? ? ??隨著信息技術的發展，眾多金融基礎業務、核心流程、行業間往來等事務和活動均已運行在信息化支撐載體之上，金融業機構生產運行過程中產生的信息也逐步以不同形式轉化為數字資產流轉在金融 業信息系統之中。隨著大數據、人工智能、云計算等新技術在金融業的深入應用，金融數據逐步實現了 從信息化資產到生產要素的轉變，其重要性日益凸顯。數據泄露、濫用、篡改等安全威脅的影響逐步從 機構內轉移擴大至機構間以及行業間，甚至影響國家安全、社會秩序、公眾利益與金融市場穩定。如何在滿足金融業務基本需求的基礎上，強化數據保護能力，防范數據安全風險，切實保障金融數據價值發 揮，已成為當前亟待解決的問題。開展金融數據安全評估，一方面能夠推動金融 業機構落實金融業數據安全管理要求，提升金融業數據安全保護工作的規范化和標準化程度；另一方面 有助于金融業機構及時全面掌握本機構數據安全管理水平，預測并確認所面臨的數據安全威脅和風險，為金融業機構制定防范措施及應對安全事件提供科學依據和指導，可有效防控數據安全事件風險和危害，為金融數據的應用和流動提供有力保障。2021年12月3日，全國金融標準化技術委員會發布公告，就《金融數據安全 數據安全評估規范》（以下簡稱“規范”）征求意見。

? ? ??《規范》包括了金融數據安全評估觸發條件、原則、參與方、內容、流程及方法，明確了數據安全管理、數據安全保護、數據安全運維三個主要評估域，及安全評估主要內容和方法。該標準適用于金融業機構開展金融數據安全評估使用，并為第三方安全評估機構等單位開展金融數據安全檢查與評估工作提供參考。本標準提出了金融行業數據安全評估的內容和方法，適用于金融業機構開展金融數據安全評估使用，并為第三方安全評估機構等單位開展金融數據安全檢查與評估工作提供參考。

? ? ??本標準提出金融行業數據安全評估的方法和標準，作為行業性的指導文件，具備很強的政策指引性，也是我們金融行業咨詢服務工作的一個重要的參考文件和行動指導。

? ? ??金融數據安全評估的主要內容包括JR/T 0197-2020中的金融數據及其安全分級，以及JR/T 0223-2021中的金融數據生命周期安全要求。主要評估域：包括數據安全管理（S1）、數據安全保護（S2）、數據安全運維（S3）三方面內容。 金融數據安全管理：明確了金融業機構數據安全管理相關組織架構及制度體系建設相關安全評估的具體內容、評估方法和結果判定依據。要求建立包括決策層、管理層、執行層以及監督層的完善管理體系，建立能夠確保數據安全管理落地的制度體系。

? ? ??金融數據安全保護：明確了金融業機構數據資產分級管理、數據生命周期安全保護相關安全評估的具體內容、評估方法和結果判定依據。切合金融行業的特點，對重要的評估項要求旁站驗證，需要金融機構在這些評估項上，做得更細致更專業。

? ? ??金融數據安全運維：明確了金融業機構邊界管控、訪問控制、安全監測、安全審計、安全檢查、應急響應與事件處置等數據安全運維相關安全評估的具體內容、評估方法和結果判定依據。金融數據安全評估采用的評估方法與風險評估類似，采用問卷調查、人員訪談、文檔查驗、配置核查、工具測試和旁站驗證6種評估手段。

? ? ??明確了金融業機構邊界管控、訪問控制、安全監測、安全審計、安全檢查、應急響應與事件處置等數據安全運維相關安全評估的具體內容、評估方法和結果判定依據。

? ? ??金融數據安全評估規范 評估結果解析

? ? ??金融數據安全評估規范 評估結果解析

? ? ??金融數據安全評估規范 附表內容解析

? ? ??有效開展金融數據安全評估，一方面能夠推動金融業機構落實金融業數據安全管理要求，提升金融業數據安全保護工作的規范化和標準化程度。另一方面有助于金融業機構及時全面掌握本機構數據安全管理水平，預測并確認所面臨的數據安全威脅和風險，為金融業機構制定防范措施及應對安全事件提供科學依據和指導，可有效防控數據安全事件風險和危害，為金融數據的應用和流動提供有力保障。

? ? ??金融數據安全相關標準規范文件：

? ? ??JR/T 0171—2020?個人金融信息保護技術規范 JR/T 0197—2020?金融數據安全 數據安全分級指南 JR/T 0223—2021?金融數據安全 數據生命周期安全規范? GB 50174—2017?數據中心設計規范 GB/T 39335—2020?信息安全技術 個人信息安全影響評估指南 《中國人民銀行網絡數據安全管理指南》[2019] 7號 銀行業金融機構數據治理指引 銀保監發〔2018〕22號 JR/T0068-2020_網上銀行系統信息安全通用規范 中國人民銀行關于進一步加強銀行卡風險管理的通知（銀發〔2016〕170號 中國人民銀行辦公廳文件【2016】?