銀保監發(fā)〔2020〕43號《中國銀保監會(huì )關(guān)于印發(fā)監管數據安全管理辦法（試行）的通知》

中國銀保監會(huì )關(guān)于印發(fā)監管數據安全管理辦法（試行）的通知









銀保監發(fā)〔2020〕43號

各銀保監局，機關(guān)各部門(mén)，各會(huì )管單位：

為切實(shí)加強監管數據安全管理，防范監管數據安全風(fēng)險，我會(huì )制定了《中國銀保監會(huì )監管數據安全管理辦法（試行）》，現予以印發(fā)，請遵照執行。







 

中國銀保監會(huì )

2020年9月23日






 

中國銀保監會(huì )監管數據安全管理辦法（試行）






 

第一章  總  則

第一條  為規范銀保監會(huì )監管數據安全管理工作，提高監管數據安全保護能力，防范監管數據安全風(fēng)險，依據《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國銀行業(yè)監督管理法》《中華人民共和國保險法》《工作秘密管理暫行辦法》等法律法規及有關(guān)規定，制定本辦法。

第二條  本辦法所稱(chēng)監管數據是指銀保監會(huì )在履行監管職責過(guò)程中，依法定期采集,經(jīng)監管信息系統記錄、生成和存儲的，或經(jīng)銀保監會(huì )各業(yè)務(wù)部門(mén)認定的數字、指標、報表、文字等各類(lèi)信息。

本辦法所稱(chēng)監管信息系統是指以滿(mǎn)足監管需求為目的開(kāi)發(fā)建設的，具有數據采集、處理、存儲等功能的信息系統。

第三條  本辦法所稱(chēng)監管數據安全是指監管數據在采集、處理、存儲、使用等活動(dòng)（以下簡(jiǎn)稱(chēng)監管數據活動(dòng)）中，處于可用、完整和可審計狀態(tài)，未發(fā)生泄露、篡改、損毀、丟失或非法使用等情況。

第四條  銀保監會(huì )及受托機構開(kāi)展監管數據活動(dòng)，適用本辦法。

本辦法所稱(chēng)受托機構是指受銀保監會(huì )委托或委派，為銀保監會(huì )提供監管數據采集、處理或存儲服務(wù)的企事業(yè)單位。

第五條  開(kāi)展監管數據活動(dòng)，必須遵守相關(guān)法律和行政法規。任何單位和個(gè)人對在監管數據活動(dòng)中知悉的國家秘密、工作秘密、商業(yè)秘密和個(gè)人信息，應當依照相關(guān)規定予以保密。

第六條  銀保監會(huì )建立健全監管數據安全協(xié)同管理體系，推動(dòng)銀保監會(huì )有關(guān)業(yè)務(wù)部門(mén)、各級派出機構、受托機構等共同參與監管數據安全保護工作，加強培訓教育，形成共同維護監管數據安全的良好環(huán)境。

 

第二章  工作職責

第七條  監管數據安全管理實(shí)行歸口管理，建立統籌協(xié)調、分工負責的管理機制。

銀保監會(huì )統計信息部門(mén)是歸口管理部門(mén)，負責統籌監管數據安全管理工作。銀保監會(huì )各業(yè)務(wù)部門(mén)負責本部門(mén)監管數據安全管理工作。

第八條  歸口管理部門(mén)具體職責包括：

（一）制定監管數據安全工作規則和管理流程；

（二）制定監管數據安全技術(shù)防護措施；

（三）組織實(shí)施監管數據安全評估和監督檢查。

第九條 各業(yè)務(wù)部門(mén)具體職責包括：

（一）規范本部門(mén)監管數據安全使用，明確具體工作要求，落實(shí)相關(guān)責任；

（二）組織開(kāi)展本部門(mén)監管數據安全管理工作；

（三）協(xié)助歸口管理部門(mén)實(shí)施監管數據安全監督檢查。


 

第三章  監管數據采集、存儲和加工處理

第十條  監管數據的采集應按照安全、準確、完整和依法合規的原則進(jìn)行，避免重復、過(guò)度采集。

第十一條  監管數據應通過(guò)監管工作網(wǎng)或金融專(zhuān)網(wǎng)進(jìn)行傳輸。因客觀(guān)條件限制需要通過(guò)物理介質(zhì)、互聯(lián)網(wǎng)或其它網(wǎng)絡(luò )傳輸的，應經(jīng)歸口管理部門(mén)評估同意。

