收藏
下载资源

金融数据安全+数据生命周期安全规范

上传人:博****1 文档编号:511713916 上传时间:2023-04-07 格式:DOCX 页数:5 大小:25.21KB
返回 下载 相关 举报
金融数据安全+数据生命周期安全规范_第1页
第1页 / 共5页
金融数据安全+数据生命周期安全规范_第2页
第2页 / 共5页
金融数据安全+数据生命周期安全规范_第3页
第3页 / 共5页
金融数据安全+数据生命周期安全规范_第4页
第4页 / 共5页
金融数据安全+数据生命周期安全规范_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《金融数据安全+数据生命周期安全规范》由会员分享,可在线阅读,更多相关《金融数据安全+数据生命周期安全规范(5页珍藏版)》请在金锄头文库上搜索。

1、金融数据安全+ 数据生命周期安全规范附件 S 35.240.40 CCS A 11 JR 中华人民共和国 金融行业标准 JR/T 0223 2021 金融数据安全 数据生命周期安全规范Financial data security 一Security specifation of data life cycle 2021 -04-08发布 2021 -04-08 实施 中国人民银行发布 目 次 金融数据安全数据生命周期安全规范1 1 范围 1 2规范性引用文件1 3 术语和定义1 3.1 1 3.3 2 3.4 2 3.5 2 金融数据 f inanci a l data 2 3.10 2 3

2、.11 3 3.12 3 3.13 3 3.14 3特权账户 pr i v i Ieged account 3 4 缩略语 3 5 概述 4 5.1 安全框架 4 5.2 分级保护 5 6 数据安 全原则 5 7 数据生命周期安全防护 6 7.1 数据采集 6 7.1.1 概述 6 7.1.2 从外部 机构采集数据6 7.1.3 从个人金融信息主体处采集数据7 7.2 数据传输 7 7.3 数据存储 8 7.3.1 概述 8 7.3.2 存储安全 8 7.3.3 备份和恢复9 7.4 数据使用 97.4.1 概述 9 7.4.2 数据访问 10 7.4.2.1 基本要求 10 7.4.2.2

3、特权访问安全要 求 10 7.4.3 数据导出 10 7.4.4 数据加工 11 7.4.5 数据展示 11 7.4.6 开发测试 11 7.4.7 汇聚融合 12 7.4.8 公开披露 12 7.4.9 数据转让 13 7.4.10 委托处理 13 7.4.11 数据共享 14 7.5 数据删除 15 7.6 数据销毁 15 8 数据安全组织保障 16 8.1 组织结构 16 8.2 制度体系 19 8.3 人员管理 19 8.4 第三方机构管理20 9信息系统运维保障22 9.1 边界管控 22 9.2 访问控制 22 9.2.1 访问控制策略229.2.2 物理环境访问控制 23 9.2

4、.3 信息系统与介质访问控制 23 9.2.4 数据存储 系统的访问控制23 9.3安全监测24 9.3.1 数据溯24 9.3.2流量分析Ap249.3.3 异常行为监测 24 9.3.4 态势感知 26 9.4 安全审计 26 9.5 检查评估 26 9.6 应急响应与事件处置27 附录 A 28 附录 B 28 C.1 概述 30 C.2 数据脱敏的定义 30 C.3 数据脱敏基本原则 31 C.4 数据脱敏方法技术32 C.4.1 泛化 32 C.4.2抑制 32 C.4.3 扰乱 33 C.4.4 有损 33 C.5 数据脱敏应用分类34 C.5.1 概述 34C.5.2 静态数据脱

5、敏34 C.5.3 动态数据脱敏34 C.6 数据脱敏应用场景35 C.7 隐私数据脱敏方法参考37 C.7.1 联系人姓名的脱敏37 C.7.2 企业户名的脱敏37C.7.3 身份证号码的脱敏39 C.7.4 护照号码的脱敏41 C.7.5 地址的脱敏41C.7.6 车牌号码的脱敏43 C.7.7 联系电话(固定电话)的脱敏44 C.7.8 联系电话(手机号码)的脱敏44 C.7.9 日期时间的脱敏46 C.7.10 电子邮箱的脱敏47C.7.11 密码的脱敏47 C.7.12 金融账号的脱敏48 C.7.13 银行卡号码的脱敏49C.7.14 存折账号的脱敏49 C.7.15 增值税税号的

6、脱敏50 C.7.16 增值税账号的脱敏 50 附录 D 52 D.1 概述 52 D.2 数据水印的定义52 D.3 数据水印基本原则 52D.4 数据水印技术方法 52 D.4.1 伪行水印 52 D.4.2 伪列水印 53 D.4.3 脱敏水印 53 D.4.4 水印添加 54 D.4.5 水印溯 54 D.5 数据水印应用分类55 D.5.1 静态水印 55 D.5.2 动态水印 55 D.6 数据水印应用场景55 本文件按照 GB/T 1.1-2021标准化工作导则 第 1 部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利

7、的责任。本文件由中国人民银行提出。本文件由全国金融标准化技术委员会( SAC/TC 180)归口。本文件起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、国 家金融卡安全检测中心(银行卡检测中心)、中国建设银行股份有限公司、兴业银行股份有限公司、 中国农业银行股份有限公司、招商银行股份有限公司、恒丰银行股份有限公司、中国银行股份有限公司、 网联清算有限公司、平安银行股份有限公司、中国保险行业协会、华为技术有限公司、北京钱袋宝支付 技术有限公司、蚂蚁科技集团股份有限公司、全知科技(杭州)有限责任公司、北京安华金和科技有限公司、奇安信科技集团股份有限公司、杭州安恒信息技

