欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

银保监会印发2022年2号文:加强数据安全和隐私保护

 

近日,中国银保监会办公厅印发《关于银行业保险业数字化转型的指导意见》(银保监办发〔2022〕2号)《指导意见》共七个部分,三十条,包括总体要求、战略规划与组织流程建设、业务经营管理数字化、数据能力建设、科技能力建设、风险防范、组织保障和监督管理等。

《指导意见》指出,加强数据安全和隐私保护。善数据安全管理体系,建立数据分级分类管理制度,明确保护策略,落实技术和管理措施。强化对数据的安全访问控制,建立数据全生命周期的安全闭环管理机制。加强第三方数据合作安全评估,交由第三方处理数据的,应依据"最小、必要"原则进行脱敏处理(国家法律法规及行业主管部门、监管部门另有规定的除外)。关注外部数据源合规风险,明确数据权属关系,加强数据安全技术保护。加强对外发布信息安全管理

《指导意见》指出,强化网络安全防护。构建云环境、分布式架构下的技术安全防护体系,加强互联网资产管理,完善纵深防御体系,做好网络安全边界延展的安全控制。加强金融生态安全防护,强化与外部合作的网络安全风险监测与隔离。建立开放平台安全管理规范,提高业务逻辑安全管理能力。建立新技术引入安全风险评估机制,强化技术风险管理,实施开源软件全生命周期安全管理。建设安全运营中心,充分利用态势感知、威胁情报、大数据等手段,持续提高网络安全风险监测、预警和应急处置能力,加强行业内外部协同联动。

以下为文件全文:

中国银保监会办公厅关于银行业保险业数字化转型的指导意见

银保监办发〔2022〕2号

各银保监局,各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、理财公司,各保险集团(控股)公司、保险公司、保险资产管理公司、养老金管理公司: 

为深入贯彻落实以习近平同志为核心的党中央决策部署,加快数字经济建设,全面推进银行业保险业数字化转型,推动金融高质量发展,更好服务实体经济和满足人民群众需要,经银保监会同意,现提出如下意见。

一、总体要求

(一)指导思想。习近平新时代中国特色社会主义思想为指导,全面贯彻《中共中央关于制定国民经济和社会发展第十四个五年规划和二O三五年远景目标的建议》要求,立足新发展阶段,贯彻新发展理念,服务构建新发展格局,坚持以人民为中心的发展思想,深化金融供给侧结构性改革,以数字化转型推动银行业保险业高质量发展,构建适应现代经济发展的数字金融新格局,不断提高金融服务实体经济的能力和水平,有效防范化解金融风险。 

(二)基本原则

——坚持回归本源。把服务实体经济、服务人民群众作为银行业保险业数字化转型的出发点和落脚点。 

——坚持统筹协调。加强全局谋划、战略布局,协同推进组织架构、业务模式、数据治理、科技能力等方面的变革。 

——坚持创新驱动。以创新作为转型发展的第一动力,推动机制创新,实现业务创新和技术创新相互带动,改进经营管理和服务模式。 

——坚持互利共赢。在确保网络安全、数据安全的前提下建设合作共赢、安全高效的经营生态环境,加强系统集成,提升金融服务能力和市场竞争能力。 

——坚持严守底线。坚持依法合规、守正创新,统筹安全与发展,有效防范化解数字化条件下的各类风险,牢牢守住不发生系统性风险的底线。 

(三)工作目标。到2025年,银行业保险业数字化转型取得明显成效。数字化金融产品和服务方式广泛普及,基于数据资产和数字化技术的金融创新有序实践,个性化、差异化、定制化产品和服务开发能力明显增强,金融服务质量和效率显著提高。数字化经营管理体系基本建成,数据治理更加健全,科技能力大幅提升,网络安全、数据安全和风险管理水平全面提升。

二、战略规划与组织流程建设

(四)科学制定实施数字化转型战略。银行保险机构董事会要加强顶层设计和统筹规划,围绕服务实体经济目标和国家重大战略部署,科学制定和实施数字化转型战略,将其纳入机构整体战略规划,明确分阶段实施目标,长期投入、持续推进。

(五)统筹推进数字化转型工作。高级管理层统筹负责数字化转型工作,建立数字化战略委员会或领导小组,明确专职或牵头部门,开展整体架构和机制设计,建立健全数字化转型管理评估和考核体系,培育良好的数字文化,确保各业务条线协同推进转型工作。 

(六)改善组织架构和机制流程。鼓励组织架构创新,以价值创造为导向,加强跨领域、跨部门、跨职能横向协作和扁平化管理。组建不同业务条线、业务与技术条线相融合的共创团队,优化业务流程,增强快速响应市场和产品服务开发能力。完善利益共享、责任共担考核机制。建立创新孵化机制,加强新产品、新业务、新模式研发,完善创新激励机制。

(七)大力引进和培养数字化人才。鼓励选聘具有科技背景的专业人才进入董事会或高级管理层。注重引进和培养金融、科技、数据复合型人才,重点关注数据治理、架构设计、模型算法、大数据、人工智能、网络安全等专业领域。积极引入数字化运营人才,提高金融生态经营能力,强化对领军人才和核心专家的激励措施。

三、业务经营管理数字化

(八)积极发展产业数字金融。积极支持国家重大区域战略、战略性新兴产业、先进制造业和新型基础设施建设,打造数字化的产业金融服务平台,围绕重大项目、重点企业和重要产业链,加强场景聚合、生态对接,实现"一站式"金融服务。推进企业客户业务线上化,加强开放银行接口和统一数字门户建设,提供投资融资、支付结算、现金管理、财务管理、国际业务等综合化金融服务。推进函证业务数字化和集中化。鼓励银行保险机构利用大数据,增强普惠金融、绿色金融、农村金融服务能力。 

(九)大力推进个人金融服务数字化转型。充分利用科技手段开展个人金融产品营销和服务,拓展线上渠道,丰富服务场景,加强线上线下业务协同。构建面向互联网客群的经营管理体系,强化客户体验管理,增强线上客户需求洞察能力,推动营销、交易、服务、风控线上化智能化。对老年、残障、少数民族等客户群体,加强大字版、语音版、民族语言版、简洁版等应用软件功能建设,增强对无网点地区及无法到达网点客群的服务覆盖,提高金融产品和服务可获得性,推动解决“数字鸿沟”问题。 

(十)提升金融市场交易业务数字化水平。加强线上交易平台建设,建立前、中、后台协同的数字化交易管理体系,有效提升投资交易效率和风险管理水平。建立统一的投资交易数据平台,提升投资组合分析及风险测算能力,优化投资规划、组合管理、风险控制。

(十一)建设数字化运营服务体系。建立线上运营管理机制,以提升客户价值为核心,加大数据分析、互联网运营等专业化资源配置,提升服务内容运营、市场活动运营和产品运营水平。促进场景开发、客户服务与业务流程适配融合,加强业务流程标准化建设,持续提高数字化经营服务能力。统筹线上、线下服务渠道,推动场景运营与前端开发有机融合。 

(十二)构建安全高效、合作共赢的金融服务生态。针对客户需求,与相关市场主体依法依规开展合作,创新服务场景,丰富金融服务产品与渠道。强化系统集成,加强内外部资源整合,统筹规划与第三方企业合作提供金融产品服务的内容和流程,建立面向开放平台的技术架构体系和敏捷安全的平台管理机制,对金融服务价值链中的关键活动进行有效管理和协调。 

(十三)着力加强数字化风控能力建设。加快建设与数字化转型相匹配的风险控制体系。建立企业级的风险管理平台,实现规则策略、模型算法的集中统一管理,对模型开发、验证、部署、评价、退出进行全流程管理。利用大数据、人工智能等技术优化各类风险管理系统,将数字化风控工具嵌入业务流程,提升风险监测预警智能化水平。

四、数据能力建设

(十四)健全数据治理体系。制定大数据发展战略。确立企业级的数据管理部门,发挥数据治理体系建设组织推动和管理协调作用。完善数据治理制度,运用科技手段推动数据治理系统化、自动化和智能化。完善考核评价机制,强化数据治理检查、监督与问责。加强业务条线数据团队建设。 

(十五)增强数据管理能力。构建覆盖全生命周期的数据资产管理体系,优化数据架构,加强数据资产积累。建立企业级大数据平台,全面整合内外部数据,实现全域数据的统一管理、集中开发和融合共享。加强数据权限管控,完善数据权限审核规则和机制。 

(十六)加强数据质量控制。加强数据源头管理,形成以数据认责为基础的数据质量管控机制。建立企业级数据标准体系,充分发挥数据标准对提升数据质量、打通数据孤岛、释放数据价值的作用。强化共用数据和基础性数据管理。 

(十七)提高数据应用能力。全面深化数据在业务经营、风险管理、内部控制中的应用,提高数据加总能力,激活数据要素潜能。加强数据可视化、数据服务能力建设,降低数据应用门槛。挖掘业务场景,通过数据驱动催生新产品、新业务、新模式。提高大数据分析对实时业务应用、风险监测、管理决策的支持能力。加强对数据应用全流程的效果评价。

五、科技能力建设

(十八)加大数据中心基础设施弹性供给。优化数据中心布局,构建多中心、多活架构,提高基础设施资源弹性和持续供给能力。加快构建面向大规模设备和网络的自动化运维体系,建立"前端敏态、后端稳态"的运行模式,推进基础设施虚拟化、云化管理。建立对信息科技资源全方位覆盖的统一监控平台。提高运维侧研发能力,积极运用大数据加强态势感知、故障预警和故障自愈,不断提高运维智能化水平。积极推进数据中心绿色转型。 

(十九)提高科技架构支撑能力。推进传统架构向分布式架构转型,主要业务系统实现平台化、模块化、服务化,逐步形成对分布式架构的自主开发设计和独立升级能力。加快推动企业级业务平台建设,加强企业架构设计,实现共性业务功能的标准化、模块化。加快数据库、中间件等通用软件技术服务能力建设,支持大规模企业级技术应用。加强创新技术的前台应用,丰富智能金融场景,强化移动端金融服务系统建设。加强对开放金融服务接口的统一管理,实现安全可控运行。 

(二十)推动科技管理敏捷转型。建立能够快速响应需求的敏捷研发运维体系,积极引入研发运维一体化工具,建设企业级一站式研发协同平台。建立适应"敏态"与"稳态"的全周期线上交付管理流程,完善数字化交付管理体系。通过精益生产管理方法,提高对大规模科技队伍和复杂技术工程的管理能力。 

(二十一)提高新技术应用和自主可控能力。密切持续关注金融领域新技术发展和应用情况,提升快速安全应用新技术的能力。鼓励有条件的银行保险机构组织专门力量,开展前沿技术研究,探索技术成果转化路径,培育金融数字技术生态。坚持关键技术自主可控原则,对业务经营发展有重大影响的关键平台、关键组件以及关键信息基础设施要形成自主研发能力,降低外部依赖、避免单一依赖。加强自主研发技术知识产权保护。加强技术供应链安全管理。鼓励科技领先的银行保险机构向金融同业输出金融科技产品与服务。

六、风险防范

(二十二)加强战略风险管理。加强数字化转型中的战略风险管理,确保数字化转型战略和实施进程与机构自身经营发展需要、技术实力、风险控制能力相匹配。明确数字化转型战略与银行保险机构风险偏好的关系,将数字化转型相关风险纳入全面风险管理体系,在推进数字化转型过程中牢牢守住风险底线。 

