數(shù)據(jù)生命周期安全規(guī)范》“要切實(shí)”數(shù)

《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》“要切實(shí)”數(shù)（征求意見稿）編制說明

一、背景及意義

2017年12月8日，習(xí)近平總書記在中共中央政治局就

實(shí)施國家大數(shù)據(jù)戰(zhàn)略進(jìn)行第二次集體學(xué)習(xí)時(shí)提出：

保障國家數(shù)據(jù)安全，強(qiáng)化國家關(guān)鍵數(shù)據(jù)資源保護(hù)能力。

據(jù)安全關(guān)乎國家安全，數(shù)據(jù)資源保護(hù)已上升至國家戰(zhàn)略層

面。2019年11月，在十九屆四中全會首次提出數(shù)據(jù)可作為

生產(chǎn)要素按貢獻(xiàn)參與分配，數(shù)據(jù)價(jià)值的提高對數(shù)據(jù)安全保護(hù)

提出更高要求。

隨著信息技術(shù)的發(fā)展，金融業(yè)機(jī)構(gòu)和金融事務(wù)處置均已

實(shí)現(xiàn)信息化、數(shù)字化運(yùn)作，所產(chǎn)生的信息也逐步以不同形式

轉(zhuǎn)化為機(jī)構(gòu)的重要數(shù)字資產(chǎn)。同時(shí)，金融數(shù)據(jù)隨著應(yīng)用場景

和應(yīng)用機(jī)構(gòu)的爆炸式增長變得更加豐富的同時(shí)，也愈加復(fù)雜

多樣，金融數(shù)據(jù)在不同業(yè)務(wù)間、機(jī)構(gòu)間流轉(zhuǎn)的過程中，從技

術(shù)到管理都面臨著潛在的安全風(fēng)險(xiǎn)。

當(dāng)前金融業(yè)機(jī)構(gòu)數(shù)據(jù)泄漏等安全威脅的影響已逐步從

機(jī)構(gòu)內(nèi)轉(zhuǎn)移擴(kuò)大至行業(yè)間，甚至?xí)ι鐣a(chǎn)與國家安全產(chǎn)

生一定的影響。如何在滿足金融業(yè)務(wù)基本需求的基礎(chǔ)上，指

導(dǎo)各相關(guān)機(jī)構(gòu)規(guī)范金融數(shù)據(jù)安全管理，強(qiáng)化金融行業(yè)數(shù)據(jù)資

1

源保護(hù)能力，切實(shí)保障金融數(shù)據(jù)安全流動，已成為當(dāng)前亟待

解決的問題。

基于數(shù)據(jù)安全級別，結(jié)合金融行業(yè)應(yīng)用場景特點(diǎn)，深度

剖析金融數(shù)據(jù)的安全防護(hù)需求，并建立覆蓋金融數(shù)據(jù)生命周

期各階段的安全防護(hù)框架，有助于金融業(yè)機(jī)構(gòu)數(shù)據(jù)保護(hù)資源

和成本的優(yōu)化配置，是建立完善的數(shù)據(jù)安全防護(hù)機(jī)制的核心

任務(wù)，也是建立統(tǒng)一、標(biāo)準(zhǔn)化的數(shù)據(jù)安全管理體系的必要條

件，能夠促進(jìn)金融數(shù)據(jù)在機(jī)構(gòu)間、行業(yè)間的安全共享，有利

于金融行業(yè)數(shù)據(jù)價(jià)值的挖掘與實(shí)現(xiàn)。

為避免金融數(shù)據(jù)的破壞、泄漏、丟失，給客戶、金融業(yè)

機(jī)構(gòu)乃至金融行業(yè)、社會秩序、公共利益帶來嚴(yán)重危害，統(tǒng)

一指導(dǎo)金融行業(yè)數(shù)據(jù)安全管理工作，有必要通過行業(yè)標(biāo)準(zhǔn)對

金融行業(yè)的數(shù)據(jù)安全管理進(jìn)行規(guī)范化要求。通過編寫金融數(shù)

據(jù)生命周期安全規(guī)范，對金融數(shù)據(jù)生命周期各階段進(jìn)行全面

安全防護(hù)，在信息系統(tǒng)建設(shè)的全過程搭建好數(shù)據(jù)安全防護(hù)架

構(gòu)，并在日常的信息系統(tǒng)運(yùn)維過程中做好數(shù)據(jù)應(yīng)用安全管

控，同時(shí)對金融行業(yè)數(shù)據(jù)安全管理體系建設(shè)提出要求，能夠

指導(dǎo)并促進(jìn)金融業(yè)機(jī)構(gòu)實(shí)施數(shù)據(jù)安全防護(hù)，強(qiáng)化金融業(yè)機(jī)構(gòu)

