将数据安全风险纳入全面风险管理体系监管部门加强金融机构数据安全管理

内控新闻 2024年12月30日 15:55 133 内控网

　上证报中国证券网讯（记者常佩琦韩宋辉）上海证券报记者12月27日获悉，金融监管总局近日印发《银行保险机构数据安全管理办法》（下称《办法》），落实数据安全责任制，将数据安全风险纳入全面风险管理体系，进一步规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用。

　　金融监管总局有关司局负责人表示，近年来金融领域面临的数据安全风险形势复杂严峻，也给金融机构数据安全管理带来新的挑战，有必要充分发挥监管的“指挥棒”作用，通过强化政策要求引导银行保险机构压实主体责任，完善内部机制，采取有效的管理和技术措施加强数据安全保护，确保客户信息和金融交易数据的安全。

　　首先，落实数据安全责任制。《办法》明确银行保险机构党委（党组）、董（理）事会对本单位数据安全工作负主体责任，机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人；要求银行保险机构指定数据安全归口管理部门，作为本机构负责数据安全工作的主责部门，承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。

　　《办法》要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施。

　　金融监管总局有关司局负责人介绍，在数据分类方面，《办法》对机构业务及经营管理过程中获取、产生的数据进行分类管理，具体类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。在数据分级方面，银行保险机构应根据数据的重要性和敏感程度，将数据分为核心数据、重要数据、一般数据，其中一般数据细分为敏感数据和其他一般数据；当数据的业务属性、重要程度和可能造成的危害程度发生变化，导致安全级别不再适用的，及时进行动态调整。

　　此外，《办法》将数据安全风险纳入全面风险管理体系，要求银行保险机构明确管理流程，主动评估风险，对数据安全风险进行有效监测，防止数据破坏、泄露、非法利用等安全事件发生；风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。

　　针对个人信息保护，《办法》单独设置相关章节，体现保护消费者信息和权益的政策导向。

　　具体来看，《办法》规定，银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施，并限于实现金融业务处理目的的最小范围，不得过度收集个人信息；发生或者可能发生个人信息泄露、篡改、丢失的，银行保险机构应当立即采取补救措施，并向监管部门报告等。

来源：上海证券报·中国证券网

近期课程安排：

《国际注册内部控制师CICS资格认证》网络课程学习班：

报名链接：http://www.neikong.com/s/pc/#/course/detail/1527212/1473841/info

联系电话：400-098-1119 或致电：010-68004186

联系人：孙老师 15810764339、邱老师 13811888273 （手机号可加微信咨询）

报名咨询二维码：