8.2制度體系

金融業機構應建立統一的金融數據安全管理制度體系，明確各層級部門與相關崗位數據安全工作職責，規范工作流程。數據安全管理制度體系要求如下：

a)應依據國家與行業主管和監管部門要求，結合機構自身風險管控策略和偏好、安全建設預算等因素，制定本機構數據安全總體安全策略、方針、目標、原則。

b)應制定本機構數據分級規程，識別并維護本機構數據資產清單，并標注相應的數據級別。

c)應制定數據安全管理制度及實施細則并定期評價更新，確保基于數據分級的數據安全制度體系覆蓋機構數據全生命周期，并對有關制度的有效性進行定期評價與更新，具體要求如下：

1)制定本機構數據安全管理規定，提出本機構數據安全生命周期保護工作的總體策略。

2)針對不同安全級別的數據，制定相應的安全策略和保障措施。

3)建立數據安全日常管理及操作流程，對數據生命周期各階段的數據保護工作提出具體要求。

4)建立合理、統一的密碼使用和密鑰管理技術規范和制度。

5)建立數據脫敏技術規范和制度，明確不同安全級別數據脫敏規則、脫敏方法和脫敏數據的使用限制，配置脫敏數據識別和脫敏效果驗證服務組件或技術手段，確保數據脫敏的有效性和合規性，對數據的脫敏操作過程留存日志記錄，用于審核違規使用、審核脫敏完整性。

6)建立第三方機構管理制度，并至少滿足本文件8.4所述要求。

7)建立數據供應方安全管理要求，確定數據來源合法合規，對數據的真實性、有效性進行管理。

8)建立數據出境安全控制要求與操作程序。

9)建立數據采集、傳輸、存儲、使用、刪除及銷毀相關審核規程，宜采用電子化手段實現審核流程。

10)制定數據采集的操作規程，規范數據采集的渠道、數據格式、流程和方式。

11)建立數據安全評估、個人金融信息安全影響評估以及內外部數據安全檢查與評估制度。

12)建立數據安全事件管理、處置規程和應急響應等機制，明確重大數據安全事件的處置流程及應對方法。

d)應定期審核和更新金融數據安全管理制度。

e)在本機構組織架構發生重大調整或數據相關服務發生重大變化時，應及時對金融數據安全策略與規程進行評估，并按需進行修訂和更新。