金融業(yè)數(shù)據(jù)安全法律事務(wù)管理辦法第一章總則第一條目的與依據(jù)為規(guī)范金融業(yè)數(shù)據(jù)安全管理，保障金融數(shù)據(jù)的完整性、保密性和可用性，維護(hù)金融市場穩(wěn)定與消費(fèi)者合法權(quán)益，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》及相關(guān)金融監(jiān)管規(guī)定，制定本辦法。第二條適用范圍本辦法適用于在中華人民共和國境內(nèi)依法設(shè)立的銀行業(yè)金融機(jī)構(gòu)、證券期貨業(yè)金融機(jī)構(gòu)、保險(xiǎn)業(yè)金融機(jī)構(gòu)以及其他經(jīng)國務(wù)院金融監(jiān)督管理機(jī)構(gòu)批準(zhǔn)設(shè)立的金融機(jī)構(gòu)（以下統(tǒng)稱“金融機(jī)構(gòu)”）的數(shù)據(jù)安全法律事務(wù)管理活動(dòng)。第三條基本原則金融機(jī)構(gòu)開展數(shù)據(jù)安全法律事務(wù)管理，應(yīng)當(dāng)遵循以下原則：合法合規(guī)原則：嚴(yán)格遵守國家數(shù)據(jù)安全相關(guān)法律法規(guī)及監(jiān)管要求，確保數(shù)據(jù)處理活動(dòng)的合法性。風(fēng)險(xiǎn)導(dǎo)向原則：以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，對不同類型、不同重要程度的數(shù)據(jù)實(shí)施分級(jí)分類管理，重點(diǎn)保護(hù)重要數(shù)據(jù)和核心數(shù)據(jù)。權(quán)責(zé)統(tǒng)一原則：明確數(shù)據(jù)安全管理的責(zé)任主體，建立健全數(shù)據(jù)安全責(zé)任制，確保責(zé)任落實(shí)到人。技術(shù)與管理并重原則：在采用先進(jìn)技術(shù)保障數(shù)據(jù)安全的同時(shí)，加強(qiáng)數(shù)據(jù)安全管理制度建設(shè)和人員管理。第四條定義本辦法中下列用語的含義：金融數(shù)據(jù)：是指金融機(jī)構(gòu)在提供金融產(chǎn)品和服務(wù)過程中產(chǎn)生、采集、存儲(chǔ)、處理、傳輸、使用的數(shù)據(jù)，包括但不限于客戶身份信息、賬戶信息、交易信息、資產(chǎn)信息、信用信息等。重要數(shù)據(jù)：是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個(gè)人、組織合法權(quán)益的數(shù)據(jù)。核心數(shù)據(jù)：是指關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生和重大公共利益的數(shù)據(jù)，是金融業(yè)數(shù)據(jù)安全保護(hù)的重中之重。數(shù)據(jù)處理：包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)。第二章數(shù)據(jù)安全管理組織與職責(zé)第五條數(shù)據(jù)安全管理組織架構(gòu)金融機(jī)構(gòu)應(yīng)當(dāng)建立健全數(shù)據(jù)安全管理組織架構(gòu)，明確董事會(huì)、監(jiān)事會(huì)、高級(jí)管理層及相關(guān)部門的職責(zé)。董事會(huì)：是金融機(jī)構(gòu)數(shù)據(jù)安全管理的決策機(jī)構(gòu)，負(fù)責(zé)審議批準(zhǔn)數(shù)據(jù)安全戰(zhàn)略、總體方針和政策，監(jiān)督高級(jí)管理層的數(shù)據(jù)安全管理工作。監(jiān)事會(huì)：負(fù)責(zé)對董事會(huì)和高級(jí)管理層的數(shù)據(jù)安全管理履職情況進(jìn)行監(jiān)督。高級(jí)管理層：是數(shù)據(jù)安全管理的執(zhí)行機(jī)構(gòu)，負(fù)責(zé)組織實(shí)施董事會(huì)批準(zhǔn)的數(shù)據(jù)安全戰(zhàn)略和政策，建立健全數(shù)據(jù)安全管理制度，確保數(shù)據(jù)安全管理目標(biāo)的實(shí)現(xiàn)。