12月3日，全国金融标准化技术委员会发布公告，就《金融数据安全 数据安全评估规范》（以下简称“规范”）征求意见。

《规范》包括了金融数据安全评估触发条件、原则、参与方、内容、流程及方法，明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域，及安全评估主要内容和方法。该标准适用于金融业机构开展金融数据安全评估使用，并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。

金融数据安全评估的主要内容包括JR/T 0197-2020中的金融数据及其安全分级，以及JR/T 0223-2021中的金融数据生命周期安全要求。主要评估域见下图，包括数据安全管理（S1）、数据安全保护（S2）、数据安全运维（S3）三方面内容。

• 金融数据安全管理：明确了金融业机构数据安全管理相关组织架构及制度体系建设相关安全评估的具体内容、评估方法和结果判定依据。

• 金融数据安全保护：明确了金融业机构数据资产分级管理、数据生命周期安全保护相关安全评估的具体内容、评估方法和结果判定依据。

• 金融数据安全运维：明确了金融业机构边界管控、访问控制、安全监测、安全审计、安全检查、应急响应与事件处置等数据安全运维相关安全评估的具体内容、评估方法和结果判定依据。

一、数据资源保护上升至国家战略层面

数字时代，数据已成为重要生产要素及国家基础性战略资源，数据资源保护已上升为国家战略。

•  2017年12月8日，中共中央政治局就实施国家大数据战略进行第二次集体学习时提出：“要切实保障国家数据安全，强化国家关键数据资源保护能力。”

• 2019年11月，在十九届四中全会首次提出数据可作为生产要素按贡献参与分配，数据价值的提高对数据安全保护提出更高要求。

• 2021年6月10日，全国人大常委会第二十九次会议通过了我国首部数据保护领域专项法律《中华人民共和国数据安全法》，以国家法律的形式对我国数据安全保护工作提出要求，并明确说明我国促进并支持数据安全检测评估、认证等服务发展和活动开展。

• 2021年10月，中共中央、国务院印发《国家标准化发展纲要》，也明确提出要强化数据安全领域标准的制定与实施。

二、数据安全从顶层设计走向行业落地

2021年，《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》相继出台，数据安全逐渐从概念走向了体系化的落地。

2021年12月3日，金标委发布《金融数据安全 数据安全评估规范》（征求意见稿），金融行业率先落地数据安全标准建设。数字经济从相对无序的蛮荒状态走向高质量发展阶段。组织机构要尽快地去学习法规标准，调整自身的行为，建立数据安全治理的体系来适应潮流。组织适应的越快、经营风险越低、未来的竞争力越强。

三、组织机构如何做好数据安全建设

金融企业在进行数据安全能力建设时，需要在合规要求的前提下，考虑管理体系、资产梳理、流程管控、技术应用四个方面。数据安全是一个持续性过程，上到管理体系，下至技术工具，都需持续完善形成一套有效的运转机制。

建立管理体系和架构

建立健全的组织架构是数据安全工作的基础，数据信息安全不仅仅是安全部门的责任，需要业务、安全、技术、运维等多个部门协同。组织架构包括确定部门职责与人员角色以及动态协同机制，通过充分利用部门资源，解决部门运转孤岛问题。

梳理资产信息和数据分级

数据资产梳理是数据安全治理的核心所在，只有详细、全面梳理数据才能让数据安全治理真正落地执行。数据资产主要为，结构化数据及非结构化数据，针对全部数据需要梳理脆弱性及使用权限（包括：访问控制、权限管理等）；针对结构化数据还需明确数据类型及基础信息，如：主机信息、网络信息、数据库版本信息等；对数据进行分类分级，通过合规性要求、自身主观判断、意外事故影响和第三方使用价值进行数据划分。

全面有效的数据治理流程

完善可持续性的管理流程是保障安全治理的先决条件。这主要取决于组织体系是否完善？执行体系是否健全？运维体系是否有效？

• 组织体系：决策层、管理层、执行层多方面、跨部门有效协同。

• 执行体系：规章制度、治理标准、治理规范、治理流程等是否全面。

• 运维体系：监控、评估、加固、审计与应急、治理评估等是否有效。

安全技术及安全产品的应用

数据安全治理离不开安全技术及安全产品，安全防护体系能力主要从风险发现能力、监控预警能力、安全保护能力三个方面进行建设。

• 风险发现：数据审计、数据安全基线管理、态势感知等。

• 监控预警能力：综合性审计、基于数据的漏扫、持续的入侵检测等。

• 保护能力：建议考虑零信任模式作为一种安全策略，有了“零信任”，企业将着眼于数据管理的整个生命周期，微隔离产品可以帮助企业实现零信任，建立统一策略管理。

金融数据随着应用场景和应用机构的爆炸式增长，在变得复杂多样的同时，其价值密度高、应用价值大的特点也越来越突出。如何确保金融数据安全是我们未来面临的一个重大挑战。青藤将站在时代与理论的前沿，紧跟政策要求，通过安全服务、安全产品，帮助企业建立成熟的管理架构、健全的管理流程，提供有效的安全技术，实现金融企业数据合规，助力国家数据安全战略落地实施，持续为数字经济产业的安全发展贡献力量。