《金融數據安全 數據安全評估規范》（征求意見稿）

近日，全國金融標準化技術委員會秘書處發布關于《金融數據安全 數據安全評估規范》（征求意見稿）等2項金融行業標準征求意見的通知。

《金融數據安全 數據安全評估規范》（征求意見稿）規定了金融數據安全評估觸發條件、原則、參與方、內容、流程及方法，明確了數據安全管理、數據安全保護、數據安全運維三個主要評估域及其安全評估主要內容和方法。適用于金融業機構開展金融數據安全評估使用，并為第三方安全評估機構等單位開展金融數據安全檢查與評估工作提供參考。

1 評估概述

金融數據安全評估指金融業機構對其數據處理活動定期或按需開展的風險評估活動，評價金融業機構自身和數據處理活動第三方合作機構的數據安全保護能力，為金融業機構建立數據安全保護體系、明確數據安全保護策略和加強第三方合作機構數據安全管理提供參考性資料。

2 評估內容

依據JR/T 0197-2020《金融數據安全 數據安全分級指南》、JR/T 0223-2021《金融數據安全 數據生命周期安全規范》兩個行業規范作為金融數據安全評估的主要內容，包括金融數據安全管理（S1）、金融數據安全保護（S2）及金融數據安全運維（S3）三方面內容。

金融數據安全管理（S1）：明確了金融業機構數據安全管理相關組織架構及制度體系建設相關安全評估的具體內容、評估方法和結果判定依據。

金融數據安全保護（S2）：明確了金融業機構數據資產分級管理、數據生命周期安全保護相關安全評估的具體內容、評估方法和結果判定依據。

金融數據安全運維（S3）：明確了金融業機構邊界管控、訪問控制、安全監測、安全審計、安全檢查、應急響應與事件處置等數據安全運維相關安全評估的具體內容、評估方法和結果判定依據。

3 評估流程

金融數據安全評估流程分為評估準備、評估實施、安全分析、報告編制和結果評審五個步驟：

第一步：評估準備

在進行金融數據安全評估前，需首先明確評估目標；根據評估目標組建評估團隊，評估團隊由本機構本次金融數據安全評估的最高負責人、評估參與方以及實施團隊等共同組成。明確評估范圍，確定本次評估所涉及的金融數據、金融產品和服務、信息系統、人員及組織（含內、外部）等。最后根據本次評估目標和范圍等情況編制并確定本次金融數據安全評估工作的評估方案，明確本次評估工作的主要任務、任務分工、人員安排、時間計劃等內容。

第二步：評估實施

評估團隊牽頭部門的組織和其他參與方的共同配合下，金融數據安全評估的實施團隊根據已確定的評估方案開展本次評估的實施工作，留存評估實施過程相關記錄材料并形成各部分評估結果。

第三步：安全分析

根據本次金融數據安全評估的評估結果，實施團隊對本機構當前數據安全現狀、所面臨的各類數據安全問題嚴重程度及主要安全風險情況等進行分析，并提出相應改進建議。

第四步：報告編制

根據評估結果及安全分析結論編制評估報告，對評估內容、過程、結果、問題等進行總結和分析，并給出總體評估結論。

第五步：結果評審

評審團隊根據本次金融數據安全評估最終形成的評估報告及總體評估結論，同時審核確定各評估事項及參與人員行為等公平公正、真實有效及合法合規。

4 評估方法

金融數據安全評估采用的評估方法與風險評估類似，采用問卷調查、人員訪談、文檔查驗、配置核查、工具測試和旁站驗證6種評估手段。

5 評估結果判定

對數據安全評估結果確定過程中的數據安全問題等級、評估判定原則及評估結果判定等問題進行了詳細說明，最終結果判定表如下所示。

有效開展金融數據安全評估，一方面能夠推動金融業機構落實金融業數據安全管理要求，提升金融業數據安全保護工作的規范化和標準化程度；另一方面有助于金融業機構及時全面掌握本機構數據安全管理水平，預測并確認所面臨的數據安全威脅和風險，為金融業機構制定防范措施及應對安全事件提供科學依據和指導，可有效防控數據安全事件風險和危害，為金融數據的應用和流動提供有力保障。