8.1組織結構

金融業機構應設立數據安全管理委員會，建立自上而下的覆蓋決策、管理、執行、監督四個層面的數據安全管理體系(見圖2)，明確組織架構和崗位設置，保障數據生命周期安全防護要求的有效落實，要求如下：

a)應設立由金融業機構高級管理層組成的領導小組，總體負責數據安全工作的統籌組織、指導推進和協調落實，明確數據安全管理部門，協調機構內部數據安全管理資源調配。

b)委員會成員應至少包含主要部門的主要負責人，負責數據安全相關工作的實施、相關政策和制度的制定評審工作，保障數據安全管理工作所需資源，并設立數據安全管理專職崗位，負責日常數據安全管理工作，具體如下：

1)主要部門應至少包括數據安全管理、信息科技、業務、法務、合規、風險管理、稽核審計、人事部門等相關部門。

2)制定、發布和更新本機構數據安全管理制度、規程與細則。

3)組織開展本機構數據分級工作，識別并維護數據資產清單。

4)制定、簽發、實施、定期更新隱私政策和相關規程。

5)監督本機構內部，以及本機構與外部合作方數據安全管理情況。

6)在金融產品或服務上線發布前組織開展數據安全評估，避免不當的數據采集、使用、共享等行為，如與產品或服務功能及隱私政策不符等情況。

c)業務部門、信息系統建設部門、信息系統運維部門應設立數據安全崗位，作為數據安全管理的執行層，該崗位應履行以下工作職責：

1)根據數據安全相關策略和規程，落實本部門數據安全防護措施。

2)經授權審批程序后，為獲得授權的各相關方分配數據權限。

3)對本部門數據脫敏、對外提供等關鍵活動的數據安全控制有效性進行確認。

4)配合執行數據相關安全評估及技術檢測等工作。

5)制定本部門數據安全應急預案，并定期開展數據安全應急演東，依據演練結果，修訂數據安全應急預案。

6)處置本部門有關數據安全事件。

7)依據數據安全管理有關制度規范，記錄本部門數據活動日志。

d)應明確安全審計、合規稽核、風險管理等相關崗位，作為數據安全管理的監督層，該崗位應履行以下工作職責：

1)根據本機構數據相關業務實際情況，確定相應審計策略及規范，包括但不限于審計周期、審計方式、審計形式等內容。

2)監督數據安全政策、方針的執行。

3)公布投訴、舉報方式等信息，并及時受理數據安全和隱私保護相關投訴和舉報。

4)開展數據安全內部審計和分析，發現并反饋問題和風險，并對機構后續相關整改工作進行監督。

5)配合開展外部審計相關的組織和協調工作。