为了引导银行保险机构规范相关数据处理活动、保障数据安全以及防范数据安全风险，国家金融监督管理总局于2024年3月22日发布了《银行保险机构数据安全管理办法（征求意见稿）》（以下简称“银保数据安全办法”），是国家金融监督管理总局挂牌成立后首部数据安全管理方面的管理办法。

“银保数据安全办法”包括数据安全治理架构、数据分类分级标准、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置等重点内容，本文围绕银行保险机构在落实“银保数据安全办法”合规工作中可能遇到的难点，总结归纳了“五大数据安全管理要点”，对银行保险机构提出相关实操建议。更多分析可参见【金融视点】《银行保险机构数据安全管理办法（征求意见稿）》要点分析与建议。

五大数据安全管理要点

 要点一：数据安全治理架构

“银保数据安全办法”要求银行保险机构应当建立覆盖董（理）事会、高管层、数据安全统筹在内的多层级治理架构，将数据安全归口管理部门、业务部门、风险合规与审计部门、数据安全技术保护部门等均纳入数据安全治理组织架构。

合规难点：银行保险机构数据安全组织架构和统筹管理部门不明确、职责划分不清楚等，将导致数据安全保护管理工作权责不清，难以推进数据安全工作。

实操建议：

1.建立数据安全组织架构

数据安全治理架构的搭建需要考虑与组织内部现有信息安全管理体系的结合，避免部门职责重叠。普华永道建议可综合考虑“银保数据安全办法”和《中国人民银行业务领域数据安全管理办法（征求意见稿）》要求，并参考《金融数据安全 数据生命周期安全规范》（JRT 0223-2021）建立数据安全组织架构。

基于项目经验，普华永道发现，部分银行可能缺失承担统筹管理职能的数据安全归口管理部门。“银保数据安全办法”并未强制要求银行保险机构建立独立专职的部门来承担相应的数据安全职责，为银行保险机构数据安全治理架构的搭建和内部管理保留了一定的灵活性，机构可基于内部数据安全管理需要，确定具体的归口管理部门，也可以由多部门合作承担相应的职责。

数据安全管理组织架构示例

2.明确数据安全责任

银行保险机构应当建立银行数据安全责任制，明确违规情形和责任追究事项，落实问责处置机制，在数据安全组织架构和职责分工文件中明确：

·党委（党组）、董（理）事会对数据安全工作负主体责任；

·银行保险机构主要负责人为数据安全第一责任人；

·分管数据安全的管理层为直接责任人；

·数据安全技术保护部门、风险合规与审计部门、业务部门等负数据安全责任。

要点二：数据分类分级

“银保数据安全办法”要求银行保险机构开展数据分类分级工作，建立数据目录和分类分级规范，动态管理和维护数据目录，并且按要求向国家金融监督管理总局或其派出机构报送重要数据目录。

合规难点：随着数据分类分级相关的法律法规、标准的不断出台，银行保险机构亟需建立适用于内部统一的数据分类分级标准来指导开展工作。由银行保险机构业务系统数量多，数据量庞大、结构复杂，对数据逐条实行分类分级管理的难度显著增加。

实操建议：

1.建立数据分类分级标准和数据资产目录

银行保险机构应当根据法律法规、国家标准、行业标准等制定足以有效指导开展数据分级工作的判断标准，结合机构内各项数据内容，梳理细化数据资源目录。具体数据分类分级流程可参考2024年3月21日发布的《数据安全技术 数据分类分级规则》（GB/T 43697-2024），示例如下：

数据分类分级流程示例

数据资产梳理：对数据进行盘点、梳理与分类，形成统一的数据资产清单。

制定内部规则：根据金融行业领域数据分类分级规则，结合机构业务和管理情况制定内部统一的数据分类分级规则。

实施数据分类：优先遵循国家、金融行业的数据分类要求及标准，当没有行业数据分类规则时，则从组织经营维度进行数据分类。

实施数据分级：结合国家及金融行业有关法律法规、部门规章，对数据安全等级进行判定，分为核心数据、重要数据、一般数据。

审核上报目录：对数据分类分级结果进行审核，形成数据分类分级清单、重要数据和核心数据目录，并对数据进行分类分级标识，按有关程序报送目录。

动态更新管理：根据数据重要程度和可能造成的危害程度变化，对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理。

2.识别和制定重要数据目录

普华永道认为，目前对于“重要数据”仍缺少足以有效指导机构开展工作的具体标准，建议银行保险机构根据“银保数据安全办法”的定义并结合自身经营与业务实践先行梳理与开展分级工作，并持续关注金融行业重要数据目录的出台。机构目前也可参考《数据安全技术 数据分类分级规则》（GB/T 43697-2024），以及《重要数据识别指南（征求意见稿）》《重要数据识别规则（征求意见稿）》等判断识别重要数据并形成目录，按照要求及时报送重要数据目录。下表为《数据安全技术 数据分类分级规则》（GB/T 43697-2024）中的数据级别确定规则表：

