央行发布《金融数据安全 数据安全评估规范》（征求意见稿）

据全国金融标准化技术委员会网站消息，《金融数据安全 数据安全评估规范》（征求意见稿）已发布并公开征求意见。据了解，该标准适用于金融业机构开展金融数据安全评估使用，并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。

当前金融业机构数据泄露、滥用、篡改等安全威胁的影响已逐步从机构内转移扩大至行业间，甚至影响国家安全、社会秩序、公众利益与金融市场稳定。如何在满足金融业务基本需求的基础上，指导各相关机构规范金融数据安全管理，强化金融行业数据资源保护能力，切实保障金融数据安全流动，已成为当前亟待解决的问题。与此同时，在大数据时代的背景下，数据安全问题层出不穷，而当前金融业机构数据安全管理能力尚处于参差不齐的状态，金融业机构数据安全意识明显落后于快速发展的应用需求及应用技术，金融行业整体数据安全管理仍有待进一步统筹协调。

该标准围绕金融数据安全分级及其生命周期安全要求，主要从金融数据的安全管理评估、安全保护评估、安全运维评估三个方面明确评估内容，并对评估结果的判定原则和判定方式等进行说明，为金融业机构开展数据安全评估工作提供参考。

标准主要内容包括：

1. 范围及规范性引用文件。描述了标准制定的参考依据、行业需求和标准制定的目的，明确了标准的适用机构。
2. 金融数据安全评估概述。明确了金融数据安全评估的触发条件、评估原则、评估参与方、评估内容、评估流程与评估方法。
3. 金融数据安全管理评估。明确了金融业机构数据安全管理相关组织架构及制度体系建设相关安全评估的具体内容、评估方法和结果判定依据。
4. 金融数据安全保护评估。明确了金融业机构数据资产分级管理、数据生命周期安全保护相关安全评估的具体内容、评估方法和结果判定依据。
5. 金融数据安全运维评估。明确了金融业机构边界管控、访问控制、安全监测、安全审计、安全检查、应急响应与事件处置等数据安全运维相关安全评估的具体内容、评估方法和结果判定依据。
6. 金融数据安全评估结果。对数据安全评估结果确定过程中的数据安全问题等级、评估判定原则及评估结果判定等问题进行了详细说明。