概述

5.1安全框架

金融數據生命周期是指金融業機構在開展業務和進行經營管理的過程中，對金融數據進行采集、傳輸、存儲、使用、刪除、銷毀的整個過程。數據生命周期安全框架(見圖1)遵循數據安全原則，以數據安全分級為基礎，建立覆蓋數據生命周期全過程的安全防護體系，并通過建立健全數據安全組織架構和明確信息系統運維環節中的數據安全需求，全面加強金融業機構數據安全保護能力。

數據生命周期安全防護要求是數據生命周期安全框架的核心，針對不同安全級別的數據，明確其在采集、傳輸、存儲、使用、刪除以及銷毀等數據生命周期各個環節的安全防護要求，是金融業機構開展數據安全防護工作的基本依據。結合金融數據業務規則及金融數據特點，建立覆蓋金融數據生命周期全過程的安全防護機制，是金融業機構數據安全防護工作的重中之重，也是確保金融數據安全的必經之路。

數據安全組織保障、信息系統運維保障也是數據生命周期安全框架必不可少的組成部分，共同構成確保數據生命周期安全防護機制能夠有效落實和嚴格執行的基石。數據安全組織保障確保數據安全工作具有包括決策層、管理層、執行層以及監督層的完善管理體系，為數據安全相關工作的組織和落實奠定基礎。在金融業機構日常運營過程中，信息系統運維過程的數據安全防控工作也不容忽視，加強在邊界管控、訪問控制、安全監測、安全審計、檢查評估、應急響應與事件處置等過程中的數據安全風險防控能力，可有力保障數據安全防護機制的有效執行和數據安全問題的及時發現與應對。

5.2分級保護

金融數據安全級別按照JR/T0197一2020相關要求，根據安全性遭到破壞后的影響范圍和影響程度，將金融數據安全級別由高到低劃分為5級、4級、3級、2級、1級。

本文件所指金融數據安全，主要是指確保金融數據在其生命周期各階段的安全性，通過采取相應措施，將數據安全性遭受破壞可能帶來的安全影響降至最低或降至可接受的范圍內。其中，1級數據為公開數據，原則上無保密性要求，其安全防護應參考本文件有關完整性及可用性安全要求；2級至4級數據的安全防護應在平衡安全需求與業務需求的基礎上，根據數據安全級別不同，有側重地采取適當的安全防護措施，2級數據應優先考慮業務需求，4級數據應優先考慮安全需求，5級數據的保護按照國家及行業主管部門的有關要求執行。

證券行業數據安全分級和數據安全保護工作按照JR/T0158—2018等證券行業相關要求執行，云環境的數據安全應符合國家和行業主管部門的相關要求。金融業機構境外分、子公司和分支機構在境外開展業務過程中采集、產生的數據，其安全定級及數據保護工作應按照數據跨境相關要求執行。

涉及個人金融信息的內容，除滿足本文件要求外，還應按照JR/T 0171一2020相關要求執行。

注：本文件中未明確具體安全級別的條款，為安全級別為1級至4級數據均應滿足的通用安全要求；已明確具體安全級別的條款，為該級別數據保護需執行的附加安全要求。