金融数据安全 数据安全评估规范(征求意见稿)

发布时间:2022-09-17 01:24:39 来源:火狐官网登录 作者:火狐电竞直播

  本标准规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法,明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。

  本标准适用于金融业机构开展金融数据安全评估使用,并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。

  金融数据安全评估指金融业机构对其数据处理活动定期或按需开展的风险评估活动,用于评价金融业机构自身和数据处理活动第三方合作机构的数据安全保护能力,为金融业机构建立数据安全保护体系、明确数据安全保护策略和加强第三方合作机构数据安全管理提供参考性资料。金融业机构应定期开展金融数据安全评估工作,评估周期应不超过一年;金融业机构金融数据资产、金融数据安全保障、金融数据应用场景等发生变化时,也应触发金融数据安全评估工作,触发条件及其评估内容应至少包括表5.1.1所示情况。金融业机构在金融产品或服务上线前、业务功能或信息系统发生较大变更以及本机构发生重大数据安全事件等情况时均应开展全面评估,且应重点关注与该产品或服务数据或该变更部分密切相关的评估内容。以上及其他需要进行金融数据安全评估的情况,金融业机构均应及时开展数据安全评估工作,并留存相关评估过程材料及评估报告等评估结果材料,以备查验、备案或上报等使用。

  金融数据安全评估遵守以下原则:a)客观公正原则:是指在评估过程中,应当根据被评估方实际情况做出判断和真实的评价,不得夸大或掩盖发现的问题,不得根据个人主观意愿或他人意见做出评价;b)可重用原则:是指在适当情况下,相同的评估内容可参考或引用被评估方已有的评估结果;c)可再现原则:是指对于相同评估内容和评估要求,在相同评估环境下,采用同样评估方法对同一被评估方的评估实施过程进行重复操作,可得到相同评估结果;d)最小影响原则:是指在评估过程中尽量小地影响被评估方现有业务和信息系统正常运行,最大程度地降低对被评估方造成的干扰和风险;e)信息保密原则:是指评估参与方对本次评估所涉及的被评估方商业信息、客户信息、技术文件等进行严格保密。

  JR/T 0197-2020中的金融数据及其安全分级,以及JR/T 0223-2021中的金融数据生命周期安全要求是金融数据安全评估的主要内容,主要评估域见图1,包括数据安全管理(S1)、数据安全保护(S2)、及数据安全运维(S3)三方面内容。开展金融数据安全评估的过程中,应通过技术手段识别金融业机构 的金融数据资产,确定评估的保护对象范围,同时,识别金融业机构数据安全管理相关组织架构建设、制度体系建设、数据资产管理及相应安全防护技术应用等方面需求及实际实施情况,并对数据安全运维机制进行确认,分析金融业机构在金融数据保护过程中存在的缺陷和不足,对金融业机构的数据安全风险、数据保护策略实施情况、数据安全保护能力等进行综合评定,得出最终的评估结论。其中,本文件所述各评估域的各项评估内容表中,凡注明“可选项”的,均为可根据实际情况进行选评的内容,可不 计入或仅将已选评项计入最终评估结果;凡未注明“可选项”的,均为必评内容,应计入最终评估结果。此外,实际评估过程中,应结合当前评估需求、评估目标及评估范围等情况,对于不属于当前评估范围内的各项必评内容,视为不纳入本次评估范畴,不应计入最终评估结果,且应在评估相关记录及评估报告中作明确记录和必要说明。