《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》編制說明

數(shù)據(jù)生命周期安全規(guī)范》“要切實”數(shù)

《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》“要切實”數(shù)（征求意見稿）編制說明

一、背景及意義

2017年12月8日，習(xí)近平總書記在中共中央政治局就

實施國家大數(shù)據(jù)戰(zhàn)略進行第二次集體學(xué)習(xí)時提出：

保障國家數(shù)據(jù)安全，強化國家關(guān)鍵數(shù)據(jù)資源保護能力。

據(jù)安全關(guān)乎國家安全，數(shù)據(jù)資源保護已上升至國家戰(zhàn)略層

面。2019年11月，在十九屆四中全會首次提出數(shù)據(jù)可作為

生產(chǎn)要素按貢獻參與分配，數(shù)據(jù)價值的提高對數(shù)據(jù)安全保護

提出更高要求。

隨著信息技術(shù)的發(fā)展，金融業(yè)機構(gòu)和金融事務(wù)處置均已

實現(xiàn)信息化、數(shù)字化運作，所產(chǎn)生的信息也逐步以不同形式

轉(zhuǎn)化為機構(gòu)的重要數(shù)字資產(chǎn)。同時，金融數(shù)據(jù)隨著應(yīng)用場景

和應(yīng)用機構(gòu)的爆炸式增長變得更加豐富的同時，也愈加復(fù)雜

多樣，金融數(shù)據(jù)在不同業(yè)務(wù)間、機構(gòu)間流轉(zhuǎn)的過程中，從技

術(shù)到管理都面臨著潛在的安全風險。

當前金融業(yè)機構(gòu)數(shù)據(jù)泄漏等安全威脅的影響已逐步從

機構(gòu)內(nèi)轉(zhuǎn)移擴大至行業(yè)間，甚至?xí)ι鐣a(chǎn)與國家安全產(chǎn)

生一定的影響。如何在滿足金融業(yè)務(wù)基本需求的基礎(chǔ)上，指

導(dǎo)各相關(guān)機構(gòu)規(guī)范金融數(shù)據(jù)安全管理，強化金融行業(yè)數(shù)據(jù)資

1

源保護能力，切實保障金融數(shù)據(jù)安全流動，已成為當前亟待

解決的問題。

基于數(shù)據(jù)安全級別，結(jié)合金融行業(yè)應(yīng)用場景特點，深度

剖析金融數(shù)據(jù)的安全防護需求，并建立覆蓋金融數(shù)據(jù)生命周

期各階段的安全防護框架，有助于金融業(yè)機構(gòu)數(shù)據(jù)保護資源

和成本的優(yōu)化配置，是建立完善的數(shù)據(jù)安全防護機制的核心

任務(wù)，也是建立統(tǒng)一、標準化的數(shù)據(jù)安全管理體系的必要條

件，能夠促進金融數(shù)據(jù)在機構(gòu)間、行業(yè)間的安全共享，有利

于金融行業(yè)數(shù)據(jù)價值的挖掘與實現(xiàn)。

為避免金融數(shù)據(jù)的破壞、泄漏、丟失，給客戶、金融業(yè)

機構(gòu)乃至金融行業(yè)、社會秩序、公共利益帶來嚴重危害，統(tǒng)

一指導(dǎo)金融行業(yè)數(shù)據(jù)安全管理工作，有必要通過行業(yè)標準對

金融行業(yè)的數(shù)據(jù)安全管理進行規(guī)范化要求。通過編寫金融數(shù)

據(jù)生命周期安全規(guī)范，對金融數(shù)據(jù)生命周期各階段進行全面

安全防護，在信息系統(tǒng)建設(shè)的全過程搭建好數(shù)據(jù)安全防護架

構(gòu)，并在日常的信息系統(tǒng)運維過程中做好數(shù)據(jù)應(yīng)用安全管

控，同時對金融行業(yè)數(shù)據(jù)安全管理體系建設(shè)提出要求，能夠

指導(dǎo)并促進金融業(yè)機構(gòu)實施數(shù)據(jù)安全防護，強化金融業(yè)機構(gòu)

