《金融数据安全 数据安全评估规范》(征求意见稿)以“覆盖金融数据生命周期全过程、构建金融数据安全评估体系”为基本编制思路,充分考虑当前金融行业数据安全管理现状,同时兼顾国家相关政策和行业发展趋势,遵循行业适用性和安全合规性的原则,围绕金融数据安全分级及其生命周期安全要求,主要从金融数据的安全管理评估、安全保护评估、安全运维评估三个方面明确评估内容,并对评估结果的判定原则和判定方式等进行说明。
标准工作历程:
2021年2月,标准工作组组建;
2021年2月至2021年6月,工作组草案稿形成;
2021年7月至2021年11月,征求意见稿形成;
2021年12月3日,全国金融标准化技术委员会就《金融数据安全数据安全评估规范》等2项金融标准征求意见
本标准适用于金融业机构开展金融数据安全评估使用,并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。
GB/T 35273—2020和GB/T 25069—2010界定的以及下列术语和定义适用于本文件。六个定义分别为:金融数据、保密性、完整性、可用性、真实性、删除。
01 评估概述
金融数据安全评估指金融业机构对其数据处理活动定期或按需开展的风险评估活动,评价金融业机构自身和数据处理活动第三方合作机构的数据安全保护能力,为金融业机构建立数据安全保护体系、明确数据安全保护策略和加强第三方合作机构数据安全管理提供参考性资料。
评估周期 | 每年至少应开展1次全面的数据安全检查评估,评估方式至少包括自评估、外部第三方机构评估等。 | |
评估触发条件 | 金融业机构在金融产品或服务上线前、业务功能或信息系统发生较大变更以及本机构发生重大数据安全事件等情况时均应开展全面评估 | 1) 对3级及以上数据进行加工前; 2) 使用外部的软件开发包、组件、源码等开展开发测试工作前; 3) 将数据委托给第三方机构进行处理前; 4) 与外部机构进行数据共享; 5) 在金融产品或服务上线发布前; 6) 若有第三方机构参与到金融业机构数据全生命周期过程; 7) 在金融业机构业务功能发生重大变化时; 8) 在国家及行业主管部门的相关要求发生变化时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大数据安全事件时; |
评估原则 | 客观公正原则 | 在评估过程中,应当根据被评估方实际情况做出判断和真实的评价,不得夸大或掩盖发现的问题,不得根据个人主观意愿或他人意见做出评价。 |
可重用原则 | 在适当情况下,相同的评估内容可参考或引用被评估方已有的评估结果。 | |
可再现原则 | 对于相同评估内容和评估要求,在相同评估环境下,采用同样评估方法对同一被评估方的评估实施过程进行重复操作,可得到相同评估结果。 | |
最小影响原则 | 在评估过程中尽量小地影响被评估方现有业务和信息系统正常运行,最大程度地降低对被评估方造成的干扰和风险。 | |
信息保密原则 | 评估参与方对本次评估所涉及的被评估方商业信息、客户信息、技术文件等进行严格保密。 | |
评估参与方 | 主要参与方 | 负责牵头开展评估工作,协调各方资源,保证评估工作的开展,并对评估结果的质量负责。牵头部门或人员应具有独立性,不受到被评估方的影响,通常由机构的数据安全管理有关责任部门担任。 |
其他参与方 | 负责配合开展各部分评估工作,及与其相关外部合作方的协调和管理工作,确保评估工作的顺利开展,并对发现的问题进行确认和整改。负责配合开展各部分评估工作,并负责各有关外部合作方的协调和管理工作,确保评估工作的顺利开展,并对发现的问题进行确认和整改。 | |
独立评审组 | 负责对评估过程与结果做真实性与合规性的评审,并确保评审过程的独立性。评审组直接向本机构本次金融数据安全评估工作最高负责人或本机构数据安全管理委员会领导小组负责。 | |
02 评估内容
依据JR/T 0197-2020《金融数据安全 数据安全分级指南》、JR/T 0223-2021《金融数据安全 数据生命周期安全规范》两个行业规范作为金融数据安全评估的主要内容,包括数据安全管理(S1)、数据安全保护(S2)、及数据安全运维(S3)三方面内容。
★ 金融数据安全管理评估(S1):明确了金融业机构数据安全管理相关组织架构建设S1-1及制度体系建设S1-2(总体规划、技术股管理、人员管理、合作管理、流程管理)相关安全评估的具体内容、评估方法和结果判定依据。
