數據生命周期安全規范》“要切實”數

《金融數據安全數據生命周期安全規范》“要切實”數（征求意見稿）編制說明

一、背景及意義

2017年12月8日，習近平總書記在中共中央政治局就

實施國家大數據戰略進行第二次集體學習時提出：

保障國家數據安全，強化國家關鍵數據資源保護能力。

據安全關乎國家安全，數據資源保護已上升至國家戰略層

面。2019年11月，在十九屆四中全會首次提出數據可作為

生產要素按貢獻參與分配，數據價值的提高對數據安全保護

提出更高要求。

隨著信息技術的發展，金融業機構和金融事務處置均已

實現信息化、數字化運作，所產生的信息也逐步以不同形式

轉化為機構的重要數字資產。同時，金融數據隨著應用場景

和應用機構的爆炸式增長變得更加豐富的同時，也愈加復雜

多樣，金融數據在不同業務間、機構間流轉的過程中，從技

術到管理都面臨著潛在的安全風險。

當前金融業機構數據泄漏等安全威脅的影響已逐步從

機構內轉移擴大至行業間，甚至會對社會生產與國家安全產

生一定的影響。如何在滿足金融業務基本需求的基礎上，指

導各相關機構規范金融數據安全管理，強化金融行業數據資

1

源保護能力，切實保障金融數據安全流動，已成為當前亟待

解決的問題。

基于數據安全級別，結合金融行業應用場景特點，深度

剖析金融數據的安全防護需求，并建立覆蓋金融數據生命周

期各階段的安全防護框架，有助于金融業機構數據保護資源

和成本的優化配置，是建立完善的數據安全防護機制的核心

任務，也是建立統一、標準化的數據安全管理體系的必要條

件，能夠促進金融數據在機構間、行業間的安全共享，有利

于金融行業數據價值的挖掘與實現。

為避免金融數據的破壞、泄漏、丟失，給客戶、金融業

機構乃至金融行業、社會秩序、公共利益帶來嚴重危害，統

一指導金融行業數據安全管理工作，有必要通過行業標準對

金融行業的數據安全管理進行規范化要求。通過編寫金融數

據生命周期安全規范，對金融數據生命周期各階段進行全面

安全防護，在信息系統建設的全過程搭建好數據安全防護架

構，并在日常的信息系統運維過程中做好數據應用安全管

控，同時對金融行業數據安全管理體系建設提出要求，能夠

指導并促進金融業機構實施數據安全防護，強化金融業機構

數據安全管理能力，統一金融數據安全防護架構的標準化與

規范化要求，提升金融數據安全管理體系的可實施性和可管

理性。

在目前的行業狀況和技術條件下，適時地由監管部門推

2

出技術標準，對推動金融行業數據安全防護機制的標準化工

作大有裨益，在進一步促進金融行業數據安全工作逐步規范

化的同時，也將促進金融行業數據相關業務的穩健發展。

二、制定原則

由于金融行業數據復雜多樣、影響面廣，在標準編制過

程中，工作組以“搭建數據生命周期安全框架、構建數據安

全管理體系”為基本編制思路，充分考慮當前金融行業數據

安全管理現狀，同時兼顧國家相關政策和行業發展趨勢，遵

循以下幾個原則：

（一）行業適用性：本標準在編制過程中始終堅持數據

安全防護架構在金融行業的普遍適用性，同時重點關注數據

安全防護相關策略和機制在各金融業機構的可落地性。

（二）合規性原則：編制組在本標準起草過程中始終遵

循與我國現有的政策、法規、標準、規范等相一致的原則，

同時也兼顧行業監管機構對金融數據進行安全管理的實際

監管要求。

三、主要內容和編制依據

（一）主要內容

本標準主要從金融數據生命周期安全防護框架出發，從

安全原則、數據生命周期安全防護要求、安全組織要求、信

息系統建設及運維的數據安全要求等方面，對金融數據安全

3

管理體系建設提出要求，并以附錄的形式給出數據安全體系

和數據安全防護的最佳實踐，為金融數據安全防護架構的落

實提供參考。本標準主要內容包括：

1.范圍及規范性引用文件。描述了標準制定的參考依據、

行業需求和標準制定的目的，明確了標準的適用機構。

2.安全原則。提出了金融業機構開展金融數據安全防護

工作及進行數據安全管理體系建設的基本安全原則。

3.數據生命周期安全防護要求。提出了覆蓋金融數據生

命周期各階段的安全防護要求，明確了數據安全防護的基本

措施和實現方式。

4.數據安全的組織保障要求。提出了金融業機構數據安

全管理體系建設的基本要求，并對組織架構、制度體系及人

員管理等方面進行了描述。

5.信息系統建設過程中的數據安全保障要求。從信息系

統開發全生命周期的維度，提出數據安全防護體系的實施架

構，為金融業機構實施數據生命周期安全防護提供指導。

6.信息系統運維過程中的數據安全保障要求。通過安全

監測、安全審計、檢查評估及應急響應與事件處理等運維過

程中的數據安全管控要求，確保金融機構在日常運營過程中

的數據安全。（二）編制依據

1.政策依據

4

數據中心設計規范信息安全技術信息技術詞匯第1部分：基本信息安全技術國民經濟行業分類密碼術語數據中心設計規范信息安全技術信息技術詞匯第1部分：基本信息安全技術國民經濟行業分類密碼術語SM4分組密碼算法密碼模塊安全檢測要求證券期貨業數據分類分級指引安全技個人金融信息保護技術規范2019年12月，人民銀行科技術語個人信息安全規

根據人民銀行推進金融行業數據安全管理相關工作要求，協

助科技司研制金融行業數據生命周期安全相關標準。

2.標準依據

本標準的制定參考下列現行標準編制：

GB50174-2017

GB/T25069—2010

GB/T5271.1—2000

術語

GB/T35273—2020

范

GB/T4754-2017

GM/Z0001—2013

GM/T0002—2012

GB/T37092-2018

JR/T0158—2018

JR/T0167—2018云計算技術金融應用規范

術要求

JR/T0171—2020

四、主要工作過程

（一）標準工作組組建。

5

2019年122019年12月至2020年2數據生命周期安全規范2020年3月，工作組根據科數據生命周期安全規范(工(征求意

商，召開了第一次工作組會議，研究確立了標準內容的編制

原則和具體工作形式，完成工作組組建。（二）工作組草案稿形成。

月，標準工作組采取集中封閉會議以及線上遠程會議等形

式，討論標準涉及的技術要求、對比相關政策標準后，編制

標準內容，形成《金融數據安全

作組草案稿)》，上報至科技司。（三）征求意見稿形成。

技司相關意見，對標準內容進行多次討論，修改、完善相關

內容，形成《金融數據安全

見稿)》。

五、適用范圍

本標準適用于金融業機構開展金融電子數據安全防護

使用，并為第三方安全評估機構等單位開展數據安全檢查與

評估工作提供參考。

六、重大分歧意見的處理和依據

無。

七、行業標準屬性的建議

鑒于本標準的內容未涉及強制性標準或強制性條文的

6

數據傳輸安全規范》和《金融數據安數據生命周期安全規范》。同時，數據傳輸安全規范》和《金融數據安數據生命周期安全規范》。同時，數據生命周期安全規范

八、廢止現行有關標準的建議

無。

九、其他應予說明的事項

考慮到數據生命周期安全管理體系的完整性，為更好地

指導金融業機構系統、科學地開展數據安全建設有關工作，

并進一步提升標準的實用性及通用性，將已在金標委完成立

項的《金融數據安全

全