數(shù)據(jù)安全管理能力，統(tǒng)一金融數(shù)據(jù)安全防護架構(gòu)的標準化與

規(guī)范化要求，提升金融數(shù)據(jù)安全管理體系的可實施性和可管

理性。

在目前的行業(yè)狀況和技術(shù)條件下，適時地由監(jiān)管部門推

2

出技術(shù)標準，對推動金融行業(yè)數(shù)據(jù)安全防護機制的標準化工

作大有裨益，在進一步促進金融行業(yè)數(shù)據(jù)安全工作逐步規(guī)范

化的同時，也將促進金融行業(yè)數(shù)據(jù)相關(guān)業(yè)務(wù)的穩(wěn)健發(fā)展。

二、制定原則

由于金融行業(yè)數(shù)據(jù)復(fù)雜多樣、影響面廣，在標準編制過

程中，工作組以“搭建數(shù)據(jù)生命周期安全框架、構(gòu)建數(shù)據(jù)安

全管理體系”為基本編制思路，充分考慮當前金融行業(yè)數(shù)據(jù)

安全管理現(xiàn)狀，同時兼顧國家相關(guān)政策和行業(yè)發(fā)展趨勢，遵

循以下幾個原則：

（一）行業(yè)適用性：本標準在編制過程中始終堅持數(shù)據(jù)

安全防護架構(gòu)在金融行業(yè)的普遍適用性，同時重點關(guān)注數(shù)據(jù)

安全防護相關(guān)策略和機制在各金融業(yè)機構(gòu)的可落地性。

（二）合規(guī)性原則：編制組在本標準起草過程中始終遵

循與我國現(xiàn)有的政策、法規(guī)、標準、規(guī)范等相一致的原則，

同時也兼顧行業(yè)監(jiān)管機構(gòu)對金融數(shù)據(jù)進行安全管理的實際

監(jiān)管要求。

三、主要內(nèi)容和編制依據(jù)

（一）主要內(nèi)容

本標準主要從金融數(shù)據(jù)生命周期安全防護框架出發(fā)，從

安全原則、數(shù)據(jù)生命周期安全防護要求、安全組織要求、信

息系統(tǒng)建設(shè)及運維的數(shù)據(jù)安全要求等方面，對金融數(shù)據(jù)安全

3

管理體系建設(shè)提出要求，并以附錄的形式給出數(shù)據(jù)安全體系

和數(shù)據(jù)安全防護的最佳實踐，為金融數(shù)據(jù)安全防護架構(gòu)的落

實提供參考。本標準主要內(nèi)容包括：

1.范圍及規(guī)范性引用文件。描述了標準制定的參考依據(jù)、

行業(yè)需求和標準制定的目的，明確了標準的適用機構(gòu)。

2.安全原則。提出了金融業(yè)機構(gòu)開展金融數(shù)據(jù)安全防護

工作及進行數(shù)據(jù)安全管理體系建設(shè)的基本安全原則。

3.數(shù)據(jù)生命周期安全防護要求。提出了覆蓋金融數(shù)據(jù)生

命周期各階段的安全防護要求，明確了數(shù)據(jù)安全防護的基本

措施和實現(xiàn)方式。

4.數(shù)據(jù)安全的組織保障要求。提出了金融業(yè)機構(gòu)數(shù)據(jù)安

全管理體系建設(shè)的基本要求，并對組織架構(gòu)、制度體系及人

員管理等方面進行了描述。

5.信息系統(tǒng)建設(shè)過程中的數(shù)據(jù)安全保障要求。從信息系

統(tǒng)開發(fā)全生命周期的維度，提出數(shù)據(jù)安全防護體系的實施架

構(gòu)，為金融業(yè)機構(gòu)實施數(shù)據(jù)生命周期安全防護提供指導(dǎo)。

6.信息系統(tǒng)運維過程中的數(shù)據(jù)安全保障要求。通過安全

監(jiān)測、安全審計、檢查評估及應(yīng)急響應(yīng)與事件處理等運維過

程中的數(shù)據(jù)安全管控要求，確保金融機構(gòu)在日常運營過程中

的數(shù)據(jù)安全。（二）編制依據(jù)

