金融業(yè)數(shù)據(jù)安全檢測(cè)評(píng)估辦法第一章總則第一條目的與依據(jù)為規(guī)范金融業(yè)數(shù)據(jù)安全檢測(cè)評(píng)估活動(dòng)，保障金融數(shù)據(jù)的完整性、保密性和可用性，維護(hù)金融穩(wěn)定與公眾利益，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》及相關(guān)金融監(jiān)管規(guī)定，制定本辦法。第二條適用范圍本辦法適用于在中華人民共和國(guó)境內(nèi)依法設(shè)立的銀行業(yè)金融機(jī)構(gòu)、證券期貨業(yè)金融機(jī)構(gòu)、保險(xiǎn)業(yè)金融機(jī)構(gòu)以及其他經(jīng)國(guó)務(wù)院金融監(jiān)督管理機(jī)構(gòu)批準(zhǔn)設(shè)立的金融機(jī)構(gòu)（以下統(tǒng)稱“金融機(jī)構(gòu)”）開展的數(shù)據(jù)安全檢測(cè)評(píng)估工作。第三條基本原則金融業(yè)數(shù)據(jù)安全檢測(cè)評(píng)估應(yīng)當(dāng)遵循客觀公正、科學(xué)規(guī)范、風(fēng)險(xiǎn)導(dǎo)向、動(dòng)態(tài)持續(xù)的原則，確保檢測(cè)評(píng)估結(jié)果真實(shí)、準(zhǔn)確、有效。第四條職責(zé)分工金融機(jī)構(gòu)：是數(shù)據(jù)安全的責(zé)任主體，應(yīng)當(dāng)建立健全數(shù)據(jù)安全檢測(cè)評(píng)估體系，定期開展內(nèi)部檢測(cè)評(píng)估，并接受外部監(jiān)管機(jī)構(gòu)的監(jiān)督檢查。監(jiān)管機(jī)構(gòu)：國(guó)務(wù)院金融監(jiān)督管理機(jī)構(gòu)及其派出機(jī)構(gòu)負(fù)責(zé)統(tǒng)籌指導(dǎo)、監(jiān)督管理本行業(yè)的數(shù)據(jù)安全檢測(cè)評(píng)估工作，制定相關(guān)標(biāo)準(zhǔn)規(guī)范，組織開展專項(xiàng)檢查和評(píng)估。第三方檢測(cè)評(píng)估機(jī)構(gòu)：經(jīng)監(jiān)管機(jī)構(gòu)認(rèn)可的第三方機(jī)構(gòu)，可以接受金融機(jī)構(gòu)委托，開展數(shù)據(jù)安全檢測(cè)評(píng)估服務(wù)，其結(jié)果可作為金融機(jī)構(gòu)改進(jìn)數(shù)據(jù)安全管理的參考依據(jù)。第二章檢測(cè)評(píng)估體系構(gòu)建第五條組織架構(gòu)金融機(jī)構(gòu)應(yīng)當(dāng)明確數(shù)據(jù)安全檢測(cè)評(píng)估的決策層、管理層和執(zhí)行層職責(zé)：決策層：由機(jī)構(gòu)董事會(huì)或高級(jí)管理層組成，負(fù)責(zé)審批數(shù)據(jù)安全檢測(cè)評(píng)估戰(zhàn)略、年度計(jì)劃及重大事項(xiàng)。管理層：由數(shù)據(jù)安全管理部門牽頭，協(xié)調(diào)技術(shù)、業(yè)務(wù)、合規(guī)等部門，制定檢測(cè)評(píng)估實(shí)施細(xì)則，監(jiān)督執(zhí)行過(guò)程。執(zhí)行層：由技術(shù)團(tuán)隊(duì)、業(yè)務(wù)團(tuán)隊(duì)及外部專家組成，負(fù)責(zé)具體實(shí)施檢測(cè)評(píng)估工作，收集、分析數(shù)據(jù)并形成報(bào)告。第六條制度規(guī)范金融機(jī)構(gòu)應(yīng)當(dāng)建立以下核心制度：數(shù)據(jù)分類分級(jí)制度：根據(jù)數(shù)據(jù)的敏感程度、業(yè)務(wù)重要性，將數(shù)據(jù)劃分為不同級(jí)別（如公開數(shù)據(jù)、內(nèi)部數(shù)據(jù)、敏感數(shù)據(jù)、核心數(shù)據(jù)），明確不同級(jí)別數(shù)據(jù)的安全保護(hù)要求。檢測(cè)評(píng)估流程制度：規(guī)范檢測(cè)評(píng)估的計(jì)劃、實(shí)施、分析、報(bào)告、整改全流程，明確各環(huán)節(jié)的責(zé)任主體、時(shí)間節(jié)點(diǎn)及輸出成果。