其他
《金融数据安全 数据安全评估规范》(征求意见稿)
来源:全国金融标准化技术委员会,《金融数据安全 数据安全评估规范》(征求意见稿),2021年11月26日
原始链接:https://www.cfstc.org/jinbiaowei/2929444/2982369/index.html
数据安全评估触发条件
对3级及以上数据进行加工前,应进行数据安全评估。
使用外部的软件开发包、组件、源码等开展开发测试工作前,应进行数据安全评估。
将数据委托给第三方机构进行处理前,应对被委托方的数据安全防护能力进行数据安全评估。
与外部机构进行数据共享,应定期对数据接收方的数据安全保护能力进行数据安全评估。
在金融产品或服务上线发布前,数据安全管理委员会应组织开展数据安全评估,避免不当的数据采集、使用、共享等行为。
若有第三方机构参与到金融业机构数据全生命周期过程,应根据其数据安全保护能力进行数据安全评估。
在金融业机构业务功能发生重大变化时,应及时进行数据安全评估。
在国家及行业主管部门的相关要求发生变化时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大数据安全事件时,应进行数据安全评估。
每年至少应开展1次全面的数据安全检查评估,评估方式至少包括自评估、外部第三方机构评估等。
金融数据安全评估的主要内容
审核内容主要为下列两个标准中的规定:
JR/T 0197—2020《金融数据安全 数据安全分级指南》
https://www.cfstc.org/bzgk/gk/view/bzxq.jsp?i_id=1873
JR/T 0223—2021《金融数据安全 数据生命周期安全规范》
https://www.cfstc.org/bzgk/gk/view/bzxq.jsp?i_id=1913