|
|
|
|
|
|
来源: 发布日期:2020.03.06 点击量:
2020年2月13日,中国人民银行正式发布《个人金融信息保护技术规范》(JR/T 0171—2020)(以下简称“《规范》”)。
一、 规范提出的意义
《个人金融信息保护技术规范》的发布为金融业个人金融信息保护,金融数据风险防护提供有力的支撑。
二、 适用范围
本规范的适用范围包含传统金融机构(商业银行、证券公司、保险公司、信托投资公司等)及涉及金融信息处理的相关机构(电信服务商等)。
三、 个人金融信息定义
《规范》指出以下信息属于个人信息:
·账户信息
·鉴别信息
·金融交易信息
·个人身份信息
·财产信息
·借贷信息
·其他反映特定个人某些情况的信息
四、 金融分级
分级依据:敏感程度
C3级别(敏感程度最高):即用户鉴别信息,其中包含银行卡密码、账户登录密码、生物识别信息等。此级别信息一旦其保密性和完整性遭到破坏,会对个人信息主体造成信息安全/财产安全的严重损害。
C2级别(敏感程度中等):即可识别金融信息主体身份与金融状况的信息,其中包含支付账号、手机号码、交易信息、个人金融信息主体图片信息等。此类信息的保密性或完整性遭到破坏会对个人及金融信息主体的信息安全与财产安全造成一定危害。
C1级别(敏感程度较低):即涉及金融机构内部的信息,例如开户机构、账户的开立时间等,此类信息的保密性或完整性遭到破坏。可能会对个人及金融信息主体的信息安全与财产安全造成一定影响。
五、 安全技术及安全管理重点要求展示及分析
下文将为大家展示《规范》中安全技术及安全管理的重点示例,如需完整版,请在安言咨询微信公众号留言回复邮箱地址,我们会在3月13日前统一发送。
生命周期的安全技术重点要求示例
其他安全技术重点要求示例
生命周期的安全管理重点要求示例
其他安全管理重点要求示例
六、 安言建议
《规范》在多个方面与GB/T35273—2017有效衔接,结合金融机构、金融产品、金融服务的具体实践提出了更适合金融行业的操作指南。建议金融业在针对个人金融信息安全保护体系设计时,可参考GB/T35273—2017与《个人金融信息保护技术规范》共同实施,确保个人金融信息安全。
安言咨询针对个人金融信息/个人信息保护的设计思路
安言咨询可为客户方提供基于《个人金融信息保护技术规范》及GB/T35273—2017的合规咨询服务,更多相关业务与内容,请持续关注我们。
详情请咨询:
电话:021-62101209-811
邮件:mkt@aryasec.com
相关新闻:
