央行將開展金融數據安全評估,標準已在制定
12月3日,全國金融標準化技術委員會(以下簡稱“金標委”)發布公告,就《金融數據安全 數據安全評估規范》金融標準征求意見,明確了數據安全管理、數據安全保護、數據安全運維三個主要評估域及其安全評估主要內容和方法。
該標準適用于金融業機構開展金融數據安全評估使用,并為第三方安全評估機構等單位開展金融數據安全檢查與評估工作提供參考。
金融數據復雜多樣,新技術背景下的金融數據應用形態多樣、生態各異,并逐步實現與金融產品和服務的深度融合,而當前各金融業機構數據安全管理能力尚處于參差不齊的狀態,金融業整體數據安全保護仍有待進一步統籌協調,逐步實現規范化和標準化。
金標委表示,開展金融數據安全評估,一方面能夠推動金融業機構落實金融業數據安全管理要求,提升金融業數據安全保護工作的規范化和標準化程度;另一方面有助于金融業機構及時全面掌握本機構數據安全管理水平,預測并確認所面臨的數據安全威脅和風險,為金融業機構制定防范措施及應對安全事件提供科學依據和指導,可有效防控數據安全事件風險和危害,為金融數據的應用和流動提供有力保障。
標準主要內容包括:
1.范圍及規范性引用文件。描述了標準制定的參考依據、行業需求和標準制定的目的,明確了標準的適用機構。
2.金融數據安全評估概述。明確了金融數據安全評估的觸發條件、評估原則、評估參與方、評估內容、評估流程與評估方法。
3.金融數據安全管理評估。明確了金融業機構數據安全管理相關組織架構及制度體系建設相關安全評估的具體內容、評估方法和結果判定依據。
4.金融數據安全保護評估。明確了金融業機構數據資產分級管理、數據生命周期安全保護相關安全評估的具體內容、評估方法和結果判定依據。
5.金融數據安全運維評估。明確了金融業機構邊界管控、訪問控制、安全監測、安全審計、安全檢查、應急響應與事件處置等數據安全運維相關安全評估的具體內容、評估方法和結果判定依據。
6.金融數據安全評估結果。對數據安全評估結果確定過程中的數據安全問題等級、評估判定原則及評估結果判定等問題進行了詳細說明。
