中国人民银行业务领域数据安全管理办法(5)
第四十三条 数据处理者应当按照国家网络安全事件应急预案有关事件分级要求,综合考虑影响范围和程度,明确业务数据安全事件对应的分级标准:
(一)业务数据被篡改、破坏事件分级的标准应当考虑信息系统数据恢复点目标、无法正常提供服务时长、受影响业务笔数和金额、受影响个人或者组织数量、损失的不同敏感性数据项和对应规模等因素。
(二)业务数据泄露事件分级的标准应当考虑受影响个人或者组织数量、泄露的不同敏感性数据项和对应规模等因素。
(三)涉及核心数据、重要数据泄露或者被篡改、破坏的安全事件,应当分别分级为特别重大事件、重大事件。
第四十四条 数据处理者应当做好业务数据安全事件分级,发生业务数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并按照中国人民银行要求及时、准确、完整报告事件情况。
数据接收方、委托处理受托人发生与数据处理者所提供业务数据相关的数据安全事件的,数据处理者应当开展调查评估,督促相关机构立即采取补救措施并向有关主管部门报告。
重要数据的处理者应当每年至少开展一次针对业务数据安全事件的应急演练,其他数据处理者应当每三年至少开展一次针对业务数据安全事件的应急演练。
第四十五条 数据处理者应当对照法律、行政法规和本办法所列安全保护措施要求,以及本机构业务数据安全相关管理制度和操作规程的执行情况,每三年至少开展一次业务数据安全合规审计,重要数据的处理者应当每年至少开展一次与重要数据安全相关的合规审计。发生重大或者特别重大事件后,应当开展专项审计。审计应当重点关注业务数据资源目录是否及时更新、相关信息系统账号权限管理是否严密、业务数据处理活动相关合同或者协议是否完备、高敏感性数据项安全保护措施是否有效、数据委托处理受托人管理职责是否落实、前置网关和应用程序接口是否持续安全维护、数据安全风险监测是否有效、数据安全风险与事件处置是否及时、数据出境是否合规、数据安全投诉处理是否及时等情况。
第四十六条 数据处理者应当加强风险评估人员和审计人员使用业务数据权限的管理,采取必要措施确保实施过程的业务数据安全。
与业务数据相关的风险评估报告和审计报告记录高敏感性数据项时应当进行脱敏处理。
数据处理者委托第三方评估机构、审计机构开展与业务数据相关的风险评估或者审计工作的,应当在合同或者协议中明确其数据安全保护义务和对应责任,指定本机构人员全程参与。涉及会计审计服务的,还应当按照国家网信部门和财政部门要求,进一步加强相关业务数据安全保护。
第六章 法律责任
第四十七条 中国人民银行及其分支机构发现数据处理者的业务数据处理活动存在较大安全风险时,可以对其进行约谈和要求其采取措施进行整改;发现影响或者可能影响国家安全的业务数据处理活动线索时,可以要求数据处理者按照国家有关规定进行国家安全审查。
中国人民银行及其分支机构按照职责可以对数据处理者与业务数据相关的数据安全保护义务落实情况开展执法检查,必要时可以与其他有关主管部门联合实施执法检查。
第四十八条 中国人民银行及其分支机构发现数据处理者在业务数据处理活动中未履行数据出境安全评估或者保护认证等义务的,应当将相关案件信息移送同级网信部门,并配合其予以处理。
第四十九条 数据处理者未履行本办法规定的数据安全保护义务,有下列情形之一的,中国人民银行及其分支机构依照《中华人民共和国数据安全法》第四十五条予以处罚:
(一)未依照法律、行政法规对应规定,建立健全全流程业务数据安全管理制度的。
(二)未依照法律、行政法规对应规定,组织开展业务数据安全教育培训的。
(三)未依照法律、行政法规对应规定,采取相应的技术措施和其他必要措施,保障业务数据安全的。
(四)重要数据的处理者未明确业务数据安全负责人和管理机构的。
(五)未有效监测业务数据安全风险的。
(六)发现业务数据安全风险未立即采取补救措施的。
(七)发生业务数据安全事件未立即采取处置措施,未及时告知用户,或者未按照要求报告事件情况的。
(八)重要数据的处理者未每年对业务数据开展一次风险评估,或者未按照要求报送风险评估报告的。
第五十条 中国人民银行及其分支机构发现数据处理者开展业务数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照相关法律、行政法规予以处理,属于其他有关主管部门管理职责的,移送相关案件信息并配合其予以处理。
第五十一条 中国人民银行及其分支机构发现数据处理者开展业务数据处理活动,涉嫌构成违反治安管理行为或者构成犯罪的,将相关案件信息移送同级公安机关、国家安全机关等有关主管部门,并配合其予以处理。
第五十二条 数据处理者发生业务数据安全事件造成危害后果,如能证明本机构已按照规定采取数据安全保护措施,并立即采取补救措施的,应当对其从轻或者减轻行政处罚。
总共6页
[1] [2] [3] [4] 5
[6] 上一页 下一页
相关法规: