2021年4月8日，天融信全程參編的《JR/T 0223-2021 金融數(shù)據(jù)安全 數(shù)據(jù)安全生命周期規(guī)范》由中國(guó)人民銀行正式發(fā)布。此規(guī)范指導(dǎo)金融業(yè)機(jī)構(gòu)合理制定和有效落實(shí)金融數(shù)據(jù)生命周期管理策略，進(jìn)一步提高金融業(yè)機(jī)構(gòu)的數(shù)據(jù)管理和安全防護(hù)水平，確保金融數(shù)據(jù)安全應(yīng)用。

本文件在《JR/T0171-2020個(gè)人金融信息保護(hù)技術(shù)規(guī)范》、《JR/T 0197-2020 金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》的基礎(chǔ)上，明確了金融數(shù)據(jù)生命周期安全框架將會(huì)遵循數(shù)據(jù)安全原則，以數(shù)據(jù)安全分級(jí)為基礎(chǔ)，建立覆蓋數(shù)據(jù)生命周期全過(guò)程的安全防護(hù)體系，并希望在現(xiàn)有金融單位的組織架構(gòu)中進(jìn)一步建立健全的數(shù)據(jù)安全組織架構(gòu)以及明確信息系統(tǒng)運(yùn)維環(huán)節(jié)中的數(shù)據(jù)安全需求，進(jìn)而全面加強(qiáng)金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全保護(hù)能力。

本文件中首次明確定義了數(shù)據(jù)安全的原則，例如合法正當(dāng)原則、目的明確原則、選擇同意原則、最小夠用原則、全程可控原則、動(dòng)態(tài)控制原則、權(quán)責(zé)一致原則，為以后金融單位在進(jìn)行數(shù)據(jù)安全建設(shè)過(guò)程中提供了參考意見(jiàn)。在多個(gè)原則中，不再進(jìn)行單個(gè)數(shù)據(jù)定義，而是綜合考慮數(shù)據(jù)所處的業(yè)務(wù)邏輯，以業(yè)務(wù)為核心建立數(shù)據(jù)安全防護(hù)，從而構(gòu)建涵蓋數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、銷(xiāo)毀全生命周期的數(shù)據(jù)安全治理體系。

數(shù)據(jù)采集

金融業(yè)機(jī)構(gòu)提供金融產(chǎn)品和服務(wù)、開(kāi)展經(jīng)營(yíng)管理等活動(dòng)中，直接或間接從個(gè)人金融信息主體，以及企業(yè)客戶(hù)、外部數(shù)據(jù)供應(yīng)方等外部機(jī)構(gòu)獲取數(shù)據(jù)的過(guò)程稱(chēng)為數(shù)據(jù)采集。采集模式分為從外部機(jī)構(gòu)采集數(shù)據(jù)和個(gè)人金融信息主體處采集數(shù)據(jù)，在采集過(guò)程中需要采取分級(jí)原則、管理約束等手段來(lái)降低數(shù)據(jù)風(fēng)險(xiǎn)。

數(shù)據(jù)傳輸

金融業(yè)機(jī)構(gòu)將數(shù)據(jù)從一個(gè)實(shí)體發(fā)送到另一個(gè)實(shí)體的過(guò)程稱(chēng)為數(shù)據(jù)傳輸。傳輸模式分為內(nèi)部傳輸和與外部機(jī)構(gòu)、用戶(hù)兩種。在傳輸過(guò)程中，應(yīng)遵循金融等保安全傳輸相關(guān)的規(guī)范，并按照金融數(shù)據(jù)的級(jí)別厘定傳輸?shù)姆秶澳康?，考慮傳輸過(guò)程的不同，分別對(duì)數(shù)據(jù)傳輸、內(nèi)部無(wú)線(xiàn)網(wǎng)絡(luò)傳輸、運(yùn)營(yíng)商網(wǎng)絡(luò)傳輸、物理介質(zhì)傳輸?shù)榷鄠€(gè)途徑進(jìn)行差異性要求。

數(shù)據(jù)存儲(chǔ)

金融業(yè)機(jī)構(gòu)在提供金融產(chǎn)品和服務(wù)、開(kāi)展經(jīng)營(yíng)管理等活動(dòng)中，將數(shù)據(jù)進(jìn)行持久化保存的過(guò)程稱(chēng)為數(shù)據(jù)存儲(chǔ)，存儲(chǔ)涵蓋載體不僅包含磁盤(pán)、磁帶，還包含云存儲(chǔ)服務(wù)以及網(wǎng)絡(luò)存儲(chǔ)等。依據(jù)于金融數(shù)據(jù)的級(jí)別不同，對(duì)于存儲(chǔ)數(shù)據(jù)進(jìn)行相應(yīng)的措施，包括但不限于完整性、脫敏、加密等，并明確數(shù)據(jù)存儲(chǔ)要適用于最小夠用原則進(jìn)行存儲(chǔ)，原則上2級(jí)以上數(shù)據(jù)均要采用相關(guān)措施，此外對(duì)于數(shù)據(jù)的備份與恢復(fù)也在原有的金融等?；A(chǔ)上進(jìn)行了細(xì)化。

數(shù)據(jù)使用

金融業(yè)機(jī)構(gòu)在提供金融產(chǎn)品和服務(wù)、開(kāi)展經(jīng)營(yíng)管理等活動(dòng)中，進(jìn)行數(shù)據(jù)的訪(fǎng)問(wèn)、導(dǎo)出、加工、展示、開(kāi)發(fā)測(cè)試、匯聚融合、公開(kāi)披露、數(shù)據(jù)轉(zhuǎn)讓、委托代理、數(shù)據(jù)共享等活動(dòng)稱(chēng)為數(shù)據(jù)使用。這個(gè)階段在金融業(yè)是最難梳理的環(huán)節(jié)，所以在本次規(guī)范中，對(duì)數(shù)據(jù)使用進(jìn)行了拆分，并要求每種數(shù)據(jù)使用過(guò)程均需要按照數(shù)據(jù)級(jí)別進(jìn)行細(xì)粒度的管理，通過(guò)技術(shù)、管理、組織等手段，提升相應(yīng)過(guò)程中的數(shù)據(jù)安全。本階段中，依然是2級(jí)以上數(shù)據(jù)均要進(jìn)行相應(yīng)的安全措施。

數(shù)據(jù)刪除

金融產(chǎn)品和服務(wù)所涉及的系統(tǒng)及設(shè)備中去除數(shù)據(jù)的過(guò)程稱(chēng)為數(shù)據(jù)刪除。本階段中要求3級(jí)以上數(shù)據(jù)提供相應(yīng)的有效性復(fù)合機(jī)制，并且與金融等保的相關(guān)刪除要求一致。

數(shù)據(jù)銷(xiāo)毀

金融業(yè)機(jī)構(gòu)在停止業(yè)務(wù)服務(wù)、數(shù)據(jù)使用以及存儲(chǔ)空間釋放再分配等場(chǎng)景下，對(duì)數(shù)據(jù)庫(kù)、服務(wù)器和終端中的剩余數(shù)據(jù)以及硬件存儲(chǔ)介質(zhì)等采用數(shù)據(jù)擦除或物理銷(xiāo)毀的方式確保數(shù)據(jù)無(wú)法復(fù)原的過(guò)程稱(chēng)為數(shù)據(jù)銷(xiāo)毀。本階段中要求數(shù)據(jù)銷(xiāo)毀也需要建立相應(yīng)的評(píng)估機(jī)制，銷(xiāo)毀過(guò)程采用雙人制等方式，而3級(jí)以上的數(shù)據(jù)存儲(chǔ)介質(zhì)不應(yīng)移做他用，需進(jìn)行物理銷(xiāo)毀方式。

本規(guī)范除了對(duì)數(shù)據(jù)生命周期進(jìn)行描述外，還提出了數(shù)據(jù)安全組織保障的要求，從決策、管理、執(zhí)行、監(jiān)督四個(gè)層面建立完善的數(shù)據(jù)安全管理體系，按照金融業(yè)機(jī)構(gòu)的業(yè)務(wù)流程形成統(tǒng)一的金融數(shù)據(jù)安全管理制度體系，并可進(jìn)行執(zhí)行落地，明確人員管理職責(zé)以及對(duì)第三方機(jī)構(gòu)管理內(nèi)容等。最后規(guī)范還確定了信息系統(tǒng)運(yùn)維保障的邊界及范圍，包含邊界管控、訪(fǎng)問(wèn)控制、安全監(jiān)測(cè)、安全審計(jì)、檢查評(píng)估等內(nèi)容。

天融信作為國(guó)內(nèi)數(shù)據(jù)安全領(lǐng)域的領(lǐng)軍企業(yè)，從率先提出“以數(shù)據(jù)為中心的安全技術(shù)架構(gòu)”到“以數(shù)據(jù)安全治理為基礎(chǔ)、數(shù)據(jù)安全生命周期為核心、數(shù)據(jù)安全防護(hù)為手段、數(shù)據(jù)安全運(yùn)營(yíng)為支撐”的方法論，一直致力于為用戶(hù)的數(shù)據(jù)安全提供全面、專(zhuān)業(yè)的安全能力，目前已形成完備的數(shù)據(jù)安全產(chǎn)品族，可以隨時(shí)為金融業(yè)機(jī)構(gòu)提供全面的數(shù)據(jù)安全解決方案。未來(lái)，天融信將持續(xù)關(guān)注數(shù)據(jù)安全能力建設(shè)，加速金融行業(yè)規(guī)范切實(shí)落地，全力助推數(shù)字金融高速發(fā)展。