评论 | 压实数据安全管理责任 制定数据分类分级保护制度
2024-3-26 17:43:13 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

近年来,《数据安全法》《个人信息保护法》等上位法相继发布,对规范数据处理活动、个人信息保护等提出了明确要求。同时,金融行业数字化变革加速演进,新技术、新业务模式不断涌现,数据的使用、加工、传输、共享等活动日益频繁,数据安全保护的重要性日益凸显。
为规范银行业保险业数据处理活动,保障数据安全,促进数据合理开发利用,国家金融监管总局起草了《银行保险机构数据安全管理办法(征求意见稿)》(以下简称《办法》),向社会公开征求意见。
业内人士指出,《办法》充分发挥监管“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部制度,采取有效的措施加强数据管理和保护,确保客户信息和金融交易数据安全。

建立数据安全责任制

《办法》要求,银行保险机构应当建立数据安全责任制,党委(党组)、董(理)事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人,明确各层级负责人的责任,明确违规情形和责任追究事项,落实问责处置机制。

同时,明确了数据安全归口管理部门。要求银行保险机构指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门,承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。
《办法》明确,将数据安全风险纳入全面风险管理体系。要求银行保险机构明确管理流程,主动评估风险,对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。

制定数据分类分级保护制度

《办法》规定,银行保险机构应当制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,采取差异化安全保护措施。

银行保险机构应当对机构业务及经营管理过程中获取、产生的数据进行分类管理,数据类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。
针对数据分级,《办法》指出,银行保险机构应当根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据。其中,一般数据细分为敏感数据和其他一般数据。
其中,核心数据是指对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或者共享,可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模的数据,一旦被泄露或者篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。敏感数据是指,一旦被泄露或者篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据。

收集个人信息限于实现金融业务处理目的的最小范围

《办法》规定,银行保险机构处理个人信息应当按照“明确告知、授权同意”的原则实施,法律、行政法规另有规定的除外,并在信息系统中实现相关功能控制。

银行保险机构处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,收集个人信息应当限于实现金融业务处理目的的最小范围,不得过度收集个人信息,不得利用所收集的个人信息从事违法违规活动。
《办法》明确了告知义务,即银行保险机构处理个人信息前,应当真实、准确、完整地向个人告知其个人信息的处理目的、处理方式、处理的个人信息种类、保存期限,个人行使其信息权利的申请受理和处理程序,以及法律法规规定应当告知的其他事项。
银行保险机构应当制定个人信息处理规则,个人信息处理规则应当公开展示、易于访问、内容明确、清晰易懂。
值得关注的是,银行保险机构不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。

(来源:中国金融新闻网)

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664209139&idx=5&sn=0b630df6f732771110d12abb81f18337&chksm=8b59980abc2e111c00435d8b10c8985741bffb01a46b2657f351953c65605a0016c40317f189&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh