JR/T 0223-2021 金融数据安全 数据生命周期安全规范.pdf
- 文档部分内容预览:
JR/T 0223-2021 金融数据安全 数据生命周期安全规范
b)目的明确原则:应制定金融数据安全防护策略,明确金融数据生命周期各环节的安全防护目 标和要求。 选择同意原则:应向个人金融信息主体明示数据采集和处理的目的、方式、范围、规则等, 制定完善的隐私政策,在进行数据采集和处理前征得其授权同意。 d 最小够用原则:金融业机构应仅处理个人金融信息主体授权同意的金融数据,且处理的金融 数据为业务所必需的最小金融数据类型和数量, e 全程可控原则:应采取与金融数据安全级别相匹配的安全管控机制和技术措施,确保金融数 据在全生命周期各环节的保密性、完整性和可用性,避免数据在全生命周期内被未授权访问 破坏、篡改、泄漏或丢失等。 动态控制原则:金融数据的安全控制策略和安全防护措施不应是一次性和静态的,应可基于 业务需求、安全环境属性、系统用户行为等因素实施实时和动态调整。 名 权责一致原则:应明确本机构数据安全防护工作相关部门及其职责,有关部门及人员应积极 落实相关措施,履行数据安全防护职责
7数据生命周期安全防护
数据采集是指金融业机构在提供金融产品和服务、开展经营管理等活动中,直接或间接从个人金 独信息主体,以及企业客户、外部数据供应方等外部机构获取数据的过程。数据采集过程存在数据泄 露、数据源伪造、特权账户滥用、数据篡改等安全风险。 数据采集过程实现数据的采集与提取、转换与标准化、信息上传,并提供内置安全审计与监管等 辅助工具。按照采集模式,可分为从外部机构和从个人金融信息主体采集数据,见附录A。
路桥管理及其他7.1.2从外部机构采集数据
金融业机构从外部机构采集数据,安全要求如下: a)应通过合同协议等方式,明确双方在数据安全方面的责任及义务,明确数据采集范围、频度 类型、用途等,确保外部机构数据的合法合规性和真实性,必要时提供相关个人金融信息主 体的授权。 b 从外部数据供应方处采集数据,应制定数据供应方约束机制,并明确数据源、数据采集范围 和频度,并事前开展数据安全影响评估。 注:数据安全影响评估(datasecurityimpactassessment):针对数据处理活动,检验其合法合规程度,判断 其对相关方合法权益造成损害的各种风险,以及评估相关保护措施有效性的过程。 C 采集的企业客户数据应与提供的金融产品或服务直接相关,并与合同协议条款、隐私政策中 约定采集的内容保持一致,不应超范围采集数据。 应明确数据采集过程中个人金融信息和重要数据的知悉范围和安全管控措施,确保采集数据 的合规性、完整性和真实性。 通过系统批量采集的数据应采用摘要、消息认证码、数字签名等密码技术确保采集过程数据 的完整性。 应对人工批量采集数据的环境进行安全管控,并通过人员权限管控、信息碎片化等方式,防 止采集过程出现数据泄露。 g 采集数据时,应对数据采集设备或系统的真实性进行验证。
应对数据采集过程进行日志记录,并采取技术措施确保信息来源的可追溯性。 采集3级及以上数据时,还应结合口令密码、设备指纹、设备物理位置、网络接入方式、设 备风险情况等多种因素对数据采集设备或系统的真实性进行增强验证。 采集4级数据时,还应满足: 1 对采集全过程进行持续动态认证,确保数据采集设备或系统的真实性,必要时可实施阻 断、二次认证等操作。 2) 对采集的数据进行数据加密。 3不应通过人工方式采集。
7.1.3从个人金融信息主体处采集数据
金融业机构从个人金融信息主体处采集数据,安全要求如下: APP、WEB等客户端相关业务完成后不应留存3级及以上数据,并及时对缓存进行清理。 b 采集的个人金融信息应与提供的金融产品或服务直接相关,并与合同协议条款、隐私政策中 约定采集的内容保持一致,不应超范围采集数据。 C 通过纸质表单采集数据并转换为电子数据时,满足以下要求: 1) 对表单的保存、查阅、复制等操作进行严格审批授权,涉及3级及以上数据的操作,应 进行专项审批,并对表单流转的全过程进行监控与审计。 2) 在纸质表单电子化的过程中,应采取技术措施对电子化过程中的数据完整性、保密性进 行控制。 d 数据采集过程应符合7.1.2d)~j)所述要求。 二 金融业机构在停止其提供的金融产品或服务时,应立即停止数据收集活动及数据分析应用活 动,相关国家及行业主管部门另有规定的按照相关规定执行。
