随着大数据、人工智能、云计算等新技术在金融业的深入应用,金融数据逐步实现了从信息化资产到生产要素的转变,其重要性日益凸显。数据泄露、滥用、篡改等安全威胁的影响逐步从机构内转移扩大至机构间以及行业间,甚至影响国家安全、社会秩序、公众利益与金融市场稳定。
为进一步提高金融业数据安全保护水平和数据安全应用能力,12月3日,全国金融标准化技术委员会(以下简称“金标委”)发布公告,就《金融数据安全 数据安全评估规范》(以下简称“《规范》”)金融标准征求意见。
《规范》规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法,明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。
金融数据安全评估指金融业机构对其数据处理活动定期或按需开展的风险评估活动,用于评价金融业机构自身和数据处理活动第三方合作机构的数据安全保护能力,为金融业机构建立数据安全保护体系、明确数据安全保护策略和加强第三方合作机构数据安全管理提供参考性资料。
开展金融数据安全评估,一方面能够推动金融业机构落实金融业数据安全管理要求,提升金融业数据安全保护工作的规范化和标准化程度;另一方面有助于金融业机构及时全面掌握本机构数据安全管理水平,预测并确认所面临的数据安全威胁和风险,为金融业机构制定防范措施及应对安全事件提供科学依据和指导,可有效防控数据安全事件风险和危害,为金融数据的应用和流动提供有力保障。
金标委指出,金融业机构应定期开展金融数据安全评估工作,评估周期应不超过一年;金融业机构金融数据资产、金融数据安全保障、金融数据应用场景等发生变化时,也应触发金融数据安全评估工作。
同时,金融业机构在金融产品或服务上线前、业务功能或信息系统发生较大变更以及本机构发生重大数据安全事件等情况时均应开展全面评估,且应重点关注与该产品或服务数据或该变更部分密切相关的评估内容。
《规范》主要内容包括以下几个方面:
1、范围及规范性引用文件。描述了标准制定的参考依据、行业需求和标准制定的目的,明确了标准的适用机构。
2、金融数据安全评估概述。明确了金融数据安全评估的触发条件、评估原则、评估参与方、评估内容、评估流程与评估方法。
3、金融数据安全管理评估。明确了金融业机构数据安全管理相关组织架构及制度体系建设相关安全评估的具体内容、评估方法和结果判定依据。
4、金融数据安全保护评估。明确了金融业机构数据资产分级管理、数据生命周期安全保护相关安全评估的具体内容、评估方法和结果判定依据。
5、金融数据安全运维评估。明确了金融业机构边界管控、访问控制、安全监测、安全审计、安全检查、应急响应与事件处置等数据安全运维相关安全评估的具体内容、评估方法和结果判定依据。
6、金融数据安全评估结果。对数据安全评估结果确定过程中的数据安全问题等级、评估判定原则及评估结果判定等问题进行了详细说明。