★ 金融数据安全保护评估(S2):明确了金融业机构金融数据资产管理S2-1、数据生命周期安全保护S2-2(数据采集、数据传输、数据存储、数据使用、数据删除、数据销毁)相关安全评估的具体内容、评估方法和结果判定依据。
★ 金融数据安全运维评估(S3):明确了金融业机构边界管控、访问控制、安全审计、安全检查、安全监测、应急响应与事件处置相关安全评估的具体内容、评估方法和结果判定依据。
03 评估流程
金融数据安全评估流程分为评估准备、评估实施、安全分析、报告编制和结果评审五个步骤:
第一步:评估准备
在进行金融数据安全评估前,需首先明确评估目标;根据评估目标组建评估团队,评估团队由本机构本次金融数据安全评估的最高负责人、评估参与方以及实施团队等共同组成。明确评估范围,确定本次评估所涉及的金融数据、金融产品和服务、信息系统、人员及组织(含内、外部)等。最后根据本次评估目标和范围等情况编制并确定本次金融数据安全评估工作的评估方案,明确本次评估工作的主要任务、任务分工、人员安排、时间计划等内容。
第二步:评估实施
评估团队牵头部门的组织和其他参与方的共同配合下,金融数据安全评估的实施团队根据已确定的评估方案开展本次评估的实施工作,留存评估实施过程相关记录材料并形成各部分评估结果。
第三步:安全分析
根据本次金融数据安全评估的评估结果,实施团队对本机构当前数据安全现状、所面临的各类数据安全问题严重程度及主要安全风险情况等进行分析,并提出相应改进建议。
第四步:报告编制
根据评估结果及安全分析结论编制评估报告,对评估内容、过程、结果、问题等进行总结和分析,并给出总体评估结论。
第五步:结果评审
评审团队根据本次金融数据安全评估最终形成的评估报告及总体评估结论,同时审核确定各评估事项及参与人员行为等公平公正、真实有效及合法合规。
04 评估方法
金融数据安全评估采用的评估方法与风险评估类似,采用问卷调查、人员访谈、文档查验、配置核查、工具测试和旁站验证6种评估手段。
05 评估结果判定
对数据安全评估结果确定过程中的数据安全问题等级、评估判定原则及评估结果判定等问题进行了详细说明,最终结果判定表如下所示。
评估结论 | 判别依据 | 综合得分 |
优 | 被评估方无重大不符合项,综合评定基本符合与符合项评分,且总分90分以上(含90分)。 | 综合得分计算公式如下。 |
良 | 被评估方存在安全问题,但不会导致被评估方面临高等级安全风险,且总分80分以上(含80分)。 | |
中 | 被评估方存在安全问题,但不会导致被评估方面临高等级安全风险,且总分70分以上(含70分)。 | |
差 | 被评估方存在安全问题,而且会导致被评估方面临高等级安全风险,或总分低于70分。 |
其中,n为总体评估项数,为单项评估得分,符合为1分,基本符合为0.5分,不符合为0分。为数据安全管理评估得分,t为数据安全管理评估项数。为数据安全保护评估得分,m为数据安全保护评估项数。为数据安全运维评估得分,o为数据安全运维评估项数。
06 金融数据资产清单
金融数据资产清单及其主要内容要素的参考描述,供金融业机构开展自身数据资产盘点梳理和数据安全分级管理过程参考使用。
金融数据资产清单是对金融业机构自身数据资产用途、分类、分级、数据类型、分布位置、合规及安全要求等实际应用情况的综合性登记表单,且应具有唯一性、准确性及全面性。
主要内容要素:产品和服务、功能、数据描述、主责部门、数据级别、数据承载介质、数据类型、业务合规要求、安全合规要求、数据量级。
07 金融数据生命周期安全保护分析表
数据生命周期安全保护分析是对金融业机构当前数据保护实际情况的统计和分析。
数据生命周期安全保护分析表是根据数据活动设计的数据防护安全合规要求对应关系表。
主要内容要素:数据活动、数据场景、产品和服务、系统设备应用接口及工具、相关部门及责权分工、主要安全岗位及人员、主要制度依据(含内外部)、保护措施、初步评价。
08 结语
有效开展金融数据安全评估,一方面能够推动金融业机构落实金融业数据安全管理要求,提升金融业数据安全保护工作的规范化和标准化程度;另一方面有助于金融业机构及时全面掌握本机构数据安全管理水平,预测并确认所面临的数据安全威胁和风险,为金融业机构制定防范措施及应对安全事件提供科学依据和指导,可有效防控数据安全事件风险和危害,为金融数据的应用和流动提供有力保障。
(本文作者:绿盟科技集团股份有限公司 陈怀源 施岭)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