11)3级及以上的数据内部传输,应采取数据加密、安全传输通道或安全传输协议进行数据 传输。 12)3级及以上数据原则上不应对外传输,若因业务需要确需传输的,应经过事先审批授权 并采取技术措施确保数据保密性。 13)4级及以上数据传输,应对数据进行字段级加密,并采用安全的传输协议进行传输。 14)4级数据中的个人金融信息原则上不应对外传输,国家及行业主管部门另有规定的除外 15)应在数据传输不完整时清除传输缓存数据。 16)应在数据传输完成后立即清除传输历史缓存数据。 17)应定期检查或评估数据传输的安全性和可靠性。 18)向国家机关、行业主管和监管单位传输数据,应按照国家及行业相关管理要求进行传输, b 通过内部无线网络传输数据,在满足7.2a)基本要求的基础上,还应满足以下要求: 1 采用绑定设备序列号或硬件地址(MAC地址)等管控措施对无线接入点进行准入控制, 合理设置传输功率,控制无线信号的覆盖范围。 2) SSID采用规范的命名规则,不泄露机构名称、网络特性、物理位置等信息,禁止使用缺 省的SSID,生产环境应禁用SSID广播,避免攻击者通过扫描直接获取无线网络信息。 采用安全、可靠的加密协议,对无线通信信道进行安全加密。 确保无线网络设备的物理安全,禁用不必要的服务,强化无线网络设备的管理账号和口 令安全,禁止使用弱口令,建立安全管理基线。 5) 加强无线网络用户管理,禁止多人使用同一账号,采用双因素认证方式对接入用户进行 身份校验,停用长时间未登录使用无线网络的账号。 6) 采取措施控制移动智能终端在内网和互联网交叉使用的风险,加强应用安全和数据泄露 防护,防范恶意代码传播。 7 明确短期使用及临时搭建的无线网络使用期限,期满后应及时拆除或关闭。 通过运营商网络传输数据,在满足7.2a)基本要求的基础上,2级及以上数据还应采用专线 或VPN等技术确保传输通道的安全,确保数据传输的安全性。 1 通过物理介质批量传递3级及以上数据时应对数据进行加密或脱敏,并由专人负责收发、登 记、编号、传递、保管和销毁等,传递过程中可采用密封、双人押送、视频监控等确保物理 介质安全到位,传递过程中物理介质不应离开相关责任人、监控设备等的监视及控制范围 且不应在无人监管情况下通过第三方进行传递,国家及行业主管部门另有规定的除外
数据存储是指金融业机构在提供金融产品和服务、开展经营管理等活动中,将数据进行持久化保 存的过程,包括但不限于采用磁盘、磁带、云存储服务、网络存储设备等载体存储数据。数据存储过 程,可能存在数据泄露、算改、丢失、不可用等安全风险
数据存储的安全要求如下: 数据存储不应因存储形式或存储时效的改变而降低安全保护强度。 b)应根据安全级别、重要性、量级、使用频率等因素,将数据分域分级存储。 应依据最小够用原则存储数据,不应以任何形式存储非业务必需的金融数据,存储时间应为 业务必需的最短时间,国家及行业主管部门另有规定的除外
数据存储的安全要求如下: 数据存储不应因存储形式或存储时效的改变而降低安全保护强度。 应根据安全级别、重要性、量级、使用频率等因素,将数据分域分级存储。 应依据最小够用原则存储数据,不应以任何形式存储非业务必需的金融数据,存储时间应光 业务必需的最短时间,国家及行业主管部门另有规定的除外。
JR/T 02232021
d)应定期对数据存储过程中可能产生的影响进行风险评估,并采取相应安全防护措施。 e 脱敏后的数据应与用于还原数据的恢复文件隔离存储,使用恢复原始数据的技术应经过严格 审批,并留存相关审批及操作记录。 应采取一定措施确保数据存储的完整性,存储3级及以上数据时,应采用密码技术、权限控 制等技术措施保证数据完整性。 2级及以上数据应采取技术措施保证存储数据的保密性,必要时可采取多因素认证、固定处 理终端、固定处理程序或工具、双人双岗控制等安全策略。 h 3级数据的存储应采取加密等技术措施保证数据存储的保密性。 1 保存3级及以上数据的信息系统,其网络安全建设及监督管理宜满足网络安全等级保护3级 要求。 j)文件系统中存放含有3级及以上数据的文件,宜采用整个文件加密存储方式进行保护。 k)4级及以上数据应使用密码算法加密存储。 在我国境内产生的金融数据原则上应在我国境内存储,国家及行业主管部门另有规定的除外 m 在我国境内产生的5级数据应仅在我国境内存储。 1 应对数据存储区域进行规划,并对不同区域之间的数据流动进行安全管控,
数据备份与恢复工作安全要求如下: a) 根据数据的安全级别和数据对系统运行的影响,制定数据备份策略和恢复策略,备份策略应 至少指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法、备 份周期或频率、备份范围等。 b 生产数据应采取实时备份与异步备份、增量备份与完全备份的方式,提供本地数据备份与恢 复功能。 C 应建立同城与异地数据备份中心的远程数据备份与恢复功能,利用通信网络将关键数据定时 批量传送至备用场地。 d 数据备份应基于多穴余策略,可采用磁带、磁盘镜像、磁盘冷备、热备、双活等技术实现, 备份频度及保存期限不低于相关监管和业务使用要求。 应定期开展灾难恢复演练,应对技术方案中关键技术应用的可行性进行验证测试,并记录和 保存验证测试的结果。 应定期对备份数据的有效性和可用性进行检查,定期对主要备份业务数据进行恢复验证,根 据介质使用期限及时转储数据,确保数据可用性。 生产数据备份存放环境及其物理设施的安全保护等级应按照GB50174一2017的要求执行。 h)大数据平台应提供数据整体迁移功能,并具备迁移数据的完整性检测能力。
数据使用是指金融业机构在提供金融产品和服务、开展经营管理等活动中,进行数据的访问、导 出、加工、展示、开发测试、汇聚融合、公开披露、数据转让、委托处理、数据共享等活动。数据使 用不应超出数据采集时所声明的目的和范围,数据使用过程存在数据非授权访问、窃取、泄漏、篡改、 损毁等安全风险。
JR/I02232021
7.4.2.1基本要求
7.4. 2. 2特权访问安全要求
特权访问指不受访问控制措施限制的数据访问,例如使用数据库管理员权限访问数据,或使用可 主信息系统内执行所有功能、访问全量数据的特权账号等。特权访问的安全要求如下: a 特权账号应明确安全责任人,严格限定特权账号的使用地点,并配套多因素认证措施对使用 者进行实名认证。 b 应预先明确特权账号的使用场景和使用规则,并配套建立审批授权机制。 C 可访问3级及以上数据的特权账号,在每次使用前应进行审批授权,并宜采取措施确保实际 操作与所获授权的操作是一致的,防止误执行高危操作或越权使用等违规操作。 d 应详细记录特权账号的访问过程和操作记录,配备事后审计机制,并确保特权账号无法对操 作日志进行修改和删除
数据导出是指数据从高等级安全域流动至低等级安全域的过程,如数据从生产系统至运维终端、 移动存储介质等情形。数据导出安全要求如下: a 金融业机构应根据最小够用原则,确定数据导出场景、导出数据范围和相应的权限规则。 b 2级及以上的数据导出操作应明确安全责任人,配备安全、完善的身份验证措施对导出操作 人进行实名认证。 C 2级及以上的数据导出应有详细操作记录,包括操作人、操作时间、操作结果、数据类型及 安全级别等,留存时间不少于6个月。 1 3级及以上数据的导出操作还应有明确的权限申请和审核批准机制。
e)3级及以上数据的导出操作前应使用多因素认证或二次授权机制,并将操作执行的网络地址 限制在有限的范围内。 3级及以上的数据导出应使用加密、脱敏等技术手段防止数据泄露,国家及行业主管部门另 有规定的除外, 名 4级数据原则上不应导出,确需导出的,除上述要求外,还应经金融业机构高级管理层批准 并配套数据跟踪溯源机制。
数据加工是金融业机构基于市场分析、业务优化、风险管控等需求,对数据进行清洗、转换、分 折、挖掘等操作。数据加工安全要求如下: a)应明确原始数据数据加工过程中的数据获取方式、访问接口、授权机制、逻辑安全、处理结 果安全等内容, b 3级及以上数据加工之前应进行数据安全评估,并采用加密、脱敏等技术措施,保证数据加 工过程的数据安全性。 C 除业务必须外,不应对4级数据进行加工。 d 应对数据加工过程进行必要的监督和检查,确保加工过程的数据安全性。 e)应完整记录数据加工过程的操作日志
7. 4. 6 开发测试
开发测试是指金融业机构使用金融数据完成软件、系统、产品等开发和测试的过程。开发测试安 要求如下: a) 应采取技术措施,实现开发测试环境数据与生产环境数据的有效隔离。 应通过安全运维管理平台或数据提取专用终端获取数据,专用终端应事先经过审批授权后方 可开通,原则上不应涉及4级数据。 C 通过管理平台或专用终端获取3级及以上数据时,应通过技术手段控制数据的获取范围,包 括对象、数据量等,并能对获取的数据按照策略进行脱敏处理,保证生产数据经过脱敏处理 后才能被提取
d)开发测试等过程的数据,应事先进行脱敏处理,防止数据处理过程中的数据泄露,国家及行 业主管部门另有规定的除外。 使用外部的软件开发包、组件、源码等开展开发测试工作前应进行数据安全评估。 f 接入开发测试环境的内外部终端设备应进行统一安全管理,宜安装统一的终端安全管理软件。 & 应制定开发测试安全审核流程,对数据源、需求进行审核,以确保数据分析目的、分析操作 等方面的正当性与合法性。 h 应对开发测试过程进行日志记录,并定期进行安全审计。 非本机构设备接入开发测试环境应经过开发部门以及设备使用部门审批,存储有开发测试数 据的设备、介质带离金融业机构前应经过开发部门以及设备使用部门审批
汇聚融合是指金融业机构因提供金融产品和服务、开展经营管理等活动,在机构内部不同部门之 或本机构与外部机构之间,进行多源或多主体的数据汇集、整合等产生数据的过程。数据汇聚融合 安全要求如下: a)汇聚融合的数据不应超出采集时所声明的使用范围,因业务需要确需超范围使用个人金融信 息的,应事先再次征得个人金融信息主体明示同意。 b 汇聚融合前应根据汇聚融合后可能产生的数据内容、所用于的目的、范围等开展数据安全影 响评估,并采取适当的技术保护措施。 C 涉及第三方机构合作的,应以合同协议等方式明确用于汇聚融合的数据内容和范围、结果用 途和知悉范围、各合作方数据保护责任和义务,以及数据保护要求等,并采用技术手段如多 方安全计算、联邦学习、数据加密等技术降低数据泄露、窃取等风险。 d 4级数据原则上不应用于汇聚融合,因业务需要确需汇聚融合的,应建立审批授权机制并具 备数据跟踪溯源能力后方可汇聚融合。 e 应对脱敏后的数据集或其他数据集汇聚后重新识别出个人金融信息主体的风险进行识别和评 价,并对数据集采取相应的保护措施。 汇聚融合后产生的数据以及原始数据的衍生数据,应重新明确数据所属单位和安全保护责任 部门,并确定相应数据的安全级别
公开披露是指金融业机构在提供金融产品或服务的过程中,因国家有关规定、行业主管部门规章 以及金融产品或服务业务需要,在其指定渠道公开数据的行为。数据公开披露安全要求如下: 应依据国家有关规定与行业主管部门规章,在金融业机构官方渠道披露数据。 b 数据公开披露前,应依据金融业机构有关制度要求,对拟披露数据审核与审批,具体要求如 下: 1 数据安全管理部门会同有关业务部门,对拟披露数据的合规性、业务需求、数据脱敏方 案进行审核。 2) 机构业务部门对披露渠道、披露时间、拟公开数据的真实性,以及数据脱敏效果进行确 认,披露时间指永久或固定时间段。 3 依据机构有关程序执行数据公开披露审批程序,其审批过程和记录留档。 C 应采取技术措施对金融业机构公开披露数据的真实性与完整性进行安全防护,具体要求如下 1 通过金融业机构官方网站披露数据时,采取包括网页防篡改等技术措施,防范披露数据 改风险。 2 通过金融业机构客户端应用软件披露数据时,按照JR/T0092一2019相关要求执行。
NR/T 02232021
及行业主管部门另有规定的除外。 e)应准确记录和保存数据的公开披 括公开披露的日期、规模、目的、范围等。
7. 4. 9数据转训
数据转让指金融业机构将数据移交至外部机构,不再享受该数据相关权利和不再承担该数据相关 义务的过程。数据转让安全要求如下: a 除以下情况外,原则上不应转让数据: 1 满足国家与行业主管部门要求。 2 已通过合同协议等有关约定获得数据转让相关授权的。 3 在金融业机构出现收购、兼并、重组等情形时,依照国家及行业有关规定履行义务。 b 因机构收购、兼并、重组等情况,金融业机构主体变更而发生数据转让时,具体安全要求如 下: 金融业机构将其提供的金融产品或服务移交至其他金融业机构时,应通过逐一传达或公 告的方式向个人金融信息主体等履行告知义务。 2) 承接其金融产品或服务的金融业机构,应对其承接运营的金融产品或服务继续履行数据 安全保护责任;如变更其在收购、兼并、重组过程中获取的数据使用目的,应重新获得 个人金融信息主体的明示同意或授权。 3) 对于机构破产且无承接方的情况,金融业机构应将其情况及时报送行业主管部门,将数 据移交至行业主管部门指定的机构进行继续保存,或依据行业主管部门的要求,对数据 进行销毁处理,并将处理结果通过逐一传达或公告的方式向个人金融信息主体等履行告 知义务。
7.4. 10委托处理
委托处理指金融业机构因金融产品或服务的需要,在不改变该数据相关权利和义务的前提下,将 数据委托给第三方机构进行处理,并获取处理结果的过程。此处委托处理也包括纸质单据OCR作业、 纸质单据人工录入等。委托处理安全要求如下: a 应依据本文件8.4节,落实委托处理活动中的第三方开展数据安全管理工作要求。 b 受委托的第三方机构应满足国家及行业主管部门的相关要求,金融业机构应对第三方机构开 展事前尽职调查。 委托行为不应超出事前已获得授权及合同协议约定的数据使用范围。 d) 应根据委托处理的数据内容、范围、目的等,对数据委托处理行为进行数据安全影响评估, 涉及个人金融信息的,应进行个人金融信息安全影响评估,并采取相应的有效保护措施。 e 应对被委托方数据安全防护能力进行数据安全评估,并确保被委托方具备足够的数据安全防 护能力,提供了足够的安全保护措施。 注:数据安全评估(datasecurityassessment):针对数据处理活动,检验其安全及合法合规程度,评估数据 安全保护措施有效性的过程。 不应对4级数据进行委托处理。 g 对委托处理的金融数据,安全要求如下: 1)个人金融信息应事先采用数据脱敏(见附录C)等技术防止个人金融信息泄露,因业务 确需,以及国家及行业主管部门另有规定的除外。 2 涉及2级、3级数据的,应对数据进行加密处理,并采取数据标记、数据水印(见附录D) 等技术,降低数据被泄露、误用、滥用的风险
3)因业务确需无法对数据进行脱敏或加密处理的,应明确相应授权审批机制,事前对委托 处理的内容通过专项审批,并采取技术措施防止数据被泄露、误用和滥用。 h)对委托处理的数据进行安全审计,要求如下: 数据通过信息系统与委托方进行传递时,则应在相应的控制节点设置安全审计功能,对 数据的外发与回传进行审计,其中信息系统包括API、摆渡服务器,控制节点包括信息 系统业务功能、API、服务器用户。 2 数据以纸质介质或磁盘等存储介质与委托方进行传递时,则应执行相应的内部授权审批 程序,对传递数据的内容、用途、量级,数据接收方情况、使用时长、数据是否收回或 由对方进行销毁等情况进行说明与审批,有关记录留档备查,其中数据接收方细化至法 人机构数据安全负责人。 应保存委托处理过程记录与有关数据的处理情况,以留档备查
7.4. 11数据共享
据共享是指金融数据在不同部门或机构之间进行分享,包含与行业主管部门的数据分享,各方 亥数据相关权利和义务的过程。数据共享安全要求如下: 数据内部共享是指发生在金融业机构内部,在本部门职能需要之外进行的数据共享,安全要 求如下: 1 应梳理数据共享的各类场景,明确各类场景的安全要求和责任部门,并建立相应的审核 批准机制,对数据使用目的、内容、使用时间、技术防护措施、数据使用后的处置方式 等进行审批,并留存相关记录。 在数据共享前,应开展数据安全影响评估,对共享的数据内容、数据范围、时间周期、 传输方式、用途、安全管控手段等要素进行评估,涉及个人金融信息的不应超出其授权 范围,数据安全保护强度不因数据共享而降低。 3 应对2级以及上的数据共享过程留存日志记录,记录内容包括但不限于共享内容、共享 时间、防护技术措施等。 4 采取以下措施确保3级及以上数据共享的安全性: 一一原则上应对3级及以上数据进行脱敏; 一若因业务确需,无法对数据进行脱敏的,应对共享内容通过专项审批,并对数据进 行加密、选用安全可靠的传输协议或在安全可控的环境中进行共享; 一脱敏方式的选取宜充分结合数据共享场景、业务需要和安全风险评估结果,选择被 猜解或碰撞风险相对较低的脱敏技术; 一脱敏措施的部署应尽可能靠近数据源头,如数据库视图、应用系统底层API接口等, 5) 不应共享4级数据。 6) 利用自动化工具如代码、脚本、接口、算法模型、软件开发工具包等进行数据共享时, 应通过身份认证、数据加密、反爬虫机制、攻击防护和流量监控等手段,有效防范网络 监听、接口滥用等网络攻击,并定期检查和评估自动化工具安全性和可靠性。 7 数据使用部门应根据共享前约定的数据使用期限,对数据进行安全处置,数据共享方应 对处置结果进行确认。 数据外部共享指金融业机构在经营过程中,在本机构职能需要之外与外部机构进行的数据共 享,安全要求如下: 应满足7.4.1a)所述安全要求。 2 应与数据接收方通过合同协议等方式,明确双方在数据安全方面的责任及义务,并约定 共享数据的内容和用途、使用范围等
JR/T 02232021
3)应定期对数据接收方的数据安全保护能力进行评估,确保数据接收方具备足够的数据安 全保护能力,当数据接收方丧失数据安全保护能力时,应启动应急响应程序。 4 应向个人金融信息主体等告知共享数据的目的、数据接收方的类型,并事先征得相应授 权。 5 应帮助个人金融信息主体等了解数据接收方数据的存储、使用等情况。 6 对共享数据,应执行以下安全控制措施: 一共享数据涉及2级、3级数据时,应对数据进行加密处理,并采取数据标记、数据 水印等技术,降低数据被泄露、误用、滥用的风险; 一应定期对共享的数据进行安全审计; 一应配套建立应急响应机制,必要时应及时切断数据共享。 按照国家及行业主管部门有关要求,向行业主管和监管部门等有关机构履行数据报送义 务时,应采取有效措施确保数据接收方的身份真实性、数据的保密性、真实性与完整性,
数据删除是指在金融产品和服务所涉及的系统及设备中去除数据,使其保持不可被检索、访问的 犬态。金融业机构在执行数据删除工作时,安全要求如下: a 应依据国家及行业主管部门有关规定及与个人金融信息主体约定的时限等,针对不同类型的 数据设定其数据保存期,对于多个不同保存期数据的集合,保存期限选择最长时限为该数据 集合的保存期。 b 超过国家及行业主管部门有关规定、内部规章及合同协议所述保存期限的数据,应执行数据 删除操作。 C 应采取技术手段,在金融产品和服务所涉及的系统中去除待删除的数据。 开发测试、数据分析等金融业机构内部数据使用需求执行完毕后,应由数据使用部门依据金 融业机构数据删除有关规定,对其使用的有关数据进行删除,记录处理过程,并将处理结果 及时反馈至内部数据安全管理部门,由其进行数据删除情况确认。 e 3级及以上数据应建立数据删除的有效性复核机制,定期检查能否通过业务前台与管理后台 访问已被删除数据。 f 个人金融信息主体要求删除个人金融信息时,应依据国家及行业主管部门有关规定,以及与 个人金融信息主体的约定予以响应。 g 在停止其提供的金融产品或服务时,应对其在提供该金融产品或服务过程中所收集的个人金 融信息进行删除或匿名化处理,与个人金融信息主体另有约定的除外,国家及行业主管部门 另有规定的按照相关规定执行。 h 金融产品或服务的用户主动提出删除其数据的情形,如账户注销,应对其相应信息进行删除 与个人金融信息主体另有约定的除外,国家及行业主管部门另有规定的按照相关规定执行
数据销毁是指金融业机构在停正业务服务、数据使用以及存储空间释放再分配等场景下,对数据 军、服务器和终端中的剩余数据以及硬件存储介质等采用数据擦除或者物理销毁的方式确保数据无法 复原的过程。其中,数据擦除是指使用预先定义的无意义、无规律的信息多次反复写入存储介质的存 诸数据区域;物理销毁是指采用消磁设备、粉碎工具等设备以物理方式使存储介质彻底失效。数据销 毁安全要求如下:
a)应制定数据存储介质销毁操作规程,明确数据存储介质销毁场景、销毁技术措施,以及销毁 过程的安全管理要求,并对已共享或者已被机构内部部门使用的数据提出有针对性的数据存 储介质销毁管控规程。 存储数据的介质如不再使用,应采用不可恢复的方式如消磁、焚烧、粉碎等对介质进行销毁 处理。 C 存储介质如还需继续使用,不应只采用删除索引、删除文件系统的方式进行数据销毁,应通 过多次覆写等方式安全地擦除数据,确保介质中的数据不可再被恢复或者以其他形式被利 用,具体措施包括但不限于: 1 采用数据擦除方式销毁数据时,明确定义数据填充方式与擦除次数如全零、全一以及随 机零一最少填写7次,并保证数据擦除所填充的字符完全覆盖存储数据区域。 2) 通过数据恢复工具或数据发现工具进行数据的尝试恢复及检查,验证数据销毁结果。 3)针对数据擦除后擦除失败的存储介质,进一步采用物理方式进行销毁。 应明确数据销毁效果评估机制,定期对数据销毁效果进行抽样认定,通过数据恢复工具或数 据发现工具进行数据的尝试恢复及检查,验证数据删除结果。 e 应采取双人制实施数据销毁,分别作为执行人和复核人,并对数据销毁全过程进行记录,定 期对数据销毁记录进行检查和审计。 f 3级及以上数据存储介质不应移作他用,销毁时应采用物理销毁的方式对其进行处理,如消 磁或磁介质、粉碎、融化等。 4级数据存储介质的销毁应参照国家及行业涉密载体管理有关规定,由具备相应资质的服务 机构或数据销毁部门进行专门处理 应岗位人员对其进行全程监督
金融业机构应设立数据安全管理委员会,建立自上而下的覆盖决策、管理、执行、监督四个层面 的数据安全管理体系(见图2),明确组织架构和岗位设置,保障数据生命周期安全防护要求的有效落 实,要求如下:
图2数据安全管理体系
6)处置本部门有关数据安全事件。 7)依据数据安全管理有关制度规范,记录本部门数据活动日志。 d 应明确安全审计、合规稽核、风险管理等相关岗位,作为数据安全管理的监督层,该岗位应 履行以下工作职责: 1 根据本机构数据相关业务实际情况,确定相应审计策略及规范,包括但不限于审计周期、 审计方式、审计形式等内容。 2 监督数据安全政策、方针的执行。 公布投诉、举报方式等信息,并及时受理数据安全和隐私保护相关投诉和举报。 4 开展数据安全内部审计和分析,发现并反馈问题和风险,并对机构后续相关整改工作进 行监督。 5 配合开展外部审计相关的组织和协调工作
金融业机构应建立统一的金融数据安全管理制度体系,明确各层级部门与相关岗位数据安全工作 规范工作流程。数据安全管理制度体系要求如下: 应依据国家与行业主管和监管部门要求,结合机构自身风险管控策略和偏好、安全建设预算 等因素,制定本机构数据安全总体安全策略、方针、目标、原则。 应制定本机构数据分级规程,识别并维护本机构数据资产清单,并标注相应的数据级别。 应制定数据安全管理制度及实施细则并定期评价更新,确保基于数据分级的数据安全制度体 系覆盖机构数据全生命周期,并对有关制度的有效性进行定期评价与更新,具体要求如下: 1) 制定本机构数据安全管理规定,提出本机构数据安全生命周期保护工作的总体策略。 2 针对不同安全级别的数据,制定相应的安全策略和保障措施。 3 建立数据安全日常管理及操作流程,对数据生命周期各阶段的数据保护工作提出具体要 求。 4 建立合理、统一的密码使用和密钥管理技术规范和制度。 建立数据脱敏技术规范和制度,明确不同安全级别数据脱敏规则、脱敏方法和脱敏数据 的使用限制,配置脱敏数据识别和脱敏效果验证服务组件或技术手段,确保数据脱敏的 有效性和合规性,对数据的脱敏操作过程留存日志记录,用于审核违规使用、审核脱敏 完整性。 建立第三方机构管理制度,并至少满足本文件8.4所述要求。 7) 建立数据供应方安全管理要求,确定数据来源合法合规,对数据的真实性、有效性进行 管理。 8) 建立数据出境安全控制要求与操作程序。 建立数据采集、传输、存储、使用、删除及销毁相关审核规程,宜采用电子化手段实现 审核流程。 10)制定数据采集的操作规程,规范数据采集的渠道、数据格式、流程和方式。 11)建立数据安全评估、个人金融信息安全影响评估以及内外部数据安全检查与评估制度。 12)建立数据安全事件管理、处置规程和应急响应等机制,明确重大数据安全事件的处置流 程及应对方法。 1 应定期审核和更新金融数据安全管理制度。 在本机构组织架构发生重大调整或数据相关服务发生重大变化时,应及时对金融数据安全策 略与规程进行评估,并按需进行修订和更新。
NR/T 0223202
独业机构对数据安全管理相关人员进行管理,具体要求如下: 在人员录用及日常管理方面,应满足以下要求: 1)录用员工前,进行必要的背景调查。 2 对数据安全关键岗位制定统一的保密协议,并与可接触机构3级及以上数据的员工以及 从事数据安全关键岗位的员工签署保密协议 3 识别机构数据安全关键岗位,并与其签署数据安全岗位责任协议,数据安全关键岗位包 括但不限于: 一 数据安全管理岗位、审计岗位; 一业务操作与信息技术操作特权账户所有者; 一一数据各级权限审批岗位; 一一重要数据处理岗位; 一信息系统开发、测试岗位人员: 一一因业务需要,需高频和(或)大批量接触3级及以上数据的岗位人员: 一一外部数据采购岗位; 其他金融业机构识别的数据安全关键岗位。 4 在发生人员调离岗位时,立即完成相关人员数据访问、使用等权限的配置调整,并明确 有关人员后续的数据保护管理权限和保密责任;若有关人员调整后的岗位不涉及数据的 访问与处理的,明确其继续履行有关信息的保密义务要求 5 与员工终止劳动合同时,立即终止并收回其对数据的访问权限,明确并告知其继续履行 有关信息的保密义务要求,并签订保密承诺书。 6 建立外部人员管理制度,对充许被外部人员访问的系统和网络资源建立数据存取控制机 制、认证机制,列明所有外部用户名单及其权限,加强对外部人员的数据安全要求和培 训,必要时签署保密协议。 在人员培训和教育方面,应制定数据安全相关岗位人员的安全专项培训计划,并至少满足以 下要求: 1 按照培训计划定期开展数据安全意识教育与培训,培训内容包括但不限于国家有关法律 法规、行业规章制度、技术标准,以及金融业机构内部数据安全有关制度与管理规程等 内容,并对培训结果进行评价、记录和归档。 2 对密切接触高安全等级数据的人员定期开展数据安全意识教育和培训,培养办公数据定 期删除意识,并定期开展数据删除自查工作。 3 每年至少对数据安全管理专职与关键岗位人员进行1次数据安全专项培训。 4 至少每年1次或在隐私政策发生重大变化时,对数据安全关键岗位上的人员开展专业化 培训和考核,确保人员熟练掌握隐私政策和相关规程。 在数据相关人员管理及关键岗位设置方面,应进一步加强管理,并应对接触高安全等级金融 数据的人员及其岗位进行审批和登记,并定期对这些人员行为进行安全审查。 数据库管理员、操作员及安全审计人员等岗位应设立专人专岗,并实行职责分离;必要时特 权账户所有者、关键数据处理岗位等数据安全关键岗位应设立双人双岗,强化数据安全管理
NR/T 0223202
9.2.1访问控制策略
访问控制策略安全要求如下: a)依据数据的不同类型与安全级别设计不同的访问控制策略: 应依据“业务必需、最小权限、职责分离”的原则,设计数据库系统与文件系统的用户 鉴别和访问控制策略,并对各类系统用户设计其工作必需的最小访问权限。 2) 应依据“业务必需、最小权限、职责分离”的原则,设计业务系统用户对系统业务功能 与相应系统业务数据的访问控制策略,并对各类业务系统用户的访问控制实现方式和具 体授权机制进行明确说明。 3) 访问控制策略应使用白名单机制,明确定义允许的行为。 4)对数据库系统、存储系统、文件管理系统与存储介质管理有关管理员用户,应建立管理 员身份标识与鉴别机制,并对其防控权限与操作规程进行详细说明。 b) 应建立面向数据应用的安全控制机制,包括访问控制时效的管理和验证,以及应用接入数据 存储的合法性和安全性取证机制,宜建立基于用户行为或设备行为的数据存储安全监测与控 制机制。
9. 2. 2物理环境访问控制
JR/I 02232021
放置数据存储系统与存储介质的物理环境,访问控制机制安全要求如下: a 数据存储系统应部署在高安全等级区域,存储系统服务器与带库等设备机房出入口应部署电 子门禁、视频监控等措施控制、鉴别和记录进入的人员。 第三方机构人员访问存储系统服务器与带库区域应执行严格的授权审批程序,使用明显标识 标志其访客身份,由金融业机构人员全程陪同,记录出入时间,并限制和监控其活动范围。 应对包括备份介质在内的存储介质出入库采取措施进行出入库控制,并由金融业机构内部指 定岗位人员完成,未经金融业机构授权,任何存储介质不应带离磁带库房。
9. 2.3信息系统与介质访问控制
访问金融数据的业务应用系统访问控制机制安全要求如下: a)用户角色的定义和权限设计应遵循以下原则: 1)参考业务职能,确定系统中需设置的各类用户角色如经办人员、操作人员、管理人员、 审计人员等权限。 2 用户角色定义和权限设计能够体现职责分离的安全制约原则,如经办人员和审计人员权 限分离。 3) 严格限制系统中缺省用户的权限。 b)用户角色的访问范围和方式应满足以下要求: 1 控制用户对业务功能的访问范围,如功能菜单、业务文件、数据库表、表中的业务数据 字段和其他资源。 2)控制用户对业务数据的访问方式,如读、写、删除、创建等。 C 系统应具备登录失败处理功能,可采取结束会话、限制非法登录次数、设置抑制时间和网络 登录连接超时自动退出等措施。 d 对于承载4级及以上数据的信息系统,业务系统以及所承载的基础设施的访问,应结合访问 者身份及系统安全状态进行访问授权和控制
9.2.4数据存储系统的访问控制
数据存储系统存储介质的访问控制机制,安全要求如下: a 存储系统应设计访问控制策略,并实现访问控制,对访问对象的访问范围和操作权限不超出 预定义的范围,且满足最小授权原则。 b 存储系统访问控制机制应对业务平面和管理平面各自可访问的资源策略进行独立配置,并对 业务平面和管理平面的相互访问进行隔离。 应使用存储访问控制模块部署数据用户身份标识与鉴别策略、数据访问控制策略、数据扩容 及复制策略,并执行相关安全控制措施。 d 应对访问存储业务的应用进行鉴别,对应用身份进行唯一标识,并将标识和与其相关的所有 可审计事件相关联,且不应存在可绕过鉴别机制的访问方式。 e 存储3级及以上数据的系统应采用数字证书、多因素身份认证等技术对用户进行身份鉴别, 并完整记录用户行为,供事后审计。
