前言
近年来,《网络安全法》、《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》等法律法规、管理条例的相继落地,为金融数据安全管理划定了基本制度框架和基本法律原则。《银行保险机构数据安全管理办法》、《中国人民银行业务领域数据安全管理办法》的发布,进一步明确了银行、保险等金融机构的数据安全管理工作要求。2025年12月,国家金融监督管理总局印发《关于开展金融机构数据安全管理能力提升专项行动的通知》(以下简称“《专项行动》”),并配套发布金融机构数据安全管理自查要点等文件,既是对前期监管要求的落地细化,也是针对当前金融数据安全领域突出风险的精准施策。《专项行动》明确指出,将针对金融机构数据安全方面的问题开展集中排查整治,通过“发现一批、整改一批、通报一批、处罚一批”提升金融机构数据安全管理水平。
PART.01
《专项行动》简介
本次专项行动范围为各金融监管局监管的金融机构,适用对象可参照《银行保险机构数据安全管理办法》(金规〔2024〕24号)(以下简称“《管理办法》”)中所述机构。本次专项行动主要内容包括工作目标、工作内容、工作要求、自查要点以及时间安排等。
本次专项行动是国家金融监督管理总局立足金融数据安全监管实践,推动数据安全相关法律法规落地见效的阶段性重点工作,通过“宣传部署-自查整改-检查通报-总结交流”的闭环流程,系统性提升金融机构数据安全管理实战能力。
在宣传部署阶段(2025年12月),金融机构成立专项行动领导小组及跨部门工作专班,制定《数据安全管理能力提升方案》;开展数据安全宣传培训,组织数据安全知识测评。
在自查整改阶段(2025年12月—2026年3月),金融机构结合自查要点制定《自查自评工作方案》;基于各部门职责分工开展落实自查自评各项工作,同步覆盖分支附属机构和第三方合作机构;深入分析自查发现的问题及成因,能立即整改的问题要立即整改,对不能立即整改的复杂问题,需制定阶段性整改计划,积极推进整改。
在检查通报阶段(2026年4月—10月),被抽取的金融机构配合监管检查,提供自查记录、整改凭证、制度文件等支撑材料;针对监管检查发现的问题,深化整改并完善防控措施。
在总结交流阶段(2026年10月—12月),金融机构全面总结专项行动成效,形成《专项行动工作总结》、《自查整改情况表》与《专项行动总体情况统计表》,并于2026年12月10日前报送属地监管部门;将整改成果转化为制度规范、操作流程和考核标准等,纳入常态化管理,完善数据安全长效管理机制;积极参与监管机构召开的数据安全管理交流会,开展跨机构交流学习。
PART.02
数据安全管理自查要点解读
自查整改是本次专项行动的重点工作之一,自查要点将监管要求转化为数据安全治理架构、数据分级分类管理、数据安全管理、数据安全技术保护、个人信息保护与数据安全风险监测与处置六大维度。
1.数据安全治理架构
在数据安全治理维度,对比《管理办法》第二章“数据安全治理”的框架要求,本次专项行动更强调“责任落地与机制闭环”,自查重点关注组织架构完整性、责任体系具象化、考核问责刚性化与文化建设必要性,强调将数据安全纳入机构全面风险管理体系与内控评价体系。
2.数据分级分类管理
在数据分级分类管理维度,本次行动紧扣《管理办法》分类分级核心要求,聚焦“全量覆盖与动态落地”,自查重点关注以下:
-
分类准确性:核查是否按《管理办法》要求将数据划分为客户数据、业务数据、经营管理数据、系统运行和安全管理数据等,分类逻辑是否贴合业务实际。 -
分级精准性:检查是否准确识别核心数据、重要数据、一般数据,是否形成明确的数据目录,分级结果是否与数据实际风险匹配。 -
动态管理有效性:自查是否建立分级调整触发机制(如业务变化、风险等级变更),调整流程是否有审批记录。 -
管控差异化:核查是否针对不同级别数据制定差异化保护措施,核心数据是否落实加密存储、多层审批等强化管控要求。
3.数据安全管理
在数据安全管理维度,本次专项行动围绕《管理办法》数据全生命周期管理要求,自查要点明确了以下五大核心自查模块:
-
数据安全保护策略:对标合规要求与自身战略,核查是否制定保护策略及管理办法,是否搭建企业级数据架构与全生命周期管控机制,是否细化外部引入、共享、出境等专项细则。 -
