銀保監(jiān)發(fā)〔2020〕43號(hào)《中國(guó)銀保監(jiān)會(huì)關(guān)于印發(fā)監(jiān)管數(shù)據(jù)安全管理辦法（試行）的通知》

中國(guó)銀保監(jiān)會(huì)關(guān)于印發(fā)監(jiān)管數(shù)據(jù)安全管理辦法（試行）的通知









銀保監(jiān)發(fā)〔2020〕43號(hào)

各銀保監(jiān)局，機(jī)關(guān)各部門(mén)，各會(huì)管單位：

為切實(shí)加強(qiáng)監(jiān)管數(shù)據(jù)安全管理，防范監(jiān)管數(shù)據(jù)安全風(fēng)險(xiǎn)，我會(huì)制定了《中國(guó)銀保監(jiān)會(huì)監(jiān)管數(shù)據(jù)安全管理辦法（試行）》，現(xiàn)予以印發(fā)，請(qǐng)遵照?qǐng)?zhí)行。







 

中國(guó)銀保監(jiān)會(huì)

2020年9月23日






 

中國(guó)銀保監(jiān)會(huì)監(jiān)管數(shù)據(jù)安全管理辦法（試行）






 

第一章  總  則

第一條  為規(guī)范銀保監(jiān)會(huì)監(jiān)管數(shù)據(jù)安全管理工作，提高監(jiān)管數(shù)據(jù)安全保護(hù)能力，防范監(jiān)管數(shù)據(jù)安全風(fēng)險(xiǎn)，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》《中華人民共和國(guó)保險(xiǎn)法》《工作秘密管理暫行辦法》等法律法規(guī)及有關(guān)規(guī)定，制定本辦法。

第二條  本辦法所稱監(jiān)管數(shù)據(jù)是指銀保監(jiān)會(huì)在履行監(jiān)管職責(zé)過(guò)程中，依法定期采集,經(jīng)監(jiān)管信息系統(tǒng)記錄、生成和存儲(chǔ)的，或經(jīng)銀保監(jiān)會(huì)各業(yè)務(wù)部門(mén)認(rèn)定的數(shù)字、指標(biāo)、報(bào)表、文字等各類信息。

本辦法所稱監(jiān)管信息系統(tǒng)是指以滿足監(jiān)管需求為目的開(kāi)發(fā)建設(shè)的，具有數(shù)據(jù)采集、處理、存儲(chǔ)等功能的信息系統(tǒng)。

第三條  本辦法所稱監(jiān)管數(shù)據(jù)安全是指監(jiān)管數(shù)據(jù)在采集、處理、存儲(chǔ)、使用等活動(dòng)（以下簡(jiǎn)稱監(jiān)管數(shù)據(jù)活動(dòng)）中，處于可用、完整和可審計(jì)狀態(tài)，未發(fā)生泄露、篡改、損毀、丟失或非法使用等情況。

第四條  銀保監(jiān)會(huì)及受托機(jī)構(gòu)開(kāi)展監(jiān)管數(shù)據(jù)活動(dòng)，適用本辦法。

本辦法所稱受托機(jī)構(gòu)是指受銀保監(jiān)會(huì)委托或委派，為銀保監(jiān)會(huì)提供監(jiān)管數(shù)據(jù)采集、處理或存儲(chǔ)服務(wù)的企事業(yè)單位。

第五條  開(kāi)展監(jiān)管數(shù)據(jù)活動(dòng)，必須遵守相關(guān)法律和行政法規(guī)。任何單位和個(gè)人對(duì)在監(jiān)管數(shù)據(jù)活動(dòng)中知悉的國(guó)家秘密、工作秘密、商業(yè)秘密和個(gè)人信息，應(yīng)當(dāng)依照相關(guān)規(guī)定予以保密。

第六條  銀保監(jiān)會(huì)建立健全監(jiān)管數(shù)據(jù)安全協(xié)同管理體系，推動(dòng)銀保監(jiān)會(huì)有關(guān)業(yè)務(wù)部門(mén)、各級(jí)派出機(jī)構(gòu)、受托機(jī)構(gòu)等共同參與監(jiān)管數(shù)據(jù)安全保護(hù)工作，加強(qiáng)培訓(xùn)教育，形成共同維護(hù)監(jiān)管數(shù)據(jù)安全的良好環(huán)境。

 

第二章  工作職責(zé)

第七條  監(jiān)管數(shù)據(jù)安全管理實(shí)行歸口管理，建立統(tǒng)籌協(xié)調(diào)、分工負(fù)責(zé)的管理機(jī)制。

銀保監(jiān)會(huì)統(tǒng)計(jì)信息部門(mén)是歸口管理部門(mén)，負(fù)責(zé)統(tǒng)籌監(jiān)管數(shù)據(jù)安全管理工作。銀保監(jiān)會(huì)各業(yè)務(wù)部門(mén)負(fù)責(zé)本部門(mén)監(jiān)管數(shù)據(jù)安全管理工作。

第八條  歸口管理部門(mén)具體職責(zé)包括：

（一）制定監(jiān)管數(shù)據(jù)安全工作規(guī)則和管理流程；

（二）制定監(jiān)管數(shù)據(jù)安全技術(shù)防護(hù)措施；

（三）組織實(shí)施監(jiān)管數(shù)據(jù)安全評(píng)估和監(jiān)督檢查。

第九條 各業(yè)務(wù)部門(mén)具體職責(zé)包括：

（一）規(guī)范本部門(mén)監(jiān)管數(shù)據(jù)安全使用，明確具體工作要求，落實(shí)相關(guān)責(zé)任；

（二）組織開(kāi)展本部門(mén)監(jiān)管數(shù)據(jù)安全管理工作；

（三）協(xié)助歸口管理部門(mén)實(shí)施監(jiān)管數(shù)據(jù)安全監(jiān)督檢查。


 

第三章  監(jiān)管數(shù)據(jù)采集、存儲(chǔ)和加工處理

第十條  監(jiān)管數(shù)據(jù)的采集應(yīng)按照安全、準(zhǔn)確、完整和依法合規(guī)的原則進(jìn)行，避免重復(fù)、過(guò)度采集。

第十一條  監(jiān)管數(shù)據(jù)應(yīng)通過(guò)監(jiān)管工作網(wǎng)或金融專網(wǎng)進(jìn)行傳輸。因客觀條件限制需要通過(guò)物理介質(zhì)、互聯(lián)網(wǎng)或其它網(wǎng)絡(luò)傳輸?shù)?，?yīng)經(jīng)歸口管理部門(mén)評(píng)估同意。

第十二條  監(jiān)管數(shù)據(jù)應(yīng)存儲(chǔ)在銀保監(jiān)會(huì)機(jī)房，并具有完備的備份措施。確有必要存儲(chǔ)在受托機(jī)構(gòu)機(jī)房的，應(yīng)經(jīng)歸口管理部門(mén)評(píng)估同意。

第十三條  監(jiān)管數(shù)據(jù)存儲(chǔ)期限、存儲(chǔ)介質(zhì)管理應(yīng)按照國(guó)家和銀保監(jiān)會(huì)有關(guān)規(guī)定執(zhí)行。

第十四條  監(jiān)管數(shù)據(jù)的加工處理應(yīng)在監(jiān)管工作權(quán)限或受托范圍內(nèi)進(jìn)行。未經(jīng)歸口管理部門(mén)同意，任何單位和個(gè)人不得將代碼、接口、算法模型和開(kāi)發(fā)工具等接入監(jiān)管信息系統(tǒng)。

第十五條  監(jiān)管數(shù)據(jù)采集、傳輸、存儲(chǔ)、加工處理、轉(zhuǎn)移交換、銷毀，以及用于系統(tǒng)開(kāi)發(fā)測(cè)試等活動(dòng)，應(yīng)根據(jù)監(jiān)管數(shù)據(jù)類型和管理要求采取分級(jí)分類安全技術(shù)防護(hù)措施。
 

第四章  監(jiān)管數(shù)據(jù)使用

第十六條  監(jiān)管數(shù)據(jù)僅限于銀保監(jiān)會(huì)履行監(jiān)管工作職責(zé)使用。紀(jì)檢監(jiān)察、司法、審計(jì)等黨政機(jī)關(guān)為履行工作職責(zé)需要使用監(jiān)管數(shù)據(jù)時(shí)，按照有關(guān)規(guī)定辦理。

第十七條  監(jiān)管數(shù)據(jù)的使用行為應(yīng)通過(guò)管理和技術(shù)手段確保可追溯。監(jiān)管數(shù)據(jù)用于信息系統(tǒng)開(kāi)發(fā)測(cè)試以及對(duì)外展示時(shí)，應(yīng)經(jīng)過(guò)脫敏處理。

第十八條  使用未公開(kāi)披露的監(jiān)管數(shù)據(jù)，原則上應(yīng)在不可連接互聯(lián)網(wǎng)的臺(tái)式機(jī)或筆記本等銀保監(jiān)會(huì)工作機(jī)中進(jìn)行。因客觀條件限制需采取虛擬專用網(wǎng)絡(luò)等方式使用監(jiān)管數(shù)據(jù)時(shí)，應(yīng)經(jīng)歸口管理部門(mén)評(píng)估同意。

第十九條  因工作需要下載的監(jiān)管數(shù)據(jù)，僅可存儲(chǔ)于銀保監(jiān)會(huì)的工作機(jī)中。承載監(jiān)管數(shù)據(jù)的使用介質(zhì)應(yīng)妥善保管，防止數(shù)據(jù)泄露。

第二十條  在使用監(jiān)管數(shù)據(jù)過(guò)程中產(chǎn)生的加工數(shù)據(jù)、匯總結(jié)果等信息應(yīng)視同監(jiān)管數(shù)據(jù)進(jìn)行安全管理。

第二十一條  監(jiān)管數(shù)據(jù)對(duì)外披露應(yīng)由指定業(yè)務(wù)部門(mén)按照有關(guān)規(guī)定和流程實(shí)施。

第二十二條  各業(yè)務(wù)部門(mén)因工作需要向非黨政機(jī)關(guān)單位、個(gè)人提供監(jiān)管數(shù)據(jù)時(shí)，應(yīng)充分評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)，經(jīng)本部門(mén)主要負(fù)責(zé)人同意后實(shí)施，必要時(shí)與對(duì)方簽訂備忘錄和保密協(xié)議并報(bào)歸口管理部門(mén)備案。

與境外監(jiān)管機(jī)構(gòu)或國(guó)際組織共享監(jiān)管數(shù)據(jù)時(shí)，應(yīng)由國(guó)際事務(wù)部門(mén)依照銀保監(jiān)會(huì)簽署的監(jiān)管合作諒解備忘錄、合作協(xié)議等約定或其他有關(guān)工作安排進(jìn)行管理。

法律法規(guī)另有規(guī)定的，從其規(guī)定。

第二十三條  各業(yè)務(wù)部門(mén)因工作需要和系統(tǒng)下線停用監(jiān)管數(shù)據(jù)時(shí)，應(yīng)及時(shí)對(duì)其采取封存或銷毀措施。

 

第五章  監(jiān)管數(shù)據(jù)委托服務(wù)管理

第二十四條  各業(yè)務(wù)部門(mén)監(jiān)管數(shù)據(jù)采集涉及受托機(jī)構(gòu)提供服務(wù)時(shí)，應(yīng)事先與歸口管理部門(mén)溝通并會(huì)簽同意。受托機(jī)構(gòu)的技術(shù)服務(wù)方案，應(yīng)通過(guò)歸口管理部門(mén)的安全評(píng)估。技術(shù)服務(wù)方案發(fā)生變更的，應(yīng)事先報(bào)歸口管理部門(mén)進(jìn)行安全評(píng)估。

安全評(píng)估不通過(guò)的，不得開(kāi)展委托服務(wù)或建立委派關(guān)系。

第二十五條  為銀保監(jiān)會(huì)提供監(jiān)管數(shù)據(jù)服務(wù)的受托機(jī)構(gòu)，應(yīng)滿足以下基本條件：

（一）具備從事監(jiān)管數(shù)據(jù)工作所需系統(tǒng)的自主研發(fā)及運(yùn)維能力；

（二）具備相關(guān)信息安全管理資質(zhì)認(rèn)證；

（三）擁有自主產(chǎn)權(quán)或已簽訂長(zhǎng)期租賃合同的機(jī)房；

（四）網(wǎng)絡(luò)和信息系統(tǒng)具備有效的安全保護(hù)和穩(wěn)定運(yùn)行措施，三年內(nèi)未發(fā)生網(wǎng)絡(luò)安全重大事件；

（五）具備有效的監(jiān)管數(shù)據(jù)安全管理措施，能夠保障銀保監(jiān)會(huì)各部門(mén)對(duì)監(jiān)管數(shù)據(jù)的訪問(wèn)和控制；

（六）具有監(jiān)管數(shù)據(jù)備份體系、應(yīng)急組織體系和業(yè)務(wù)連續(xù)性計(jì)劃。

第二十六條  銀保監(jiān)會(huì)通過(guò)與受托機(jī)構(gòu)簽訂協(xié)議，確立監(jiān)管數(shù)據(jù)委托服務(wù)關(guān)系。協(xié)議應(yīng)明確服務(wù)項(xiàng)目、期限、安全管理責(zé)任和終止事由等內(nèi)容。

銀保監(jiān)會(huì)通過(guò)委派方式確立監(jiān)管數(shù)據(jù)服務(wù)關(guān)系的，應(yīng)下達(dá)委派任務(wù)書(shū)。

第二十七條  因有關(guān)政策調(diào)整導(dǎo)致原委托或委派事項(xiàng)無(wú)需繼續(xù)履行，或發(fā)現(xiàn)受托機(jī)構(gòu)監(jiān)管數(shù)據(jù)服務(wù)出現(xiàn)重大安全問(wèn)題的，銀保監(jiān)會(huì)有權(quán)終止委托或委派關(guān)系。

委托或委派關(guān)系終止時(shí)，受托機(jī)構(gòu)應(yīng)及時(shí)、完整地移交監(jiān)管數(shù)據(jù)，并銷毀因委托或委派事項(xiàng)而獲取的監(jiān)管數(shù)據(jù)，不得保留相關(guān)數(shù)據(jù)備份等內(nèi)容。


 

第六章  監(jiān)督管理

第二十八條  各業(yè)務(wù)部門(mén)及受托機(jī)構(gòu)應(yīng)按照監(jiān)管數(shù)據(jù)安全工作規(guī)則定期開(kāi)展自查，發(fā)現(xiàn)監(jiān)管數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)立即采取補(bǔ)救措施。

第二十九條  歸口管理部門(mén)應(yīng)定期對(duì)各業(yè)務(wù)部門(mén)及受托機(jī)構(gòu)開(kāi)展監(jiān)管數(shù)據(jù)安全管理評(píng)估檢查工作。

各業(yè)務(wù)部門(mén)及受托機(jī)構(gòu)對(duì)于評(píng)估和檢查中發(fā)現(xiàn)的問(wèn)題應(yīng)制定整改措施，及時(shí)整改，并向歸口管理部門(mén)報(bào)送整改報(bào)告。

第三十條  各業(yè)務(wù)部門(mén)及受托機(jī)構(gòu)發(fā)生以下監(jiān)管數(shù)據(jù)重大安全風(fēng)險(xiǎn)事項(xiàng)時(shí)，應(yīng)立即采取應(yīng)急處置措施，及時(shí)消除安全隱患，防止危害擴(kuò)大，并于48小時(shí)內(nèi)向歸口管理部門(mén)報(bào)告。

（一）監(jiān)管數(shù)據(jù)發(fā)生泄露或非法使用；

（二）監(jiān)管數(shù)據(jù)發(fā)生損毀或丟失；

（三）承載監(jiān)管數(shù)據(jù)的信息系統(tǒng)或網(wǎng)絡(luò)發(fā)生系統(tǒng)性故障造成服務(wù)中斷4小時(shí)以上；

（四）承載監(jiān)管數(shù)據(jù)的信息系統(tǒng)或網(wǎng)絡(luò)遭受非法入侵、發(fā)生有害信息或計(jì)算機(jī)病毒的大規(guī)模傳播等破壞；

（五）監(jiān)管數(shù)據(jù)安全事件引發(fā)輿情；

（六）《網(wǎng)絡(luò)安全重大事件判定指南》列明的其他影響監(jiān)管數(shù)據(jù)安全的網(wǎng)絡(luò)安全重大事件。

轄區(qū)發(fā)生以上監(jiān)管數(shù)據(jù)重大安全風(fēng)險(xiǎn)事項(xiàng)時(shí)，各銀保監(jiān)局應(yīng)立即采取補(bǔ)救措施，并于48小時(shí)內(nèi)向銀保監(jiān)會(huì)歸口管理部門(mén)報(bào)告。

第三十一條  歸口管理部門(mén)應(yīng)建立監(jiān)管數(shù)據(jù)安全事件通報(bào)工作機(jī)制，及時(shí)通報(bào)監(jiān)管數(shù)據(jù)安全事件。

 

第七章  附  則

第三十二條  涉密監(jiān)管數(shù)據(jù)按照國(guó)家和銀保監(jiān)會(huì)保密管理有關(guān)規(guī)定進(jìn)行管理。

第三十三條  各銀保監(jiān)局承擔(dān)轄區(qū)監(jiān)管數(shù)據(jù)安全管理責(zé)任，參照本辦法制定轄區(qū)監(jiān)管數(shù)據(jù)安全管理辦法，明確職責(zé)和管理要求，強(qiáng)化監(jiān)管數(shù)據(jù)安全保護(hù)。

第三十四條  本辦法自印發(fā)之日起施行。

本文鏈接：http://www.fl1002.com/doc/98345.html

本文關(guān)鍵詞： 銀保監(jiān)發(fā), 中國(guó)銀保監(jiān)會(huì), 監(jiān)管, 數(shù)據(jù), 安全, 管理辦法, 試行, 通知