《金融数据安全数据生命周期安全规范》编制说明

数据生命周期安全规范》“要切实”数

《金融数据安全数据生命周期安全规范》“要切实”数（征求意见稿）编制说明

一、背景及意义

2017年12月8日，习近平总书记在中共中央政治局就

实施国家大数据战略进行第二次集体学习时提出：

保障国家数据安全，强化国家关键数据资源保护能力。

据安全关乎国家安全，数据资源保护已上升至国家战略层

面。2019年11月，在十九届四中全会首次提出数据可作为

生产要素按贡献参与分配，数据价值的提高对数据安全保护

提出更高要求。

随着信息技术的发展，金融业机构和金融事务处置均已

实现信息化、数字化运作，所产生的信息也逐步以不同形式

转化为机构的重要数字资产。同时，金融数据随着应用场景

和应用机构的爆炸式增长变得更加丰富的同时，也愈加复杂

多样，金融数据在不同业务间、机构间流转的过程中，从技

术到管理都面临着潜在的安全风险。

当前金融业机构数据泄漏等安全威胁的影响已逐步从

机构内转移扩大至行业间，甚至会对社会生产与国家安全产

生一定的影响。如何在满足金融业务基本需求的基础上，指

导各相关机构规范金融数据安全管理，强化金融行业数据资

1

源保护能力，切实保障金融数据安全流动，已成为当前亟待

解决的问题。

基于数据安全级别，结合金融行业应用场景特点，深度

剖析金融数据的安全防护需求，并建立覆盖金融数据生命周

期各阶段的安全防护框架，有助于金融业机构数据保护资源

和成本的优化配置，是建立完善的数据安全防护机制的核心

任务，也是建立统一、标准化的数据安全管理体系的必要条

件，能够促进金融数据在机构间、行业间的安全共享，有利

于金融行业数据价值的挖掘与实现。

为避免金融数据的破坏、泄漏、丢失，给客户、金融业

机构乃至金融行业、社会秩序、公共利益带来严重危害，统

一指导金融行业数据安全管理工作，有必要通过行业标准对

金融行业的数据安全管理进行规范化要求。通过编写金融数

据生命周期安全规范，对金融数据生命周期各阶段进行全面

安全防护，在信息系统建设的全过程搭建好数据安全防护架

构，并在日常的信息系统运维过程中做好数据应用安全管

控，同时对金融行业数据安全管理体系建设提出要求，能够

指导并促进金融业机构实施数据安全防护，强化金融业机构

数据安全管理能力，统一金融数据安全防护架构的标准化与

规范化要求，提升金融数据安全管理体系的可实施性和可管

理性。

在目前的行业状况和技术条件下，适时地由监管部门推

2

出技术标准，对推动金融行业数据安全防护机制的标准化工

作大有裨益，在进一步促进金融行业数据安全工作逐步规范

化的同时，也将促进金融行业数据相关业务的稳健发展。

二、制定原则

由于金融行业数据复杂多样、影响面广，在标准编制过

程中，工作组以“搭建数据生命周期安全框架、构建数据安

全管理体系”为基本编制思路，充分考虑当前金融行业数据

安全管理现状，同时兼顾国家相关政策和行业发展趋势，遵

循以下几个原则：

（一）行业适用性：本标准在编制过程中始终坚持数据

安全防护架构在金融行业的普遍适用性，同时重点关注数据

安全防护相关策略和机制在各金融业机构的可落地性。

（二）合规性原则：编制组在本标准起草过程中始终遵

循与我国现有的政策、法规、标准、规范等相一致的原则，

同时也兼顾行业监管机构对金融数据进行安全管理的实际

监管要求。

三、主要内容和编制依据

（一）主要内容

本标准主要从金融数据生命周期安全防护框架出发，从

安全原则、数据生命周期安全防护要求、安全组织要求、信

息系统建设及运维的数据安全要求等方面，对金融数据安全

3

管理体系建设提出要求，并以附录的形式给出数据安全体系

和数据安全防护的最佳实践，为金融数据安全防护架构的落

实提供参考。本标准主要内容包括：

1.范围及规范性引用文件。描述了标准制定的参考依据、

行业需求和标准制定的目的，明确了标准的适用机构。

2.安全原则。提出了金融业机构开展金融数据安全防护

工作及进行数据安全管理体系建设的基本安全原则。

3.数据生命周期安全防护要求。提出了覆盖金融数据生

命周期各阶段的安全防护要求，明确了数据安全防护的基本

措施和实现方式。

4.数据安全的组织保障要求。提出了金融业机构数据安

全管理体系建设的基本要求，并对组织架构、制度体系及人

员管理等方面进行了描述。

5.信息系统建设过程中的数据安全保障要求。从信息系

统开发全生命周期的维度，提出数据安全防护体系的实施架

构，为金融业机构实施数据生命周期安全防护提供指导。

6.信息系统运维过程中的数据安全保障要求。通过安全

监测、安全审计、检查评估及应急响应与事件处理等运维过

程中的数据安全管控要求，确保金融机构在日常运营过程中

的数据安全。（二）编制依据

1.政策依据

4

数据中心设计规范信息安全技术信息技术词汇第1部分：基本信息安全技术国民经济行业分类密码术语数据中心设计规范信息安全技术信息技术词汇第1部分：基本信息安全技术国民经济行业分类密码术语SM4分组密码算法密码模块安全检测要求证券期货业数据分类分级指引安全技个人金融信息保护技术规范2019年12月，人民银行科技术语个人信息安全规

根据人民银行推进金融行业数据安全管理相关工作要求，协

助科技司研制金融行业数据生命周期安全相关标准。

2.标准依据

本标准的制定参考下列现行标准编制：

GB50174-2017

GB/T25069—2010

GB/T5271.1—2000

术语

GB/T35273—2020

范

GB/T4754-2017

GM/Z0001—2013

GM/T0002—2012

GB/T37092-2018

JR/T0158—2018

JR/T0167—2018云计算技术金融应用规范

术要求

JR/T0171—2020

四、主要工作过程

（一）标准工作组组建。

5

2019年122019年12月至2020年2数据生命周期安全规范2020年3月，工作组根据科数据生命周期安全规范(工(征求意

商，召开了第一次工作组会议，研究确立了标准内容的编制

原则和具体工作形式，完成工作组组建。（二）工作组草案稿形成。

月，标准工作组采取集中封闭会议以及线上远程会议等形

式，讨论标准涉及的技术要求、对比相关政策标准后，编制

标准内容，形成《金融数据安全

作组草案稿)》，上报至科技司。（三）征求意见稿形成。

技司相关意见，对标准内容进行多次讨论，修改、完善相关

内容，形成《金融数据安全

见稿)》。

五、适用范围

本标准适用于金融业机构开展金融电子数据安全防护

使用，并为第三方安全评估机构等单位开展数据安全检查与

评估工作提供参考。

六、重大分歧意见的处理和依据

无。

七、行业标准属性的建议

鉴于本标准的内容未涉及强制性标准或强制性条文的

6

数据传输安全规范》和《金融数据安数据生命周期安全规范》。同时，数据传输安全规范》和《金融数据安数据生命周期安全规范》。同时，数据生命周期安全规范

八、废止现行有关标准的建议

无。

九、其他应予说明的事项

考虑到数据生命周期安全管理体系的完整性，为更好地

指导金融业机构系统、科学地开展数据安全建设有关工作，

并进一步提升标准的实用性及通用性，将已在金标委完成立

项的《金融数据安全

全