敏感级及以上数据安全管理:是否遵循“合法、正当、必要、诚信”原则采集数据,高影响活动前是否开展安全评估,加工时是否采取匿名化等保护措施,是否落实“业务必要授权”与访问审计、审批机制。 -
外部数据安全管理:是否建立外部数据采购/合作的集中审批制度,是否将其纳入外包风险管理体系统筹管控。 -
数据共享安全管理:是否集中管控共享行为,是否评估必要性与合规安全性,是否与第三方共享需明确授权、强化防护,通过合同界定双方安全责任。 -
数据委托安全管理:是否明确委托处理的条件与场景,是否以合同约定核心要素(目的、期限、保护措施、数据返还/删除方式),是否纳入信息科技外包管理。
4.数据安全技术保护
在数据安全技术保护维度,对比《管理办法》第五章“数据安全技术保护”的体系要求,本次行动更侧重“实战效果与技术落地”,自查要点明确了以下五大自查模块:
-
数据安全技术保护体系:是否将数据纳入网络安全等级保护,是否搭建专属技术架构,是否落实商用密码评估、备份隔离、系统生命周期安全管控,是否通过集中平台实现外部数据“最小权限”交换。 -
大数据安全技术防护:是否针对多元异构环境建立防护体系,是否对大数据平台实施高可用设计、安全加固与备份,动态监测审计访问行为。 -
敏感级及以上数据安全技术保护:是否强化敏感级及以上数据防护,是否落实访问控制、操作日志记录、传输存储安全措施,是否定期开展容灾备份与恢复验证。 -
开发测试数据保护与数据销毁:是否隔离测试与生产环境,测试数据是否脱敏,系统开发是否明确安全要求并开展投产前安全测试,是否建立数据销毁制度并确保不可恢复。 -
新技术和新场景下数据防护:是否保障AI应用透明公平,是否落实模型安全审查与风险缓释;开放银行等合作场景是否实现安全隔离,是否通过集中接口交互并强化防护。
5.个人信息保护
在个人信息保护维度,本次行动紧扣《管理办法》第六章“个人信息保护”要求,细化“全流程合规验证”,自查重点关注如下:
-
告知同意规范性:自查个人信息处理前是否完整告知处理目的、方式、期限等信息,同意方式是否为用户明示同意,是否采用默认同意、捆绑同意。 -
处理活动合规性:核查是否针对高风险个人信息处理活动开展个人信息保护影响评估,评估报告是否留存至少三年。 -
共享与委托处理管控:检查母子公司共享个人信息是否取得用户单独同意,委托第三方处理是否明确安全义务,是否有监督机制。 -
安全事件处置:自查是否明确个人信息泄露、篡改、丢失的应急处置流程,是否按要求向监管报送并向用户告知事件详情及补救措施。
6.数据安全风险监测与处置
对照《管理办法》第七章“数据安全风险监测与处置”要求,本次专项行动突出“实战化应急能力”,自查要点明确了以下三大自查模块:
-
数据安全监测机制:是否明确监测、评估、应急、处置的组织架构与流程,是否有效监测威胁、防范数据安全事件。 -
数据安全风险评估与审计:是否每年度开展数据安全风险评估,是否每三年至少一次全面审计,重大事件后是否开展专项审计。 -
数据安全应急体系:是否建立应急管理与内外部报告机制,是否制定应急预案并定期开展培训演练。
本次专项行动聚焦当前金融数据安全领域的高发风险点,推动监管要求从“框架”到“落地”的转化。金融机构通过将合规要求嵌入业务流程、自查和整改,促进摸清自身安全底数,提升了合规效率,有效防范重大数据安全事件发生。同时,也推动金融机构的管理模式从“被动合规”到“主动治理”的转变,为金融行业高质量发展筑牢安全防线。
PART.03
上海软件中心数据安全服务介绍
上海软件中心已获得数据安全服务能力评定资格证书(数据安全评估)二级、检验检测机构资质认定证书(CMA证书)、检验机构认可证书(CNAS IB0273)、网络安全等级测评与检测评估机构服务认证证书、工业信息安全测试评估机构能力认定证书(三级)、信息安全服务资质认证证书(一级)、ISO/IEC 27001信息安全管理体系认证证书等安全服务资质,建立了一支高水平的数据安全服务团队。团队基于多年来的金融领域数据安全服务实践和经验,围绕本次专项行动要求,通过数据安全管理自查整改、数据安全管理能力建设以及数据安全风险评估等服务,帮助金融机构提升数据安全管理能力,满足监管合规要求。