8、术股份有限公司、深圳云安宝科技有限公司、哈 尔滨工业大学(深圳)数据安全研究院、上海淇毓信息科技有限公司、北京天融信网络安全技术有限公司、深信服科技股份有限公司、北京神州绿盟科技有限公司、北京长亭未来科技有限公司、上海艾芒信 息科技有限公司、华控清交信息科技(北京)有限公司、成方金融科技有限公司、中国人民银行广州分行、中国人民银行南京分行、中国人民银行营业管理部、中国人民银行哈尔滨中心支行、深圳市长亮科技股份有限公司、北京中金国盛认证有限公司、平安保险(集团)股份有限公司、阿里云计算有限公司。本文件主要起草人:李伟、陈立吾、沈筱彦、车珍、曲维民、咎新、夏磊、方怡、马晓伟、渠韶光、陈聪、居良、杨

9、波、刘静芳、刘超、栾家阳、吴远松、王照坤、赵志蛟、俞吴杰、邱斌、郑超、王福舟、 陈雪秀、陈俊、郭林、母延燕、严敏瑞、康雪婷、冷杉、兰安娜、宋铮、王昕、朱通、王勰思、峰、 唐力、林玉波、张晨晖、周亚超、林鹭、韩培义、姚磊、刘川意、王安滨、温树海、包英明、李建彬、 徐省委、管然、张帆、马男、张帆、杜宁、王云河、王蜀洪、安鸿飞、唐辉、高强裔、侯漫丽、黎凯伦、 任军远、戴辰、薛金川、喜正阳、辜敏、陈裕、王衍强、任妍、王焰宇。随着信息技术的发展,众多金融基础业务、核心流程、行业间往来等事务和活动均已运行在信息化 支撑载体之上,金融业机构生产运营产生的信息也逐步以不同形式转化为数字资产流转在金融业信息系

10、统中。随着大数据、人工智能、云计算等新技术在金融业深入应用,金融数据逐步实现从信息化资产到 生产要素的转变,其重要性日益凸显。数据泄露、滥用、篡改等安全威胁的影响逐步从机构内转移扩大 至机构间和行业间,甚至影响国家安全、社会秩序、公众利益和金融市场稳定。如何在满足金融业务基本需求的基础上,强化数据保护能力,保障金融数据安全流动,已成为当前亟待解决的问题。金融数据复杂多样,对数据实施生命周期安全管理,能够进一步明确数据生命周期各阶段的保护要 求,有助于金融业机构合理分配数据保护资和成本,建立完善的数据生命周期防护机制。同时,合理、 准确、完善的数据生命周期安全管理制度能够促进金融数据在机构间、行

11、业间安全应用和共享,有利于 数据价值挖掘与实现。为指导金融业机构合理制定和有效落实金融数据生命周期安全管理策略,进一步提高金融业机构的 数据管理和安全防护水平,确保金融数据安全应用,编制本文件。本文件凡涉及密码技术的相关内容,按国家密码管理部门及行业主管部门有关规定实施;凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的,遵循相关国家标准和行业标准。金融数据安全数据生命周期安全规范1 范围 本文件规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求 , 建立覆盖数据 采集、传输、存储、使用、删除及销毁过程的安全框架。本文件适用于指导金融业机构开展电子数据安

12、全防护工作,并为第三方测评机构等单位开展数据 安全检查与评估工作提供参考。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069 2021 信息安全技术术语 GB/T 35273 2021 信息安全技术个人信息安全规范数据中心设计规范移动金融客户端应用软件安全管理规范证券期货业数据分类分级指引 个人金融信息保护技术规范金融数据安全数据安全分级指南 GB 50174 20 0092 20 0158 20 0171 2021 01

13、97 2021 JR/T JR/T JR/TJR/T 3 术语和定义GB/T 35273 2021 和 GB, “ 25069 2021 界定的以及下列术语和定义适用于本文件。 .1 数据处理 data process i ng 自动数据处理automat i c dataprocess i ng 数据操作的系统执行。示例:数据的数学运算或逻辑运算,数据的归并或分类,程序的汇编或编译,或文本的操作,诸如编辑、分类、 归并、存储、检索、显示或打印。注:术语“数据处理”不能用为“信息处理”的同义词。GB/T 5271.1 20, 01.01.06 3.2 保密性 conf i dent i a I

14、 i ty使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。GB/T 25069 2021, 2.1.1 3.3 完整性 i ntegr i ty 保卫资产准确和完 整的特性。 GB/T 25069 2021, 2.1.42, 有修改 3.4 可用性 ava ilabili ty 已授 权实体一旦需要就可访问和使用的数据和资的特性。 GB/T 25069 2021, 2.1.20 3.5 真实性 authent ity 确保主体或资的身份正是所声称的特性。注:真实性适用于用户、进程、系统和信息之类的实体。 GB/T 25069 2021, 2.1.69 ,有修改 3.6 金融数据 f i nanci a ldata 金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。注:该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析Ap和管理。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 营销创新

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号