2024年3月22日,国家金融监督管理总局就《银行保险机构数据安全管理办法》(以下简称《办法》)公开征求意见。《办法》共九章八十一条,包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。
《办法》作为国家金融监督管理总局成立后的首部数据安全立法,旨在规范银行和保险机构的数据处理活动,加强数据安全管理,保护个人信息安全,促进数据资源的合理开发和有效利用。
随后,银行和保险机构开始了在数据安全合规建设方面的工作。银保机构的数据安全合规建设包括四个关键环节:解读、评估、规划和建设。本文将重点分析评估环节。
评估的主要目的是识别数据安全管理现状与监管要求的差距,并为后期的数据安全规划提供依据。具体来说,识别差距集中在以下三个方面:
1、分析《办法》中6章61条对本机构的适用性。
例如:如果本机构不存在数据跨境的场景,则《办法》第三十六条不适用。
指的是:在各个领域是否存在明确的管理制度和流程。
指的是:是否按照规章制度执行了管理措施。
评估方法包括访谈、资料审阅、配置检查和技术工具效果验证等。《办法》涉及多个部门,如数据安全、安全技术、运维、开发、测试、网络安全、数据治理、风险、审计、业务和外包等。在进行访谈之前,需要准备清晰的访谈计划和提纲,以提高效率。
审阅的资料包括各个领域的管理制度、流程、执行表单和报告等。通常这些资料保存在不同的部门,因此获得相关部门的有效支持至关重要。
配置检查和技术工具效果验证的工作应根据评估目标和周期来确定。
在缺乏针对性建设的情况下,机构通常面临以下问题:
1. 数据安全管理的组织架构和责任制不符合《办法》的要求,许多机构的数据安全归口管理部门及职责边界尚不清晰。
2. 数据分类分级的落地效果不佳,缺乏自动化工具或自动化工具实施效果不佳。
3. 数据安全管理覆盖不全面,机构对部门应用场景的管理不够。
4. 数据安全技术防护系统化不足,尤其是在人工智能等个别领域,安全管理欠缺。
5. 数据安全风险监测零散,缺乏统一的监测体系,二道防线的风险管理更是不足。
以下是评估报告(部分)示例。
