專家解讀 |《金融資料安全 資料安全評估規範》（徵求意見稿）

近日，全國金融標準化技術委員會秘書處釋出關於《金融資料安全 資料安全評估規範》（徵求意見稿）等2項金融行業標準徵求意見的通知。

《金融資料安全 資料安全評估規範》（徵求意見稿）規定了金融資料安全評估觸發條件、原則、參與方、內容、流程及方法，明確了資料安全管理、資料安全保護、資料安全運維三個主要評估域及其安全評估主要內容和方法。適用於金融業機構開展金融資料安全評估使用，併為第三方安全評估機構等單位開展金融資料安全檢查與評估工作提供參考。

一、評估概述

金融資料安全評估指金融業機構對其資料處理活動定期或按需開展的風險評估活動，評價金融業機構自身和資料處理活動第三方合作機構的資料安全保護能力，為金融業機構建立資料安全保護體系、明確資料安全保護策略和加強第三方合作機構資料安全管理提供參考性資料。

二、評估內容

依據JR/T 0197-2020《金融資料安全 資料安全分級指南》、JR/T 0223-2021《金融資料安全 資料生命週期安全規範》兩個行業規範作為金融資料安全評估的主要內容，包括金融資料安全管理（S1）、金融資料安全保護（S2）及金融資料安全運維（S3）三方面內容。

金融資料安全管理（S1）：明確了金融業機構資料安全管理相關組織架構及制度體系建設相關安全評估的具體內容、評估方法和結果判定依據。 

金融資料安全保護（S2）：明確了金融業機構資料資產分級管理、資料生命週期安全保護相關安全評估的具體內容、評估方法和結果判定依據。

金融資料安全運維（S3）：明確了金融業機構邊界管控、訪問控制、安全監測、安全審計、安全檢查、應急響應與事件處置等資料安全運維相關安全評估的具體內容、評估方法和結果判定依據。

三、評估流程

金融資料安全評估流程分為評估準備、評估實施、安全分析、報告編制和結果評審五個步驟：

第一步：評估準備

在進行金融資料安全評估前，需首先明確評估目標；根據評估目標組建評估團隊，評估團隊由本機構本次金融資料安全評估的最高負責人、評估參與方以及實施團隊等共同組成。明確評估範圍，確定本次評估所涉及的金融資料、金融產品和服務、資訊系統、人員及組織（含內、外部）等。最後根據本次評估目標和範圍等情況編制並確定本次金融資料安全評估工作的評估方案，明確本次評估工作的主要任務、任務分工、人員安排、時間計劃等內容。

第二步：評估實施

評估團隊牽頭部門的組織和其他參與方的共同配合下，金融資料安全評估的實施團隊根據已確定的評估方案開展本次評估的實施工作，留存評估實施過程相關記錄材料並形成各部分評估結果。

第三步：安全分析

根據本次金融資料安全評估的評估結果，實施團隊對本機構當前資料安全現狀、所面臨的各類資料安全問題嚴重程度及主要安全風險情況等進行分析，並提出相應改進建議。

第四步：報告編制

根據評估結果及安全分析結論編制評估報告，對評估內容、過程、結果、問題等進行總結和分析，並給出總體評估結論。

第五步：結果評審

評審團隊根據本次金融資料安全評估最終形成的評估報告及總體評估結論，同時稽核確定各評估事項及參與人員行為等公平公正、真實有效及合法合規。

四、評估方法

金融資料安全評估採用的評估方法與風險評估類似，採用問卷調查、人員訪談、文件查驗、配置核查、工具測試和旁站驗證6種評估手段。

五、評估結果判定

對資料安全評估結果確定過程中的資料安全問題等級、評估判定原則及評估結果判定等問題進行了詳細說明，最終結果判定表如下所示：

有效開展金融資料安全評估，一方面能夠推動金融業機構落實金融業資料安全管理要求，提升金融業資料安全保護工作的規範化和標準化程度；另一方面有助於金融業機構及時全面掌握本機構資料安全管理水平，預測並確認所面臨的資料安全威脅和風險，為金融業機構制定防範措施及應對安全事件提供科學依據和指導，可有效防控資料安全事件風險和危害，為金融資料的應用和流動提供有力保障。