《金融数据安全数据安全分级指南》编制说明

数据安全分级指南（送审稿）》“要切实”数数据安全分级指南（送审稿）》“要切实”数，编制说明

一、背景及意义

2017年12月8日，习近平总书记在中共中央政治局就

实施国家大数据战略进行第二次集体学习时提出：

保障国家数据安全，强化国家关键数据资源保护能力。

据安全关乎国家安全，数据资源保护已上升至国家战略层

面。2019年11月，在十九届四中全会首次提出数据可作为

生产要素按贡献参与分配，数据价值的提高对数据安全保护

提出更高要求。2020年3月30日，中共中央、国务院发布

《关于构建更加完善的要素市场化配置体制机制的意见》

对加强数据资源整合和安全保护工作提出明确要求，探索建

立统一规范的数据管理制度，并推动完善适用于大数据环境

下的数据分类分级安全保护制度，已成为发挥数据价值潜

能、打通数据融合应用通道、驱动产业创新发展过程中迫切

需要解决的问题。

随着信息技术的发展，金融机构和金融事务处置均已实

现信息化、数字化运作，所产生的信息也逐步以不同形式转

化为机构的重要数字资产。同时，金融数据随着应用场景和

应用机构的爆炸式增长变得更加丰富的同时，也愈加复杂多

1

样，未进行分级管理的金融数据在不同业务间、机构间流转

的过程中，从技术到管理都面临着潜在的安全风险。

当前金融机构数据泄漏等安全威胁的影响已逐步从机

构内转移扩大至行业间，甚至会对社会生产与国家安全产生

一定的影响。如何在满足金融业务基本需求的基础上，指导

各相关机构规范金融数据分级管理，强化金融行业数据资源

保护能力，切实保障金融行业数据安全，已成为当前亟待解

决的问题。

对数据实施分级管理，能够进一步明确数据保护对象，

有助于金融机构合理分配数据保护资源和成本，是金融机构

建立完善的全生命周期数据保护框架的基础，也是有的放矢

地实施数据安全管理的前提条件。同时，统一的数据分级管

理制度，能够促进数据在机构间、行业间的安全共享，有利

于金融行业数据价值的挖掘与实现。

为避免金融数据的破坏、泄漏、丢失，给客户、金融机

构乃至金融行业、社会秩序、公共利益带来严重危害，统一

指导金融行业数据分级的安全管理工作，有必要通过行业标

准对金融行业数据安全分级进行规范化要求。通过编写金融

数据安全分级标准，从定级目标及原则、级别划分、定级规

则等方面，对金融行业数据安全分级工作提出要求，指导并

促进金融机构开展数据安全分级管理，强化金融机构数据安

全管理能力，统一金融数据安全分级的标准化与规范化要

2

求，提升金融数据安全分级的可实施性和可管理性。

在目前的行业状况和技术条件下，适时地由监管部门推

出技术标准，对推动金融行业数据安全分级标准化工作大有

裨益，在进一步促进金融行业数据安全工作逐步规范化的同

时，也将促进金融行业数据相关业务的稳健发展。

二、制定原则

由于金融行业数据复杂多样、影响面广，在标准编制过

程中，工作组以“数据安全性遭受破坏后可能造成什么样的

影响”为基本编制思路，充分考虑当前金融行业数据安全管

理现状，同时兼顾国家相关政策和行业发展趋势，遵循以下

几个原则：（一）行业适用性：本标准在编制过程中始终坚持数据

分级方法在金融行业的普遍适用性，同时重点关注数据安全

分级指南在各金融机构的可落地性。

（二）合规性原则：编制组在本标准起草过程中始终遵

循与我国现有的政策、法规、标准、规范等相一致的原则，

同时也兼顾行业监管机构对金融数据进行安全管理的实际

监管要求。

三、主要内容和编制依据

（一）主要内容

本标准主要从定级目标、原则及范围、级别划分、定级

3

术语个人信息安全规

规则、定级过程及级别变更等方面，对金融数据的安全分级术语个人信息安全规

提出要求，并以附录的形式给出金融行业典型数据的参考最

低安全级别及数据级别变化事宜，为金融机构开展本机构数

据安全定级工作提供参照。本标准主要内容包括：

1.范围及规范性引用文件。描述了标准制定的参考依据、

行业需求和标准制定的目的，明确了标准的适用机构。

2.目标、原则和范围。提出了数据安全定级的主要目标、

开展定级工作的原则以及应进行安全分级的数据范围。

3.数据安全分级。提出了数据安全定级过程中的主要定

级要素及其识别方法，明确了数据安全定级的通用规则，并

对定级过程及级别变更相关事宜进行了说明。

4.重要数据识别。提出了可用于金融行业重要数据识别

的参考方法，并对重要数据的内容进行了描述。（二）编制依据

1.政策依据

在国家数据安全管理相关政策所要求的基本框架之下，

根据人民银行推进金融行业数据安全管理相关工作要求，协

助科技司研制金融行业数据分级相关标准。

2.标准依据

本标准的制定参考下列现行标准编制：

GB/T25069—2010信息安全技术

GB/T35273—2017信息安全技术

4

2019年10月，人民银行科技2019年10月，人民银行科技2019年10月至11月，标数2019年11月末，工作组根据数据安全分级指南(征求意见2020年3月至4月，工作组在科分析和处理。

JR/T0158—2018证券期货业数据分类分级指引

JR/T0171—2020个人金融信息保护技术规范

四、主要工作过程

（一）标准工作组组建。

司组织银行卡检测中心、深圳市长亮数据技术有限公司、招

行、平安银行、平安产险、银保信、中国人寿保险、蚂蚁金

服、银联、网联等金融机构召开了第一次工作组会议，研究

确立了标准内容的编制原则和具体工作形式，完成工作组组

建。（二）工作组草案稿形成。

准工作组采取封闭会议形式，讨论标准涉及的技术要求、对

比相关政策标准后，编制标准内容，形成《金融数据安全

据安全分级指南(工作组草案稿)》，上报至科技司。

（三）征求意见稿形成。

科技司相关意见，对标准内容进行多次讨论，修改、完善相

关内容，形成《金融数据安全

稿)》。

（四）送审稿形成。

技司对标准征求意见工作有关要求的指导下，根据金标委征

求意见回执情况，逐条对相关意见进行了汇总、

5

数据安全分级指南(送

此外，在工作组成员基础上数据安全分级指南(送

并多次组织远程会议对标准内容进行线上讨论和修改。期

间，进一步对标准内容进行了调整、增补和扩充，丰富并完

善标准内容，最终形成《金融数据安全

审稿)》。

五、适用范围

本标准适用于金融机构开展数据安全分级工作适用，并

为第三方安全评估机构等单位开展数据安全检测与评估工

作提供参考。未经电子化的数据，依据档案文件等有关管理

规范执行；涉及国家秘密的数据，依据国家有关法律法规执

行，不在本标准规定的范围之内。

六、重大