第十二條  監管數據應存儲在銀保監會(huì )機房，并具有完備的備份措施。確有必要存儲在受托機構機房的，應經(jīng)歸口管理部門(mén)評估同意。

第十三條  監管數據存儲期限、存儲介質(zhì)管理應按照國家和銀保監會(huì )有關(guān)規定執行。

第十四條  監管數據的加工處理應在監管工作權限或受托范圍內進(jìn)行。未經(jīng)歸口管理部門(mén)同意，任何單位和個(gè)人不得將代碼、接口、算法模型和開(kāi)發(fā)工具等接入監管信息系統。

第十五條  監管數據采集、傳輸、存儲、加工處理、轉移交換、銷(xiāo)毀，以及用于系統開(kāi)發(fā)測試等活動(dòng)，應根據監管數據類(lèi)型和管理要求采取分級分類(lèi)安全技術(shù)防護措施。
 

第四章  監管數據使用

第十六條  監管數據僅限于銀保監會(huì )履行監管工作職責使用。紀檢監察、司法、審計等黨政機關(guān)為履行工作職責需要使用監管數據時(shí)，按照有關(guān)規定辦理。

第十七條  監管數據的使用行為應通過(guò)管理和技術(shù)手段確?？勺匪?。監管數據用于信息系統開(kāi)發(fā)測試以及對外展示時(shí)，應經(jīng)過(guò)脫敏處理。

第十八條  使用未公開(kāi)披露的監管數據，原則上應在不可連接互聯(lián)網(wǎng)的臺式機或筆記本等銀保監會(huì )工作機中進(jìn)行。因客觀(guān)條件限制需采取虛擬專(zhuān)用網(wǎng)絡(luò )等方式使用監管數據時(shí)，應經(jīng)歸口管理部門(mén)評估同意。

第十九條  因工作需要下載的監管數據，僅可存儲于銀保監會(huì )的工作機中。承載監管數據的使用介質(zhì)應妥善保管，防止數據泄露。

第二十條  在使用監管數據過(guò)程中產(chǎn)生的加工數據、匯總結果等信息應視同監管數據進(jìn)行安全管理。

第二十一條  監管數據對外披露應由指定業(yè)務(wù)部門(mén)按照有關(guān)規定和流程實(shí)施。

第二十二條  各業(yè)務(wù)部門(mén)因工作需要向非黨政機關(guān)單位、個(gè)人提供監管數據時(shí)，應充分評估數據安全風(fēng)險，經(jīng)本部門(mén)主要負責人同意后實(shí)施，必要時(shí)與對方簽訂備忘錄和保密協(xié)議并報歸口管理部門(mén)備案。

與境外監管機構或國際組織共享監管數據時(shí)，應由國際事務(wù)部門(mén)依照銀保監會(huì )簽署的監管合作諒解備忘錄、合作協(xié)議等約定或其他有關(guān)工作安排進(jìn)行管理。

法律法規另有規定的，從其規定。

第二十三條  各業(yè)務(wù)部門(mén)因工作需要和系統下線(xiàn)停用監管數據時(shí)，應及時(shí)對其采取封存或銷(xiāo)毀措施。

 

第五章  監管數據委托服務(wù)管理

第二十四條  各業(yè)務(wù)部門(mén)監管數據采集涉及受托機構提供服務(wù)時(shí)，應事先與歸口管理部門(mén)溝通并會(huì )簽同意。受托機構的技術(shù)服務(wù)方案，應通過(guò)歸口管理部門(mén)的安全評估。技術(shù)服務(wù)方案發(fā)生變更的，應事先報歸口管理部門(mén)進(jìn)行安全評估。