數(shù)據(jù)安全管理能力，統(tǒng)一金融數(shù)據(jù)安全防護(hù)架構(gòu)的標(biāo)準(zhǔn)化與

規(guī)范化要求，提升金融數(shù)據(jù)安全管理體系的可實(shí)施性和可管

理性。

在目前的行業(yè)狀況和技術(shù)條件下，適時(shí)地由監(jiān)管部門推

2

出技術(shù)標(biāo)準(zhǔn)，對推動金融行業(yè)數(shù)據(jù)安全防護(hù)機(jī)制的標(biāo)準(zhǔn)化工

作大有裨益，在進(jìn)一步促進(jìn)金融行業(yè)數(shù)據(jù)安全工作逐步規(guī)范

化的同時(shí)，也將促進(jìn)金融行業(yè)數(shù)據(jù)相關(guān)業(yè)務(wù)的穩(wěn)健發(fā)展。

二、制定原則

由于金融行業(yè)數(shù)據(jù)復(fù)雜多樣、影響面廣，在標(biāo)準(zhǔn)編制過

程中，工作組以“搭建數(shù)據(jù)生命周期安全框架、構(gòu)建數(shù)據(jù)安

全管理體系”為基本編制思路，充分考慮當(dāng)前金融行業(yè)數(shù)據(jù)

安全管理現(xiàn)狀，同時(shí)兼顧國家相關(guān)政策和行業(yè)發(fā)展趨勢，遵

循以下幾個(gè)原則：

（一）行業(yè)適用性：本標(biāo)準(zhǔn)在編制過程中始終堅(jiān)持?jǐn)?shù)據(jù)

安全防護(hù)架構(gòu)在金融行業(yè)的普遍適用性，同時(shí)重點(diǎn)關(guān)注數(shù)據(jù)

安全防護(hù)相關(guān)策略和機(jī)制在各金融業(yè)機(jī)構(gòu)的可落地性。

（二）合規(guī)性原則：編制組在本標(biāo)準(zhǔn)起草過程中始終遵

循與我國現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)范等相一致的原則，

同時(shí)也兼顧行業(yè)監(jiān)管機(jī)構(gòu)對金融數(shù)據(jù)進(jìn)行安全管理的實(shí)際

監(jiān)管要求。

三、主要內(nèi)容和編制依據(jù)

（一）主要內(nèi)容

本標(biāo)準(zhǔn)主要從金融數(shù)據(jù)生命周期安全防護(hù)框架出發(fā)，從

安全原則、數(shù)據(jù)生命周期安全防護(hù)要求、安全組織要求、信

息系統(tǒng)建設(shè)及運(yùn)維的數(shù)據(jù)安全要求等方面，對金融數(shù)據(jù)安全

3

管理體系建設(shè)提出要求，并以附錄的形式給出數(shù)據(jù)安全體系

和數(shù)據(jù)安全防護(hù)的最佳實(shí)踐，為金融數(shù)據(jù)安全防護(hù)架構(gòu)的落

實(shí)提供參考。本標(biāo)準(zhǔn)主要內(nèi)容包括：

1.范圍及規(guī)范性引用文件。描述了標(biāo)準(zhǔn)制定的參考依據(jù)、

行業(yè)需求和標(biāo)準(zhǔn)制定的目的，明確了標(biāo)準(zhǔn)的適用機(jī)構(gòu)。

2.安全原則。提出了金融業(yè)機(jī)構(gòu)開展金融數(shù)據(jù)安全防護(hù)

工作及進(jìn)行數(shù)據(jù)安全管理體系建設(shè)的基本安全原則。

3.數(shù)據(jù)生命周期安全防護(hù)要求。提出了覆蓋金融數(shù)據(jù)生

命周期各階段的安全防護(hù)要求，明確了數(shù)據(jù)安全防護(hù)的基本

措施和實(shí)現(xiàn)方式。

4.數(shù)據(jù)安全的組織保障要求。提出了金融業(yè)機(jī)構(gòu)數(shù)據(jù)安

全管理體系建設(shè)的基本要求，并對組織架構(gòu)、制度體系及人

員管理等方面進(jìn)行了描述。

5.信息系統(tǒng)建設(shè)過程中的數(shù)據(jù)安全保障要求。從信息系

統(tǒng)開發(fā)全生命周期的維度，提出數(shù)據(jù)安全防護(hù)體系的實(shí)施架

構(gòu)，為金融業(yè)機(jī)構(gòu)實(shí)施數(shù)據(jù)生命周期安全防護(hù)提供指導(dǎo)。

6.信息系統(tǒng)運(yùn)維過程中的數(shù)據(jù)安全保障要求。通過安全

監(jiān)測、安全審計(jì)、檢查評估及應(yīng)急響應(yīng)與事件處理等運(yùn)維過

程中的數(shù)據(jù)安全管控要求，確保金融機(jī)構(gòu)在日常運(yùn)營過程中

的數(shù)據(jù)安全。（二）編制依據(jù)

1.政策依據(jù)

4

數(shù)據(jù)中心設(shè)計(jì)規(guī)范信息安全技術(shù)信息技術(shù)詞匯第1部分：基本信息安全技術(shù)國民經(jīng)濟(jì)行業(yè)分類密碼術(shù)語數(shù)據(jù)中心設(shè)計(jì)規(guī)范信息安全技術(shù)信息技術(shù)詞匯第1部分：基本信息安全技術(shù)國民經(jīng)濟(jì)行業(yè)分類密碼術(shù)語SM4分組密碼算法密碼模塊安全檢測要求證券期貨業(yè)數(shù)據(jù)分類分級指引安全技個(gè)人金融信息保護(hù)技術(shù)規(guī)范2019年12月，人民銀行科技術(shù)語個(gè)人信息安全規(guī)

根據(jù)人民銀行推進(jìn)金融行業(yè)數(shù)據(jù)安全管理相關(guān)工作要求，協(xié)

助科技司研制金融行業(yè)數(shù)據(jù)生命周期安全相關(guān)標(biāo)準(zhǔn)。

2.標(biāo)準(zhǔn)依據(jù)

本標(biāo)準(zhǔn)的制定參考下列現(xiàn)行標(biāo)準(zhǔn)編制：

GB50174-2017

GB/T25069—2010

GB/T5271.1—2000

術(shù)語

GB/T35273—2020

范

GB/T4754-2017

GM/Z0001—2013

GM/T0002—2012

GB/T37092-2018

JR/T0158—2018

JR/T0167—2018云計(jì)算技術(shù)金融應(yīng)用規(guī)范

術(shù)要求

JR/T0171—2020

四、主要工作過程

（一）標(biāo)準(zhǔn)工作組組建。

5

2019年122019年12月至2020年2數(shù)據(jù)生命周期安全規(guī)范2020年3月，工作組根據(jù)科數(shù)據(jù)生命周期安全規(guī)范(工(征求意

商，召開了第一次工作組會議，研究確立了標(biāo)準(zhǔn)內(nèi)容的編制

原則和具體工作形式，完成工作組組建。（二）工作組草案稿形成。

月，標(biāo)準(zhǔn)工作組采取集中封閉會議以及線上遠(yuǎn)程會議等形

式，討論標(biāo)準(zhǔn)涉及的技術(shù)要求、對比相關(guān)政策標(biāo)準(zhǔn)后，編制

標(biāo)準(zhǔn)內(nèi)容，形成《金融數(shù)據(jù)安全

作組草案稿)》，上報(bào)至科技司。（三）征求意見稿形成。

技司相關(guān)意見，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行多次討論，修改、完善相關(guān)

內(nèi)容，形成《金融數(shù)據(jù)安全

見稿)》。

五、適用范圍

本標(biāo)準(zhǔn)適用于金融業(yè)機(jī)構(gòu)開展金融電子數(shù)據(jù)安全防護(hù)

使用，并為第三方安全評估機(jī)構(gòu)等單位開展數(shù)據(jù)安全檢查與

評估工作提供參考。

六、重大分歧意見的處理和依據(jù)

無。

七、行業(yè)標(biāo)準(zhǔn)屬性的建議

鑒于本標(biāo)準(zhǔn)的內(nèi)容未涉及強(qiáng)制性標(biāo)準(zhǔn)或強(qiáng)制性條文的

6

數(shù)據(jù)傳輸安全規(guī)范》和《金融數(shù)據(jù)安數(shù)據(jù)生命周期安全規(guī)范》。同時(shí)，數(shù)據(jù)傳輸安全規(guī)范》和《金融數(shù)據(jù)安數(shù)據(jù)生命周期安全規(guī)范》。同時(shí)，數(shù)據(jù)生命周期安全規(guī)范

八、廢止現(xiàn)行有關(guān)標(biāo)準(zhǔn)的建議

無。

九、其他應(yīng)予說明的事項(xiàng)

考慮到數(shù)據(jù)生命周期安全管理體系的完整性，為更好地

指導(dǎo)金融業(yè)機(jī)構(gòu)系統(tǒng)、科學(xué)地開展數(shù)據(jù)安全建設(shè)有關(guān)工作，

并進(jìn)一步提升標(biāo)準(zhǔn)的實(shí)用性及通用性，將已在金標(biāo)委完成立

項(xiàng)的《金融數(shù)據(jù)安全

全