風(fēng)險(xiǎn)處置制度：建立風(fēng)險(xiǎn)識(shí)別、評(píng)估、處置、監(jiān)控的閉環(huán)機(jī)制，明確風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)及應(yīng)對(duì)措施（如規(guī)避、轉(zhuǎn)移、降低、接受）。第七條技術(shù)工具金融機(jī)構(gòu)應(yīng)當(dāng)配備以下技術(shù)工具支撐檢測(cè)評(píng)估工作：自動(dòng)化掃描工具：用于檢測(cè)系統(tǒng)漏洞、配置缺陷、惡意代碼等技術(shù)風(fēng)險(xiǎn)。數(shù)據(jù)泄露監(jiān)測(cè)工具：實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)流轉(zhuǎn)過(guò)程，識(shí)別未授權(quán)訪問(wèn)、數(shù)據(jù)泄露等異常行為。日志分析工具：收集并分析系統(tǒng)日志、操作日志，追溯安全事件的發(fā)生原因及影響范圍。風(fēng)險(xiǎn)評(píng)估工具：量化評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)的可能性和影響程度，生成風(fēng)險(xiǎn)熱力圖。第三章檢測(cè)評(píng)估內(nèi)容第八條數(shù)據(jù)生命周期安全檢測(cè)數(shù)據(jù)生命周期包括采集、存儲(chǔ)、傳輸、處理、共享、銷毀六個(gè)階段，檢測(cè)評(píng)估應(yīng)當(dāng)覆蓋各階段的安全控制措施：階段檢測(cè)評(píng)估重點(diǎn)采集數(shù)據(jù)來(lái)源的合法性、采集過(guò)程的授權(quán)機(jī)制、數(shù)據(jù)質(zhì)量校驗(yàn)（如完整性、準(zhǔn)確性）。存儲(chǔ)存儲(chǔ)介質(zhì)的加密措施、訪問(wèn)控制策略（如最小權(quán)限原則）、備份與恢復(fù)機(jī)制。傳輸傳輸通道的加密協(xié)議（如TLS1.3）、數(shù)據(jù)脫敏措施、傳輸過(guò)程中的完整性校驗(yàn)。處理數(shù)據(jù)處理過(guò)程中的權(quán)限隔離、操作審計(jì)、異常行為監(jiān)測(cè)（如批量數(shù)據(jù)導(dǎo)出）。共享數(shù)據(jù)共享的審批流程、接收方的安全能力評(píng)估、共享數(shù)據(jù)的脫敏或加密處理。銷毀數(shù)據(jù)銷毀的方式（如物理銷毀、邏輯刪除）、銷毀過(guò)程的審計(jì)記錄、銷毀后的驗(yàn)證。第九條數(shù)據(jù)安全管理檢測(cè)組織管理：檢測(cè)數(shù)據(jù)安全管理部門的獨(dú)立性、人員配備（如專職數(shù)據(jù)安全官）、培訓(xùn)機(jī)制（如年度數(shù)據(jù)安全培訓(xùn)覆蓋率）。制度執(zhí)行：評(píng)估數(shù)據(jù)分類分級(jí)、訪問(wèn)控制、應(yīng)急響應(yīng)等制度的落地情況，檢查制度與實(shí)際操作的一致性。合規(guī)性：驗(yàn)證是否符合《個(gè)人信息保護(hù)法》中“告知-同意”原則、數(shù)據(jù)跨境傳輸規(guī)定，以及金融監(jiān)管機(jī)構(gòu)的專項(xiàng)要求（如銀保監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》）。第十條技術(shù)安全檢測(cè)基礎(chǔ)設(shè)施安全：檢測(cè)服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備的漏洞情況（如通過(guò)CVE漏洞庫(kù)匹配）、配置合理性（如禁用不必要的服務(wù)）、補(bǔ)丁更新及時(shí)性。應(yīng)用系統(tǒng)安全：評(píng)估應(yīng)用系統(tǒng)的身份認(rèn)證機(jī)制（如多因素認(rèn)證）、會(huì)話管理、輸入驗(yàn)證（防止SQL注入、XSS攻擊）等。數(shù)據(jù)加密技術(shù)：檢查數(shù)據(jù)在靜態(tài)存儲(chǔ)（如數(shù)據(jù)庫(kù)加密）和動(dòng)態(tài)傳輸（如HTTPS協(xié)議）中的加密算法強(qiáng)度（如AES-256、RSA-2048）及密鑰管理流程。第十一條業(yè)務(wù)連續(xù)性檢測(cè)備份策略：評(píng)估數(shù)據(jù)備份的頻率（如實(shí)時(shí)備份、每日備份）、介質(zhì)（如本地磁盤、異地災(zāi)備中心）、**恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）**是否滿足業(yè)務(wù)要求。災(zāi)備演練：檢查災(zāi)備演練的頻率（如每季度一次）、場(chǎng)景覆蓋（如系統(tǒng)故障、自然災(zāi)害）、演練結(jié)果（如是否達(dá)到預(yù)期恢復(fù)目標(biāo)）。第四章檢測(cè)評(píng)估實(shí)施流程第十二條計(jì)劃階段確定目標(biāo)：明確本次檢測(cè)評(píng)估的范圍（如某個(gè)業(yè)務(wù)系統(tǒng)、某類數(shù)據(jù)）、目標(biāo)（如合規(guī)檢查、風(fēng)險(xiǎn)評(píng)估、事件響應(yīng)）及時(shí)間周期。組建團(tuán)隊(duì)：根據(jù)評(píng)估目標(biāo)，選擇具備業(yè)務(wù)知識(shí)、技術(shù)能力、合規(guī)經(jīng)驗(yàn)的人員組成評(píng)估團(tuán)隊(duì)，必要時(shí)聘請(qǐng)外部專家。制定方案：明確檢測(cè)評(píng)估的方法（如訪談、文檔審查、技術(shù)測(cè)試、滲透測(cè)試）、工具（如漏洞掃描工具、日志分析工具）及時(shí)間表。第十三條實(shí)施階段數(shù)據(jù)收集：通過(guò)以下方式收集信息：文檔審查：查閱數(shù)據(jù)安全政策、流程文檔、系統(tǒng)架構(gòu)圖等。人員訪談：與業(yè)務(wù)負(fù)責(zé)人、技術(shù)人員、運(yùn)維人員溝通，了解實(shí)際操作情況。技術(shù)測(cè)試：使用自動(dòng)化工具或人工方式，檢測(cè)系統(tǒng)漏洞、配置缺陷等。滲透測(cè)試：模擬黑客攻擊，評(píng)估系統(tǒng)的抗攻擊能力（需獲得書面授權(quán)）。風(fēng)險(xiǎn)識(shí)別：對(duì)收集到的信息進(jìn)行分析，識(shí)別潛在風(fēng)險(xiǎn)點(diǎn)，例如：技術(shù)風(fēng)險(xiǎn)：系統(tǒng)存在高危漏洞未修復(fù)。管理風(fēng)險(xiǎn)：數(shù)據(jù)分類分級(jí)制度未有效執(zhí)行。業(yè)務(wù)風(fēng)險(xiǎn)：敏感數(shù)據(jù)在共享過(guò)程中未脫敏。第十四條分析階段風(fēng)險(xiǎn)評(píng)估：采用定性與定量結(jié)合的方法評(píng)估風(fēng)險(xiǎn)：定性評(píng)估：通過(guò)專家打分，將風(fēng)險(xiǎn)劃分為高、中、低三個(gè)等級(jí)。定量評(píng)估：計(jì)算風(fēng)險(xiǎn)值（風(fēng)險(xiǎn)值=可能性×影響程度），例如：某漏洞被利用的可能性為80%，影響程度為100萬(wàn)元，則風(fēng)險(xiǎn)值為80萬(wàn)元。優(yōu)先級(jí)排序：根據(jù)風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)值，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，優(yōu)先處理高等級(jí)、高風(fēng)險(xiǎn)值的問(wèn)題。第十五條報(bào)告階段檢測(cè)評(píng)估報(bào)告應(yīng)當(dāng)包含以下核心內(nèi)容：**executivesummary（執(zhí)行摘要）**：簡(jiǎn)要說(shuō)明評(píng)估目的、范圍、主要發(fā)現(xiàn)及建議。評(píng)估概述：詳細(xì)描述評(píng)估方法、工具、時(shí)間及參與人員。風(fēng)險(xiǎn)發(fā)現(xiàn)：分技術(shù)、管理、業(yè)務(wù)維度列出風(fēng)險(xiǎn)點(diǎn)，每個(gè)風(fēng)險(xiǎn)點(diǎn)應(yīng)包含問(wèn)題描述、風(fēng)險(xiǎn)等級(jí)、影響分析。整改建議：針對(duì)每個(gè)風(fēng)險(xiǎn)點(diǎn)，提出具體、可落地的整改措施，明確責(zé)任部門和完成時(shí)間。