數(shù)據(jù)安全管理部門：金融機(jī)構(gòu)應(yīng)當(dāng)設(shè)立專門的數(shù)據(jù)安全管理部門，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)數(shù)據(jù)安全管理工作，包括數(shù)據(jù)安全策略制定、風(fēng)險(xiǎn)評(píng)估、技術(shù)防護(hù)、應(yīng)急響應(yīng)、合規(guī)檢查等。業(yè)務(wù)部門：各業(yè)務(wù)部門是數(shù)據(jù)安全管理的責(zé)任主體，負(fù)責(zé)本部門數(shù)據(jù)的全生命周期安全管理，落實(shí)數(shù)據(jù)安全管理制度和技術(shù)措施。第六條數(shù)據(jù)安全管理部門職責(zé)數(shù)據(jù)安全管理部門主要履行以下職責(zé)：組織制定數(shù)據(jù)安全管理制度、操作規(guī)程和技術(shù)標(biāo)準(zhǔn)，并監(jiān)督執(zhí)行。組織開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，識(shí)別、分析數(shù)據(jù)安全風(fēng)險(xiǎn)，提出風(fēng)險(xiǎn)應(yīng)對策略和措施。統(tǒng)籌規(guī)劃和實(shí)施數(shù)據(jù)安全技術(shù)防護(hù)體系建設(shè)，包括數(shù)據(jù)加密、訪問控制、數(shù)據(jù)脫敏、安全審計(jì)等技術(shù)措施。組織開展數(shù)據(jù)安全應(yīng)急演練，制定應(yīng)急預(yù)案，及時(shí)處置數(shù)據(jù)安全事件。負(fù)責(zé)數(shù)據(jù)安全合規(guī)管理，跟蹤國家數(shù)據(jù)安全法律法規(guī)和監(jiān)管政策的變化，確保金融機(jī)構(gòu)數(shù)據(jù)處理活動(dòng)符合相關(guān)要求。組織開展數(shù)據(jù)安全培訓(xùn)和宣傳教育，提高員工的數(shù)據(jù)安全意識(shí)和技能。負(fù)責(zé)與外部監(jiān)管機(jī)構(gòu)、行業(yè)協(xié)會(huì)等相關(guān)部門的溝通協(xié)調(diào)，及時(shí)報(bào)告數(shù)據(jù)安全事件。第七條業(yè)務(wù)部門職責(zé)各業(yè)務(wù)部門主要履行以下職責(zé)：按照數(shù)據(jù)安全管理制度和操作規(guī)程，開展本部門數(shù)據(jù)的收集、存儲(chǔ)、使用、傳輸?shù)然顒?dòng)。對本部門數(shù)據(jù)進(jìn)行分類分級(jí)管理，明確數(shù)據(jù)的安全保護(hù)級(jí)別和管控措施。負(fù)責(zé)本部門數(shù)據(jù)處理系統(tǒng)的安全運(yùn)維，確保系統(tǒng)的安全性和穩(wěn)定性。及時(shí)向數(shù)據(jù)安全管理部門報(bào)告本部門發(fā)生的數(shù)據(jù)安全事件，并配合開展調(diào)查和處置工作。組織本部門員工參加數(shù)據(jù)安全培訓(xùn)，提高員工的數(shù)據(jù)安全意識(shí)和操作技能。第三章數(shù)據(jù)分類分級(jí)管理第八條數(shù)據(jù)分類金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)數(shù)據(jù)的來源、性質(zhì)、用途等因素，對金融數(shù)據(jù)進(jìn)行科學(xué)分類。常見的金融數(shù)據(jù)分類包括：客戶數(shù)據(jù)：包括客戶身份信息、聯(lián)系方式、賬戶信息、交易記錄等。業(yè)務(wù)數(shù)據(jù)：包括金融產(chǎn)品信息、服務(wù)流程、業(yè)務(wù)規(guī)則、風(fēng)險(xiǎn)評(píng)估模型等。運(yùn)營數(shù)據(jù)：包括系統(tǒng)日志、運(yùn)維記錄、財(cái)務(wù)數(shù)據(jù)、人力資源數(shù)據(jù)等。監(jiān)管數(shù)據(jù)：包括向監(jiān)管機(jī)構(gòu)報(bào)送的各類統(tǒng)計(jì)報(bào)表、監(jiān)管報(bào)告等。第九條數(shù)據(jù)分級(jí)金融機(jī)構(gòu)應(yīng)當(dāng)按照數(shù)據(jù)的重要程度和敏感程度，對金融數(shù)據(jù)進(jìn)行分級(jí)。