7月24日，央行发布《中国人民银行业务领域数据安全管理办法（征求意见稿）》，并向社会公开征求意见。文章旨在规范中国人民银行业务领域数据的安全管理，适用于央行承担监督管理职责的各类业务活动所产生和收集的数据（下文简称《办法》）。

《办法》中指出，数据安全工作将遵循“谁管业务，谁管业务数据，谁管数据安全”的基本原则，并在数据处理活动中履行数据安全保护义务，采取一系列有效措施来防范数据被篡改、破坏、泄露、不当获取与利用等风险。 本文就《办法》中所述内容做了摘录和整理，以帮助大家理解。

数据分级分类

... 数据处理者应当建立健全本单位数据分类分级实施制度，规范分类分级工作操作规程。...

... 数据处理者应当参考行业标准，根据业务开展情况建立业务分类，梳理细化数据资源目录，标识各数据项是否为个人信息、数据来源（生产经营加工产生、外部收集产生等）、存储该数据项的信息系统清单和应用的业务类别 ...

... 数据按照精度、规模和对国家安全的影响程度，分为一般、重要、核心三级。在中国人民银行组织下，数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据 ... 数据处理活动中，数据处理者还应当及时准确识别判定所涉及数据是否属于重要数据、核心数据 ...

根据《办法》所述，数据处理者应当对自己的业务数据进行标识，并参照行业标准进行分级分类。

数据分类

数据分类应当从多个维度划分，包括但不限于：

• 是否为个人信息
• 数据来源
• 数据存储位置
• 数据所属应用
• 数据归属用户
• .....

数据处理者应当细化数据分类，做好数据标识，以便于更直观的统计和了解数据。

数据分级

数据分级同样需要从多个维度划分层级。根据《办法》所述，至少应当从如下几个方面进行数据分级：

• 按照精度、规模和对国家安全的影响程度分层：分成一般、重要、核心三个层级
• 按照数据敏感性分层级：从低至高分为一至五个层级
• 按数据可用性分层级：根据数据损坏所造成的影响程度，确定数据的 RTO 层级

动态更新

通过分级分类，数据处理者应当掌握当前的数据资源目录，此资源目录一方面可方便自身更好的使用数据，另一方面也用于央行的监管审查。

但由于信息系统是不断变化的，因此资源目录也需要跟着更新，以避免出现数据未被记录而造成的管理风险。根据《办法》所述，数据处理者应当每年组织更新数据资源目录。

数据安全保护

数据资源目录成型后，数据处理者应当据此开展对应的数据安全保护工作。这主要涉及两个方面，一方面是对业务数据进行备份容灾，另一方面是对数据使用过中的各个环节进行安全管控。

数据保护与应急演练

... 恢复点目标越严格，数据的可用性层级越高。在此基础上，鼓励数据处理者识别用于支撑最基本业务运转、无法承受彻底灭失风险、需要进一步进行容灾备份的数据 ...

... 数据处理者应当每年至少开展一次针对数据安全事件的应急演练，确保应急处置措施的效率和效果 ....

... 按照业务连续性保障等级，加强信息系统数据冗余备份管理，对于恢复点目标要求小于十分钟的信息系统，每天至少验证一次最新冗余备份数据可被正常加载使用；对于其他信息系统应当逐一明确验证频率要求，据此定期验证最新冗余备份数据可被正常加载使用 ...

根据《办法》所述，数据处理者应当根据不同的可用性等级，对业务数据设计不同的数据灾备策略。对于备份数据，应当即时对其进行周期性校验，确保备份数据可用；对于业务系统，应当每年开展应急演练，确保应急措施效果。

数据使用过程管控

除了对数据进行备份容灾外，数据处理者还应当在数据的使用、流动过程中做好安全管控。

... 从严管控业务处理账号的数据使用权限，鼓励建设技术平台，采取统一认证、统一授权 ...

... 数据处理者应当建立统一的日志规范，明确数据处理活动日志应当完整记录的溯源所需信息 ...

... 有效隔离开发测试环境与生产环境数据存储设施设备 ...

... 数据处理者应当统一明确第三层级以上数据项的脱敏处理策略 ...

安全管控复杂，涉及数据导出、数据传输、数据溯源等诸多环节，且不同的应用系统会牵扯不同的技术手段和审批管控流程。整体来说，其需要的技术包括但不限于：流程管控、权限管控、日志管理、数据确权、数据脱敏、数据加密、数据隔离、数字水印、数据的生命周期管理等等。

关于《办法》更详细的信息，你可点击下方链接进入央行公告主页，下载原文。
中国人民银行关于《中国人民银行业务领域数据安全管理办法（征求意见稿）》公开征求意见的通知