《金融數據安全 數據安全評估規范》(征求意見稿)發布
責編:gltian |2021-12-07 13:57:12隨著大數據、人工智能、云計算等新技術在金融業的深入應用,金融數據逐步實現了從信息化資產到生產要素的轉變,其重要性日益凸顯。數據泄露、濫用、篡改等安全威脅的影響逐步從機構內轉移擴大至機構間以及行業間,甚至影響國家安全、社會秩序、公眾利益與金融市場穩定。
為進一步提高金融業數據安全保護水平和數據安全應用能力,12月3日,全國金融標準化技術委員會(以下簡稱“金標委”)發布公告,就《金融數據安全 數據安全評估規范》(以下簡稱“《規范》”)金融標準征求意見。
《規范》規定了金融數據安全評估觸發條件、原則、參與方、內容、流程及方法,明確了數據安全管理、數據安全保護、數據安全運維三個主要評估域及其安全評估主要內容和方法。
金融數據安全評估指金融業機構對其數據處理活動定期或按需開展的風險評估活動,用于評價金融業機構自身和數據處理活動第三方合作機構的數據安全保護能力,為金融業機構建立數據安全保護體系、明確數據安全保護策略和加強第三方合作機構數據安全管理提供參考性資料。
開展金融數據安全評估,一方面能夠推動金融業機構落實金融業數據安全管理要求,提升金融業數據安全保護工作的規范化和標準化程度;另一方面有助于金融業機構及時全面掌握本機構數據安全管理水平,預測并確認所面臨的數據安全威脅和風險,為金融業機構制定防范措施及應對安全事件提供科學依據和指導,可有效防控數據安全事件風險和危害,為金融數據的應用和流動提供有力保障。
金標委指出,金融業機構應定期開展金融數據安全評估工作,評估周期應不超過一年;金融業機構金融數據資產、金融數據安全保障、金融數據應用場景等發生變化時,也應觸發金融數據安全評估工作。
同時,金融業機構在金融產品或服務上線前、業務功能或信息系統發生較大變更以及本機構發生重大數據安全事件等情況時均應開展全面評估,且應重點關注與該產品或服務數據或該變更部分密切相關的評估內容。
《規范》主要內容包括以下幾個方面:
1、范圍及規范性引用文件。描述了標準制定的參考依據、行業需求和標準制定的目的,明確了標準的適用機構。
2、金融數據安全評估概述。明確了金融數據安全評估的觸發條件、評估原則、評估參與方、評估內容、評估流程與評估方法。
3、金融數據安全管理評估。明確了金融業機構數據安全管理相關組織架構及制度體系建設相關安全評估的具體內容、評估方法和結果判定依據。
4、金融數據安全保護評估。明確了金融業機構數據資產分級管理、數據生命周期安全保護相關安全評估的具體內容、評估方法和結果判定依據。
5、金融數據安全運維評估。明確了金融業機構邊界管控、訪問控制、安全監測、安全審計、安全檢查、應急響應與事件處置等數據安全運維相關安全評估的具體內容、評估方法和結果判定依據。
6、金融數據安全評估結果。對數據安全評估結果確定過程中的數據安全問題等級、評估判定原則及評估結果判定等問題進行了詳細說明。
轉載自FreeBuf.COM