5大策略助力《银行保险机构数据安全管理办法》规范落地

金融行业，数据安全“指挥棒”强势来袭！

3月22日，为规范银行保险机构数据处理活动，保障数据安全，促进数据合理开发利用，稳步提升金融服务数字化、智能化水平，保护个人和组织的合法权益，国家金融监督管理总局就《银行保险机构数据安全管理办法（征求意见稿）》（下称《管理办法》）公开征求意见。

内容解读

《办法》共九章八十一条，包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。主要内容包括：

一是明确数据安全治理架构。要求银行保险机构建立数据安全责任制，指定归口管理部门负责本机构的数据安全工作，明确各业务领域的数据安全管理职责。

二是建立数据分类分级标准。要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，并采取差异化的安全保护措施。

三是强化数据安全管理。要求银行保险机构按照国家数据安全与发展政策要求，根据自身发展战略建立数据安全管理制度和数据处理管控机制。

四是健全数据安全技术保护体系。要求银行保险机构建立数据安全技术架构，明确数据保护策略方法，采取技术手段保障数据安全。

五是加强个人信息保护。要求银行保险机构按照“明确告知、授权同意”原则处理个人信息，收集个人信息应限于最小范围，不得过度收集。

六是完善数据安全风险监测与处置机制。要求银行保险机构将数据安全风险纳入全面风险管理体系，明确风险监测评估、应急响应报告、事件处置的管理流程。

七是明确监督管理职责。国家金融监督管理总局及派出机构对银行保险机构数据安全保护情况进行监督管理，依法对银行保险机构数据安全事件进行处置。

规范落地

基于极盾科技在数据安全领域的积累与实践，本文针对《管理办法》中部分内容要点形成相关策略参考，助力银行保险机构数据安全建设规范化落地。

01

数据安全治理   

第二章  数据安全治理   第九条 （数据安全治理架构）

“银行保险机构应当建立覆盖董（理）事会、高管层、数据安全统筹、数据安全技术保护等部门的数据安全管理组织架构，明确岗位职责和工作机制，落实资源保障。

极盾科技的数据安全咨询服务，结合国家以及行业监管要求，从政策规范分析、组织架构现状调研、管理制度现状调研、业务现状调研、数据安全技术工具实施现状调研等方面进行数据安全现状的调研分析，并出具整改意见和方案，助力数据安全治理体系的建设。

02

数据分类分级   

第三章 数据分类分级 第十六条 （总体要求）

“银行保险机构应当制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，采取差异化安全保护措施。”

极盾科技从成立之初就打造了“数据分类分级利器—极盾·智辨”，致力于帮助企业自动化发现数据资产、梳理数据资产，智能分类分级，高效识别敏感数据，自动化周期性扫描数据资产，形成企业数据分类分级全景图。

03

数据安全管理   

第四章 数据安全管理  第二十条 （管理体系）

“银行保险机构应当按照国家数据安全与发展政策要求，根据自身发展战略，制定数据安全保护策略。银行保险机构应当制定数据安全管理办法，明确管理责任分工，建立包括数据处理全生命周期管控机制，落实保护措施。银行保险机构应当对数据外部引入或者合作共享、数据出境等，制定安全管理实施细则。”

极盾科技的数据安全咨询服务包含数据安全管理体系建设和数据安全管理制度建设，针对所识别的组织、制度、人员、技术等脆弱性及风险，以在满足合规基线要求可接受的差距目标为基准，开展规划可落实的顶层建设规划方案设计；遵循法律法规要求和行业标准规范，结合企业组织架构、管理方针，制定企业数据安全管理总则、管理制度、实施规范和工作模版等，帮助机构制定可持续化的数据安全运营体系，支撑管理制度和技术工具的落地，覆盖日常运营、数据安全评估、应急保障等场景，实现数据安全管理运营流程化、规范化，持续保护数据安全。

04

数据安全技术保护   

第五章  数据安全技术保护 第三十九条  （数据安全技术保护体系）

“银行保险机构应当建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系，建立数据安全技术架构，明确数据保护策略方法，采取技术措施，保障数据安全。”

极盾科技自研的“业务领域数据安全管控平台—极盾·觅踪”，通过用户实体行为分析（UEBA）、敏感数据识别、风险识别与告警、动态数据脱敏、访问控制、水印保护等核心技术，为企业提供针对业务系统“数据流通使用”场景，进行免改造应用的细粒度安全管控服务。其功能架构主要分成四个部分、分别是数据采集阶段、事前阶段、事中阶段和事后阶段。

05

数据安全风险监测与处置  

第七章  数据安全技术保护风险监测与处置  第六十四条 （数据安全风险管理机制）

“银行保险机构应当将数据安全风险纳入本机构全面风险管理体系，明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程，有效防范和处置数据安全风险。”

极盾·觅踪通过全面采集用户使用数据的行为、数据自身属性、人员信息、权限分配等链路监控信息，构建数据安全态势感知能力，当发现有账号、接口、数据访问行为、数据复制截屏、数据导出风险时，根据相应的告警规则发出告警提示，并且可以展示触发告警的账号、告警内容，以及该账号之前的全部操作，从而可以对该账号进行风险追踪溯源。对于触发较多的风险规则，支持脚本自动化处置，自动化处置结果可以“自动化处置历史”里面查看，以便及时对风险规则和告警处置规则进行阈值的调整。

《银行保险机构数据安全管理办法》的出台，将进一步充实和完善我国金融行业数据安全的决策部署。极盾科技作为数据安全提供商，始终秉持“让数据使用安全、合规、自由”的理念，紧跟时代发展与政策要求，在数据安全等前沿领域持续推出自主创新产品和解决方案，为护航企业数据安全贡献力量。