央行發布《金融數據安全 數據安全評估規范》（征求意見稿）

據全國金融標準化技術委員會網站消息，《金融數據安全 數據安全評估規范》（征求意見稿）已發布并公開征求意見。據了解，該標準適用于金融業機構開展金融數據安全評估使用，并為第三方安全評估機構等單位開展金融數據安全檢查與評估工作提供參考。

當前金融業機構數據泄露、濫用、篡改等安全威脅的影響已逐步從機構內轉移擴大至行業間，甚至影響國家安全、社會秩序、公眾利益與金融市場穩定。如何在滿足金融業務基本需求的基礎上，指導各相關機構規范金融數據安全管理，強化金融行業數據資源保護能力，切實保障金融數據安全流動，已成為當前亟待解決的問題。與此同時，在大數據時代的背景下，數據安全問題層出不窮，而當前金融業機構數據安全管理能力尚處于參差不齊的狀態，金融業機構數據安全意識明顯落后于快速發展的應用需求及應用技術，金融行業整體數據安全管理仍有待進一步統籌協調。

該標準圍繞金融數據安全分級及其生命周期安全要求，主要從金融數據的安全管理評估、安全保護評估、安全運維評估三個方面明確評估內容，并對評估結果的判定原則和判定方式等進行說明，為金融業機構開展數據安全評估工作提供參考。

標準主要內容包括：

1. 范圍及規范性引用文件。描述了標準制定的參考依據、行業需求和標準制定的目的，明確了標準的適用機構。
2. 金融數據安全評估概述。明確了金融數據安全評估的觸發條件、評估原則、評估參與方、評估內容、評估流程與評估方法。
3. 金融數據安全管理評估。明確了金融業機構數據安全管理相關組織架構及制度體系建設相關安全評估的具體內容、評估方法和結果判定依據。
4. 金融數據安全保護評估。明確了金融業機構數據資產分級管理、數據生命周期安全保護相關安全評估的具體內容、評估方法和結果判定依據。
5. 金融數據安全運維評估。明確了金融業機構邊界管控、訪問控制、安全監測、安全審計、安全檢查、應急響應與事件處置等數據安全運維相關安全評估的具體內容、評估方法和結果判定依據。
6. 金融數據安全評估結果。對數據安全評估結果確定過程中的數據安全問題等級、評估判定原則及評估結果判定等問題進行了詳細說明。