2023年7月24日,央行就《中国人民银行业务领域数据安全管理办法(征求意见稿)》公开征求意见,本次征求意见稿就适用范围、原则、数据分类分级、总体要求、管理要求、技术要求、风险监测等内容给出了相关规定,并计划于2024年施行。如何在管理办法正式施行之前做好工作准备,本文给出以下重点供参考。
(请在文末下载高清图,或关注微信公众号“数据安全推进计划”,回复“央行图解”。)
(1)数据分类分级方面,强调建立健全本单位数据分类分级实施制度,并针对类别和级别的定义给出了参考要求。尤其是级别部分,除规定了一般、重要、核心的分级要求外,还提出了按照数据敏感性、数据可用性进行数据层级划分的规定。此处要注意本次征求意见稿依据数据敏感性,将数据分为1~5级,并在后续的管理措施及技术措施章节分别提出不同级别的管控要求。考虑到此前已发布了JR/T 0197-2020、JR/T 0223-2021等相关的数据分级管理标准,央行后续也将加快上述标准的修订,确保制度与标准适配统一。
本次征求意见稿的发布,再次强调了数据分类分级在数据安全精细化、差异化管理方面的中重要作用,也是各金融机构的工作重点。为协助衡量各单位数据分类分级工作在满足合规要求及业务发展需要方面的科学有效性,中国信通院联合银行等金融机构编制了《数据分类分级成熟度评价模型》,从分类分级的规划、实施、运营三方面开展综合评价,协助各单位了解该项工作的开展成效,如图1所示。
图1 《数据分类分级成熟度评价模型》
(2)数据安全保护总体要求方面,对职责划分、全流程数据安全管理制度、培训等内容进行了再次强调。数据安全工作的开展落实涉及多部门协作是毋庸置疑的,因此,明确的职责分工有助于划定工作范畴及责任边界,有利于多方协作的顺利开展。数据安全推进计划发布的《数据安全治理实践指南(2.0)》在职责分工方面给出了参考,如图2所示,同时针对全流程数据安全管理制度体系给出了一种示例,如图3所示。完善的责任体系和制度体系是数据安全工作顺利推进的基本保障,我们也在组织架构设计、责任划分、制度文件编写等方面提供咨询服务,并在金融机构落地实施。
图2 数据安全组织职责分工表
图3 一套可参考的数据安全管理制度体系
(3)数据安全保护管理及技术措施方面,本次征求意见稿按照数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期流程提出了管理措施及技术措施。管理措施层面,额外强调了对人员的账号及权限的管理要求,同时在技术措施层面,通过对统一认证、统一策略授权、日志记录等技术手段进行强调,与管理措施形成呼应,确保管理与技术的有效衔接,预防脱钩现象。针对数据出境等特殊场景,本次稿件也单独做了说明,承接国家网信部门关于数据出境安全评估的相关要求。
如图4所示,“数据出境”是2023年大数据十大关键词之一,其中数据出境安全评估作为最先施行的出境路径备受关注,自国家网信办发布第一版《数据出境安全评估申报指南》,各省市积极跟进响应,或开展解读活动,或发布当地申报指南,为出境评估工作的顺利开展探索实践路径。中国信通院积极响应相关政策要求,针对出境评估开展闭门研讨、培训、第三方评估服务等工作,助力数据流通。
图4 2023大数据十大关键词
(4)风险监测等方面,给出了与数据处理活动相关的14条风险监测重点,以及5条与风险情报相关的重点关注事项,并要求重要数据处理者每年需自行或者委托检测机构开展一次全面的数据安全风险评估工作,并于下年度一季度末前报送评估报告。同时,针对已经由风险演变的数据安全事件,明确了定级标准,要求同步制定应急预案,并纳入网络安全事件应急响应机制进行统一管理。
考虑到风险是数据安全的主要防范对象,各单位可以将数据安全风险评估作为工作推进的主要抓手。目前,国家有关部门正积极开展数据安全风险评估相关流程、框架、实践方法的编制,与此同时,中国信通院也结合金融行业相关要求,为各金融单位提供风评服务,并在国有大行实践落地。
随着数据要素市场的不断建设,以数据为中心的安全能力建设将是各单位数据资产价值释放的重要保障。中国信通院积极发挥自身在法规、技术和产业等多方面积累的能力和优势,提供数据安全治理体系规划、数据安全风险评估与治理、数据分类分级、数据出境安全评估、合作方数据安全评估、数据安全培训等全方位服务,助力金融业夯实数据安全,强化合规自律,高质量实现数字化转型。
相关咨询,欢迎联系:李老师,13581661287(微信同号)
相关内容推荐和下载:
腾讯安全携手中国信通院云大所发布《数据安全治理与实践白皮书》
白皮书提出了覆盖组织保障、管理流程、技术体系的腾讯数据安全治理体系,并选取了多种典型场景,介绍相应数据安全治理实践路线及主要亮点。
数治入门 | 数据安全治理典型场景和规划建设
首先考虑核心业务先行实践,然后在治理深度上逐步构建形成体系化、全周期的数据安全防护体系,再在治理广度上逐步覆盖到数据运营全业务,并在过程中持续优化。
数治实践:场景化五步走路线 带你手把手落地数据安全治理
本指南优化了数据安全治理总体视图,并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索,进一步细化了数据安全治理实践路线。