(二十三)加强创新业务的合规性管理。建立稳健的业务审批流程,对新产品、新业务、新模式的合规性进行审查,评估范围应覆盖消费者保护、数据安全、合规销售、产品及服务定价、声誉风险、反洗钱及反恐怖融资等方面。建立有效的业务变更管理流程,对新产品、新业务、新模式带来的技术和业务逻辑变化、服务提供关系变化进行评估,针对相应风险制定管理策略。 

(二十四)加强数字化环境下的流动性风险管理。深入分析数字化经营环境下客户群体的行为特征,加强与新产品、新业务、新模式相关的资金流动监测,有效识别流动性风险新特征。完善流动性风险管理体系,加强资金头寸管理和需求预测,强化流动性风险限额控制,提高流动性风险精细化管理水平。加强流动性风险数据积累,建立有效的流动性风险计量模型,对缺乏历史数据的新产品、新业务,加强前瞻性风险研判,审慎评估流动性风险。定期开展流动性压力测试,制定切实有效的应急预案,并保持充足的流动性缓冲水平。 

(二十五)加强操作风险及外包风险管理。建立符合数字化环境中开放式价值链风险特征的操作风险评估与管控框架增强运营韧性。有效管控价值链中与第三方合作企业相关的集中度风险和供应链风险,做好业务连续性规划和应急管理,保障关键外部合作方的可替代性。坚持管理责任、核心能力不外包原则,强化对外部合作方的准入管理,加强风险评估、监测、预警和退出管理。 

(二十六)防范模型和算法风险。建立对模型和算法风险的全面管理框架,制定管理制度,对模型数据的准确性和充足性进行交叉验证和定期评估。审慎设置客户筛选和风险评估等模型的参数,并使用压力情景下的参数进行模拟校验。定期评估模型预测能力及在不同场景下的局限性,确保模型的可解释性和可审计性。模型管理核心环节要自主掌控。加强消费者权益保护,防止算法歧视。 

(二十七)强化网络安全防护。构建云环境、分布式架构下的技术安全防护体系,加强互联网资产管理,完善纵深防御体系,做好网络安全边界延展的安全控制。加强金融生态安全防护,强化与外部合作的网络安全风险监测与隔离。建立开放平台安全管理规范,提高业务逻辑安全管理能力。建立新技术引入安全风险评估机制,强化技术风险管理,实施开源软件全生命周期安全管理。建设安全运营中心,充分利用态势感知、威胁情报、大数据等手段,持续提高网络安全风险监测、预警和应急处置能力,加强行业内外部协同联动。 

(二十八)加强数据安全和隐私保护。完善数据安全管理体系,建立数据分级分类管理制度,明确保护策略,落实技术和管理措施。强化对数据的安全访问控制,建立数据全生命周期的安全闭环管理机制。加强第三方数据合作安全评估,交由第三方处理数据的,应依据"最小、必要"原则进行脱敏处理(国家法律法规及行业主管部门、监管部门另有规定的除外)。关注外部数据源合规风险,明确数据权属关系,加强数据安全技术保护。加强对外发布信息安全管理。

七、组织保障和监督管理

(二十九)加强组织保障。各银行保险机构要高度重视数字化转型工作,提高思想认识,加强组织领导,明确任务分工,落实工作责任,保障人力和财务资源投入,贯彻落实数字化转型工作目标要求。 

(三十)强化监督管理。银保监会及各级派出机构要加强对辖内银行保险机构数字化转型工作的指导和监督。将数字化转型情况纳入银行保险机构信息科技监管评级评分。推动银行保险机构切实落实战略规划、组织流程、能力建设和风险防范等方面的要求,确保本意见确定的各项工作有序开展、取得实效。各行业协会要主动作为,开展银行保险机构数字化转型培训和经验交流。


暂无

您可能还会对下面的文章感兴趣: