附件 S 35.240.40 CCS A 11 JR 中华人民共和国金融行业标准 JR/T 0223—2021 金融数据安全数据生命周期安全规范 Financial data security一Security specifation of data life cycle 2021 -04-08 发布 2021 -04-08 实施中国人民银行发布目次金融数据安全数据生命周期安全规范 1 1范围 1 2规范性引用文件 1 3术语和定义 1 3.1 1 3.3 2 3.4 2 3.5 2 金融数据 f i nanci a l data 2 3.10 2 3.11 3 3.12 3 3.13 3 3.14 3 特权账户 pr i v i I eged account 3 4缩略语 3 5概述 4 5.1安全框架 4 5.2分级保护 5 6数据安全原则 5 7数据生命周期安全防护 6 7.1数据采集 6 7.1.1概述 6 7.1.2从外部机构采集数据 6 7.1.3从个人金融信息主体处采集数据 7 7.2数据传输 7 7.3数据存储 8 7.3.1概述 8 7.3.2存储安全 8 7.3.3备份和恢复 9 7.4数据使用 9 7.4.1概述 9 7.4.2数据访问 10 7.4.2.1 基本要求 10 7.4.2.2特权访问安全要求 10 7.4.3数据导出 10 7.4.4数据加工 11 7.4.5数据展示 11 7.4.6开发测试11 7.4.7汇聚融合 12 7.4.8公开披露 12 7.4.9数据转让 13 7.4.10委托处理13 7.4.11数据共享 14 7.5数据删除 15 7.6数据销毁 15 8数据安全组织保障16 8.1组织结构 16 8.2制度体系 19 8.3人员管理 19 8.4第三方机构管理 20 9信息系统运维保障 22 9.1边界管控 22 9.2访问控制 22 9.2.1访问控制策略 22 9.2.2物理环境访问控制 23 9.2.3信息系统与介质访问控制 23 9.2.4数据存储系统的访问控制 23 9.3安全监测 24 9.3.1数据溯 24 9.3.2流量分析^p 24 9.3.3异常行为监测 24 9.3.4 态势感知 26 9.4安全审计 26 9.5检查评估 26 9.6应急响应与事件处置 27 附录A 28 附录B 28 C.1概述 30 C.2数据脱敏的定义 30 C.3数据脱敏基本原则 31 C.4数据脱敏方法技术 32 C.4.1泛化 32 C.4.2抑全国政协十三届五次会议
制 32 C.4.3扰乱 33 C.4.4有损 33 C.5数据脱敏应用分类 34 C.5.1概述 34 C.5.2静态数据脱敏 34 C.5.3动态数据脱敏 34 C.6数据脱敏应用场景 35 C.7隐私数据脱敏方法参考 37 C.7.1联系人姓名的脱敏 37 C.7.2企业户名的脱敏 37 C.7.3身份证号码的脱敏 39 C.7.4护照号码的脱敏 41 C.7.5地址的脱敏 41
C.7.6车牌号码的脱敏 43 C.7.7(固定电话)的脱敏 44 C.7.8(手机号码)的脱敏 44 C.7.9日期时间的脱敏 46 C.7.10的脱敏 47 C.7.11密码的脱敏 47 C.7.12金融账号的脱敏 48 C.7.13银行卡号码的脱敏 49 C.7.14存折账号的脱敏 49 C.7.15增值税税号的脱敏 50 C.7.16增值税账号的脱敏 50 附录D 52
安徽人事考试网华图D.1概述 52 D.2数据水印的定义 52 D.3数据水印基本原则 52 D.4数据水印技术方法 52 D.4.1伪行水印 52 D.4.2 伪列水印 53 D.4.3脱敏水印 53 D.4.4水印添加 54 D.4.5水印溯 54 D.5数据水印应用分类 55 D.5.1静态水印 55 D.5.2 动态水印 55 D.6数据水印应用场景 55 本文件按照GB/T 1.1-2021《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国人民银行提出。
本文件由全国金融标准化技术委员会(SAC/TC 180)归口。
本文件起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、国家金融卡安全检测中心(银行卡检测中心)、中国建设银行股份有限公司、兴业银行股份有限公司、中国农业银行股份有限公司、招商银行股份有限公司、恒丰银行股份有限公司、中国银行股份有限公司、网联清算有限公司、平安银行股份有限公司、中国保险行业协会、华为技术有限公司、北京钱袋宝支付技术有限公司、蚂蚁科技集团股份有限公司、全知科技(杭州)有限责任公司、北京安华金和科技有限公司、奇安信科技集团股份有限公司、杭州安恒信息技术股份有限公司、深圳云安宝科技有限公司、哈尔滨工业大学(深圳)数据安全研究院、上海淇毓信息科技有限公司、北京天融信网络安全技术有限公司、深信服科技股份有限公司、北京神州绿盟科技有限公司、北京长亭未来科技有限公司、上海艾芒信息科技有限公司、华控清交信息科技(北京)有限公司、成方金融科技有限公司、中国人民银行广州分行、中国人民银行南京分行、中国人民银行营业管理部、中国人民银行哈尔滨中心支行、深圳市长亮科技股份有限公司、北京中金国盛认证有限公司、平安保险(集团)股份有限公司、阿里云计算有限公司。
本文件主要起草人:李伟、陈立吾、沈筱彦、车珍、曲维民、咎新、夏磊、方怡、马晓伟、渠韶光、陈聪、居崑、杨波、刘静芳、刘超、栾家阳、吴远松、王照坤、赵志蛟、俞吴杰、邱斌、郑超、王福舟、陈雪秀、陈俊、郭林、母延燕、严敏瑞、康雪婷、冷杉、兰安娜、宋铮、王昕、朱通、王勰思、峰、唐力、林玉波、张晨晖、周亚超、林鹭、韩培义、姚磊、刘川意、王安滨、温树海、包英明、李
现有公务员人数统计建彬、徐省委、管然、张帆、马男、张帆、杜宁、王云河、王蜀洪、安鸿飞、唐辉、高强裔、侯漫丽、黎凯伦、任军远、戴辰、薛金川、喜正阳、辜敏、陈裕、王衍强、任妍、王焰宇。
随着信息技术的发展,众多金融基础业务、核心流程、行业间往来等事务和活动均已运行在信息化支撑载体之上,金融业机构生产运营产生的信息也逐步以不同形式转化为数字资产流转在金融业信息系统中。随着大数据、人工智能、云计算等新技术在金融业深入应用,金融数据逐步实现从信息化资产到生产要素的转变,其重要性日益凸显。数据泄露、滥用、篡改等安全威胁的影响逐步从机构内转移扩大至机构间和行业间,甚至影响国家安全、社会秩序、公众利益和金融市场稳定。如何在满足金融业务基本需求的基础上,强化数据保护能力,保障金融数据安全流动,已成为当前亟待解决的问题。
金融数据复杂多样,对数据实施生命周期安全管理,能够进一步明确数据生命周期各阶段的保护要求,有助于金融业机构合理分配数据保护资和成本,建立完善的数据生命周期防护机制。同时,合理、准确、完善的数据生命周期安全管理制度能够促进金融数据在机构间、行业间安全应用和共享,有利于数据价值挖掘与实现。
为指导金融业机构合理制定和有效落实金融数据生命周期安全管理策略,进一步提高金融业机构的数据管理和安全防护水平,确保金融数据安全应用,编制本文件。
本文件凡涉及密码技术的相关内容,按国家密码管理部门及行业主管部门有关规定实施;凡涉及采用
密码技术解决保密性、完整性、真实性、不可否认性需求的,遵循相关国家标准和行业标准。
金融数据安全数据生命周期安全规范 1范围本文件规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求, 建立覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架。
本文件适用于指导金融业机构开展电子数据安全防护工作,并为第三方测评机构等单位开展数据安全检查与评估工作提供参考。
2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2021信息安全技术术语 GB/T 35273—2021信息安全技术个人信息安全规范数据中心设计规范移动金融客户端应用软件安全管理规范证券期货业数据分类分级指引个人金融信息保护技术规范金融数据安全数据安全分级指南 GB 50174—20 0092—20 0158—20 0171—2021 0197—2021 JR/T JR/T JR/T JR/T 3术语和定义 GB/T 35273—2021和GB, “ 25069—2021界定的以及下列术语和定义适用于本文件。
3.1 数据处理 data process i ng 自动数据处理 automat i c data process i ng 数据操作的系统执行。
示例:数据的数学运算或逻辑运算,数据的归并或分类,程序的汇编或编译,或文本的操作,诸如编辑、分类、归并、存储、检索、显示或打印。
急招8小时保安4500元附近的注:术语“数据处理”不能用为“信息处理”的同义词。
[GB/T 5271.1—20, 01.01.06] 3.2 保密性 conf i dent i a I i ty 使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。
[GB/T 25069—2021, 2.1.1] 3.3 完整性i ntegr i ty 保卫资产准确和完整的特性。
[GB/T 25069—2021, 2.1.42,有修改] 3.4 可用性 ava ilabili ty 已授权实体一旦需要就可访问和使用的数据和资的特性。
[GB/T 25069—2021,2.1.20] 3.5 真实性 authent ity 确保主体或资的身份正是所声称的特性。
注:真实性适用于用户、进程、系统和信息之类的实体。
[GB/T 25069—2021,2.1.69,有修改] 3.6 金融数据 f i nanci a l data 金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。
注:该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析^p 和管理。
[中国济南人才网
新疆公务员报考
发布评论