銀保監發〔2020〕43號
各銀保監局,機關各部門,各會管單位:
為切實加強監管數據安全管理,防範監管數據安全風險,我會制定了《中國銀保監會監管數據安全管理辦法(試行)》,現予以印發,請遵照執行。
2020年9月23日
中國銀保監會監管數據安全管理辦法
(試行)
第一章 總 則
第一條 為規範銀保監會監管數據安全管理工作,提高監管數據安全保護能力,防範監管數據安全風險,依據《中華人民共和國網路安全法》《中華人民共和國銀行業監督管理法》《中華人民共和國保險法》《工作秘密管理暫行辦法》等法律法規及有關規定,制定本辦法。
第二條 本辦法所稱監管數據是指銀保監會在履行監管職責過程中,依法定期採集,經監管資訊系統記錄、生成和存儲的,或經銀保監會各業務部門認定的數字、指標、報表、文字等各類資訊。
本辦法所稱監管資訊系統是指以滿足監管需求為目的開發建設的,具有數據採集、處理、存儲等功能的資訊系統。
第三條 本辦法所稱監管數據安全是指監管數據在採集、處理、存儲、使用等活動(以下簡稱監管數據活動)中,處於可用、完整和可審計狀態,未發生洩露、篡改、損毀、丟失或非法使用等情況。
第四條 銀保監會及受託機構開展監管數據活動,適用本辦法。
本辦法所稱受託機構是指受銀保監會委託或委派,為銀保監會提供監管數據採集、處理或存儲服務的企事業單位。
第五條 開展監管數據活動,必須遵守相關法律和行政法規。任何單位和個人對在監管數據活動中知悉的國家秘密、工作秘密、商業秘密和個人資訊,應當依照相關規定予以保密。
第六條 銀保監會建立健全監管數據安全協同管理體系,推動銀保監會有關業務部門、各級派出機構、受託機構等共同參與監管數據安全保護工作,加強培訓教育,形成共同維護監管數據安全的良好環境。
第二章 工作職責
第七條 監管數據安全管理實行歸口管理,建立統籌協調、分工負責的管理機制。
銀保監會統計資訊部門是歸口管理部門,負責統籌監管數據安全管理工作。銀保監會各業務部門負責本部門監管數據安全管理工作。
第八條 歸口管理部門具體職責包括:
(一)制定監管數據安全工作規則和管理流程;
(二)制定監管數據安全技術防護措施;
(三)組織實施監管數據安全評估和監督檢查。
第九條 各業務部門具體職責包括:
(一)規範本部門監管數據安全使用,明確具體工作要求,落實相關責任;
(二)組織開展本部門監管數據安全管理工作;
(三)協助歸口管理部門實施監管數據安全監督檢查。
第三章 監管數據採集、存儲和加工處理
第十條 監管數據的採集應按照安全、準確、完整和依法合規的原則進行,避免重復、過度採集。
第十一條 監管數據應通過監管工作網或金融專網進行傳輸。因客觀條件限制需要通過物理介質、網際網路或其他網路傳輸的,應經歸口管理部門評估同意。
第十二條 監管數據應存儲在銀保監會機房,並具有完備的備份措施。確有必要存儲在受託機構機房的,應經歸口管理部門評估同意。
第十三條 監管數據存儲期限、存儲介質管理應按照國家和銀保監會有關規定執行。
第十四條 監管數據的加工處理應在監管工作許可權或受託範圍內進行。未經歸口管理部門同意,任何單位和個人不得將代碼、介面、演算法模型和開發工具等接入監管資訊系統。
第十五條 監管數據採集、傳輸、存儲、加工處理、轉移交換、銷毀,以及用於系統開發測試等活動,應根據監管數據類型和管理要求採取分級分類安全技術防護措施。
第四章 監管數據使用
第十六條 監管數據僅限於銀保監會履行監管工作職責使用。紀檢監察、司法、審計等黨政機關為履行工作職責需要使用監管數據時,按照有關規定辦理。
第十七條 監管數據的使用行為應通過管理和技術手段確保可追溯。監管數據用於資訊系統開發測試以及對外展示時,應經過脫敏處理。
第十八條 使用未公開披露的監管數據,原則上應在不可連接網際網路的臺式機或筆電等銀保監會工作機中進行。因客觀條件限制需採取虛擬專用網路等方式使用監管數據時,應經歸口管理部門評估同意。
第十九條 因工作需要下載的監管數據,僅可存儲於銀保監會的工作機中。承載監管數據的使用介質應妥善保管,防止數據洩露。
第二十條 在使用監管數據過程中産生的加工數據、匯總結果等資訊應視同監管數據進行安全管理。
第二十一條 監管數據對外披露應由指定業務部門按照有關規定和流程實施。
第二十二條 各業務部門因工作需要向非黨政機關單位、個人提供監管數據時,應充分評估數據安全風險,經本部門主要負責人同意後實施,必要時與對方簽訂備忘錄和保密協議並報歸口管理部門備案。
與境外監管機構或國際組織共用監管數據時,應由國際事務部門依照銀保監會簽署的監管合作諒解備忘錄、合作協議等約定或其他有關工作安排進行管理。
法律法規另有規定的,從其規定。
第二十三條 各業務部門因工作需要和系統下線停用監管數據時,應及時對其採取封存或銷毀措施。
第五章 監管數據委託服務管理
第二十四條 各業務部門監管數據採集涉及受託機構提供服務時,應事先與歸口管理部門溝通並會簽同意。受託機構的技術服務方案,應通過歸口管理部門的安全評估。技術服務方案發生變更的,應事先報歸口管理部門進行安全評估。
安全評估不通過的,不得開展委託服務或建立委派關係。
第二十五條 為銀保監會提供監管數據服務的受託機構,應滿足以下基本條件:
(一)具備從事監管數據工作所需系統的自主研發及運維能力;
(二)具備相關資訊安全管理資質認證;
(三)擁有自主産權或已簽訂長期租賃合同的機房;
(四)網路和資訊系統具備有效的安全保護和穩定運作措施,三年內未發生網路安全重大事件;
(五)具備有效的監管數據安全管理措施,能夠保障銀保監會各部門對監管數據的訪問和控制;
(六)具有監管數據備份體系、應急組織體系和業務連續性計劃。
第二十六條 銀保監會通過與受託機構簽訂協議,確立監管數據委託服務關係。協議應明確服務項目、期限、安全管理責任和終止事由等內容。
銀保監會通過委派方式確立監管數據服務關係的,應下達委派任務書。
第二十七條 因有關政策調整導致原委託或委派事項無需繼續履行,或發現受託機構監管數據服務出現重大安全問題的,銀保監會有權終止委託或委派關係。
委託或委派關係終止時,受託機構應及時、完整地移交監管數據,並銷毀因委託或委派事項而獲取的監管數據,不得保留相關數據備份等內容。
第六章 監督管理
第二十八條 各業務部門及受託機構應按照監管數據安全工作規則定期開展自查,發現監管數據安全缺陷、漏洞等風險時,應立即採取補救措施。
第二十九條 歸口管理部門應定期對各業務部門及受託機構開展監管數據安全管理評估檢查工作。
各業務部門及受託機構對於評估和檢查中發現的問題應制定整改措施,及時整改,並向歸口管理部門報送整改報告。
第三十條 各業務部門及受託機構發生以下監管數據重大安全風險事項時,應立即採取應急處置措施,及時消除安全隱患,防止危害擴大,並於48小時內向歸口管理部門報告。
(一)監管數據發生洩露或非法使用;
(二)監管數據發生損毀或丟失;
(三)承載監管數據的資訊系統或網路發生系統性故障造成服務中斷4小時以上;
(四)承載監管數據的資訊系統或網路遭受非法入侵、發生有害資訊或電腦病毒的大規模傳播等破壞;
(五)監管數據安全事件引發輿情;
(六)《網路安全重大事件判定指南》列明的其他影響監管數據安全的網路安全重大事件。
轄區發生以上監管數據重大安全風險事項時,各銀保監局應立即採取補救措施,並於48小時內向銀保監會歸口管理部門報告。
第三十一條 歸口管理部門應建立監管數據安全事件通報工作機制,及時通報監管數據安全事件。
第七章 附 則
第三十二條 涉密監管數據按照國家和銀保監會保密管理有關規定進行管理。
第三十三條 各銀保監局承擔轄區監管數據安全管理責任,參照本辦法制定轄區監管數據安全管理辦法,明確職責和管理要求,強化監管數據安全保護。
第三十四條 本辦法自印發之日起施行。