金融業(yè)數(shù)據(jù)安全服務(wù)管理辦法第一章總則第一條目的和依據(jù)為規(guī)范金融業(yè)數(shù)據(jù)安全服務(wù)活動，保護(hù)金融數(shù)據(jù)安全，維護(hù)金融穩(wěn)定，促進(jìn)金融行業(yè)健康發(fā)展，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》等法律法規(guī)，制定本辦法。第二條適用范圍本辦法適用于在中華人民共和國境內(nèi)開展的金融業(yè)數(shù)據(jù)安全服務(wù)及其監(jiān)督管理活動。本辦法所稱金融業(yè)數(shù)據(jù)安全服務(wù)，是指為金融機(jī)構(gòu)提供數(shù)據(jù)安全評估、數(shù)據(jù)安全咨詢、數(shù)據(jù)安全技術(shù)支持、數(shù)據(jù)安全運(yùn)營維護(hù)等專業(yè)服務(wù)的活動。第三條基本原則金融業(yè)數(shù)據(jù)安全服務(wù)應(yīng)當(dāng)遵循以下原則：合法合規(guī)：服務(wù)活動應(yīng)當(dāng)符合國家法律法規(guī)和監(jiān)管要求。安全可靠：服務(wù)應(yīng)當(dāng)保障金融數(shù)據(jù)的保密性、完整性和可用性。風(fēng)險可控：服務(wù)應(yīng)當(dāng)建立健全風(fēng)險管理制度，有效防范和化解數(shù)據(jù)安全風(fēng)險。誠信負(fù)責(zé)：服務(wù)提供者應(yīng)當(dāng)誠實(shí)守信，對其提供的服務(wù)質(zhì)量和安全負(fù)責(zé)。第四條監(jiān)管職責(zé)國家金融監(jiān)督管理總局負(fù)責(zé)統(tǒng)籌協(xié)調(diào)全國金融業(yè)數(shù)據(jù)安全服務(wù)的監(jiān)督管理工作。地方金融監(jiān)督管理部門在國家金融監(jiān)督管理總局的指導(dǎo)下，負(fù)責(zé)本行政區(qū)域內(nèi)金融業(yè)數(shù)據(jù)安全服務(wù)的監(jiān)督管理工作。第二章服務(wù)提供者第五條資質(zhì)要求從事金融業(yè)數(shù)據(jù)安全服務(wù)的機(jī)構(gòu)（以下簡稱“服務(wù)提供者”）應(yīng)當(dāng)具備以下條件：具備獨(dú)立法人資格。擁有與開展業(yè)務(wù)相適應(yīng)的專業(yè)技術(shù)人員和管理人員。具備與開展業(yè)務(wù)相適應(yīng)的技術(shù)能力和設(shè)施設(shè)備。建立健全數(shù)據(jù)安全管理制度和操作規(guī)程。符合國家金融監(jiān)督管理總局規(guī)定的其他條件。第六條備案管理服務(wù)提供者應(yīng)當(dāng)在開展業(yè)務(wù)前向國家金融監(jiān)督管理總局或其授權(quán)的機(jī)構(gòu)進(jìn)行備案。備案信息包括但不限于機(jī)構(gòu)基本情況、業(yè)務(wù)范圍、技術(shù)能力、管理制度等。國家金融監(jiān)督管理總局應(yīng)當(dāng)對備案信息進(jìn)行審核，并向社會公布備案的服務(wù)提供者名單。第七條服務(wù)能力要求服務(wù)提供者應(yīng)當(dāng)具備以下服務(wù)能力：數(shù)據(jù)安全評估能力：能夠?qū)鹑跈C(jī)構(gòu)的數(shù)據(jù)安全狀況進(jìn)行全面評估，識別數(shù)據(jù)安全風(fēng)險，并提出針對性的改進(jìn)建議。數(shù)據(jù)安全咨詢能力：能夠?yàn)榻鹑跈C(jī)構(gòu)提供數(shù)據(jù)安全政策法規(guī)解讀、數(shù)據(jù)安全戰(zhàn)略規(guī)劃、數(shù)據(jù)安全管理制度建設(shè)等方面的咨詢服務(wù)。數(shù)據(jù)安全技術(shù)支持能力：能夠?yàn)榻鹑跈C(jī)構(gòu)提供數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)備份與恢復(fù)、入侵檢測與防御等技術(shù)支持服務(wù)。數(shù)據(jù)安全運(yùn)營維護(hù)能力：能夠?yàn)榻鹑跈C(jī)構(gòu)提供數(shù)據(jù)安全系統(tǒng)的日常運(yùn)營維護(hù)、安全事件應(yīng)急響應(yīng)等服務(wù)。第八條人員管理服務(wù)提供者應(yīng)當(dāng)加強(qiáng)對從業(yè)人員的管理，建立健全從業(yè)人員培訓(xùn)、考核和獎懲制度。從業(yè)人員應(yīng)當(dāng)具備相應(yīng)的專業(yè)知識和技能，遵守職業(yè)道德和行為規(guī)范。服務(wù)提供者應(yīng)當(dāng)對從業(yè)人員進(jìn)行背景審查，確保其具有良好的信用記錄和職業(yè)操守。第九條保密義務(wù)服務(wù)提供者及其從業(yè)人員應(yīng)當(dāng)對在服務(wù)過程中知悉的金融機(jī)構(gòu)的商業(yè)秘密、個人信息等數(shù)據(jù)嚴(yán)格保密，不得泄露、篡改、毀損或者非法使用。服務(wù)提供者應(yīng)當(dāng)與從業(yè)人員簽訂保密協(xié)議，明確保密責(zé)任和義務(wù)。