附錄：包括原始數(shù)據(jù)、工具輸出報(bào)告、訪談?dòng)涗浀戎尾牧?。第十六條整改階段整改計(jì)劃：金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)評(píng)估報(bào)告，制定整改計(jì)劃，明確整改責(zé)任人、時(shí)間節(jié)點(diǎn)、資源投入。跟蹤驗(yàn)證：整改完成后，評(píng)估團(tuán)隊(duì)?wèi)?yīng)當(dāng)對(duì)整改效果進(jìn)行驗(yàn)證，確認(rèn)風(fēng)險(xiǎn)是否已有效降低或消除。持續(xù)改進(jìn)：將整改結(jié)果納入機(jī)構(gòu)數(shù)據(jù)安全管理體系，更新制度、流程或技術(shù)措施，防止類似風(fēng)險(xiǎn)再次發(fā)生。第五章第三方檢測(cè)評(píng)估機(jī)構(gòu)管理第十七條資質(zhì)要求第三方檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)當(dāng)具備以下資質(zhì)：監(jiān)管認(rèn)可：獲得國(guó)務(wù)院金融監(jiān)督管理機(jī)構(gòu)或其授權(quán)機(jī)構(gòu)的認(rèn)可證書。技術(shù)能力：擁有符合國(guó)家標(biāo)準(zhǔn)的檢測(cè)實(shí)驗(yàn)室，配備專業(yè)的技術(shù)團(tuán)隊(duì)及工具。獨(dú)立性：與委托方無(wú)利益關(guān)聯(lián)，能夠客觀、公正地開展評(píng)估工作。保密能力：建立嚴(yán)格的保密制度，確保評(píng)估過(guò)程中接觸到的金融數(shù)據(jù)不被泄露。第十八條服務(wù)規(guī)范第三方機(jī)構(gòu)開展服務(wù)時(shí)，應(yīng)當(dāng)遵守以下規(guī)范：簽訂協(xié)議：與委托方簽訂服務(wù)協(xié)議，明確評(píng)估范圍、雙方權(quán)利義務(wù)、保密條款及違約責(zé)任。過(guò)程記錄：對(duì)評(píng)估過(guò)程進(jìn)行全程記錄，包括使用的工具、測(cè)試方法、數(shù)據(jù)來(lái)源等，確保結(jié)果可追溯。質(zhì)量控制：建立內(nèi)部質(zhì)量審核機(jī)制，對(duì)評(píng)估報(bào)告進(jìn)行多級(jí)審核，確保結(jié)果準(zhǔn)確無(wú)誤。第十九條結(jié)果應(yīng)用金融機(jī)構(gòu)應(yīng)當(dāng)將第三方評(píng)估結(jié)果與內(nèi)部評(píng)估結(jié)果進(jìn)行對(duì)比分析，形成綜合風(fēng)險(xiǎn)視圖，并將其作為以下工作的依據(jù)：制定年度數(shù)據(jù)安全工作計(jì)劃。申請(qǐng)信息系統(tǒng)上線或升級(jí)。向監(jiān)管機(jī)構(gòu)報(bào)送數(shù)據(jù)安全合規(guī)報(bào)告。第六章監(jiān)督與問(wèn)責(zé)第二十條內(nèi)部監(jiān)督金融機(jī)構(gòu)應(yīng)當(dāng)建立內(nèi)部監(jiān)督機(jī)制：定期審計(jì)：內(nèi)部審計(jì)部門每年度對(duì)數(shù)據(jù)安全檢測(cè)評(píng)估工作進(jìn)行審計(jì)，檢查流程合規(guī)性、結(jié)果真實(shí)性?？?jī)效考核：將數(shù)據(jù)安全檢測(cè)評(píng)估工作納入部門及員工績(jī)效考核體系，對(duì)表現(xiàn)優(yōu)秀的團(tuán)隊(duì)或個(gè)人給予獎(jiǎng)勵(lì)，對(duì)未完成整改任務(wù)的部門進(jìn)行問(wèn)責(zé)。第二十一條外部監(jiān)管監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)采取以下措施加強(qiáng)監(jiān)督：現(xiàn)場(chǎng)檢查：定期或不定期對(duì)金融機(jī)構(gòu)的數(shù)據(jù)安全檢測(cè)評(píng)估工作進(jìn)行現(xiàn)場(chǎng)檢查，查閱相關(guān)文檔、系統(tǒng)日志，訪談工作人員。非現(xiàn)場(chǎng)監(jiān)管：要求金融機(jī)構(gòu)按季度或年度報(bào)送數(shù)據(jù)安全檢測(cè)評(píng)估報(bào)告，分析行業(yè)整體風(fēng)險(xiǎn)趨勢(shì)，發(fā)布風(fēng)險(xiǎn)預(yù)警。處罰措施：對(duì)未按規(guī)定開展檢測(cè)評(píng)估、存在重大數(shù)據(jù)安全隱患且未及時(shí)整改的金融機(jī)構(gòu)，采取約談、通報(bào)批評(píng)、行政處罰等措施。第二十二條責(zé)任追究對(duì)于違反本辦法規(guī)定，導(dǎo)致數(shù)據(jù)安全事件發(fā)生的，應(yīng)當(dāng)追究相關(guān)人員責(zé)任：管理層責(zé)任：如因制度不完善、監(jiān)督不到位導(dǎo)致事件發(fā)生，追究管理層的領(lǐng)導(dǎo)責(zé)任。執(zhí)行層責(zé)任：如因操作失誤、未按流程執(zhí)行導(dǎo)致事件發(fā)生，追究執(zhí)行層的直接責(zé)任。第三方機(jī)構(gòu)責(zé)任：如因第三方機(jī)構(gòu)評(píng)估結(jié)果失真、泄露數(shù)據(jù)導(dǎo)致事件發(fā)生，追究其違約責(zé)任，并取消其資質(zhì)。第七章附則第二十三條術(shù)語(yǔ)定義數(shù)據(jù)安全：指通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。檢測(cè)評(píng)估：指對(duì)數(shù)據(jù)安全狀況進(jìn)行檢測(cè)、分析、評(píng)估的活動(dòng)，旨在識(shí)別風(fēng)險(xiǎn)、改進(jìn)安全措施。敏感數(shù)據(jù)：指泄露后可能危害個(gè)人隱私、企業(yè)利益或國(guó)家安全的數(shù)據(jù)，如客戶身份證號(hào)、交易記錄、核心業(yè)務(wù)算法等。第二十四條實(shí)施日期本辦法自發(fā)布之日起施行。金融機(jī)構(gòu)應(yīng)當(dāng)在6個(gè)月內(nèi)完成本機(jī)構(gòu)數(shù)據(jù)安全檢測(cè)評(píng)估體系的構(gòu)建，并向監(jiān)管機(jī)構(gòu)報(bào)送備案材料。第二十五條解釋權(quán)本辦法由國(guó)務(wù)院金融監(jiān)督管理機(jī)構(gòu)負(fù)責(zé)解釋。第八章實(shí)踐案例與展望第二十六條實(shí)踐案例案例1：某銀行數(shù)據(jù)泄露事件整改某銀行因員工違規(guī)操作導(dǎo)致客戶敏感數(shù)據(jù)泄露，監(jiān)管機(jī)構(gòu)要求其開展全面數(shù)據(jù)安全檢測(cè)評(píng)估。該銀行采取以下措施：內(nèi)部評(píng)估：對(duì)所有業(yè)務(wù)系統(tǒng)進(jìn)行漏洞掃描，發(fā)現(xiàn)30個(gè)高危漏洞，立即組織修復(fù)。第三方評(píng)估：聘請(qǐng)第三方機(jī)構(gòu)開展?jié)B透測(cè)試，發(fā)現(xiàn)某網(wǎng)上銀行系統(tǒng)存在越權(quán)訪問(wèn)漏洞，隨后進(jìn)行架構(gòu)優(yōu)化。制度完善：修訂《員工數(shù)據(jù)操作規(guī)范》，增加數(shù)據(jù)訪問(wèn)的雙因子認(rèn)證要求，并對(duì)全體員工開展培訓(xùn)。持續(xù)監(jiān)控：部署數(shù)據(jù)泄露監(jiān)測(cè)工具，實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)流轉(zhuǎn)，近一年未發(fā)生新的數(shù)據(jù)安全事件。案例2：某保險(xiǎn)公司數(shù)據(jù)分類分級(jí)實(shí)踐某保險(xiǎn)公司按照本辦法要求，將數(shù)據(jù)分為四級(jí)：公開數(shù)據(jù)：如公司簡(jiǎn)介、產(chǎn)品宣傳資料。內(nèi)部數(shù)據(jù)：如員工通訊錄、非敏感業(yè)務(wù)報(bào)表。敏感數(shù)據(jù)：如客戶姓名、聯(lián)系方式、投保信息。核心數(shù)據(jù)：如客戶理賠記錄、公司財(cái)務(wù)數(shù)據(jù)。針對(duì)敏感數(shù)據(jù)和核心數(shù)據(jù)，該公司采取了加密存儲(chǔ)、訪問(wèn)權(quán)限最小化、操作日志審計(jì)等措施，有效降低了數(shù)據(jù)泄露風(fēng)險(xiǎn)。第二十七條未來(lái)