通常分為以下幾級(jí)：|級(jí)別|定義|示例||:---|:---|:---||核心數(shù)據(jù)|關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生和重大公共利益的數(shù)據(jù)|國家金融基礎(chǔ)設(shè)施運(yùn)行數(shù)據(jù)、大額跨境交易數(shù)據(jù)、重要金融機(jī)構(gòu)核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)||重要數(shù)據(jù)|一旦泄露可能危害公共利益或個(gè)人、組織合法權(quán)益的數(shù)據(jù)|大量個(gè)人客戶的身份信息和交易記錄、金融市場交易行情數(shù)據(jù)、金融機(jī)構(gòu)風(fēng)險(xiǎn)評(píng)估報(bào)告||一般數(shù)據(jù)|除核心數(shù)據(jù)和重要數(shù)據(jù)之外的其他數(shù)據(jù)|金融機(jī)構(gòu)公開的產(chǎn)品宣傳資料、非敏感的內(nèi)部辦公文檔|第十條分類分級(jí)管理要求金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)數(shù)據(jù)分類分級(jí)結(jié)果，采取差異化的安全保護(hù)措施：核心數(shù)據(jù)：應(yīng)當(dāng)采用最高級(jí)別的安全保護(hù)措施，包括物理隔離、加密存儲(chǔ)、嚴(yán)格的訪問控制、實(shí)時(shí)監(jiān)控等。核心數(shù)據(jù)的訪問應(yīng)當(dāng)經(jīng)過嚴(yán)格的審批流程，并且只能在特定的安全環(huán)境下進(jìn)行處理。重要數(shù)據(jù)：應(yīng)當(dāng)采取較為嚴(yán)格的安全保護(hù)措施，包括加密傳輸、訪問控制、數(shù)據(jù)脫敏、安全審計(jì)等。重要數(shù)據(jù)的訪問應(yīng)當(dāng)進(jìn)行身份認(rèn)證和授權(quán)管理，并且對數(shù)據(jù)的使用情況進(jìn)行記錄和監(jiān)控。一般數(shù)據(jù)：應(yīng)當(dāng)采取適當(dāng)?shù)陌踩Ｗo(hù)措施，包括訪問控制、病毒防護(hù)、數(shù)據(jù)備份等。一般數(shù)據(jù)的訪問可以根據(jù)業(yè)務(wù)需要進(jìn)行授權(quán)，但也應(yīng)當(dāng)進(jìn)行必要的監(jiān)控和審計(jì)。第四章數(shù)據(jù)全生命周期安全管理第十一條數(shù)據(jù)收集安全金融機(jī)構(gòu)在收集數(shù)據(jù)時(shí)，應(yīng)當(dāng)遵循以下要求：合法性：數(shù)據(jù)收集應(yīng)當(dāng)符合法律法規(guī)和監(jiān)管要求，不得收集與業(yè)務(wù)無關(guān)的數(shù)據(jù)。收集個(gè)人信息應(yīng)當(dāng)取得個(gè)人的同意，并且明確告知收集的目的、方式和范圍。最小化：遵循數(shù)據(jù)收集的最小必要原則，僅收集與業(yè)務(wù)開展相關(guān)的必要數(shù)據(jù)，不得過度收集。準(zhǔn)確性：確保收集的數(shù)據(jù)準(zhǔn)確、完整，避免收集錯(cuò)誤或虛假的數(shù)據(jù)。安全性：在數(shù)據(jù)收集過程中，應(yīng)當(dāng)采取必要的安全措施，防止數(shù)據(jù)在傳輸和存儲(chǔ)過程中被泄露、篡改或破壞。例如，采用加密技術(shù)對傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)，對收集的數(shù)據(jù)進(jìn)行校驗(yàn)和驗(yàn)證。第十二條數(shù)據(jù)存儲(chǔ)安全金融機(jī)構(gòu)在存儲(chǔ)數(shù)據(jù)時(shí)，應(yīng)當(dāng)遵循以下要求：加密存儲(chǔ)：對核心數(shù)據(jù)和重要數(shù)據(jù)應(yīng)當(dāng)采用加密技術(shù)進(jìn)行存儲(chǔ)，加密算法應(yīng)當(dāng)符合國家相關(guān)標(biāo)準(zhǔn)。訪問控制：建立嚴(yán)格的存儲(chǔ)數(shù)據(jù)訪問控制機(jī)制，明確不同崗位人員的訪問權(quán)限，實(shí)現(xiàn)“最小權(quán)限”原則。訪問數(shù)據(jù)應(yīng)當(dāng)進(jìn)行身份認(rèn)證和授權(quán)，并且對訪問行為進(jìn)行記錄和審計(jì)。