《金融數據安全數據生命周期安全規(guī)范》編制說明

數據生命周期安全規(guī)范》“要切實”數

《金融數據安全數據生命周期安全規(guī)范》“要切實”數（征求意見稿）編制說明

一、背景及意義

2017年12月8日，習近平總書記在中共中央政治局就

實施國家大數據戰(zhàn)略進行第二次集體學習時提出：

保障國家數據安全，強化國家關鍵數據資源保護能力。

據安全關乎國家安全，數據資源保護已上升至國家戰(zhàn)略層

面。2019年11月，在十九屆四中全會首次提出數據可作為

生產要素按貢獻參與分配，數據價值的提高對數據安全保護

提出更高要求。

隨著信息技術的發(fā)展，金融業(yè)機構和金融事務處置均已

實現信息化、數字化運作，所產生的信息也逐步以不同形式

轉化為機構的重要數字資產。同時，金融數據隨著應用場景

和應用機構的爆炸式增長變得更加豐富的同時，也愈加復雜

多樣，金融數據在不同業(yè)務間、機構間流轉的過程中，從技

術到管理都面臨著潛在的安全風險。

當前金融業(yè)機構數據泄漏等安全威脅的影響已逐步從

機構內轉移擴大至行業(yè)間，甚至會對社會生產與國家安全產

生一定的影響。如何在滿足金融業(yè)務基本需求的基礎上，指

導各相關機構規(guī)范金融數據安全管理，強化金融行業(yè)數據資

1

源保護能力，切實保障金融數據安全流動，已成為當前亟待

解決的問題。

基于數據安全級別，結合金融行業(yè)應用場景特點，深度

剖析金融數據的安全防護需求，并建立覆蓋金融數據生命周

期各階段的安全防護框架，有助于金融業(yè)機構數據保護資源

和成本的優(yōu)化配置，是建立完善的數據安全防護機制的核心

任務，也是建立統(tǒng)一、標準化的數據安全管理體系的必要條

件，能夠促進金融數據在機構間、行業(yè)間的安全共享，有利

于金融行業(yè)數據價值的挖掘與實現。

為避免金融數據的破壞、泄漏、丟失，給客戶、金融業(yè)

機構乃至金融行業(yè)、社會秩序、公共利益帶來嚴重危害，統(tǒng)