要点三：数据安全管理和技术保障

“银保数据安全办法”针对包括内部收集、外部采购、加工、使用、对外提供、跨境提供、备份、删除与销毁在内的数据处理全生命周期设置了合规要求，包括管理措施要求、数据安全技术保护体系和数据安全保护基线等要求。

合规难点：银行保险机构需要建立覆盖数据全生命周期的数据安全管理制度，以及数据安全保护基线，对于“敏感级及以上”的数据须建立更严格的技术保护要求，为银行保险机构数据安全管理工作带来挑战。

实操建议：

1.建立数据安全保护制度体系

银行保险机构应当据此制定数据安全保护策略和制度，并应当涵盖全生命周期管控机制、数据安全保护措施、数据对外提供和跨境提供等监管重点关注内容。

2.数据安全制度体系示例

3.加强数据安全技术防护

银行保险机构应当在开展数据分类分级工作基础上，识别“敏感级及以上”数据，并落实相关数据处理的技术措施，满足相应的合规要求。

以网络安全等级保护为基础：对存放或传输“敏感级及以上”数据的机房、网络实施重点防护。

关注数据应用场景化保护：根据数据处理的具体应用场景，采取相应的技术保护措施，如加密、访问控制等。

加强数据处理全生命周期的技术保护：在数据处理全生命周期的各个阶段，从数据收集到销毁，都采取有效的技术保护措施，保障数据的完整性、保密性和可用性。

结合业务场景，围绕数据处理活动各场景的安全要求，建立与制度流程相配套的技术和工具并将其形成平台化应用，持续提升数据安全防护能力。

要点四：数据风险监测和数据安全事件应急处置

“银保数据安全办法”要求银行保险机构将数据安全风险纳入全面风险管理体系，明确建立数据安全事件应急管理机制，在数据安全事件发生后有应急处置流程，并根据要求按照不同等级的数据安全事件及时向用户、监管机构报告。

合规难点：银行保险机构数据交互场景多样，导致风险暴露点众多，因此合规难点在于持续监测数据安全威胁和风险，及时发现并应对数据安全事件。监管机构已经发布了多个安全事件相关的法规指引，银行保险机构应综合考虑法规要求建立相应的数据安全事件管理流程。

实操建议：

1.加强数据安全风险监测

银行保险机构应建立数据安全风险监测体系，对数据安全风险、客户有关数据安全的投诉、数据安全等负面舆情进行持续监测。机构风险监测团队应订阅风险信息监测报告，必要时可采购第三方风险信息服务平台。

2.建立数据安全事件应急管理机制

银行保险机构应当建立数据安全事件应急响应团队，建立应急响应流程，并定期开展应急演练，对发生的数据安全事件进行及时有效处理，最大限度降低数据安全事件产生的影响，并预防类似事件再次发生。

银行保险机构应建立数据安全事件应急响应流程，如下图所示：

数据安全事件应急响应流程示例

3.建立数据安全事件影响评估机制

按照数据安全事件危害影响程度判断数据安全事件分级，根据不同事件分级遵循相应的监管报送要求。“银保数据安全办法”中提供了数据安全事件分级附件，将数据安全事件分为“特别重大数据安全事件、重大数据安全事件、较大数据安全事件、一般数据安全事件”。

要点五：数据安全风险评估及监管报送

“银保数据安全办法”要求机构每年开展一次数据安全风险评估，并要求每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告。

合规难点：常态化数据安全风险评估以及监管报送要求为银行保险机构带来了合规挑战。“银保数据安全办法”阐明了数据安全风险评估要求，但并未明确数据安全风险评估标准及方法。

实操建议：银行保险机构应当建立数据安全风险评估机制，每年开展一次数据安全风险评估并向监管报送数据安全风险评估报告，数据安全风险评估方法可参考《信息安全技术 数据安全风险评估方法（征求意见稿）》。

数据安全风险评估框架示例

附录：法律法规参考

结语

综上所述，对于银行保险机构而言，确保数据安全的重要性不可低估。通过建立数据安全治理架构、开展数据分类分级工作、加强数据安全管理和技术保障、加强数据风险监测和建立数据安全事件响应流程、建立数据安全风险评估机制等，可以有效应对数据安全挑战。合规与数据保护不仅是银行保险机构的法律义务，更是银行保险机构赢得客户信任、保障业务稳健发展的基石。因此，将数据安全与保护视为一项重点合规工作，不断提升安全意识和应对能力，是银行保险机构不可或缺的使命与责任。

文章来源：普华永道