數(shù)據(jù)備份與恢復(fù)：建立完善的數(shù)據(jù)備份制度，定期對數(shù)據(jù)進(jìn)行備份。備份數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在安全的地方，并且定期進(jìn)行恢復(fù)測試，確保備份數(shù)據(jù)的可用性。存儲(chǔ)介質(zhì)管理：對存儲(chǔ)數(shù)據(jù)的介質(zhì)（如硬盤、磁帶、光盤等）進(jìn)行嚴(yán)格管理，明確介質(zhì)的使用、保管、銷毀等流程。對于不再使用的存儲(chǔ)介質(zhì)，應(yīng)當(dāng)進(jìn)行安全銷毀，防止數(shù)據(jù)泄露。第十三條數(shù)據(jù)使用安全金融機(jī)構(gòu)在使用數(shù)據(jù)時(shí)，應(yīng)當(dāng)遵循以下要求：授權(quán)使用：數(shù)據(jù)的使用應(yīng)當(dāng)經(jīng)過授權(quán)，嚴(yán)格按照授權(quán)的范圍和用途使用數(shù)據(jù)，不得超出授權(quán)范圍使用或未經(jīng)授權(quán)向第三方提供數(shù)據(jù)。數(shù)據(jù)脫敏：在非生產(chǎn)環(huán)境中使用敏感數(shù)據(jù)時(shí)，應(yīng)當(dāng)對數(shù)據(jù)進(jìn)行脫敏處理，去除或替換其中的敏感信息，防止敏感數(shù)據(jù)泄露。安全審計(jì)：對數(shù)據(jù)的使用行為進(jìn)行全程審計(jì)，記錄數(shù)據(jù)的訪問、修改、刪除等操作，以便在發(fā)生數(shù)據(jù)安全事件時(shí)進(jìn)行追溯和調(diào)查。數(shù)據(jù)共享安全：金融機(jī)構(gòu)之間或與第三方機(jī)構(gòu)進(jìn)行數(shù)據(jù)共享時(shí)，應(yīng)當(dāng)簽訂數(shù)據(jù)共享協(xié)議，明確數(shù)據(jù)共享的范圍、用途、安全責(zé)任等事項(xiàng)。共享的數(shù)據(jù)應(yīng)當(dāng)進(jìn)行必要的安全處理，如加密、脫敏等。第十四條數(shù)據(jù)傳輸安全金融機(jī)構(gòu)在傳輸數(shù)據(jù)時(shí)，應(yīng)當(dāng)遵循以下要求：加密傳輸：對核心數(shù)據(jù)和重要數(shù)據(jù)的傳輸應(yīng)當(dāng)采用加密技術(shù)，確保數(shù)據(jù)在傳輸過程中的保密性和完整性。常用的加密技術(shù)包括SSL/TLS協(xié)議、IPSec協(xié)議等。安全通道：數(shù)據(jù)傳輸應(yīng)當(dāng)通過安全的通道進(jìn)行，避免使用公共網(wǎng)絡(luò)或不安全的通信方式傳輸敏感數(shù)據(jù)。數(shù)據(jù)校驗(yàn)：在數(shù)據(jù)傳輸前后，應(yīng)當(dāng)對數(shù)據(jù)進(jìn)行校驗(yàn)，確保數(shù)據(jù)的完整性，防止數(shù)據(jù)在傳輸過程中被篡改。傳輸監(jiān)控：對數(shù)據(jù)傳輸過程進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)和處理傳輸過程中的異常情況，如數(shù)據(jù)丟失、傳輸延遲等。第十五條數(shù)據(jù)銷毀安全金融機(jī)構(gòu)在銷毀數(shù)據(jù)時(shí)，應(yīng)當(dāng)遵循以下要求：明確銷毀范圍：明確需要銷毀的數(shù)據(jù)范圍和銷毀方式，確保所有需要銷毀的數(shù)據(jù)都得到妥善處理。安全銷毀方式：根據(jù)數(shù)據(jù)的存儲(chǔ)介質(zhì)和敏感程度，選擇合適的銷毀方式。對于電子數(shù)據(jù)，可以采用數(shù)據(jù)擦除、消磁、物理粉碎等方式；對于紙質(zhì)數(shù)據(jù)，可以采用碎紙、焚燒等方式。銷毀過程監(jiān)督：對數(shù)據(jù)銷毀過程進(jìn)行監(jiān)督，確保銷毀過程符合安全要求，并且記錄銷毀的時(shí)間、地點(diǎn)、方式、人員等信息，以便日后追溯。銷毀后驗(yàn)證：數(shù)據(jù)銷毀后，應(yīng)當(dāng)對銷毀效果進(jìn)行驗(yàn)證，確保數(shù)據(jù)無法被恢復(fù)。例如，對電子存儲(chǔ)介質(zhì)進(jìn)行數(shù)據(jù)恢復(fù)測試，對紙質(zhì)文件進(jìn)行檢查等。