第三章服務(wù)活動第十條服務(wù)合同服務(wù)提供者與金融機(jī)構(gòu)應(yīng)當(dāng)簽訂書面服務(wù)合同，明確服務(wù)內(nèi)容、服務(wù)標(biāo)準(zhǔn)、服務(wù)期限、服務(wù)費(fèi)用、雙方權(quán)利義務(wù)、違約責(zé)任等內(nèi)容。服務(wù)合同應(yīng)當(dāng)包含數(shù)據(jù)安全保護(hù)條款，明確服務(wù)提供者在數(shù)據(jù)安全方面的責(zé)任和義務(wù)。第十一條服務(wù)內(nèi)容金融業(yè)數(shù)據(jù)安全服務(wù)的主要內(nèi)容包括：數(shù)據(jù)安全評估：對金融機(jī)構(gòu)的數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動、數(shù)據(jù)安全管理制度、技術(shù)防護(hù)措施等進(jìn)行評估。數(shù)據(jù)安全咨詢：為金融機(jī)構(gòu)提供數(shù)據(jù)安全政策法規(guī)咨詢、數(shù)據(jù)安全戰(zhàn)略規(guī)劃咨詢、數(shù)據(jù)安全管理制度建設(shè)咨詢等。數(shù)據(jù)安全技術(shù)支持：為金融機(jī)構(gòu)提供數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)備份與恢復(fù)、入侵檢測與防御、安全審計等技術(shù)支持。數(shù)據(jù)安全運(yùn)營維護(hù)：為金融機(jī)構(gòu)提供數(shù)據(jù)安全系統(tǒng)的日常監(jiān)控、維護(hù)、升級，以及安全事件的應(yīng)急響應(yīng)和處置等。數(shù)據(jù)安全培訓(xùn)：為金融機(jī)構(gòu)的員工提供數(shù)據(jù)安全知識和技能培訓(xùn)。第十二條服務(wù)標(biāo)準(zhǔn)服務(wù)提供者應(yīng)當(dāng)按照國家有關(guān)標(biāo)準(zhǔn)和行業(yè)規(guī)范提供服務(wù)，確保服務(wù)質(zhì)量。國家金融監(jiān)督管理總局應(yīng)當(dāng)制定金融業(yè)數(shù)據(jù)安全服務(wù)標(biāo)準(zhǔn)，規(guī)范服務(wù)行為。第十三條數(shù)據(jù)處理服務(wù)提供者在服務(wù)過程中處理金融機(jī)構(gòu)的數(shù)據(jù)，應(yīng)當(dāng)遵循以下要求：按照服務(wù)合同的約定處理數(shù)據(jù)，不得超出約定的范圍和用途。采取必要的技術(shù)措施和管理措施，保障數(shù)據(jù)的安全。未經(jīng)金融機(jī)構(gòu)同意，不得向第三方提供數(shù)據(jù)。數(shù)據(jù)處理結(jié)束后，應(yīng)當(dāng)按照金融機(jī)構(gòu)的要求刪除或者返還數(shù)據(jù)。第十四條安全事件處理服務(wù)提供者應(yīng)當(dāng)建立健全安全事件應(yīng)急響應(yīng)機(jī)制，制定安全事件應(yīng)急預(yù)案。發(fā)生數(shù)據(jù)安全事件時，服務(wù)提供者應(yīng)當(dāng)立即采取措施控制事態(tài)發(fā)展，及時通知金融機(jī)構(gòu)，并按照規(guī)定向國家金融監(jiān)督管理總局或其授權(quán)的機(jī)構(gòu)報告。服務(wù)提供者應(yīng)當(dāng)配合金融機(jī)構(gòu)和監(jiān)管部門進(jìn)行調(diào)查處理，提供必要的技術(shù)支持和協(xié)助。第四章監(jiān)督管理第十五條監(jiān)督檢查國家金融監(jiān)督管理總局及其派出機(jī)構(gòu)應(yīng)當(dāng)對服務(wù)提供者的服務(wù)活動進(jìn)行監(jiān)督檢查，檢查內(nèi)容包括但不限于服務(wù)資質(zhì)、服務(wù)能力、服務(wù)質(zhì)量、數(shù)據(jù)安全管理等。監(jiān)督檢查可以采取現(xiàn)場檢查、非現(xiàn)場檢查、專項(xiàng)檢查等方式。第十六條信息報送服務(wù)提供者應(yīng)當(dāng)按照規(guī)定向國家金融監(jiān)督管理總局或其授權(quán)的機(jī)構(gòu)報送以下信息：年度業(yè)務(wù)報告，包括業(yè)務(wù)開展情況、數(shù)據(jù)安全管理情況、安全事件處理情況等。重大事項(xiàng)報告，包括機(jī)構(gòu)變更、業(yè)務(wù)范圍調(diào)整、重大安全事件等。第十七條信用管理國家金融監(jiān)督管理總局應(yīng)當(dāng)建立服務(wù)提供者信用管理制度，對服務(wù)提供者的信用狀況進(jìn)行評價和公示。對信用良好的服務(wù)提供者，可以給予一定的政策支持；對信用不良的服務(wù)提供者，應(yīng)當(dāng)加強(qiáng)監(jiān)管，依法采取相應(yīng)的監(jiān)管措施。第十八條違規(guī)處理服務(wù)提供者違反本辦法規(guī)定的，國家金融監(jiān)督管理總局及其派出機(jī)構(gòu)應(yīng)當(dāng)依法采取責(zé)令改正、警告、罰款、暫停業(yè)務(wù)、吊銷