安全評估不通過(guò)的，不得開(kāi)展委托服務(wù)或建立委派關(guān)系。

第二十五條  為銀保監會(huì )提供監管數據服務(wù)的受托機構，應滿(mǎn)足以下基本條件：

（一）具備從事監管數據工作所需系統的自主研發(fā)及運維能力；

（二）具備相關(guān)信息安全管理資質(zhì)認證；

（三）擁有自主產(chǎn)權或已簽訂長(cháng)期租賃合同的機房；

（四）網(wǎng)絡(luò )和信息系統具備有效的安全保護和穩定運行措施，三年內未發(fā)生網(wǎng)絡(luò )安全重大事件；

（五）具備有效的監管數據安全管理措施，能夠保障銀保監會(huì )各部門(mén)對監管數據的訪(fǎng)問(wèn)和控制；

（六）具有監管數據備份體系、應急組織體系和業(yè)務(wù)連續性計劃。

第二十六條  銀保監會(huì )通過(guò)與受托機構簽訂協(xié)議，確立監管數據委托服務(wù)關(guān)系。協(xié)議應明確服務(wù)項目、期限、安全管理責任和終止事由等內容。

銀保監會(huì )通過(guò)委派方式確立監管數據服務(wù)關(guān)系的，應下達委派任務(wù)書(shū)。

第二十七條  因有關(guān)政策調整導致原委托或委派事項無(wú)需繼續履行，或發(fā)現受托機構監管數據服務(wù)出現重大安全問(wèn)題的，銀保監會(huì )有權終止委托或委派關(guān)系。

委托或委派關(guān)系終止時(shí)，受托機構應及時(shí)、完整地移交監管數據，并銷(xiāo)毀因委托或委派事項而獲取的監管數據，不得保留相關(guān)數據備份等內容。


 

第六章  監督管理

第二十八條  各業(yè)務(wù)部門(mén)及受托機構應按照監管數據安全工作規則定期開(kāi)展自查，發(fā)現監管數據安全缺陷、漏洞等風(fēng)險時(shí)，應立即采取補救措施。

第二十九條  歸口管理部門(mén)應定期對各業(yè)務(wù)部門(mén)及受托機構開(kāi)展監管數據安全管理評估檢查工作。

各業(yè)務(wù)部門(mén)及受托機構對于評估和檢查中發(fā)現的問(wèn)題應制定整改措施，及時(shí)整改，并向歸口管理部門(mén)報送整改報告。

第三十條  各業(yè)務(wù)部門(mén)及受托機構發(fā)生以下監管數據重大安全風(fēng)險事項時(shí)，應立即采取應急處置措施，及時(shí)消除安全隱患，防止危害擴大，并于48小時(shí)內向歸口管理部門(mén)報告。

（一）監管數據發(fā)生泄露或非法使用；

（二）監管數據發(fā)生損毀或丟失；

（三）承載監管數據的信息系統或網(wǎng)絡(luò )發(fā)生系統性故障造成服務(wù)中斷4小時(shí)以上；

（四）承載監管數據的信息系統或網(wǎng)絡(luò )遭受非法入侵、發(fā)生有害信息或計算機病毒的大規模傳播等破壞；

（五）監管數據安全事件引發(fā)輿情；

（六）《網(wǎng)絡(luò )安全重大事件判定指南》列明的其他影響監管數據安全的網(wǎng)絡(luò )安全重大事件。

轄區發(fā)生以上監管數據重大安全風(fēng)險事項時(shí)，各銀保監局應立即采取補救措施，并于48小時(shí)內向銀保監會(huì )歸口管理部門(mén)報告。

第三十一條  歸口管理部門(mén)應建立監管數據安全事件通報工作機制，及時(shí)通報監管數據安全事件。

 

第七章  附  則

第三十二條  涉密監管數據按照國家和銀保監會(huì )保密管理有關(guān)規定進(jìn)行管理。

第三十三條  各銀保監局承擔轄區監管數據安全管理責任，參照本辦法制定轄區監管數據安全管理辦法，明確職責和管理要求，強化監管數據安全保護。

第三十四條  本辦法自印發(fā)之日起施行。

掃描二維碼 關(guān)注我們

本文鏈接：http://jumpstarthappiness.com/doc/98345.html

本文關(guān)鍵詞： 銀保監發(fā), 中國銀保監會(huì ), 監管, 數據, 安全, 管理辦法, 試行, 通知