7月24日，央行發布《中國人民銀行業務領域數據安全管理辦法（征求意見稿）》，并向社會公開征求意見。文章旨在規范中國人民銀行業務領域數據的安全管理，適用于央行承擔監督管理職責的各類業務活動所產生和收集的數據（下文簡稱《辦法》）。

《辦法》中指出，數據安全工作將遵循“誰管業務，誰管業務數據，誰管數據安全”的基本原則，并在數據處理活動中履行數據安全保護義務，采取一系列有效措施來防范數據被篡改、破壞、泄露、不當獲取與利用等風險。本文就《辦法》中所述內容做了摘錄和整理，以幫助大家理解。

一、數據分級分類

... 數據處理者應當建立健全本單位數據分類分級實施制度，規范分類分級工作操作規程。...

... 數據處理者應當參考行業標準，根據業務開展情況建立業務分類，梳理細化數據資源目錄，標識各數據項是否為個人信息、數據來源（生產經營加工產生、外部收集產生等）、存儲該數據項的信息系統清單和應用的業務類別 ...

... 數據按照精度、規模和對國家安全的影響程度，分為一般、重要、核心三級。在中國人民銀行組織下，數據處理者應當準確識別判定本單位信息系統存儲的全量數據是否屬于重要數據、核心數據 ... 數據處理活動中，數據處理者還應當及時準確識別判定所涉及數據是否屬于重要數據、核心數據 ...

根據《辦法》所述，數據處理者應當對自己的業務數據進行標識，并參照行業標準進行分級分類。

1.數據分類

數據分類應當從多個維度劃分，包括但不限于：

? 是否為個人信息

? 數據來源

? 數據存儲位置

? 數據所屬應用

? 數據歸屬用戶

? .....

數據處理者應當細化數據分類，做好數據標識，以便于更直觀的統計和了解數據。

2.數據分級

數據分級同樣需要從多個維度劃分層級。根據《辦法》所述，至少應當從如下幾個方面進行數據分級：

? 按照精度、規模和對國家安全的影響程度分層：分成一般、重要、核心三個層級

? 按照數據敏感性分層級：從低至高分為一至五個層級

? 按數據可用性分層級：根據數據損壞所造成的影響程度，確定數據的 RTO 層級

3.動態更新

通過分級分類，數據處理者應當掌握當前的數據資源目錄，此資源目錄一方面可方便自身更好的使用數據，另一方面也用于央行的監管審查。

但由于信息系統是不斷變化的，因此資源目錄也需要跟著更新，以避免出現數據未被記錄而造成的管理風險。根據《辦法》所述，數據處理者應當每年組織更新數據資源目錄。

數據安全保護

數據資源目錄成型后，數據處理者應當據此開展對應的數據安全保護工作。這主要涉及兩個方面，一方面是對業務數據進行備份容災，另一方面是對數據使用過中的各個環節進行安全管控。

1.數據保護與應急演練

... 恢復點目標越嚴格，數據的可用性層級越高。在此基礎上，鼓勵數據處理者識別用于支撐最基本業務運轉、無法承受徹底滅失風險、需要進一步進行容災備份的數據 ...

... 數據處理者應當每年至少開展一次針對數據安全事件的應急演練，確保應急處置措施的效率和效果 ....

... 按照業務連續性保障等級，加強信息系統數據冗余備份管理，對于恢復點目標要求小于十分鐘的信息系統，每天至少驗證一次最新冗余備份數據可被正常加載使用；對于其他信息系統應當逐一明確驗證頻率要求，據此定期驗證最新冗余備份數據可被正常加載使用 ...

根據《辦法》所述，數據處理者應當根據不同的可用性等級，對業務數據設計不同的數據災備策略。對于備份數據，應當即時對其進行周期性校驗，確保備份數據可用；對于業務系統，應當每年開展應急演練，確保應急措施效果。

2.數據使用過程管控

除了對數據進行備份容災外，數據處理者還應當在數據的使用、流動過程中做好安全管控。

... 從嚴管控業務處理賬號的數據使用權限，鼓勵建設技術平臺，采取統一認證、統一授權 ...

... 數據處理者應當建立統一的日志規范，明確數據處理活動日志應當完整記錄的溯源所需信息 ...

... 有效隔離開發測試環境與生產環境數據存儲設施設備 ...

... 數據處理者應當統一明確第三層級以上數據項的脫敏處理策略 ...

安全管控復雜，涉及數據導出、數據傳輸、數據溯源等諸多環節，且不同的應用系統會牽扯不同的技術手段和審批管控流程。整體來說，其需要的技術包括但不限于：流程管控、權限管控、日志管理、數據確權、數據脫敏、數據加密、數據隔離、數字水印、數據的生命周期管理等等。