《银行保险机构数据安全管理办法》重点解读.pptx

POWERPOINTDESIGN2024主讲人：XXX时间：2025.2《银行保险机构数据安全管理办法》重点解读

目录制定背景及适用范围一组织架构二数据安全管理三技术安全保护四个人信息保护五监管报告义务六

制定背景及适用范围一

随着信息技术的快速发展，数据已经成为银行保险机构的核心资产。然而，数据安全风险也与日俱增，数据泄露、篡改等事件频发，给机构和个人带来严重损失。为了加强数据安全管理，2024年12月27日，国家金融监督管理总局（“金监总局”）发布了《银行保险机构数据安全管理办法》（“以下简称《办法》”）并于当日施行。对银行保险机构的数据安全提出了明确要求。（一）制定背景

在《数据安全法》《个人信息保护法》等法规基础上，针对银行保险业特性制定。现有法规强调银行保险机构的行业特性，提出全面的公司治理要点。行业特性与公司治理结合金融行业数据安全及个人金融信息保护规则，提供更具体要求。与现有法规的关系对银行保险机构提出全面、完整的数据安全和个人信息保护要求。具体要求的全面一）制定背景

根据《办法》的第二条，银行保险机构主要包括在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团（控股）公司。而根据第八十条，金监总局批准设立的其他银行业金融机构、保险业金融机构、金融控股公司以及总局管理单位参照适用本办法。地方金融管理部门批准设立的金融组织参照适用本办法。由此，无论机构规模大小、治理能力如何，市场上相关银行保险机构在数据安全领域都将面临高度统一的无差别合规及监管要求。（二）适用范围

组织架构二

（一）数据安全责任人明确董（理）事会、高管层等在数据安全中的职责，确保数据安全工作全面覆盖。01组织架构要求建立党委（党组）、董（理）事会为责任主体的数据安全责任制，明确各级责任。02数据安全责任制银行保险机构主要负责人担任数据安全第一责任人，分管领导为直接责任人。03数据安全责任人

银行保险机构内控风险管理、内控合规、审计部门需将数据安全纳入全面风险管理体系、内控评价体系，定期开展审计、监督检查与评价，督促问题整改并开展问责。其他部门数据安全职责《办法》明确信息科技部门为数据安全的技术保护主要责任部门，主要职责包括建立技术保护体系、落实技术保护措施，制定技术标准规范制度、组织开展技术风险评估、信息系统生命周期安全管理，建立应急管理机制等。信息科技部门职责银行保险机构须指定数据安全归口管理部门，负责制定内部规范、建立数据目录、组织风险评审、统筹建立应急机制、组织内部培训、建立数据应用及共享管理机制、向高层汇报等。数据安全归口管理部门职责（二）数据安全部门职责

设立数据安全归口部门明确组织架构职责银行保险公司应建立数据安全管理组织架构，明确各部门及岗位职责，确保数据安全责任到人。指定信息技术或合规部门作为数据安全归口管理部门，赋予其足够的专业能力和资源。定期培训与考核对相关人员进行定期培训和考核，确保其掌握必威体育精装版数据安全法规和公司内部管理制度。（三）建议

数据安全管理三

明确横向分类和纵向分级管理要求数据分类分级覆盖数据处理全生命周期及应用场景的合规要求数据安全管理《办法》要求银行保险机构建立健全覆盖数据全生命周期和应用场景的保护机制和安全管理制度。三、数据安全管理

《银行保险机构数据安全管理办法》《办法》要求银行保险机构将业务及经营管理过程中获取、产生的数据分为客户数据、业务数据、经营管理数据、系统运行和安全管理数据等四大类进行管理。数据分类管理要求（一）数据分类分级

《办法》规定银行保险机构应依据数据覆盖程度和影响程度两个标准进行数据分类。数据分类依据数据被分为核心数据、重要数据、一般数据三个级别，其中一般数据进一步细分为敏感数据和其他一般数据。数据分类级别敏感数据指泄露或篡改后对经济、社会、公共利益或组织、个人造成重要影响的数据。敏感数据定义除核心数据、重要数据、敏感数据之外的数据，归类为其他一般数据。其他一般数据（一）数据分类分级

《银行保险机构数据安全管理办法》与《金融数据安全数据安全分级指南》在数据分级方法上存在差异。数据分级方法差异01建议金融机构关注数据分级是否符合《银行保险机构数据安全管理办法》要求。金融机构关注点02根据业务特点和数据类型，金融机构需制定详细的数据分类分级标准，并建立相应的数据目录。制定数据分类分级标准03定期对数据进行分类分级的动态调整，确保数据分类的准确性和合理性。数据分类分级的动态调整04（一）数据分类分级

全生命周期管理《办法》要求银行保险机构对数据的收集、存储、使用、加工、传输、提供、共享、转移、公开、删除