《办法》所称监管数据安全是指监管数据在采集、处理、存储、使用等活动(以下简称监管数据活动)中,处于可用、完整和可审计状态,未发生泄露、篡改、损毁、丢失或非法使用等情况。
其中在数据采集和使用方面,《办法》明确监管数据的采集应按照安全、准确、完整和依法合规的原则进行,避免重复、过度采集。监管数据仅限于银保监会履行监管工作职责使用,监管数据的使用行为应通过管理和技术手段确保可追溯。
受银保监会委托或委派,为银保监会提供监管数据采集、处理或存储服务的企事业单位适用于本办法。
数据的采集、存储和加工处理 数据的采集 按照安全、准确、完整和依法合规的原则进行,避免重复、过度采集。 数据的监管 通过监管工作网或金融专网进行传输。因客观条件限制需要通过物理介质、互联网或其它网络传输的,应经归口管理部门评估同意。 数据的存储 存储在银保监会机房,并具有完备的备份措施。 数据的加工 应在监管工作权限或受托范围内进行。未经归口管理部门同意,任何单位和个人不得将代码、接口、算法模型和开发工具等接入监管信息系统。 监管数据采集、传输、存储、加工处理、转移交换、销毁,以及用于系统开发测试等活动,应根据监管数据类型和管理要求采取分级分类安全技术防护措施。 监控数据安全的要求 监管数据的使用行为应通过管理和技术手段确保可追溯。监管数据用于信息系统开发测试以及对外展示时,应经过脱敏处理。 使用未公开披露的监管数据,原则上应在不可连接互联网的台式机或笔记本等银保监会工作机中进行。因客观条件限制需采取虚拟专用网络等方式使用监管数据时,应经归口管理部门评估同意。 因工作需要下载的监管数据,仅可存储于银保监会的工作机中。承载监管数据的使用介质应妥善保管,防止数据泄露。 各部门应急处置措施得当 各业务部门及受托机构发生以下监管数据重大安全风险事项时,应立即采取应急处置措施,及时消除安全隐患,防止危害扩大,并于48小时内向归口管理部门报告。 (一)监管数据发生泄露或非法使用; (二)监管数据发生损毁或丢失; (三)承载监管数据的信息系统或网络发生系统性故障造成服务中断4小时以上; (四)承载监管数据的信息系统或网络遭受非法入侵、发生有害信息或计算机病毒的大规模传播等破坏; (五)监管数据安全事件引发舆情; (六)《网络安全重大事件判定指南》列明的其他影响监管数据安全的网络安全重大事件。辖区发生以上监管数据重大安全风险事项时,各银保监局应立即采取补救措施,并于48小时内向银保监会归口管理部门报告。 随着新信息技术与社会生活的逐步融合,数据已经成为重要的资源要素。借助数据归集整合,通过大数据分析实现对企业与金融机构的精准画像,可以说数据要素的有效应用成为新形势下维护金融稳定发展的有力支撑,数据治理成为完善金融监管不可或缺的有益举措。 《办法》要求监管数据安全管理实行归口管理,统计信息部门负责统筹,业务部门发现重大安全风险事项48小时上报至归口管理部门。对监管数据采集、存储、加工处理和使用均提出明确而规范的要求。 《办法》的出台在指导并加强监管数据安全管理,防范监管数据安全风险。前沿信安作为“中国数据安全专业厂商”,通过全新的数据安全建设理念,结合金融数据安全解决方案,为客户提供全方位的数据安全防护体系,提供真正意义上的全生命周期数据安全管理。
新闻内容来源于银保监会
以下为《办法》内容阅读↓
中国银保监会监管数据安全管理办法 (试行) 第一章 总则 第二章 工作职责 第八条 归口管理部门具体职责包括: (一)制定监管数据安全工作规则和管理流程; (二)制定监管数据安全技术防护措施; (三)组织实施监管数据安全评估和监督检查。 第九条 各业务部门具体职责包括: (一)规范本部门监管数据安全使用,明确具体工作要求,落实相关责任; (二)组织开展本部门监管数据安全管理工作; (三)协助归口管理部门实施监管数据安全监督检查。 第三章 监管数据采集、存储和加工处理
第十五条 监管数据采集、传输、存储、加工处理、转移交换、销毁,以及用于系统开发测试等活动,应根据监管数据类型和管理要求采取分级分类安全技术防护措施。 第四章 监管数据使用
第十八条 使用未公开披露的监管数据,原则上应在不可连接互联网的台式机或笔记本等银保监会工作机中进行。因客观条件限制需采取虚拟专用网络等方式使用监管数据时,应经归口管理部门评估同意。
第二十二条 各业务部门因工作需要向非党政机关单位、个人提供监管数据时,应充分评估数据安全风险,经本部门主要负责人同意后实施,必要时与对方签订备忘录和保密协议并报归口管理部门备案。与境外监管机构或国际组织共享监管数据时,应由国际事务部门依照银保监会签署的监管合作谅解备忘录、合作协议等约定或其他有关工作安排进行管理。法律法规另有规定的,从其规定。
第二十三条 各业务部门因工作需要和系统下线停用监管数据时,应及时对其采取封存或销毁措施。 第五章 监管数据委托服务管理
第二十五条 为银保监会提供监管数据服务的受托机构,应满足以下基本条件: (一)具备从事监管数据工作所需系统的自主研发及运维能力; (二)具备相关信息安全管理资质认证; (三)拥有自主产权或已签订长期租赁合同的机房; (四)网络和信息系统具备有效的安全保护和稳定运行措施,三年内未发生网络安全重大事件; (五)具备有效的监管数据安全管理措施,能够保障银保监会各部门对监管数据的访问和控制; (六)具有监管数据备份体系、应急组织体系和业务连续性计划。
第二十六条 银保监会通过与受托机构签订协议,确立监管数据委托服务关系。协议应明确服务项目、期限、安全管理责任和终止事由等内容。银保监会通过委派方式确立监管数据服务关系的,应下达委派任务书。
第二十七条 因有关政策调整导致原委托或委派事项无需继续履行,或发现受托机构监管数据服务出现重大安全问题的,银保监会有权终止委托或委派关系。 委托或委派关系终止时,受托机构应及时、完整地移交监管数据,并销毁因委托或委派事项而获取的监管数据,不得保留相关数据备份等内容。 第六章 监督管理
第三十条 各业务部门及受托机构发生以下监管数据重大安全风险事项时,应立即采取应急处置措施,及时消除安全隐患,防止危害扩大,并于48小时内向归口管理部门报告。 (一)监管数据发生泄露或非法使用; (二)监管数据发生损毁或丢失; (三)承载监管数据的信息系统或网络发生系统性故障造成服务中断4小时以上; (四)承载监管数据的信息系统或网络遭受非法入侵、发生有害信息或计算机病毒的大规模传播等破坏; (五)监管数据安全事件引发舆情; (六)《网络安全重大事件判定指南》列明的其他影响监管数据安全的网络安全重大事件。 辖区发生以上监管数据重大安全风险事项时,各银保监局应立即采取补救措施,并于48小时内向银保监会归口管理部门报告。
第七章 附则 第三十二条 涉密监管数据按照国家和银保监会保密管理有关规定进行管理。 第三十三条 各银保监局承担辖区监管数据安全管理责任,参照本办法制定辖区监管数据安全管理办法,明确职责和管理要求,强化监管数据安全保护。 第三十四条 本办法自印发之日起施行。