ICS 03.060 CCS A 11 团 体 标 准 T/NIFA 21—2023 金融数据安全 技术防护规范 Financial data security technical protection specification 2023 —11—10发布 2023 —11—10实施 中国互联网金融协会 发布 全国团体标准信息平台 全国团体标准信息平台 T/NIFA 21—2023 I 目 次 前言 ................................ ................................ .................. II 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语与定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 4 5 金融数据安全技术总则 ................................ ................................ .4 5.1 概述 ................................ ................................ ............. 4 5.2 目标 ................................ ................................ ............. 5 5.3 原则 ................................ ................................ ............. 5 6 金融数据安全技术防护框架 ................................ ............................. 5 7 金融数据基础安全 ................................ ................................ .....6 7.1 制度规范 ................................ ................................ ......... 6 7.2 人员管理 ................................ ................................ ......... 7 7.3 金融数据资产管理 ................................ ................................ .8 7.4 金融数据分类分级 ................................ ................................ .8 8 金融数据全生命周期安全 ................................ .............................. 10 8.1 数据采集安全 ................................ ................................ ....10 8.2 数据传输安全 ................................ ................................ ....10 8.3 数据存储安全 ................................ ................................ ....11 8.4 数据使用安全 ................................ ................................ ....12 8.5 数据交换安全 ................................ ................................ ....17 8.6 数据销毁安全 ................................ ................................ ....18 9 金融数据安全监管与运维 ................................ .............................. 18 9.1 边界管控 ................................ ................................ ........ 18 9.2 访问控制 ................................ ................................ ........ 19 9.3 数据安全监测 ................................ ................................ ....19 9.4 数据安全审计 ................................ ................................ ....21 9.5 数据安全评估 ................................ ................................ ....21 9.6 安全事件应急处置 ................................ ................................ 22 附录A（资料性）自动化数据分类分级技术 ................................ ................. 23 附录B（资料性）数据脱敏技术 ................................ ........................... 25 附录C（资料性）数据加密技术 ................................ ........................... 27 附录D（资料性）用户实体行为分析技术 ................................ ................... 29 附录E（资料性）安全级别定义 ................................ ........................... 31 参考文献 ................................ ................................ .............. 32 全国团体标准信息平台 T/NIFA 21—2023 II 前 言 本文件按照GB/T 1.1 —2020《标准化工作导则 第1部分：标准 化文件的结构和起草规则 》和GB/T 20004.1—2016《团体标准化 第1部分：良好行为指南》给出的 规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国互联网金融协会 提出。 本文件由中国互联网金融协会归口。 本文件起草单位： 中国互联网金融协会、 同盾科技有限公司 、海问律师事务所 、奇富科技股份有限 公司、重庆富民银行股份有限公司、 中互金认证有限公司 。 本文件主要起草人： 单强、陆书春、朱勇、王新华、唐晓军、李阜新、马丹、高建锋、周良、陈克 举、赵新、邓康 、杨建媛、李娜、马元朋、王睿、刘志刚、邬肖玢 。 全国团体标准信息平台 T/NIFA 21—2023 1 金融数据安全技术防护规范 1 范围 本文件规定了金融数据安全 技术防护的目标和原则，明确了 相关制度规范、数据全生命周期 安全、 数据安全监管和 运维方法等内容，确立了金融机构在开展业务和进行经营管理过程 中的数据安全 技术 防护方案。 本文件适用于金融机构开展金融数据安全 技术防护使用 ，并为第三方评估机构单位开展金融数据 安全防护检查与评估工作提供参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 —202