一指導金融行業(yè)數據安全管理工作，有必要通過行業(yè)標準對

金融行業(yè)的數據安全管理進行規(guī)范化要求。通過編寫金融數

據生命周期安全規(guī)范，對金融數據生命周期各階段進行全面

安全防護，在信息系統(tǒng)建設的全過程搭建好數據安全防護架

構，并在日常的信息系統(tǒng)運維過程中做好數據應用安全管

控，同時對金融行業(yè)數據安全管理體系建設提出要求，能夠

指導并促進金融業(yè)機構實施數據安全防護，強化金融業(yè)機構

數據安全管理能力，統(tǒng)一金融數據安全防護架構的標準化與

規(guī)范化要求，提升金融數據安全管理體系的可實施性和可管

理性。

在目前的行業(yè)狀況和技術條件下，適時地由監(jiān)管部門推

2

出技術標準，對推動金融行業(yè)數據安全防護機制的標準化工

作大有裨益，在進一步促進金融行業(yè)數據安全工作逐步規(guī)范

化的同時，也將促進金融行業(yè)數據相關業(yè)務的穩(wěn)健發(fā)展。

二、制定原則

由于金融行業(yè)數據復雜多樣、影響面廣，在標準編制過

程中，工作組以“搭建數據生命周期安全框架、構建數據安

全管理體系”為基本編制思路，充分考慮當前金融行業(yè)數據

安全管理現狀，同時兼顧國家相關政策和行業(yè)發(fā)展趨勢，遵

循以下幾個原則：

（一）行業(yè)適用性：本標準在編制過程中始終堅持數據

安全防護架構在金融行業(yè)的普遍適用性，同時重點關注數據

安全防護相關策略和機制在各金融業(yè)機構的可落地性。

（二）合規(guī)性原則：編制組在本標準起草過程中始終遵

循與我國現有的政策、法規(guī)、標準、規(guī)范等相一致的原則，

同時也兼顧行業(yè)監(jiān)管機構對金融數據進行安全管理的實際

監(jiān)管要求。

三、主要內容和編制依據

（一）主要內容

本標準主要從金融數據生命周期安全防護框架出發(fā)，從

安全原則、數據生命周期安全防護要求、安全組織要求、信

息系統(tǒng)建設及運維的數據安全要求等方面，對金融數據安全

3

管理體系建設提出要求，并以附錄的形式給出數據安全體系

和數據安全防護的最佳實踐，為金融數據安全防護架構的落

實提供參考。本標準主要內容包括：

1.范圍及規(guī)范性引用文件。描述了標準制定的參考依據、

行業(yè)需求和標準制定的目的，明確了標準的適用機構。

2.安全原則。提出了金融業(yè)機構開展金融數據安全防護

工作及進行數據安全管理體系建設的基本安全原則。

3.數據生命周期安全防護要求。提出了覆蓋金融數據生

命周期各階段的安全防護要求，明確了數據安全防護的基本

措施和實現方式。

4.數據安全的組織保障要求。提出了金融業(yè)機構數據安

全管理體系建設的基本要求，并對組織架構、制度體系及人

員管理等方面進行了描述。

5.信息系統(tǒng)建設過程中的數據安全保障要求。從信息系

統(tǒng)開發(fā)全生命周期的維度，提出數據安全防護體系的實施架

構，為金融業(yè)機構實施數據生命周期安全防護提供指導。

6.信息系統(tǒng)運維過程中的數據安全保障要求。通過安全

監(jiān)測、安全審計、檢查評估及應急響應與事件處理等運維過

程中的數據安全管控要求，確保金融機構在日常運營過程中

的數據安全。（二）編制依據

1.政策依據

4

數據中心設計規(guī)范信息安全技術信息技術詞匯第1部分：基本信息安全技術國民經濟行業(yè)分類密碼術語數據中心設計規(guī)范信息安全技術信息技術詞匯第1部分：基本信息安全技術國民經濟行業(yè)分類密碼術語SM4分組密碼算法密碼模塊安全檢測要求證券期貨業(yè)數據分類分級指引安全技個人金融信息保護技術規(guī)范2019年12月，人民銀行科技術語個人信息安全規(guī)

根據人民銀行推進金融行業(yè)數據安全管理相關工作要求，協(xié)

助科技司研制金融行業(yè)數據生命周期安全相關標準。

2.標準依據

本標準的制定參考下列現行標準編制：

GB50174-2017

GB/T25069—2010

GB/T5271.1—2000

術語

GB/T35273—2020

范

GB/T4754-2017

GM/Z0001—2013

GM/T0002—2012

GB/T37092-2018

JR/T0158—2018

JR/T0167—2018云計算技術金融應用規(guī)范

術要求

JR/T0171—2020

四、主要工作過程

（一）標準工作組組建。

5

2019年122019年12月至2020年2數據生命周期安全規(guī)范2020年3月，工作組根據科數據生命周期安全規(guī)范(工(征求意

商，召開了第一次工作組會議，研究確立了標準內容的編制

原則和具體工作形式，完成工作組組建。（二）工作組草案稿形成。

月，標準工作組采取集中封閉會議以及線上遠程會議等形

式，討論標準涉及的技術要求、對比相關政策標準后，編制

標準內容，形成《金融數據安全

作組草案稿)》，上報至科技司。（三）征求意見稿形成。

技司相關意見，對標準內容進行多次討論，修改、完善相關

內容，形成《金融數據安全

見稿)》。

五、適用范圍

本標準適用于金融業(yè)機構開展金融電子數據安全防護

使用，并為第三方安全評估機構等單位開展數據安全檢查與

評估工作提供參考。

六、重大分歧意見的處理和依據

無。

七、行業(yè)標準屬性的建議

鑒于本標準的內容未涉及強制性標準或強制性條文的

6

數據傳輸安全規(guī)范》和《金融數據安數據生命周期安全規(guī)范》。同時，數據傳輸安全規(guī)范》和《金融數據安數據生命周期安全規(guī)范》。同時，數據生命周期安全規(guī)范

八、廢止現行有關標準的建議

無。

九、其他應予說明的事項

考慮到數據生命周期安全管理體系的完整性，為更好地

指導金融業(yè)機構系統(tǒng)、科學地開展數據安全建設有關工作，

并進一步提升標準的實用性及通用性，將已在金標委完成立

項的《金融數據安全

全