金融业机构宜具备数据溯源能力,对数据生命周期过程中数据的采集、查询、修改、删除、共享 等相关操作进行跟踪,通过留存金融数据流动记录等方式,确保金融数据相关操作行为可追溯。数据 潮源安全要求如下: a)应制定金融数据溯源的策略和机制,明确溯源数据的安全存储、分析使用等管理制度。 b) 应标识外部数据的来源合法性,并对外部数据的真实性和准确性等数据质量进行评估。 C 宜建立金融数据资产地图,从数据类型、数据量级、数据特征等维度对金融数据进行盘点和 梳理,按需对特定数据对象进行标记和跟踪,构建和维护数据血缘关系。 d 应记录数据操作过程及关键数据要素,在出现数据泄露事件后可根据泄露的数据进行溯源。 e 宜构建数据溯源的安全模型,增强数据操作的可追性。 f 应对关键溯源数据进行备份,并采取技术手段对溯源数据和备份数据进行安全保护。 g 应采取访问控制、加密等技术措施保证溯源数据的安全性。 应以泄露数据为线索,建立对高安全等级数据事件记录进行检索溯源的机制,支持对接口、 IP、账号、时间进行溯源集中度分析,定位追踪到相关责任人。 1 应建立以批量泄露数据、多类型数据作为线索进行溯源的能力,加强基于数据线索的数据溯 源分析能力,加强数据溯源的时效性和准确率。 宜建立主体溯源分析能力,对涉及高安全等级数据的疑似泄露事件进行影响范围评估,做好 同范围内尚未泄露的数据安全保护工作
9. 3. 2 流量分析
金融业机构业务流量分析安全要求如下: a)宜采取流量分析技术对数据采集、传输、处理、分析等关键节点进行监测。 应部署以数据为中心的数据流量分析系统,识别并分析高安全等级数据流动情况,包括流动 类型、流动范围、数据载体、日均量级、数据账号访问情况、数据流向等信息,并对异常流 量、行为等进行告警 C 应对比分析流量中数据流动异常情况如不安全的采集设备与采集内容、非授权时段访问高安 全等级数据、未授权访问、频繁访问、超量数据传输、多次尝试、批量下载等,及时发现风 险问题并进行处置。 d 宜对比分析数据流量变化和规律,构建数据流动流量基线和高安全等级数据流动基线,及时 形成总结报告,并对安全防护措施进行针对性调整。 应对互联网出口流量进行实时检测,发现数据流量异常、数据流向未经授权等行为并及时处 置。
深圳标准规范范本9.3.3异常行为监测
金融业机构应建立日常数据泄露、数据篡改、数据窃取、数据非法使用的风险监控机制,主动预 防、发现和终止数据泄露异常行为,有效防范和化解风险,异常行为检测安全要求如下: a 应建立异常行为监测指标,包括IP、账号、数据、使用场景等多个维度,对异常行为事件进 行识别、发现、跟踪和监控。 6 应采取措施监测用户数据访问行为,防止未经授权的数据传输或下载。 宜采取措施监测数据传输过程,并联动管理系统和安全防护设备,记录并预警数据未经授权 或高风险的数据下载和传输等行为,防止数据泄露。 应利用系统运行日志、上网行为、终端等安全系统日志监控资源,结合业务操作日志,对数 据异常使用、用户异常行为进行分析,形成数据安全分析报告,并对异常情况及时处置。
JR/I02232021
水利常用表格JR/I02232021
金融业机构宜具备有效感知内部数据安全风险并准确定位响应的能力,态势感知安全要求如下: a)宜在内部各个关键节点,通过安全设备、探针等检测相关信息,包括但不限于设备指纹、上 网行为日志、管理平台的审批日志、业务操作日志、数据库日志、流量日志。 b 宜对账号、IP、数据接口、数据系统、数据设备进行画像,通过算法模型检测内部潜在的账 户盗用、数据滥用、数据外发、数据篡改、数据窃取、数据爬取等安全风险和威胁,并进行 可视化展示各类风险和数据流动态势。 c 宜结合实时安全漏洞资讯、错报等信息对态势感知平台的底层规则进行及时更新
金融业机构应记录数据操作行为日志,并针对日志进行审计分析,识别并告警可疑行为,审计方 括但不限于内部审计、外部审计等,具体审计内容安全要求如下: a)应制定日志数据管理与安全审计规范,明确日志的存储、分析、检查等要求。 b)安全审计范围应覆盖至每个有权使用数据的用户,包括但不限于数据库管理员、数据库用户、 操作系统管理员、操作系统用户、存储介质管理员、业务管理员、业务使用者、存储介质用 户等。 日志记录内容应包括时间、用户、IP地址、操作对象、操作内容、操作行为和操作结果等相 关信息。 d 日志内容中不应出现4级及以上数据。 e 包含3级数据的日志,对其访问应进行访问控制。 f 宜搭建数据安全审计系统,对日志进行统一管理和处理,建立并执行审计策略,提供对审计 记录进行统计、查询、分析及生成审计报表的功能,形成审计报告反馈相关部门。 应对日志进行备份,避免受到非预期的删除、修改或覆盖等。 h 应安排专人定期查看日志,对事件日志、告警事件进行分析和处置,并对发现的安全事件和 可疑问题进行相应的处置和响应。 应对数据生命周期全过程进行日志记录并开展以数据为中心的安全审计。 应定期对3级及以上数据生命周期全过程进行内部审计。 K 审计记录应至少包括时间的日期和时间、事件类型、主体身份、事件内容、事件结果等。 1 应对审计记录进行安全保护,防止未授权的访问和输出 应具备审计记录分权管理能力,可针对不同的角色和组设置审计范围,各组无法看到自已管 理的审计范围以外的数据,保证审计数据的安全。 日志和审计记录的留存时间应不少于6个月
....- 相关专题: