T NIFA 29—2024 金融数据安全治理实施指南.pdf

ICS03.060

CCSA11

团体标准

T/NIFA29-2024

金融数据安全治理实施指南

Implementationguideforgovernanceoffinancial

datasecurity

2024-11-28发布2024-11-28实施

中国互联网金融协会发布

T/NIFA29—2024

金融数据安全治理实施指南

1范围

本文件提出了金融数据安全治理的框架、实施及成果评估，明确了数据安全治理实施的主要内容

和评估方法。

本文件适用于金融机构开展数据安全治理使用，为数据安全治理工作开展提供参考和指引。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适

用于本文件。

GB/T25069—2022信息安全技术术语

JR/T0197—2020金融数据安全数据安全分级指南

3术语与定义

GB/T25069—2022中界定的以及下列术语和定义适用于本文件。

3.1

金融数据financialdata

金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。

[来源：JR/T0197—2020，3.10]

3.2

数据资产dataasset

合法拥有或控制的，能进行计量的，为机构带来经济和社会价值的数据资源。

[来源：GB/T40685—2021，有修改]

3.3

数据安全datasecurity

通过管理和技术措施，确保数据处于有效保护和合规使用的状态，以及具备保障持续安全状态的

能力。

[来源：GB/T37988—2019，有修改]

3.4

数据安全能力datasecuritycapability

机构在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障能力。

[来源：GB/T37988—2019，3.5，有修改]

3

T/NIFA29—2024

3.5

数据生命周期管理datalife-cyclemanagement

机构在开展业务和进行经营管理的过程中，对数据进行采集、传输、存储、使用、删除、销毁的

整个过程。

[来源：JR/T0223—2021，5.1，有修改]

3.6

数据安全事件datasecurityincident

由于人为原因、软硬件缺陷或故障、恶意程序攻击或自然灾害等因素，使得网络或信息系统中的

数据遭篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益

造成危害的事件。

4金融数据安全治理概述

4.1概述

金融数据安全治理，是金融机构为确保数据安全状态，以达到维护国家安全、金融安全和社会公

共利益、保护个人、组织的合法权益的目的，由内外部相关方协作持续实施的一系列建立并保持数据

安全能力的活动集合。

4.2目的

金融数据安全治理旨在建立与组织机构业务发展目标相适应的、全面且有效的数据安全管理体系，

保障数据开发、利用活动安全稳健开展，以确保金融数据得到妥善保护，符合法律法规、当地政策的

要求，满足机构发展战略的需要。

4.3实施

金融数据安全治理以“人”与数据为中心，通过平衡业务需求与风险，对数据进行分类分级管理，

制定数据安全策略，对数据的全生命周期进行管理和保护，从管理层、技术层、运营层，全方位与组

织机构的业务体系相融合，贯穿始终。

5金融数据安全治理框架

5