1.政策依據(jù)

4

數(shù)據(jù)中心設(shè)計規(guī)范信息安全技術(shù)信息技術(shù)詞匯第1部分：基本信息安全技術(shù)國民經(jīng)濟行業(yè)分類密碼術(shù)語數(shù)據(jù)中心設(shè)計規(guī)范信息安全技術(shù)信息技術(shù)詞匯第1部分：基本信息安全技術(shù)國民經(jīng)濟行業(yè)分類密碼術(shù)語SM4分組密碼算法密碼模塊安全檢測要求證券期貨業(yè)數(shù)據(jù)分類分級指引安全技個人金融信息保護技術(shù)規(guī)范2019年12月，人民銀行科技術(shù)語個人信息安全規(guī)

根據(jù)人民銀行推進金融行業(yè)數(shù)據(jù)安全管理相關(guān)工作要求，協(xié)

助科技司研制金融行業(yè)數(shù)據(jù)生命周期安全相關(guān)標準。

2.標準依據(jù)

本標準的制定參考下列現(xiàn)行標準編制：

GB50174-2017

GB/T25069—2010

GB/T5271.1—2000

術(shù)語

GB/T35273—2020

范

GB/T4754-2017

GM/Z0001—2013

GM/T0002—2012

GB/T37092-2018

JR/T0158—2018

JR/T0167—2018云計算技術(shù)金融應(yīng)用規(guī)范

術(shù)要求

JR/T0171—2020

四、主要工作過程

（一）標準工作組組建。

5

2019年122019年12月至2020年2數(shù)據(jù)生命周期安全規(guī)范2020年3月，工作組根據(jù)科數(shù)據(jù)生命周期安全規(guī)范(工(征求意

商，召開了第一次工作組會議，研究確立了標準內(nèi)容的編制

原則和具體工作形式，完成工作組組建。（二）工作組草案稿形成。

月，標準工作組采取集中封閉會議以及線上遠程會議等形

式，討論標準涉及的技術(shù)要求、對比相關(guān)政策標準后，編制

標準內(nèi)容，形成《金融數(shù)據(jù)安全

作組草案稿)》，上報至科技司。（三）征求意見稿形成。

技司相關(guān)意見，對標準內(nèi)容進行多次討論，修改、完善相關(guān)

內(nèi)容，形成《金融數(shù)據(jù)安全

見稿)》。

五、適用范圍

本標準適用于金融業(yè)機構(gòu)開展金融電子數(shù)據(jù)安全防護

使用，并為第三方安全評估機構(gòu)等單位開展數(shù)據(jù)安全檢查與

評估工作提供參考。

六、重大分歧意見的處理和依據(jù)

無。

七、行業(yè)標準屬性的建議

鑒于本標準的內(nèi)容未涉及強制性標準或強制性條文的

6

數(shù)據(jù)傳輸安全規(guī)范》和《金融數(shù)據(jù)安數(shù)據(jù)生命周期安全規(guī)范》。同時，數(shù)據(jù)傳輸安全規(guī)范》和《金融數(shù)據(jù)安數(shù)據(jù)生命周期安全規(guī)范》。同時，數(shù)據(jù)生命周期安全規(guī)范

八、廢止現(xiàn)行有關(guān)標準的建議

無。

九、其他應(yīng)予說明的事項

考慮到數(shù)據(jù)生命周期安全管理體系的完整性，為更好地

指導(dǎo)金融業(yè)機構(gòu)系統(tǒng)、科學(xué)地開展數(shù)據(jù)安全建設(shè)有關(guān)工作，

并進一步提升標準的實用性及通用性，將已在金標委完成立

項的《金融數(shù)據(jù)安全

全