《金融数据安全 数据安全评估规范》（征求意见稿）

来源：全国金融标准化技术委员会，《金融数据安全 数据安全评估规范》（征求意见稿），2021年11月26日

原始链接：https://www.cfstc.org/jinbiaowei/2929444/2982369/index.html

数据安全评估触发条件

• 对3级及以上数据进行加工前，应进行数据安全评估。

• 使用外部的软件开发包、组件、源码等开展开发测试工作前，应进行数据安全评估。

• 将数据委托给第三方机构进行处理前，应对被委托方的数据安全防护能力进行数据安全评估。

• 与外部机构进行数据共享，应定期对数据接收方的数据安全保护能力进行数据安全评估。

• 在金融产品或服务上线发布前，数据安全管理委员会应组织开展数据安全评估，避免不当的数据采集、使用、共享等行为。

• 若有第三方机构参与到金融业机构数据全生命周期过程，应根据其数据安全保护能力进行数据安全评估。

• 在金融业机构业务功能发生重大变化时，应及时进行数据安全评估。

• 在国家及行业主管部门的相关要求发生变化时，或在业务模式、信息系统、运行环境发生重大变更时，或发生重大数据安全事件时，应进行数据安全评估。

• 每年至少应开展1次全面的数据安全检查评估，评估方式至少包括自评估、外部第三方机构评估等。

金融数据安全评估的主要内容

审核内容主要为下列两个标准中的规定：

JR/T 0197—2020《金融数据安全 数据安全分级指南》

https://www.cfstc.org/bzgk/gk/view/bzxq.jsp?i_id=1873

JR/T 0223—2021《金融数据安全 数据生命周期安全规范》

https://www.cfstc.org/bzgk/gk/view/bzxq.jsp?i_id=1913