中国银保监会监管数据安全管理办法试行第一章总则第一条为规范银保监会监管数据安全管理工作提高监管数据安全保护能力防范监管数据安全风险依据中华人民共和国网络安全法中华人民共和国银行业监督管理法中华人民共和国保险法工作秘密管理暂行办法等法律法规及有关规定制定本办法第二条本办法所称监管数据是指银保监会在履行监管职责过程中依法定期采集经监管信息系统记录生成和存储的或经银保监会各业务部门认定的数字指标报表文字等各类信息本办法所称监管信息系统是指以满足监管需求为目的开发建设的具有数据采集处理存储等功能的信息系统第三条本办法所称监管数据安全是指监管数据在采集处理存储使用等活动以下简称监管数据活动中处于可用完整和可审计状态未发生泄露篡改损毁丢失或非法使用等情况第四条银保监会及受托机构开展监管数据活动适用本办法本办法所称受托机构是指受银保监会委托或委派为银保监会提供监管数据采集处理或存储服务的企事业单位第五条开展监管数据活动必须遵守相关法律和行政法规任何单位和个人对在监管数据活动中知悉的国家秘密工作秘密商业秘密和个人信息应当依照相关规定予以保密第六条银保监会建立健全监管数据安全协同管理体系推动银保监会有关业务部门各级派出机构受托机构等共同参与监管数据安全保护工作加强培训教育形成共同维护监管数据安全的良好环境第二章工作职责第七条监管数据安全管理实行归口管理建立统筹协调分工负责的管理机制银保监会统计信息部门是归口管理部门负责统筹监管数据安全管理工作银保监会各业务部门负责本部门监管数据安全管理工作第八条归口管理部门具体职责包括一制定监管数据安全工作规则和管理流程二制定监管数据安全技术防护措施三组织实施监管数据安全评估和监督检查第九条各业务部门具体职责包括一规范本部门监管数据安全使用明确具体工作要求落实相关责任二组织开展本部门监管数据安全管理工作三协助归口管理部门实施监管数据安全监督检查第三章监管数据采集存储和加工处理第十条监管数据的采集应按照安全准确完整和依法合规的原则进行避免重复过度采集第十一条监管数据应通过监管工作网或金融专网进行传输因客观条件限制需要通过物理介质互联网或其它网络传输的应经归口管理部门评估同意第十二条监管数据应存储在银保监会机房并具有完备的备份措施确有必要存储在受托机构机房的应经归口管理部门评估同意第十三条监管数据存储期限存储介质管理应按照国家和银保监会有关规定执行第十四条监管数据的加工处理应在监管工作权限或受托范围内进行未经归口管理部门同意任何单位和个人不得将代码接口算法模型和开发工具等接入监管信息系统第十五条监管数据采集传输存储加工处理转移交换销毁以及用于系统开发测试等活动应根据监管数据类型和管理要求采取分级分类安全技术防护措施第四章监管数据使用第十六条监管数据仅限于银保监会履行监管工作职责使用纪检监察司法审计等党政机关为履行工作职责需要使用监管数据时按照有关规定办理第十七条监管数据的使用行为应通过管理和技术手段确保可追溯监管数据用于信息系统开发测试以及对外展示时应经过脱敏处理第十八条使用未公开披露的监管数据原则上应在不可连接互联网的台式机或笔记本等银保监会工作机中进行因客观条件限制需采取虚拟专用网络等方式使用监管数据时应经归口管理部门评估同意第十九条因工作需要下载的监管数据仅可存储于银保监会的工作机中承载监管数据的使用介质应妥善保管防止数据泄露第二十条在使用监管数据过程中产生的加工数据汇总结果等信息应视同监管数据进行安全管理第二十一条监管数据对外披露应由指定业务部门按照有关规定和流程实施第二十二条各业务部门因工作需要向非党政机关单位个人提供监管数据时应充分评估数据安全风险经本部门主要负责人同意后实施必要时与对方签订备忘录和保密协议并报归口管理部门备案与境外监管机构或国际组织共享监管数据时应由国际事务部门依照银保监会签署的监管合作谅解备忘录合作协议等约定或其他有关工作安排进行管理法律法规另有规定的从其规定第二十三条各业务部门因工作需要和系统下线停用监管数据时应及时对其采取封存或销毁措施第五章监管数据委托服务管理第二十四条各业务部门监管数据采集涉及受托机构提供服务时应事先与归口管理部门沟通并会签同意受托机构的技术服务方案应通过归口管理部门的安全评估技术服务方案发生变更的应事先报归口管理部门进行安全评估安全评估不通过的不得开展委托服务或建立委派关系第二十五条为银保监会提供监管数据服务的受托机构应满足以下基本条件一具备从事监管数据工作所需系统的自主研发及运维能力二具备相关信息安全管理资质认证三拥有自主产权或已签订长期租赁合同的机房四网络和信息系统具备有效的安全保护和稳定运行措施三年内未发生网络安全重大事件五具备有效的监管数据安全管理措施能够保障银保监会各部门对监管数据的访问和控制六具有监管数据备份体系应急组织体系和业务连续性计划第二十六条银保监会通过与受托机构签订协议确立监管数据委托服务关系协议应明确服务项目期限安全管理责任和终止事由等内容银保监会通过委派方式确立监管数据服务关系的应下达委派任务书第二十七条因有关政策调整导致原委托或委派事项无需继续履行或发现受托机构监管数据服务出现重大安全问题的银保监会有权终止委托或委派关系委托或委派关系终止时受托机构应及时完整地移交监管数据并销毁因委托或委派事项而获取的监管数据不得保留相关数据备份等内容第六章监督管理第二十八条各业务部门及受托机构应按照监管数据安全工作规则定期开展自查发现监管数据安全缺陷漏洞等风险时应立即采取补救措施第二十九条归口管理部门应定期对各业务部门及受托机构开展监管数据安全管理评估检查工作各业务部门及受托机构对于评估和检查中发现的问题应制定整改措施及时整改并向归口管理部门报送整改报告第三十条各业务部门及受托机构发生以下监管数据重大安全风险事项时应立即采取应急处置措施及时消除安全隐患防止危害扩大并于小时内向归口管理部门报告一监管数据发生泄露或非法使用二监管数据发生损毁或丢失三承载监管数据的信息系统或网络发生系统性故障造成服务中断小时以上四承载监管数据的信息系统或网络遭受非法入侵发生有害信息或计算机病毒的大规模传播等破坏五监管数据安全事件引发舆情六网络安全重大事件判定指南列明的其他影响监管数据安全的网络安全重大事件辖区发生以上监管数据重大安全风险事项时各银保监局应立即采取补救措施并于小时内向银保监会归口管理部门报告第三十一条归口管理部门应建立监管数据安全事件通报工作机制及时通报监管数据安全事件第七章附则第三十二条涉密监管数据按照国家和银保监会保密管理有关规定进行管理第三十三条各银保监局承担辖区监管数据安全管理责任参照本办法制定辖区监管数据安全管理办法明确职责和管理要求强化监管数据安全保护第三十四条本办法自印发之日起施行