第五章數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估與應(yīng)急管理第十六條數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估金融機(jī)構(gòu)應(yīng)當(dāng)定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)和化解數(shù)據(jù)安全風(fēng)險(xiǎn)。評(píng)估頻率：金融機(jī)構(gòu)應(yīng)當(dāng)至少每年開展一次全面的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。當(dāng)發(fā)生重大數(shù)據(jù)安全事件、系統(tǒng)重大變更或法律法規(guī)及監(jiān)管政策發(fā)生重大變化時(shí)，應(yīng)當(dāng)及時(shí)開展專項(xiàng)風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容：數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)包括數(shù)據(jù)資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)等內(nèi)容。評(píng)估應(yīng)當(dāng)覆蓋數(shù)據(jù)全生命周期的各個(gè)環(huán)節(jié)，以及數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)環(huán)境、人員管理等方面。評(píng)估方法：可以采用定性評(píng)估和定量評(píng)估相結(jié)合的方法，常用的評(píng)估方法包括問卷調(diào)查、訪談、漏洞掃描、滲透測試、安全審計(jì)等。評(píng)估報(bào)告：風(fēng)險(xiǎn)評(píng)估結(jié)束后，應(yīng)當(dāng)形成詳細(xì)的風(fēng)險(xiǎn)評(píng)估報(bào)告，明確風(fēng)險(xiǎn)等級(jí)、風(fēng)險(xiǎn)描述、風(fēng)險(xiǎn)影響、風(fēng)險(xiǎn)應(yīng)對措施等內(nèi)容，并上報(bào)高級(jí)管理層和董事會(huì)。第十七條數(shù)據(jù)安全應(yīng)急預(yù)案金融機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)安全應(yīng)急預(yù)案，明確應(yīng)急組織架構(gòu)、應(yīng)急響應(yīng)流程、應(yīng)急處置措施等內(nèi)容，提高應(yīng)對數(shù)據(jù)安全事件的能力。預(yù)案內(nèi)容：應(yīng)急預(yù)案應(yīng)當(dāng)包括總則、組織機(jī)構(gòu)與職責(zé)、預(yù)警機(jī)制、應(yīng)急響應(yīng)流程、應(yīng)急處置措施、后期處置、保障措施等章節(jié)。應(yīng)急演練：金融機(jī)構(gòu)應(yīng)當(dāng)定期組織數(shù)據(jù)安全應(yīng)急演練，檢驗(yàn)應(yīng)急預(yù)案的可行性和有效性，提高應(yīng)急處置能力。應(yīng)急演練應(yīng)當(dāng)至少每年開展一次，演練結(jié)束后應(yīng)當(dāng)進(jìn)行總結(jié)和評(píng)估，及時(shí)修訂應(yīng)急預(yù)案。應(yīng)急響應(yīng)：當(dāng)發(fā)生數(shù)據(jù)安全事件時(shí)，金融機(jī)構(gòu)應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，按照應(yīng)急響應(yīng)流程開展處置工作。應(yīng)急響應(yīng)流程通常包括事件報(bào)告、事件分析、應(yīng)急處置、事件調(diào)查、恢復(fù)與重建等環(huán)節(jié)。事件報(bào)告：金融機(jī)構(gòu)應(yīng)當(dāng)按照相關(guān)法律法規(guī)和監(jiān)管要求，及時(shí)向監(jiān)管機(jī)構(gòu)報(bào)告數(shù)據(jù)安全事件。報(bào)告內(nèi)容應(yīng)當(dāng)包括事件發(fā)生的時(shí)間、地點(diǎn)、原因、影響范圍、已采取的措施、后續(xù)處置計(jì)劃等。第六章數(shù)據(jù)安全合規(guī)與審計(jì)第十八條合規(guī)管理金融機(jī)構(gòu)應(yīng)當(dāng)建立健全數(shù)據(jù)安全合規(guī)管理制度，確保數(shù)據(jù)處理活動(dòng)符合國家法律法規(guī)和監(jiān)管要求。合規(guī)審查：在開展新的業(yè)務(wù)或使用新的技術(shù)之前，應(yīng)當(dāng)進(jìn)行數(shù)據(jù)安全合規(guī)審查，評(píng)估業(yè)務(wù)或技術(shù)對數(shù)據(jù)安全的影響，確保符合相關(guān)法律法規(guī)和監(jiān)管要求。合規(guī)培訓(xùn)：定期組織員工開展數(shù)據(jù)安全合規(guī)培訓(xùn)，提高員工的合規(guī)意識(shí)和法律素養(yǎng)，確保員工了解并遵守相關(guān)法律法規(guī)和監(jiān)管要求。合規(guī)檢查：定期開展數(shù)據(jù)安全合規(guī)檢查，對金融機(jī)構(gòu)的數(shù)據(jù)處理活動(dòng)進(jìn)行全面檢查，及時(shí)發(fā)現(xiàn)和糾正違規(guī)行為。合規(guī)檢查可以由內(nèi)部審計(jì)部門或外部專業(yè)機(jī)構(gòu)進(jìn)行。第十九條內(nèi)部審計(jì)金融機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)安全內(nèi)部審計(jì)制度，定期對數(shù)據(jù)安全管理工作進(jìn)行審計(jì)。審計(jì)頻率：內(nèi)部審計(jì)部門應(yīng)當(dāng)至少每年開展一次數(shù)據(jù)安全審計(jì)。當(dāng)發(fā)生重大數(shù)據(jù)安全事件或監(jiān)管機(jī)構(gòu)有特殊要求時(shí)，應(yīng)當(dāng)及時(shí)開展專項(xiàng)審計(jì)。審計(jì)內(nèi)容：數(shù)據(jù)安全審計(jì)應(yīng)當(dāng)包括數(shù)據(jù)安全管理制度的執(zhí)行情況、數(shù)據(jù)安全技術(shù)措施的落實(shí)情況、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急管理情況、員工數(shù)據(jù)安全培訓(xùn)情況等內(nèi)容。審計(jì)報(bào)告：審計(jì)結(jié)束后，應(yīng)當(dāng)形成詳細(xì)的審計(jì)報(bào)告，明確審計(jì)發(fā)現(xiàn)的問題、整改建議和整改期限，并上報(bào)高級(jí)管理層和董事會(huì)。金融機(jī)構(gòu)應(yīng)當(dāng)對審計(jì)發(fā)現(xiàn)的問題及時(shí)進(jìn)行整改，并將整改情況反饋給內(nèi)部審計(jì)部門。第二十條外部審計(jì)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)監(jiān)管要求，聘請外部專業(yè)機(jī)構(gòu)對數(shù)據(jù)安全管理工作進(jìn)行審計(jì)。外部審計(jì)應(yīng)當(dāng)客觀、公正地評(píng)價(jià)金融機(jī)構(gòu)的數(shù)據(jù)安全管理水平，提出改進(jìn)建議。金融機(jī)構(gòu)應(yīng)當(dāng)積極配合外部審計(jì)工作，提供必要的資料和信息。第七章法律責(zé)任第二十一條金融機(jī)構(gòu)的法律責(zé)任金融機(jī)構(gòu)違反本辦法規(guī)定，有下列情形之一的，由國務(wù)院金融監(jiān)督管理機(jī)構(gòu)責(zé)令改正，給予警告，并處以罰款；情節(jié)嚴(yán)重的，責(zé)令停業(yè)整頓，或者吊銷其經(jīng)營許可證；構(gòu)成犯罪的，依法追究刑事責(zé)任：未建立健全數(shù)據(jù)安全管理制度和組織架構(gòu)的；未按照規(guī)定開展數(shù)據(jù)分類分級(jí)管理的；未采取必要的數(shù)據(jù)安全技術(shù)措施，導(dǎo)致數(shù)據(jù)泄露、篡改或破壞的；未按照規(guī)定開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急管理的；未按照規(guī)定報(bào)告數(shù)據(jù)安全事件的；拒絕、阻礙監(jiān)管機(jī)構(gòu)進(jìn)行監(jiān)督檢查或不按照監(jiān)管要求進(jìn)行整改的；其他違反本辦法規(guī)定的行為。