數據安全分級指南（送審稿）》“要切實”數數據安全分級指南（送審稿）》“要切實”數，編制說明

一、背景及意義

2017年12月8日，習近平總書記在中共中央政治局就

實施國家大數據戰略進行第二次集體學習時提出：

保障國家數據安全，強化國家關鍵數據資源保護能力。

據安全關乎國家安全，數據資源保護已上升至國家戰略層

面。2019年11月，在十九屆四中全會首次提出數據可作為

生產要素按貢獻參與分配，數據價值的提高對數據安全保護

提出更高要求。2020年3月30日，中共中央、國務院發布

《關于構建更加完善的要素市場化配置體制機制的意見》

對加強數據資源整合和安全保護工作提出明確要求，探索建

立統一規范的數據管理制度，并推動完善適用于大數據環境

下的數據分類分級安全保護制度，已成為發揮數據價值潛

能、打通數據融合應用通道、驅動產業創新發展過程中迫切

需要解決的問題。

隨著信息技術的發展，金融機構和金融事務處置均已實

現信息化、數字化運作，所產生的信息也逐步以不同形式轉

化為機構的重要數字資產。同時，金融數據隨著應用場景和

應用機構的爆炸式增長變得更加豐富的同時，也愈加復雜多

1

樣，未進行分級管理的金融數據在不同業務間、機構間流轉

的過程中，從技術到管理都面臨著潛在的安全風險。

當前金融機構數據泄漏等安全威脅的影響已逐步從機

構內轉移擴大至行業間，甚至會對社會生產與國家安全產生

一定的影響。如何在滿足金融業務基本需求的基礎上，指導

各相關機構規范金融數據分級管理，強化金融行業數據資源

保護能力，切實保障金融行業數據安全，已成為當前亟待解

決的問題。

對數據實施分級管理，能夠進一步明確數據保護對象，

有助于金融機構合理分配數據保護資源和成本，是金融機構

建立完善的全生命周期數據保護框架的基礎，也是有的放矢

地實施數據安全管理的前提條件。同時，統一的數據分級管

理制度，能夠促進數據在機構間、行業間的安全共享，有利

于金融行業數據價值的挖掘與實現。

為避免金融數據的破壞、泄漏、丟失，給客戶、金融機

構乃至金融行業、社會秩序、公共利益帶來嚴重危害，統一

指導金融行業數據分級的安全管理工作，有必要通過行業標

準對金融行業數據安全分級進行規范化要求。通過編寫金融

數據安全分級標準，從定級目標及原則、級別劃分、定級規

則等方面，對金融行業數據安全分級工作提出要求，指導并

促進金融機構開展數據安全分級管理，強化金融機構數據安

全管理能力，統一金融數據安全分級的標準化與規范化要

2

求，提升金融數據安全分級的可實施性和可管理性。

在目前的行業狀況和技術條件下，適時地由監管部門推

出技術標準，對推動金融行業數據安全分級標準化工作大有

裨益，在進一步促進金融行業數據安全工作逐步規范化的同

時，也將促進金融行業數據相關業務的穩健發展。

二、制定原則

由于金融行業數據復雜多樣、影響面廣，在標準編制過

程中，工作組以“數據安全性遭受破壞后可能造成什么樣的

影響”為基本編制思路，充分考慮當前金融行業數據安全管

理現狀，同時兼顧國家相關政策和行業發展趨勢，遵循以下

幾個原則：（一）行業適用性：本標準在編制過程中始終堅持數據

分級方法在金融行業的普遍適用性，同時重點關注數據安全

分級指南在各金融機構的可落地性。

（二）合規性原則：編制組在本標準起草過程中始終遵

循與我國現有的政策、法規、標準、規范等相一致的原則，

同時也兼顧行業監管機構對金融數據進行安全管理的實際

監管要求。

三、主要內容和編制依據

（一）主要內容

本標準主要從定級目標、原則及范圍、級別劃分、定級

3

術語個人信息安全規

規則、定級過程及級別變更等方面，對金融數據的安全分級術語個人信息安全規

提出要求，并以附錄的形式給出金融行業典型數據的參考最

低安全級別及數據級別變化事宜，為金融機構開展本機構數

據安全定級工作提供參照。本標準主要內容包括：

1.范圍及規范性引用文件。描述了標準制定的參考依據、

行業需求和標準制定的目的，明確了標準的適用機構。

2.目標、原則和范圍。提出了數據安全定級的主要目標、

開展定級工作的原則以及應進行安全分級的數據范圍。

3.數據安全分級。提出了數據安全定級過程中的主要定

級要素及其識別方法，明確了數據安全定級的通用規則，并

對定級過程及級別變更相關事宜進行了說明。

4.重要數據識別。提出了可用于金融行業重要數據識別

的參考方法，并對重要數據的內容進行了描述。（二）編制依據

1.政策依據

在國家數據安全管理相關政策所要求的基本框架之下，

根據人民銀行推進金融行業數據安全管理相關工作要求，協

助科技司研制金融行業數據分級相關標準。

2.標準依據

本標準的制定參考下列現行標準編制：

GB/T25069—2010信息安全技術

GB/T35273—2017信息安全技術

4

2019年10月，人民銀行科技2019年10月，人民銀行科技2019年10月至11月，標數2019年11月末，工作組根據數據安全分級指南(征求意見2020年3月至4月，工作組在科分析和處理。

JR/T0158—2018證券期貨業數據分類分級指引

JR/T0171—2020個人金融信息保護技術規范

四、主要工作過程

（一）標準工作組組建。

司組織銀行卡檢測中心、深圳市長亮數據技術有限公司、招

行、平安銀行、平安產險、銀保信、中國人壽保險、螞蟻金

服、銀聯、網聯等金融機構召開了第一次工作組會議，研究

確立了標準內容的編制原則和具體工作形式，完成工作組組

建。（二）工作組草案稿形成。

準工作組采取封閉會議形式，討論標準涉及的技術要求、對

比相關政策標準后，編制標準內容，形成《金融數據安全

據安全分級指南(工作組草案稿)》，上報至科技司。

（三）征求意見稿形成。

科技司相關意見，對標準內容進行多次討論，修改、完善相

關內容，形成《金融數據安全

稿)》。

（四）送審稿形成。

技司對標準征求意見工作有關要求的指導下，根據金標委征

求意見回執情況，逐條對相關意見進行了匯總、

5

數據安全分級指南(送

此外，在工作組成員基礎上數據安全分級指南(送

并多次組織遠程會議對標準內容進行線上討論和修改。期

間，進一步對標準內容進行了調整、增補和擴充，豐富并完

善標準內容，最終形成《金融數據安全

審稿)》。

五、適用范圍

本標準適用于金融機構開展數據安全分級工作適用，并

為第三方安全評估機構等單位開展數據安全檢測與評估工

作提供參考。未經電子化的數據，依據檔案文件等有關管理

規范執行；涉及國家秘密的數據，依據國家有關法律法規執

行，不在本標準規定的范圍之內。

六、重大