工作機中進行。因客觀條件限制需采取虛擬專用網絡等方式使用監管數據時,應經歸口管理部門評估同意。 因工作需要下載的監管數據,僅可存儲于銀保監會的工作機中。承載監管數據的使用介質應妥善保管,防止數據泄露。 各部門應急處置措施得當 各業務部門及受托機構發生以下監管數據重大安全風險事項時,應立即采取應急處置措施,及時消除安全隱患,防止危害擴大,并于48小時內向歸口管理部門報告。 (一)監管數據發生泄露或非法使用; (二)監管數據發生損毀或丟失; (三)承載監管數據的信息系統或網絡發生系統性故障造成服務中斷4小時以上; (四)承載監管數據的信息系統或網絡遭受非法入侵、發生有害信息或計算機病毒的大規模傳播等破壞; (五)監管數據安全事件引發輿情; (六)《網絡安全重大事件判定指南》列明的其他影響監管數據安全的網絡安全重大事件。轄區發生以上監管數據重大安全風險事項時,各銀保監局應立即采取補救措施,并于48小時內向銀保監會歸口管理部門報告。 隨著新信息技術與社會生活的逐步融合,數據已經成為重要的資源要素。借助數據歸集整合,通過大數據分析實現對企業與金融機構的精準畫像,可以說數據要素的有效應用成為新形勢下維護金融穩定發展的有力支撐,數據治理成為完善金融監管不可或缺的有益舉措。 《辦法》要求監管數據安全管理實行歸口管理,統計信息部門負責統籌,業務部門發現重大安全風險事項48小時上報至歸口管理部門。對監管數據采集、存儲、加工處理和使用均提出明確而規范的要求。 《辦法》的出臺在指導并加強監管數據安全管理,防范監管數據安全風險。前沿信安作為“中國數據安全專業廠商”,通過全新的數據安全建設理念,結合金融數據安全解決方案,為客戶提供全方位的數據安全防護體系,提供真正意義上的全生命周期數據安全管理。
新聞內容來源于銀保監會
以下為《辦法》內容閱讀↓
中國銀保監會監管數據安全管理辦法 (試行) 第一章 總則 第二章 工作職責 第八條 歸口管理部門具體職責包括: (一)制定監管數據安全工作規則和管理流程; (二)制定監管數據安全技術防護措施; (三)組織實施監管數據安全評估和監督檢查。 第九條 各業務部門具體職責包括: (一)規范本部門監管數據安全使用,明確具體工作要求,落實相關責任; (二)組織開展本部門監管數據安全管理工作; (三)協助歸口管理部門實施監管數據安全監督檢查。 第三章 監管數據采集、存儲和加工處理
第十五條 監管數據采集、傳輸、存儲、加工處理、轉移交換、銷毀,以及用于系統開發測試等活動,應根據監管數據類型和管理要求采取分級分類安全技術防護措施。 第四章 監管數據使用
第十八條 使用未公開披露的監管數據,原則上應在不可連接互聯網的臺式機或筆記本等銀保監會工作機中進行。因客觀條件限制需采取虛擬專用網絡等方式使用監管數據時,應經歸口管理部門評估同意。
第二十二條 各業務部門因工作需要向非黨政機關單位、個人提供監管數據時,應充分評估數據安全風險,經本部門主要負責人同意后實施,必要時與對方簽訂備忘錄和保密協議并報歸口管理部門備案。與境外監管機構或國際組織共享監管數據時,應由國際事務部門依照銀保監會簽署的監管合作諒解備忘錄、合作協議等約定或其他有關工作安排進行管理。法律法規另有規定的,從其規定。
第二十三條 各業務部門因工作需要和系統下線停用監管數據時,應及時對其采取封存或銷毀措施。 第五章 監管數據委托服務管理
第二十五條 為銀保監會提供監管數據服務的受托機構,應滿足以下基本條件: (一)具備從事監管數據工作所需系統的自主研發及運維能力; (二)具備相關信息安全管理資質認證; (三)擁有自主產權或已簽訂長期租賃合同的機房; (四)網絡和信息系統具備有效的安全保護和穩定運行措施,三年內未發生網絡安全重大事件; (五)具備有效的監管數據安全管理措施,能夠保障銀保監會各部門對監管數據的訪問和控制; (六)具有監管數據備份體系、應急組織體系和業務連續性計劃。
第二十六條 銀保監會通過與受托機構簽訂協議,確立監管數據委托服務關系。協議應明確服務項目、期限、安全管理責任和終止事由等內容。銀保監會通過委派方式確立監管數據服務關系的,應下達委派任務書。
第二十七條 因有關政策調整導致原委托或委派事項無需繼續履行,或發現受托機構監管數據服務出現重大安全問題的,銀保監會有權終止委托或委派關系。 委托或委派關系終止時,受托機構應及時、完整地移交監管數據,并銷毀因委托或委派事項而獲取的監管數據,不得保留相關數據備份等內容。 第六章 監督管理
第三十條 各業務部門及受托機構發生以下監管數據重大安全風險事項時,應立即采取應急處置措施,及時消除安全隱患,防止危害擴大,并于48小時內向歸口管理部門報告。 (一)監管數據發生泄露或非法使用; (二)監管數據發生損毀或丟失; (三)承載監管數據的信息系統或網絡發生系統性故障造成服務中斷4小時以上; (四)承載監管數據的信息系統或網絡遭受非法入侵、發生有害信息或計算機病毒的大規模傳播等破壞; (五)監管數據安全事件引發輿情; (六)《網絡安全重大事件判定指南》列明的其他影響監管數據安全的網絡安全重大事件。 轄區發生以上監管數據重大安全風險事項時,各銀保監局應立即采取補救措施,并于48小時內向銀保監會歸口管理部門報告。
第七章 附則 第三十二條 涉密監管數據按照國家和銀保監會保密管理有關規定進行管理。 第三十三條 各銀保監局承擔轄區監管數據安全管理責任,參照本辦法制定轄區監管數據安全管理辦法,明確職責和管理要求,強化監管數據安全保護。 第三十四條 本辦法自印發之日起施行。