各銀保監局，機關各部門，各會管單位：

為切實加強監管數據安全管理，防范監管數據安全風險，我會制定了《中國銀保監會監管數據安全管理辦法（試行）》，現予以印發，請遵照執行。

2020年9月23日

中國銀保監會監管數據安全管理辦法

（試行）

第一章 ?總 ?則

第一條 ?為規范銀保監會監管數據安全管理工作，提高監管數據安全保護能力，防范監管數據安全風險，依據《中華人民共和國網絡安全法》《中華人民共和國銀行業監督管理法》《中華人民共和國保險法》《工作秘密管理暫行辦法》等法律法規及有關規定，制定本辦法。

第二條 ?本辦法所稱監管數據是指銀保監會在履行監管職責過程中，依法定期采集,經監管信息系統記錄、生成和存儲的，或經銀保監會各業務部門認定的數字、指標、報表、文字等各類信息。

本辦法所稱監管信息系統是指以滿足監管需求為目的開發建設的，具有數據采集、處理、存儲等功能的信息系統。

第三條 ?本辦法所稱監管數據安全是指監管數據在采集、處理、存儲、使用等活動（以下簡稱監管數據活動）中，處于可用、完整和可審計狀態，未發生泄露、篡改、損毀、丟失或非法使用等情況。

第四條 ?銀保監會及受托機構開展監管數據活動，適用本辦法。

本辦法所稱受托機構是指受銀保監會委托或委派，為銀保監會提供監管數據采集、處理或存儲服務的企事業單位。

第五條 ?開展監管數據活動，必須遵守相關法律和行政法規。任何單位和個人對在監管數據活動中知悉的國家秘密、工作秘密、商業秘密和個人信息，應當依照相關規定予以保密。

第六條 ?銀保監會建立健全監管數據安全協同管理體系，推動銀保監會有關業務部門、各級派出機構、受托機構等共同參與監管數據安全保護工作，加強培訓教育，形成共同維護監管數據安全的良好環境。

第二章 ?工作職責

第七條 ?監管數據安全管理實行歸口管理，建立統籌協調、分工負責的管理機制。

銀保監會統計信息部門是歸口管理部門，負責統籌監管數據安全管理工作。銀保監會各業務部門負責本部門監管數據安全管理工作。

第八條 ?歸口管理部門具體職責包括：

（一）制定監管數據安全工作規則和管理流程；

（二）制定監管數據安全技術防護措施；

（三）組織實施監管數據安全評估和監督檢查。

第九條 各業務部門具體職責包括：

（一）規范本部門監管數據安全使用，明確具體工作要求，落實相關責任；

（二）組織開展本部門監管數據安全管理工作；

（三）協助歸口管理部門實施監管數據安全監督檢查。

第三章 ?監管數據采集、存儲和加工處理

第十條 ?監管數據的采集應按照安全、準確、完整和依法合規的原則進行，避免重復、過度采集。

第十一條 ?監管數據應通過監管工作網或金融專網進行傳輸。因客觀條件限制需要通過物理介質、互聯網或其它網絡傳輸的，應經歸口管理部門評估同意。

第十二條 ?監管數據應存儲在銀保監會機房，并具有完備的備份措施。確有必要存儲在受托機構機房的，應經歸口管理部門評估同意。

第十三條 ?監管數據存儲期限、存儲介質管理應按照國家和銀保監會有關規定執行。

第十四條 ?監管數據的加工處理應在監管工作權限或受托范圍內進行。未經歸口管理部門同意，任何單位和個人不得將代碼、接口、算法模型和開發工具等接入監管信息系統。

第十五條 ?監管數據采集、傳輸、存儲、加工處理、轉移交換、銷毀，以及用于系統開發測試等活動，應根據監管數據類型和管理要求采取分級分類安全技術防護措施。

第四章 ?監管數據使用

第十六條 ?監管數據僅限于銀保監會履行監管工作職責使用。紀檢監察、司法、審計等黨政機關為履行工作職責需要使用監管數據時，按照有關規定辦理。

第十七條 ?監管數據的使用行為應通過管理和技術手段確?？勺匪?。監管數據用于信息系統開發測試以及對外展示時，應經過脫敏處理。

第十八條 ?使用未公開披露的監管數據，原則上應在不可連接互聯網的臺式機或筆記本等銀保監會工作機中進行。因客觀條件限制需采取虛擬專用網絡等方式使用監管數據時，應經歸口管理部門評估同意。

第十九條 ?因工作需要下載的監管數據，僅可存儲于銀保監會的工作機中。承載監管數據的使用介質應妥善保管，防止數據泄露。

第二十條 ?在使用監管數據過程中產生的加工數據、匯總結果等信息應視同監管數據進行安全管理。

第二十一條 ?監管數據對外披露應由指定業務部門按照有關規定和流程實施。

第二十二條 ?各業務部門因工作需要向非黨政機關單位、個人提供監管數據時，應充分評估數據安全風險，經本部門主要負責人同意后實施，必要時與對方簽訂備忘錄和保密協議并報歸口管理部門備案。

與境外監管機構或國際組織共享監管數據時，應由國際事務部門依照銀保監會簽署的監管合作諒解備忘錄、合作協議等約定或其他有關工作安排進行管理。

法律法規另有規定的，從其規定。

第二十三條 ?各業務部門因工作需要和系統下線停用監管數據時，應及時對其采取封存或銷毀措施。

第五章 ?監管數據委托服務管理

第二十四條 ?各業務部門監管數據采集涉及受托機構提供服務時，應事先與歸口管理部門溝通并會簽同意。受托機構的技術服務方案，應通過歸口管理部門的安全評估。技術服務方案發生變更的，應事先報歸口管理部門進行安全評估。

安全評估不通過的，不得開展委托服務或建立委派關系。

第二十五條 ?為銀保監會提供監管數據服務的受托機構，應滿足以下基本條件：

（一）具備從事監管數據工作所需系統的自主研發及運維能力；

（二）具備相關信息安全管理資質認證；

（三）擁有自主產權或已簽訂長期租賃合同的機房；

（四）網絡和信息系統具備有效的安全保護和穩定運行措施，三年內未發生網絡安全重大事件；

（五）具備有效的監管數據安全管理措施，能夠保障銀保監會各部門對監管數據的訪問和控制；

（六）具有監管數據備份體系、應急組織體系和業務連續性計劃。

第二十六條 ?銀保監會通過與受托機構簽訂協議，確立監管數據委托服務關系。協議應明確服務項目、期限、安全管理責任和終止事由等內容。

銀保監會通過委派方式確立監管數據服務關系的，應下達委派任務書。

第二十七條 ?因有關政策調整導致原委托或委派事項無需繼續履行，或發現受托機構監管數據服務出現重大安全問題的，銀保監會有權終止委托或委派關系。

委托或委派關系終止時，受托機構應及時、完整地移交監管數據，并銷毀因委托或委派事項而獲取的監管數據，不得保留相關數據備份等內容。

第六章 ?監督管理

第二十八條 ?各業務部門及受托機構應按照監管數據安全工作規則定期開展自查，發現監管數據安全缺陷、漏洞等風險時，應立即采取補救措施。

第二十九條 ?歸口管理部門應定期對各業務部門及受托機構開展監管數據安全管理評估檢查工作。

各業務部門及受托機構對于評估和檢查中發現的問題應制定整改措施，及時整改，并向歸口管理部門報送整改報告。

第三十條 ?各業務部門及受托機構發生以下監管數據重大安全風險事項時，應立即采取應急處置措施，及時消除安全隱患，防止危害擴大，并于48小時內向歸口管理部門報告。

（一）監管數據發生泄露或非法使用；

（二）監管數據發生損毀或丟失；

（三）承載監管數據的信息系統或網絡發生系統性故障造成服務中斷4小時以上；

（四）承載監管數據的信息系統或網絡遭受非法入侵、發生有害信息或計算機病毒的大規模傳播等破壞；

（五）監管數據安全事件引發輿情；

（六）《網絡安全重大事件判定指南》列明的其他影響監管數據安全的網絡安全重大事件。

轄區發生以上監管數據重大安全風險事項時，各銀保監局應立即采取補救措施，并于48小時內向銀保監會歸口管理部門報告。

第三十一條 ?歸口管理部門應建立監管數據安全事件通報工作機制，及時通報監管數據安全事件。

第七章 ?附 ?則

第三十二條 ?涉密監管數據按照國家和銀保監會保密管理有關規定進行管理。

第三十三條 ?各銀保監局承擔轄區監管數據安全管理責任，參照本辦法制定轄區監管數據安全管理辦法，明確職責和管理要求，強化監管數據安全保護。

第三十四條 ?本辦法自印發之日起施行。

責任編輯：韓希宇