|
财经
|
国家金融监督管理总局拟标准 银行保险机构数据处理方法主题活动
报志愿编写吴晓璐
3月22日,国家金融监督管理总局就《银行保险机构数据安全管理办法(征求意见稿)》(下称《办法》)公开征求意见,标准银行保险机构数据处理方法主题活动,保障信息安全,推动数据信息有效综合利用,稳步增长金融信息服务智能化、智能化程度,维护个人或组织合法权利。
确保客户信息内容
和金融投资网络信息安全
据国家金融监督管理总局相关司局相关负责人介绍,近些年,数据安全法、个人信息保护法等行政法规相继发布,对规范数据处理方法主题活动、个人信息安全等提出了明确要求。与此同时,金融业数字化变革加快演变,新技术应用、新运营模式层出不穷,数据库的应用、生产加工、传送、分享等系列活动日益频繁,进一步凸显数据安全保护的必要性。对于此事,必须充分运用监管“方向标”功效,通过加强政策规定正确引导银行保险机构压实主体责任,健全内部管理制度,采用有效的方法提升数据库管理保护,确保客户信息及金融投资网络信息安全。
《办法》共九章八十一条。包含通则、数据安全治理、数据分类分级、数据安全保护、数据安全技术维护、个人信息安全、数据安全风险监测和处理、监管及附录。主要内容包括:
一是确立数据安全治理架构设计。规定银行保险机构创建数据信息安全责任制度,特定归口部门承担本机构的信息安全工作任务;依照“谁管业务、谁管业务信息、谁管网络信息安全”的基本原则,明确各业务领域的数据安全保护义务,贯彻落实数据安全保护管理规范。
二是创建数据分类分级规范。规定银行保险机构制订数据分类分级保护制度,创建数据目录和分类分级标准,动态性管理和维护数据目录,并制定个性化的安全保护措施。
三是强化数据安全保护。规定银行保险机构依照国家数据安全与发展政策规定,根据自己的发展战略规划创建数据安全保护机制和数据处理方法管控体系,在进行相关数据服务解决活动的时候应当进行网络信息安全评定。
四是完善数据安全技术保护体系。规定银行保险机构创建对于大数据技术、云计算技术、移动互联、物联网等多元化异构环境中的数据安全技术保护体系,创建数据安全技术架构设计,确立个人信息保护对策方式,采用方式方法保障信息安全。
五是提升个人信息安全。规定银行保险机构在对待个人资料时,应当按照“明确说明、受权允许”的基本原则执行,并履行必须的告知义务;收集个人信息应仅限于完成信贷业务解决目地的最低范畴,不可过多搜集;共享和对外提供个人资料时,须取得本人允许。
六是完善数据安全风险监测和处置机制。规定银行保险机构将数据安全风险列入本机构全方位风险管理系统,确立数据安全风险检测、风险评价、应急处置及汇报、事情处理的组织架构和管理制度,有效防范和处理数据安全风险。
七是确立监管职责。要求国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理方法,进行非现场监管、监督检查,依法向银行保险机构数据安全事件进行处理。对违反《办法》标准的追究其有关责任。
将数据安全风险
列入全方位风险管理系统
据以上相关负责人介绍,《办法》有五大特性:一是贯彻落实数据信息安全责任制度。确立银行保险机构党委会(党委会)、董(理)事会对本单位网络信息安全工作中负监督责任,组织负责人为网络信息安全第一责任人,主抓网络信息安全的领导为直接责任人。
二是确立网络信息安全归口部门。规定银行保险机构特定网络信息安全归口部门,作为本机构负责数据信息安全工作的主责部门,担负制订数据安全保护规章制度规范、创建维护保养数据目录、促进数据分类分级维护、深入开展风险监控、预警信息及处置等岗位职责。
三是将数据安全风险列入全方位风险管理系统。规定银行保险机构确立管理制度,积极识别风险,对数据安全风险进行合理检测,避免数据信息毁坏、泄漏、违法利用等安全事故产生。风险管控、内控合规和审计单位定期检查网络信息安全开展审计、监督管理与评估。
四是加强网络信息安全评定。规定银行保险机构进行相关数据处理方法活动的时候,应事先进行安全风险评估。依据数据处理方法目地、特性和范畴,剖析数据安全风险与对数据主体利益危害,评定数据处理方法的重要性、合规及疫情防控措施实效性。
五是创建数据安全保护基准线。将它们列入网络安全等级保护,对储放或传送比较敏感及以上的数据库的主机房、互联网执行关键安全防护,在信息项目生命周期内采取相应密钥管理管控措施,选用安全可靠的传输技术确保数据库安全、安全性、易用性。
谈起《办法》要求的信息安全管理职责,以上相关负责人表示,《办法》规定银行保险机构依照国家数据安全与发展政策规定,根据自己的发展战略规划,制订数据安全保护对策;依据数据处理方法目地、特性和范畴,按照法律法规及社会道德规范标准,对有关数据服务解决工作进行安全风险评估,剖析数据安全风险与对数据主体利益危害,评定数据处理方法的重要性、合规及疫情防控措施实效性;收集信息应遵循“合理合法、就在、必需、诚实守信”标准,确立数据采集与处理的效果、方法、范畴、标准,确保搜集流程的数据存储安全、信息来源追朔,不得超出数据主体赞同的范畴收集信息;在信息集团内部分享的过程当中,应当建立总公司(企业)与其说分公司网络信息安全隔离“网络防火墙”,并且对共享信息采取相应保障措施;《办法》也对数据整理、授权委托解决、一同解决、数据迁移等具体的数据解决情景各自给出了相对应安全管理要求。
商业时报所刊载信息均来源于网络,并不代表本站观点。本文所涉及的信息、数据和分析均来自公开渠道,如有任何不实之处、涉及版权问题,请邮箱Jubao_Times@163.com
本文仅供读者参考,任何人不得将本文用于非法用途,由此产生的法律后果由使用者自负