以下內容轉載自GARP官方公眾號，如有侵權請聯系刪除。

在當今數字化時代，數據安全已成為銀行保險機構面臨的一項重要挑戰。隨著金融業務的日益復雜和信息化程度的提高，數據安全風險也日益突出。

3月22日，國家金融監督管理總局在其官方網站上發布了《銀行保險機構數據安全管理辦法(公開征求意見稿)》(以下簡稱《辦法》) ，旨在進一步加強銀行保險機構的數據安全管理工作，保障金融市場的穩定運行和消費者的合法權益。

一、《辦法》制定的背景 

金融監管總局有關司局負責人指出，近年來，《數據安全法》和《個人信息保護法》等法律相繼發布，對規范數據處理活動、個人信息保護等提出了明確要求。同時，金融行業數字化變革加速演進，新技術、新業務模式不斷涌現，數據的使用、加工、傳輸、共享等活動日益頻繁，進一步凸顯數據安全保護的重要性。對此，有必要充分發揮監管的“指揮棒”作用，通過強化政策要求引導銀行保險機構壓實主體責任，完善內部制度，采取有效的措施加強數據管理和保護，確保客戶信息和金融交易數據安全。

《辦法》共九章八十一條，對數據安全治理架構、數據分類分級標準、個人信息保護細則、數據安全風險監測與處置機制等關鍵內容予以明確和完善。據上述負責人介紹，《辦法》有五大特點，其中之一是將數據安全風險納入全面風險管理體系。要求銀行保險機構明確管理流程，主動評估風險，對數據安全風險進行有效監測，防止數據破壞、泄露、非法利用等安全事件發生。風險管理、內控合規和審計部門定期對數據安全開展審計、監督檢查與評價。

二、銀行保險機構的數據安全風險內涵 

隨著傳統金融行業的數字化轉型，金融行業是產生和積累數據量最大、數據類型最豐富的領域之一。金融行業必須要守護好數據安全。銀行保險機構的數據安全風險主要表現在以下幾個方面：

客戶數據泄露：銀行保險機構存儲著大量的客戶個人信息和財務數據，比如身份信息、銀行賬號、信用卡信息等。如果這些信息泄露，將導致客戶的隱私受到侵犯，可能導致身份盜竊、金融詐騙等問題。

網絡攻擊和黑客入侵：銀行保險機構面臨來自黑客和網絡犯罪分子的不斷威脅，包括惡意軟件、網絡釣魚、勒索軟件等攻擊手段。這些攻擊可能導致客戶數據被竊取，造成嚴重的財務損失和聲譽風險。

內部威脅：銀行保險機構內部員工或合作伙伴可能存在不當行為，如數據濫用、泄露敏感信息等，可能導致數據泄露和盜竊，甚至破壞金融機構的信譽。

第三方風險：銀行保險機構通常與各種供應商、合作伙伴或承包商合作，這些第三方也可能存在安全漏洞，影響到機構的信息系統和業務流程。

合規和法律風險：銀行保險機構需要遵守眾多的合規要求和法律法規，一旦違反可能面臨嚴重的法律責任和罰款，也可能導致客戶流失和信譽受損。

由此可見，銀行保險機構的數據安全風險涵蓋了多個方面，需要這些機構進一步明確管理流程，對數據安全風險進行監測、評估、應急響應及報告，從而有效防范和處置數據安全風險。《辦法》的出臺明確了將數據安全風險納入全面風險管理體系，為銀行保險機構提供了明確的數據安全風險管理指導。

三、將數據安全風險納入全面風險管理體系 

按照《辦法》的要求，銀行保險機構需要將數據安全風險納入全面風險管理體系，從而有效保護客戶數據和信息系統的安全。那具體如何實施呢？

首先，銀行保險機構需要進行全面的風險識別和評估，認清數據安全風險的來源和潛在影響。這包括識別可能導致數據泄露、網絡攻擊、內部威脅等各種安全事件的可能性和嚴重性。

其次， 銀行保險機構需要建立完善的數據安全政策和程序，明確數據的分類、訪問控制、加密、備份和恢復等措施，以確保數據在存儲、傳輸和處理過程中得到有效保護。同時，建立健全的風險監測和控制措施，實時監測數據安全事件和異常活動，這包括使用安全信息與事件管理（SIEM）系統、入侵檢測系統（IDS）、終端安全控制等技術手段，及時發現和應對安全威脅。

此外，銀行保險機構還需要建立應對措施和預案，以應對可能發生的數據安全事件。根據影響范圍和程度，數據安全事件應分為特別重大、重大、較大和一般四個事件級別。銀行保險機構應建立數據安全事件應急管理機制，制定數據安全事件的應急預案。一旦發生數據安全事件，應當立即啟動應急處置，分析事件原因、評估事件影響、開展事件定級，按照預案及時采取業務、技術等措施控制事態。

最后，銀行保險機構需要建立數據安全事件報告機制，根據事件安全等級制定報告流程，發生數據安全事件時按照規定報告。此外，應建立持續改進和審查機制，定期審查和評估其數據安全管理體系的有效性和合規性，及時調整和改進數據安全風險管理的措施。

四、進一步的想法 

國家金融監督管理總局近期出臺的《辦法》對銀行保險機構的數據安全風險管理具有重大意義，該辦法要求機構將數據安全風險納入全面風險管理體系，加強對數據安全風險的識別、評估和監測。這有助于機構進一步增強對數據安全風險的全面認識，采取相應的管理措施來更好地保護客戶數據和信息系統的安全，降低數據安全風險對機構的影響和損失。

《辦法》要求銀行保險機構應當每年開展一次數據安全風險評估。銀行保險機構風險管理、內控合規和審計部門負責將數據安全納入全面風險管理體系、內控評價體系，定期開展審計、監督檢查與評價，督促問題整改和開展問責。

銀行保險機構的風險管理專業人士（FRM?持證人）需要掌握多方面的知識和技能，包括數據安全知識、信息技術知識、數據安全風險管理方法、安全技術工具以及良好的應急相應能力和溝通協調能力，才能更好地應對數據安全風險，保障機構的穩健發展。