法律图书馆>>新法规速递>>正文
国家金融监督管理总局关于印发银行保险机构数据安全管理办法的通知(4)

第四十条 银行保险机构应当将数据安全保护纳入信息系统开发生命周期框架,针对敏感级及以上数据明确安全保护要求,实现数据安全保护措施与信息系统的同步规划、同步建设、同步使用。

第四十一条 银行保险机构应当将数据纳入网络安全等级保护。银行保险机构应当根据数据安全级别,划分网络逻辑安全域,建立分区域数据安全保护基线,实施有效的安全控制,包括内容过滤、访问控制和安全监控等,确保相关措施满足处理和存储最高级别数据的网络安全策略和数据安全保护策略要求。存放或者传输敏感级及以上数据的机房、网络应当实施重点防护,设立物理安全保护区域,对网络边界、重要网络节点进行安全监控与审计。

第四十二条 银行保险机构应当将敏感级及以上数据纳入信息系统保护。在数据全生命周期内采取有效的访问控制管理措施,对于不同区域流转和共享中的数据,应当实施同等水平的安全防护措施。多来源敏感级及以上数据汇聚集中后,应当采取加强性或者至少不低于集中前最高级别数据保护强度的安全措施。

第四十三条 银行保险机构应当严格实施对敏感级及以上数据的管理,制定用户对数据的访问策略,采取有效的用户认证和访问控制技术措施,规范数据操作行为,用户对数据的访问应当符合业务开展的必要要求并与数据安全级别相匹配。敏感级及以上数据的操作应当进行日志记录,包括操作时间、用户标识、行为类型等,核心数据操作日志及其备份数据保存时间不低于三年,重要数据、敏感数据操作日志及其备份数据保存时间不低于一年,如涉及委托处理、共同处理的数据操作日志及其备份数据保存时间不低于三年。应当定期对数据操作行为进行审计,审计周期不超过六个月。

第四十四条 银行保险机构敏感级及以上数据传输应当采用安全的传输方式,保障数据完整性、保密性、可用性。

银行保险机构之间进行数据交换时,参与数据交换的相关机构应当采取有效措施保障信息数据传输和存储的保密性、完整性、准确性、及时性、安全性。

第四十五条 银行保险机构应当对敏感级及以上数据采取安全存储措施,防止勒索病毒、木马后门等攻击。个人身份鉴别数据不得明文存储、传输和展示。敏感级及以上数据应当实施数据容灾备份,定期进行数据可恢复性验证。

第四十六条 敏感级及以上数据达到使用或者保存期限后,应当采取技术措施及时删除或者销毁,确保数据不可恢复。终端和移动存储介质内的敏感级及以上数据应当采取技术保护措施,确保受控安全访问,介质报废或者重用时,其存储空间数据应当完全清除并不可恢复。

第四十七条 银行保险机构应当开展数据安全的技术基础设施建设,支持用户身份管理、数据匿名化、行为监测、日志审计、数据虚拟化等功能的组件化、服务化,保障安全标准在信息系统中执行的一致性。

第四十八条 银行保险机构开发信息系统时,应当明确系统拟处理的数据及其安全级别、访问规则、保护需求,并实施有效的系统安全控制。系统投产上线前应当开展安全测试,确保各项安全要求落实,有效防范数据安全风险。测试环境应当与生产系统隔离,敏感级及以上数据原则上未经脱敏处理不得进入测试环境,防止数据泄露。

第四十九条 银行保险机构应当对大数据平台采取高可用设计、安全加固、数据备份等措施进行重点保护。应当建立大数据服务访问授权机制,动态监测与审计大数据访问行为。

第五十条 银行保险机构开展自动化决策分析、模型算法开发、数据标注等活动,应当保证数据处理透明度和结果公平合理。银行保险机构应当对人工智能模型开发应用进行统一管理,建立模型算法产品外部引入的准入机制,对模型研发过程进行主动管理,实现模型算法可验证、可审核、可追溯。

第五十一条 银行保险机构信息系统、模型算法投入使用前,应当开展数据安全审查,审查数据与模型使用的合理性、正当性、可解释性,以及数据利用对相关主体合法权益的影响、伦理道德风险及防控措施有效性等。

第五十二条 银行保险机构使用人工智能技术开展业务时,应当就数据对决策结果影响进行解释说明和信息披露,实时监测自动化处理与系统运行结果,建立人工智能应用的风险缓释措施,包括制定退出人工智能应用的替代方案,对安全威胁制定应急方案并开展演练。

第五十三条 银行保险机构在建设开放银行、金融生态或者与第三方数据合作时,要实现自身与外部的安全风险隔离,与外部机构的数据交互应当通过集中管理的外联平台或者应用程序接口实施,依据“业务必需、最小权限”原则,采取有效措施对接口设计、开发、服务、运行等进行集中安全保护管理。



第六章 个人信息保护



第五十四条 银行保险机构处理个人信息应当按照“明确告知、授权同意”的原则实施,法律、行政法规另有规定的除外,并在信息系统中实现相关功能控制。

第五十五条 银行保险机构处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,收集个人信息应当限于实现金融业务处理目的的最小范围,不得过度收集个人信息。不得利用所收集的个人信息从事违法违规活动。

总共7页  [1] [2] [3] 4 [5] [6] [7] 
上一页  下一页  

相关法规:
·银行保险机构操作风险管理办法 / 国家金融监督管理总局(2023-12-27)
·国家金融监督管理总局关于印发《银行保险机构涉刑案件风险防控管理办法》的通知 / 国家金融监督管理总局(2023-11-2)
·银行保险机构消费者权益保护管理办法 / 中国银行保险监督管理委员会(2022-12-26)
·银行保险机构公司治理监管评估办法 / 中国银行保险监督管理委员会(2022-11-28)
·银行保险机构关联交易管理办法 / 中国银行保险监督管理委员会(2022-1-14)
===============================
声明:本法规由《法律图书馆》网站
(http://www.law-lib.com)免费提供.
仅供学术研究参考使用,
请与正式出版物或发文原件核对后使用。
===============================
手机法律图书馆>>导航>>搜索