《金融数据安全 数据安全评估规范》（征求意见稿）

近日，全国金融标准化技术委员会秘书处发布关于《金融数据安全 数据安全评估规范》（征求意见稿）等2项金融行业标准征求意见的通知。

《金融数据安全 数据安全评估规范》（征求意见稿）规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法，明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。适用于金融业机构开展金融数据安全评估使用，并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。

1 评估概述

金融数据安全评估指金融业机构对其数据处理活动定期或按需开展的风险评估活动，评价金融业机构自身和数据处理活动第三方合作机构的数据安全保护能力，为金融业机构建立数据安全保护体系、明确数据安全保护策略和加强第三方合作机构数据安全管理提供参考性资料。

2 评估内容

依据JR/T 0197-2020《金融数据安全 数据安全分级指南》、JR/T 0223-2021《金融数据安全 数据生命周期安全规范》两个行业规范作为金融数据安全评估的主要内容，包括金融数据安全管理（S1）、金融数据安全保护（S2）及金融数据安全运维（S3）三方面内容。

金融数据安全管理（S1）：明确了金融业机构数据安全管理相关组织架构及制度体系建设相关安全评估的具体内容、评估方法和结果判定依据。

金融数据安全保护（S2）：明确了金融业机构数据资产分级管理、数据生命周期安全保护相关安全评估的具体内容、评估方法和结果判定依据。

金融数据安全运维（S3）：明确了金融业机构边界管控、访问控制、安全监测、安全审计、安全检查、应急响应与事件处置等数据安全运维相关安全评估的具体内容、评估方法和结果判定依据。

3 评估流程

金融数据安全评估流程分为评估准备、评估实施、安全分析、报告编制和结果评审五个步骤：

第一步：评估准备

在进行金融数据安全评估前，需首先明确评估目标；根据评估目标组建评估团队，评估团队由本机构本次金融数据安全评估的最高负责人、评估参与方以及实施团队等共同组成。明确评估范围，确定本次评估所涉及的金融数据、金融产品和服务、信息系统、人员及组织（含内、外部）等。最后根据本次评估目标和范围等情况编制并确定本次金融数据安全评估工作的评估方案，明确本次评估工作的主要任务、任务分工、人员安排、时间计划等内容。

第二步：评估实施

评估团队牵头部门的组织和其他参与方的共同配合下，金融数据安全评估的实施团队根据已确定的评估方案开展本次评估的实施工作，留存评估实施过程相关记录材料并形成各部分评估结果。

第三步：安全分析

根据本次金融数据安全评估的评估结果，实施团队对本机构当前数据安全现状、所面临的各类数据安全问题严重程度及主要安全风险情况等进行分析，并提出相应改进建议。

第四步：报告编制

根据评估结果及安全分析结论编制评估报告，对评估内容、过程、结果、问题等进行总结和分析，并给出总体评估结论。

第五步：结果评审

评审团队根据本次金融数据安全评估最终形成的评估报告及总体评估结论，同时审核确定各评估事项及参与人员行为等公平公正、真实有效及合法合规。

4 评估方法

金融数据安全评估采用的评估方法与风险评估类似，采用问卷调查、人员访谈、文档查验、配置核查、工具测试和旁站验证6种评估手段。

5 评估结果判定

对数据安全评估结果确定过程中的数据安全问题等级、评估判定原则及评估结果判定等问题进行了详细说明，最终结果判定表如下所示。

有效开展金融数据安全评估，一方面能够推动金融业机构落实金融业数据安全管理要求，提升金融业数据安全保护工作的规范化和标准化程度；另一方面有助于金融业机构及时全面掌握本机构数据安全管理水平，预测并确认所面临的数据安全威胁和风险，为金融业机构制定防范措施及应对安全事件提供科学依据和指导，可有效防控数据安全事件风险和危害，为金融数据的应用和流动提供有力保障。