1.数据安全管理自查及整改咨询服务
围绕金监局93号文要求,结合《银行保险机构数据安全管理办法》、《中国人民银行业务领域数据安全管理办法》及相关标准规范,为金融机构提供数据安全管理自查与整改咨询服务,围绕安全治理、安全管理、分类分级、技术保护等进行现状评估与问题分析,并给出整改处置方案,进而有效提升金融机构数据安全管理能力,满足监管合规要求。
本服务全面对照93号文自查要点、《银行保险机构数据安全管理办法》以及相关标准规范要求,开展数据安全管理现状分析,通过自查准备、现状调研、问题识别与整改,记录并识别数据安全管理问题及合规差异点,形成自查报告,提出整改方案,协助填写自查表。总体服务流程如下:
-
自查准备:明确自查对象、自查范围等,形成数据安全管理自查咨询服务方案; -
现状调研:采用文档查阅、现场访谈、安全核查等方式,对审计、数据安全管理、信息科技、合规、风控、业务等部门进行数据安全管理现状调研,核查内容涵盖6大维度21类140+数据安全要点; -
问题识别与整改:根据现状调研记录与核查分析,梳理数据安全管理问题清单,分析与监管合规差异,给出整改处置方案; -
管理能力建设:基于自查分析结果,协助金融机构进行数据安全管理能力提升建设。
根据现状调研记录,梳理数据安全管理问题清单,分析与监管合规差异,形成数据安全管理自查报告/自查整改表(差距分析),给出整改处置方案(包含整改建议、任务分工、时间节点等)。
2.数据安全管理制度体系建设服务
基于监管合规及数据安全管理能力提升要求,为金融机构提供数据安全管理制度体系建设服务,通过建章立制,构建“权责明晰的组织架构”与“闭环落地的制度体系”。
依据监管要求及银行行内情况,建立涵盖决策、管理、执行、监督各层级的数据安全管理机构,明确归口管理部门,以及各层级机构职责。
依据NFRA、PBOC要求及金融机构内部现有制度情况,帮助金融机构构建完善的数据安全管理制度体系,编制可落地执行的数据安全管理有关制度,指导和规范机构的数据安全保护工作。
3.金融数据分类分级咨询服务
数字经济发展新范式全方位塑造数据安全新格局,金融机构数据安全管理面临新形势新要求,实施数据安全分类分级,对高敏感性数据实施重点保护,提升数据安全综合保障能力刻不容缓。金融领域数据分类分级主要依据《银行保险机构数据安全管理办法》、《中国人民银行业务领域数据安全管理办法》要求,以及GB/T 43697-2024 《数据安全技术 数据分类分级规则》、JR/T 0197 2020《金融数据安全 数据安全分级指南》等标准规范,对机构全域数据发现与识别,结合分类分级制度,实施分类分级工作。实施流程如下所示:
银行保险机构应当根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据。其中,一般数据细分为敏感数据和其他一般数据。同时应当加强数据安全级别的时效管理,建立动态调整审批机制,当数据的业务属性、重要程度和可能造成的危害程度发生变化,导致原安全级别不再适用的,应当及时动态调整。对于人民银行业务领域数据分类分级,还应从业务关联性、敏感性和可用性方面分别做好业务数据分类。数据资产梳理清单及数据分类分级清单模板如下:
4.金融机构数据安全风险评估服务
国家金融监管总局《银行保险机构数据安全管理办法》,以及中国人民银行《中国人民银行业务领域数据安全管理办法》均提到机构应当每年开展一次数据安全风险评估,两监管对评估要求有所不同。
金融机构数据安全风险评估服务依据《网络安全法》《数据安全法》《个人信息保护法》等法律要求,重点围绕《银行保险机构数据安全管理办法》,以及《中国人民银行业务领域数据安全管理办法》相关内容,参考GB/T 45577-2025 《数据安全技术 数据安全风险评估方法》、《网络数据安全风险评估办法(征求意见稿)》等行业办法与标准规范,开展数据安全风险评估,出具评估报告。金融机构数据安全风险评估服务流程如下所示:
以监管要求为核心,以标准规范为基础,以金融机构业务特征为补充,细化确立该机构数据安全风险评估框架。
通过信息调研、风险识别、风险分析与评价、评估总结,出具数据安全风险评估报告,完成数据安全风险评估工作。(相关业务咨询:徐老师 54325166-3237)
