13.《金融业数据能力建设指引》(2021-02-09 )

隐私政策定制与审核

app合规审核与开发意见

个保体系建设与合规培训

数据出境与GDPR合规



中华人民共和国金融行业标准

JR/T0218—2021



金融业数据能力建设指引

Guidelines for financial industry data capacity building




2021-02-09发布2021-02-09实施


中国人民银行发布




目次

前言

1范围

2规范性引用文件

3术语和定义

4缩略语

5能力域与能力项

6基本原则

7数据战略

7.1数据战略规划

7.2数据战略实施

7.3数据战略评估

8数据治理

8.1组织建设

8.2制度建设

8.3流程规范

8.4技术支撑

9数据架构

9.1元数据管理

9.2数据模型

9.3数据分布

9.4数据集成

10数据规范

10.1数据元

10.2参考数据和主数据

10.3明细数据

10.4指标数据

11数据保护

11.1数据保护策略

11.2数据保护管理

11.3数据保护审计

12数据质量

12.1数据质量需求

12.2数据质量检查

12.3数据质量分析

12.4数据质量提升

13数据应用

13.1数据分析

13.2数据交换

13.3数据服务

14数据生存周期管理

14.1数据需求管理

14.2数据开发管理

14.3数据维护管理

14.4历史数据管理

参考文献



前言


本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国人民银行提出。

本文件由全国金融标准化技术委员会(SAC/TC180)归口。

本文件起草单位:中国人民银行科技司、中国人民银行成都分行、中国人民银行郑州中心支行、中国人民银行南宁中心支行、中国人民银行贵阳中心支行、中国金融电子化公司、中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、中国互联网金融协会、交通银行股份有限公司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、上海浦东发展银行股份有限公司、中信银行股份有限公司、中国光大银行股份有限公司、华夏银行股份有限公司、中国民生银行股份有限公司、广发银行股份有限公司、兴业银行股份有限公司、平安银行股份有限公司、恒丰银行股份有限公司、浙商银行股份有限公司、渤海银行股份有限公司、北京银行股份有限公司、上海银行股份有限公司、宁波银行股份有限公司、深圳前海微众银行股份有限公司、华泰证券股份有限公司、中国平安保险(集团)股份有限公司、中国人寿财产保险股份有限公司、银联商务股份有限公司、财付通支付科技有限公司、拉卡拉支付股份有限公司、北京中金国盛认证有限公司、华控清交信息科技(北京)有限公司。

本文件主要起草人:李伟、李兴锋、程胜、方弘宇、郭栋、段力畑、王岚、周昱江、袁泉、潘攀、许允栋、冯一洲、罗斌、卢超、张少波、张伟娟、屈䶮浩、严坚、易科、赵春华、高天游、马鸣、周钰博、杨海盟、吕钰涛、穆凯、宋庆、滕竹、冯瑜、郭贞、丁春春、杨芳华、王鹏程、陆燕、赵秀丽、佟本尚、李海丽、刘阳、辛莹、杨延刚、陈彪、谭海兰、李静、李勇、张辉、刘晓莉、朱伟辉、刘永峰、金琪然、汪亚男、司东华、朱阿柯、黄飞生、张璐、张文杰、吴永强、王晴晴、刘书元、杨祖艳、王云河。




金融业数据能力建设指引



1范围


本文件规定了数据战略、数据治理、数据架构、数据规范、数据保护、数据质量、数据应用、数据生存周期管理能力域划分,明确了相关能力项,提出了每个能力项的建设目标和思路。

本文件适用于指导金融机构开展金融数据能力建设。


2规范性引用文件


下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

JR/T0149—2016中国金融移动支付支付标记化技术规范JR/T0171—2020个人金融信息保护技术规范

JR/T0196—2020多方安全计算金融应用技术规范JR/T0197—2020金融数据安全数据安全分级指南


3术语和定义


下列术语和定义适用于本文件。


3.1

能力域capabilityarea


数据管理相关活动、过程等以及一组相关数据能力子域的集合。


3.2

数据战略datastrategy


组织开展数据工作的愿景、目的、目标和原则。


3.3

数据治理datagovernance


对数据进行处置、格式化和规范化的过程。

注:1.数据治理是数据和数据系统管理的基本要素。

2.数据治理涉及数据全生存周期管理,无论数据是处于静态、动态、未完成状态还是交易状态。


3.4

数据质量dataquality


在特定条件下使用时,数据特性满足明确要求及隐含要求的程度。


3.5

数据生存周期datalifecycle


将原始数据转化为可用于行动的知识的一组过程。


3.6

主数据masterdata


企业中需要跨系统、跨部门进行共享的核心业务实体数据。


3.7

参考数据referencedata


对其他数据进行分类和规范的数据。


4缩略语


下列缩略语适用于本文件。

PEST:宏观环境分析模型(PoliticsEconomySocietyTechnology)SWOT:企业战略分析法(StrengthsWeaknessesOpportunitiesThreats)TCO:总拥有成本(TotalCostofOwnership)


5能力域与能力项


金融数据管理能力划分为8个能力域和29个能力项(见下表)。


能力域及能力项表


能力域

能力项

数据战略

数据战略规划

数据战略实施

数据战略评估


数据治理

组织建设

制度建设

流程规范

技术支撑


数据架构

元数据管理

数据模型

数据分布

数据集成

数据规范

数据元

参考数据和主数据

明细数据

指标数据

数据保护

数据保护策略

数据保护管理

数据保护审计

数据质量

数据质量需求

数据质量检查

数据质量分析

数据质量提升

数据应用

数据分析

数据交换

数据服务

数据生存周期管理

数据需求管理

数据开发管理

数据维护管理

历史数据管理


6基本原则

金融业数据能力建设遵循以下基本原则:

——用户授权。明确告知用户数据采集和使用的目的、方式以及范围,确保用户充分知情,获取用户自愿授权后方可采集使用,严格保障用户知情权和自主选择权。


——安全合规。遵循国家法律法规、管理制度,符合国家及金融行业标准规范,建立健全数据安全管理长效机制和防护措施,通过技术手段将原始信息脱敏,并与关联性较高的敏感信息进行安全隔离、分散存储,严控访问权限,严防数据泄露、篡改、损毁与不当使用,依法依规保护数据主体隐私权在数据管理与应用过程中不受侵害。


——分类施策。综合考量国家安全、公众权益、个人隐私和企业合法利益等因素,根据数据的保密性、完整性、可用性等属性受到破坏后的影响对象和影响程度,对数据进行分级分类管理。对不同级别数据进行分类施策,采取差异化控制措施,实现数据精细化管理。


——最小够用。规范数据使用行为,严控数据获取和应用范围,确保数据专事专用、最小够用,杜绝过度采集、误用、滥用数据,切实保障数据主体的数据所有权和使用权。


——可用不可见。建立数据规范共享机制,在保障原始数据可用不可见的前提下规范开展数据共享与融合应用,保证跨行业、跨机构的数据使用合规、范围可控,有效保护数据隐私安全,确保数据所有权不因共享应用而发生让渡。


7数据战略


7.1数据战略规划


7.1.1概述


数据战略规划是基于金融机构对数据的需求,经相关方充分协商达成一致后拆解出可评估、可衡量、可操作的目标,最终形成数据战略内容的过程。数据战略具有一定前瞻性和统领性,内容覆盖数据管理工作愿景、目标、原则、任务、路径等要素,做到内容全面、目标合理、范围明确、路径清晰,可操作性强,能够指导未来一段时间有效开展数据管理工作。


7.1.2工作措施


数据战略规划采取的工作措施包括但不限于:

a)开展数据战略需求评估,全面考量法律法规、行业监管要求、金融机构业务发展规划、金融科技发展趋势等对数据的需求,并将数据战略列入金融科技发展战略中。

b)对当前和未来面临内外部形势开展分析评估和研判。

c)识别数据战略的相关方,包括行业主管部门、股东、职员、客户、业务合作伙伴等。数据战略为相关方充分协商并达成一致的结果。

d)由董事会负责制定数据战略。

e)至少考量以下数据战略内容:

1)愿景陈述,包括数据管理的原则、目的和目标。

2)规划范围,包括重要业务领域、数据范围。

3)现状分析,包括企业当前数据管理现状及与目标存在的差距。

4)主要工作任务和优先级。

5)所选择数据管理模型和建设方法。

6)战略相关方名单。

7)管理层和相关职能部门具体责任和工作任务分工。

8)相关保障措施。

9)量化考核机制。

10)持续优化路线图。

f)将数据战略形成文档,并经审批后以正式文件发布。

g)根据法律法规、监管政策、业务战略、金融科技发展等方面的要求,持续优化改进数据战略。

h)运用PEST、SWOT等方法对宏观环境进行全面分析。

i)以股东大会表决等形式审批数据战略,确保获得企业内广泛认可。

j)通过数据战略的发布,带动形成良好的数据文化。


7.2数据战略实施


7.2.1概述


数据战略实施是按照既定目标和路线持续执行数据战略工作任务的过程,做好工作任务责任分解和措施保障,强化过程监督管理,确保达成预期目标。


7.2.2工作措施


数据战略实施采取的工作措施包括但不限于:

a)落实数据战略实施过程中的组织、资金、制度、人才等保障措施。

b)做好数据战略实施过程中的工作计划和中长期规划,有序开展数据战略实施。在实施过程中定期总结,及时对照修正偏差。

c)明确实施过程中的领导机构和牵头部门以及具体负责部门的职责分工,做好工作任务分解落实。

d)由监事会对数据战略的实施过程进行有效监督,强化目标管理与工作考核。

e)强化数据战略实施组织保障,如设立专职负责数据管理的部门和岗位等。


7.3数据战略评估


7.3.1概述


数据战略评估是在数据战略实施期间和实施后,对照目标和实施情况全面综合评价数据战略实施的效果,并进行闭环反馈。


7.3.2工作措施


数据战略评估采取的工作措施包括但不限于:

a)针对数据战略实施建立系统完整的评估准则,明确评估方法。

b)定期对数据战略实施情况进行评估。

c)根据评估结果对数据战略进行持续优化,指导数据管理工作的有效开展。

d)采取量化分析方法或统计方法,从成本、效益、时间、风险等角度对企业整体的数据战略实施情况开展成本效益评估。

e)构建专门的数据管理TCO方法,衡量评估数据管理工作的切入点和实施基础的变化,并调整资金预算。

f)编制并发布数据管理资金预算报告。

g)定期对数据能力建设情况进行评估。


8数据治理


8.1组织建设


8.1.1概述


组织建设包括组织架构、岗位设置、团队建设、数据责任等内容,是各项数据职能工作开展的基础。其目标是对数据管理和应用进行职责规划与控制,指导各项数据职能的执行,以确保有效落实数据战略目标。


8.1.2工作措施


数据治理组织建设采取的工作措施包括但不限于:

a)管理层负责数据治理工作相关决策,参与数据治理相关工作。

b)明确统一的数据治理归口部门,负责组织协调各项数据职能工作。

c)明确数据工作人员的岗位职责。

d)制定数据治理工作的评价标准,建立人员奖惩制度。

e)建立健全覆盖管理、业务和技术等方面人员的数据责任体系,明确各方在数据管理过程中的职责。

f)定期进行培训和经验分享,不断提高数据治理能力。

g)建立覆盖管理、技术、运营等的复合型数据团队。

h)建立适用于数据工作相关岗位人员的量化绩效评估指标,评估相关岗位人员绩效,并发布考核结果。


8.2制度建设


8.2.1概述


制度建设是数据管理和数据应用各项工作有序开展的基础,是数据治理的依据。制度建设分层次设计,遵循严格的发布流程,并定期检查和更新。


8.2.2工作措施


数据治理制度建设采取的工作措施包括但不限于:

a)建立科学的数据制度框架。

b)建立全面、有效的数据管理和数据应用机制。

c)建立完备的数据制度体系,保障数据治理工作的规范性和严肃性。

d)根据实施情况对数据制度进行持续修订,保障制度有效性。

e)定期开展数据制度相关培训和宣传。

f)业务人员积极参与数据制度的制定。

g)数据制度的制定符合监管、合规要求。

h)量化评估数据制度的执行情况。


8.3流程规范


数据治理流程规范采取的工作措施包括但不限于:

a)建立规范的数据治理流程,规定具体的工作步骤以及各环节主要活动。

b)明确数据治理流程中各参与人员工作任务,并有效执行。

c)建立完善的数据治理流程管理机制,用以指导数据治理流程的修订,保障流程有效性。

d)业务人员积极参与数据治理流程的制定,并有效推动业务工作的开展。

e)数据治理流程的制定参考行业先进案例,体现未来业务发展的需要。


8.4技术支撑


8.4.1概述


技术支撑是指为开展数据治理工作而建设的相关系统或平台。


8.4.2工作措施


数据治理技术支撑采取的工作措施包括但不限于:

a)对数据治理系统或平台进行整体建设规划。

b)将数据治理相关组织、制度、流程落实到系统或平台当中,以规范数据治理工作流程,提高数据治理工作效率。

c)业务人员充分运用系统或平台开展数据治理各领域工作。

d)明确数据治理系统或平台的规划、建设和运维责任部门。

e)数据治理系统或平台建设参考行业先进案例,充分满足数据治理各领域工作开展的需要。

f)针对数据治理系统或平台建立科学的效能评价体系,对系统或平台使用效能进行量化评估,不断完善其功能。


9数据架构


9.1元数据管理


9.1.1概述


元数据管理是关于元数据的创建、存储、整合、控制等一整套流程的集合。


9.1.2工作措施


元数据管理采取的工作措施包括但不限于:

a)根据业务、管理、应用等方面的需求,对元数据进行分类,建立元数据标准,保障元数据的互操作性。

b)建立集中的元数据存储库,统一管理多个业务领域及应用系统的元数据。

c)制定和执行贯穿数据生存周期的元数据集成和变更流程,实现元数据采集和变更规范化管理。

d)制定和执行统一的元数据应用需求管理流程,实现元数据应用需求的规范化管理。

e)通过服务、接口等方式实现各类元数据内容在应用系统之间共享使用。

f)定义并应用量化指标,衡量元数据管理工作的有效性。

g)建立元数据间的关联关系,并通过可视化形式展现。

h)在满足用户授权、安全合规、最小够用等前提下,实现跨机构、跨行业的元数据共享、交换和应用。


9.2数据模型


9.2.1概述


数据模型使用结构化的语言将收集到的业务经营、管理和决策中使用的数据需求进行综合分析,并按照模型设计规范将数据需求重新组织。数据模型分为企业级数据模型和系统应用级数据模型。企业级数据模型包括主题域模型、概念模型和逻辑模型,系统应用级数据模型包括逻辑模型和物理模型。


9.2.2工作措施


数据模型采取的工作措施包括但不限于:

a)对应用系统的数据现状进行全面梳理,了解当前存在的问题并提出解决办法。

b)分析相关方的数据需求,至少包括系统的分析应用需求、内部组织战略和合规需求、行业监管需求、跨机构互联互通需求。

c)制定企业级数据模型开发规范,指导企业级数据模型的开发和管理。

d)建立覆盖业务经营、管理和决策数据需求的企业级数据模型。

e)使用企业级数据模型指导系统应用级数据模型的设计,并设置相应的角色进行管理。

f)建立企业级数据模型和系统应用级数据模型的映射关系,并根据系统的建设定期更新企业级数据模型。

g)基于数据模型建立统一的数据资源目录,实现数据资源的统一管理。

h)根据数据变化情况持续维护、发布数据资源目录。

i)使用企业级数据模型,指导和规划整个企业应用系统的投资、建设和维护。

j)建立企业级数据模型和系统应用级数据模型的同步更新机制,确保一致性。

k)及时跟踪、研判内外部数据需求变化趋势,持续优化企业级数据模型。


9.3数据分布


数据分布采取的工作措施包括但不限于:

a)在企业层面制定数据分布关系管理规范,统一数据分布关系的表现形式和管理流程。

b)梳理数据与业务流程、组织机构、系统之间的分布关系,形成数据分布关系库。

c)梳理数据的权威数据源,对每类数据明确合理的唯一管理主体、信息采集和存储系统,减少重复采集,降低数据冗余。

d)根据数据分布关系对数据相关工作进行规范。

e)根据业务流程和系统建设情况,定期维护和更新数据分布关系库。

f)通过数据分布关系的梳理,量化分析数据相关工作的业务价值。

g)通过数据分布关系的梳理,优化数据的存储和集成关系。

h)实现数据分布关系管理流程的自动优化,提升管理效率。


9.4数据集成


数据集成采取的工作措施包括但不限于:

a)建立数据集成规范管理制度,明确数据集成管理的原则、方式和方法。

b)形成数据集成管理标准,实现内部数据规范整合与有序流转。

c)建设数据集成管理平台或工具,实现数据统一采集与集中管理。

d)对新建系统的数据集成方式进行检查,确保统一性和规范性。

e)具备持续优化和提升数据集成管理的能力。


10数据规范


10.1数据元


10.1.1概述


数据元是由一组属性规定其定义、标识、表示和允许值的数据单元。通过制定核心数据元的统一规范,提升数据相关方对数据理解的一致性。


10.1.2工作措施


数据元管理采取的工作措施包括但不限于:

a)建立内部数据元管理规范,明确数据元的管理流程。

b)基于国家和金融行业相关制度、规范,建立健全内部数据元规范体系。

c)制定完整的规范落地方案,并发布数据元的统一目录,提供统一的查询方法。

d)定期开展数据元规范落地执行情况分析,形成分析报告,并对相关问题进行处理和跟踪。

e)定期组织开展数据元应用相关培训。

f)发布数据元管理报告,汇总数据元管理工作的进展。

g)对数据元管理过程进行监控分析,支持数据元信息定期更新,实现数据元高效有序管理。

h)制定各部门数据元管理工作的考核体系,生成数据元管理考核报告。


10.2参考数据和主数据


10.2.1概述


参考数据是一组增强数据可读性、可维护性、可理解性的数据集合。借助参考数据可实现对其他数据的合理分类。

主数据是企业中需要跨系统、跨部门共享的核心业务实体数据。主数据管理是对主数据规范和内容进行管理,实现主数据跨系统、跨部门的一致、共享使用。


10.2.2工作措施


参考数据和主数据管理采取的工作措施包括但不限于:

a)制定参考数据和主数据的管理流程,规范参考数据和主数据的应用。

b)实现企业级参考数据和主数据的统一管理、展现和使用。

c)制定企业内部各参考数据和主数据的数据规范,并在企业内部发布。

d)制定编码规则和数据模型,定义参考数据和主数据唯一标识的生成规则、组成部分及其含义。

e)识别参考数据值域和取值范围。

f)明确参考数据和主数据管理部门和可信数据源,保障参考数据和主数据的数据质量和使用效果。

g)保持各应用系统中的参考数据和主数据与企业级的参考数据和主数据一致。

h)新建项目的过程中,统一分析项目与企业内部已有的参考数据和主数据的数据集成问题。

i)建立参考数据和主数据相关的质量规则,分析、跟踪并推动解决各应用系统中参考数据和主数据的数据质量问题。

j)建立参考数据和主数据管理的资源库。

k)优化参考数据和主数据的管理规范和管理流程,并支持参考数据和主数据信息定期更新,实现参考数据和主数据高效有序管理。

l)制定各部门参考数据和主数据管理工作的考核评价体系。m)定期生成、发布参考数据和主数据管理工作的考核报告。


10.3明细数据


10.3.1概述


明细数据是日常生产经营等活动中直接产生或获取的未经任何加工的初始数据。


10.3.2工作措施


明细数据管理采取的工作措施包括但不限于:

a)制定统一的明细数据管理规范、细则等制度文件,规范企业层面的明细数据管理流程,明确明细数据管理要求,包括质量要求、安全要求等。

b)根据企业业务管理需求,制定企业内明细数据主题域分类。

c)根据企业业务战略需求、行业监管要求建立统一的明细数据资源目录。

d)遵循统一的业务规则、技术规范,建立企业层面的明细数据规范。

e)明确各类明细数据的管理部门,进行明细数据的管理。

f)对明细数据相关问题进行处理和跟踪。

g)定期分析明细数据规范执行情况,形成分析报告,不断完善明细数据规范。

h)结合企业业务情况,根据国家和金融行业相关制度规范,优化完善明细数据规范。

i)定期发布明细数据及其规范管理报告,阶段汇总明细数据管理工作的进展。

j)制定明细数据及其规范的考核体系。

k)通过量化分析的方式对明细数据及其规范的管理过程进行考核。

l)定期发布明细数据及其规范管理工作考核报告。

10.4指标数据


10.4.1概述


指标数据是在经营分析过程中衡量某一个目标或事物的数据,由明细数据按照统计需求和分析规则加工生成,一般由管理属性、业务属性、技术属性等组成。


10.4.2工作措施


指标数据管理采取的工作措施包括但不限于:

a)制定统一的指标数据管理规范、细则等制度文件,规范企业层面的指标数据管理流程,明确指标数据的管理要求,包括质量要求、安全要求等。

b)根据企业业务管理需求制定企业内指标数据分类管理框架,保证指标分类框架的全面性和各分类之间的独立性。

c)根据指标数据的数据、接口规范等,由相关部门或应用系统定期进行数据的采集、生成。

d)对指标数据进行授权访问,并根据用户需求进行数据展示。

e)对指标数据采集、生成过程进行监控,保证指标数据的准确性。

f)对各部门的指标数据进行统一汇总和梳理,形成企业层面的指标数据字典并发布。

g)根据企业的业务战略需求、行业监管要求建立统一的指标数据资源目录。

h)遵循统一的业务规则、技术规范,在企业层面建立指标数据规范。

i)明确各类指标数据的归口管理部门,负责相应指标数据的管理。

j)对指标数据相关问题进行处理和跟踪。

k)定期分析指标数据规范执行情况,形成分析报告,不断完善指标数据规范。

l)建立指标数据价值评价体系,包括质量、标准、应用频次、依赖重要性等。

m)结合企业业务情况,根据国家和金融行业相关制度规范,优化完善指标数据规范。

n)定期发布指标数据及其规范管理报告,阶段汇总指标数据管理工作的进展。

o)制定各部门指标数据及其规范的考核体系。

p)通过量化分析的方式对指标数据及其规范的管理过程进行考核。

q)定期发布指标数据及其规范管理工作考核报告。


11数据保护


11.1数据保护策略


11.1.1概述


数据保护策略是数据保护的核心内容,在制定的过程中结合企业管理需求、行业监管要求以及相关制度规范等统一制定。

企业在制定数据保护策略的过程中需要了解、掌握行业监管要求,并根据企业对数据保护的业务需要,定义企业数据保护管理的目标、原则、制度、管理组织、管理流程等,制定适合的数据保护标准,确定数据保护等级及覆盖范围等,建立数据保护管理策略,指导数据保护管理及相关工作,为企业的数据保护管理提供保障。


11.1.2工作措施


数据保护策略采取的工作措施包括但不限于:

a)制定数据保护规范与策略相关的管理流程,并以此指导数据保护规范和策略的制定。

b)依据法律法规、行业规章制度以及相关规范的基本要求,建立统一的数据保护规范以及策略并正式发布。

c)识别数据保护相关方,并明确数据保护相关方在数据保护管理过程中的职责。

d)在数据保护规范与策略制定过程中能够识别企业内外部的数据保护需求,包括法律法规、行业监管的要求。

e)建立针对数据收集、传输、存储、使用、删除、销毁等全生命周期的安全保护策略。

f)依据法律法规、行业规章制度以及相关规范的基本要求,建立个人金融信息保护策略。

g)针对数据保护,建立相应的风险监测机制、风险评估机制、应急处置机制、风险事件通报机制。

h)根据JR/T0197—2020相关要求,依据合法合规、可执行性、时效性、自主性、差异性、客观性等原则,建立统一的数据分级分类管理制度。

i)采用或提供云服务时制定相应的数据保护策略。

j)定期开展数据保护规范和策略相关教育培训和宣传工作。

k)梳理和明确有关法律法规、行业规章制度以及相关规范等关于数据保护方面的要求列表,并与企业的数据保护规范和策略进行关联。

l)根据内外部环境的变化定期优化完善数据保护规范与策略。


11.2数据保护管理


11.2.1概述


数据保护管理是通过开展数据保护等级划分、数据访问权限控制、用户身份认证和访问行为监控、数据安全风险防护、数据隐私保护等管理工作,满足数据保护的业务需求和监管要求,实现对数据生存周期的安全管理。


11.2.2工作措施


数据保护管理采取的工作措施包括但不限于:

a)依据保护策略对数据进行全面的等级划分,清晰定义每级数据的保护需求,明确保护需求的责任部门。

b)根据行业监管对数据保护的要求明确定义数据范围。

c)围绕数据生存周期,了解相关方的数据保护需求,并对数据进行严格的使用授权和保护。d)能对数据生存周期进行风险监控,及时了解可能存在的风险隐患。

e)通过数据脱敏、加密、过滤等手段,保证数据安全和数据隐私。

f)定期开展数据安全风险分析活动,明确分析要点,制定风险预案并监督实施。g)定期汇总、分析企业内部的数据风险问题,并形成数据保护知识库。

h)定期开展数据保护相关培训和宣传,提升人员数据保护意识。

i)数据保护管理工作符合相关法律法规、规章制度以及金融行业规范等。

j)依据保护策略提供数据收集、传输、存储、使用、删除、销毁等全生命周期的保护。k)采用或提供云服务时依据数据保护策略提供数据保护。

l)依据个人金融信息保护策略开展数据隐私保护。

m)建立涵盖密钥生成、存储、备份、恢复、更新、有效期变更、停止使用、撤销、销毁等全生命周期的密钥管理制度,保障数据安全。

n)定义数据保护管理的考核指标和考核办法,并定期考核。

o)定期总结数据保护管理工作,在企业层面发布数据保护管理工作报告。

p)对重点数据的风险控制可落实到字段级,明确核心字段的保护等级和管控措施。q)能主动防范数据风险,并对已发生的数据风险问题进行溯源和分析。

r)建设自动化工具或平台,实现对数据保护管理工作的自动化支持能力。


11.3数据保护审计


11.3.1概述


数据保护审计是一项控制活动,负责定期分析、验证、讨论、改进数据保护管理相关的策略、规范和活动。审计工作可由企业内部或外部审计人员执行,并且审计人员独立于审计所涉及的数据和流程。


11.3.2工作措施


数据保护审计采取的工作措施包括但不限于:

a)评审数据保护规范与策略是否满足国家法律法规、金融行业规章制度要求,检查数据保护管理规范与策略是否能满足业务需要,以及数据保护管理的措施是否能按照数据保护管理规范与策略的要求进行。

b)在企业层面规范、统一数据保护审计的流程、相关文档模板和规范,并征求相关方意见。

c)制定数据保护审计计划,评审企业数据保护等级的划分情况,评审数据保护管理岗位、职责、流程的设置和保护审计计划的执行情况,定期发布数据保护审计报告。

d)针对合规性审计、日志审计、网络行为审计、主机审计、应用系统审计、集中操作运维审计分别提出要求,并开展审计工作。数据保护审计覆盖全部重要节点、环节、用户,审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的相关事件。

e)审计记录至少包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。对审计数据、分析结果、审计结果(报告)进行保护,定期备份,避免受到意外删除、修改或覆盖等,留存时间符合法律法规等要求。

f)具备审计工具,对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行审计操作,并对这些操作进行审计。对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

g)对云服务提供者和云服务使用者在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启、管理员用户行为。

h)根据云服务提供者和云服务使用者的职责划分,实现各自控制部分的审计。

i)建立数据保护审计平台,在发现已定义的潜在风险时可实现自动报警或处置。

j)建立数据保护审计报告管理机制,并跟踪数据保护审计工作开展情况。

k)根据数据保护审计结果对数据保护的管理流程、制度进行优化提升,实现数据保护管理的闭环。

l)数据保护审计成为企业审计工作的重要组成部分,能有效推动数据保护规范和策略的优化及实施。


12数据质量


12.1数据质量需求


12.1.1概述


数据质量需求是根据业务、数据需要制定的一种衡量数据质量的规则,是度量和管理数据质量的依据,包括技术指标、业务指标以及相应的校验方法。数据质量需求符合相关规范,依据数据管理目标、业务管理需求和行业监管要求统一制定和管理。


12.1.2工作措施


数据质量需求采取的工作措施包括但不限于:

a)深入分析数据质量管理目标、范围、规则等,明确数据质量需求。

b)数据质量需求符合内部管理、行业监管、国家及金融行业标准规范等的相关要求。

c)制定数据质量需求统一模板,明确相关管理规范。

d)建立机制明确各类数据管理人员及相关职责,制定各类数据的优先级和质量管理需求。

e)设计统一的数据质量评价指标体系以及相应的规则库,数据质量评价指标体系的制定符合国家标准、金融行业相关规范。

f)将数据质量需求融入数据生命周期管理的各个阶段,能满足业务发展的需要。

g)定义并应用量化指标,衡量数据质量规则库运行的有效性,持续优化数据质量规则库。


12.2数据质量检查


12.2.1概述


数据质量检查是根据数据质量规则中的技术指标、业务指标、校验方法等对数据质量进行有效监控、发现问题并及时反馈的一种方法。


12.2.2工作措施


数据质量检查采取的工作措施包括但不限于:

a)基于出现的数据问题,开展数据质量检查工作。

b)制定统一的数据质量检查管理制度、流程和工具,明确数据质量检查的主要内容和方式,定义相关人员的职责。

c)明确各个阶段数据质量的检查点、检查模板,强化数据质量检查管理。

d)制定企业级的数据质量检查计划。

e)在企业层面统一开展数据质量的校验,帮助数据管理人员及时发现数据质量问题。

f)在企业层面建立数据质量问题发现、告警机制,明确数据质量责任人员。

g)采用技术手段开展数据核验,保障共享数据、监管报送数据等的一致性、完整性、真实性。

h)建立数据质量相关考核制度,明确数据质量考核的目标、范围和方法。

i)定义并应用量化指标对数据质量检查和问题处理过程进行有效分析,及时对相关制度和流程进行优化。

j)将数据质量管理纳入业务人员日常管理工作中,主动发现并解决相关问题。


12.3数据质量分析


12.3.1概述


数据质量分析作为数据质量提升的参考依据,通过对检查过程中发现的数据质量问题及相关信息进行分析,找出影响数据质量的原因,并定义数据质量问题的优先级。


12.3.2工作措施


数据质量分析采取的工作措施包括但不限于:

a)基于出现的数据质量问题开展数据质量分析,明确数据质量问题原因和影响。

b)数据质量分析满足内部管理、行业监管等要求。

c)建立企业级的数据质量问题评估分析方法,制定统一的数据质量报告模板,明确数据质量问题分析的要求。

d)制定数据质量问题分析计划,定期进行数据质量问题分析。

e)对数据质量关键问题的根本原因、影响范围进行分析。

f)定期组织编制数据质量报告并发送至相关方。

g)建立数据质量分析案例库、知识库,提升人员对数据质量的关注度和理解度。

h)建立数据质量问题的效益评估模型,分析数据质量问题对机构效益的影响。

i)通过数据质量分析及时发现潜在的数据质量风险,预防数据质量问题的发生。

j)持续优化数据质量知识库。

k)通过数据质量分析提升人员的数据质量意识。


12.4数据质量提升


12.4.1概述


数据质量提升针对数据质量分析结果,制定实施数据质量改进和数据问题预防方案,确保数据质量改进工作有效落实。具体包括错误数据更正、业务流程优化、应用系统问题修复等。


12.4.2工作措施


数据质量提升采取的工作措施包括但不限于:

a)建立数据质量整改机制。

b)建立企业层面的数据质量提升管理制度,明确数据质量提升方案的构成要素,指导数据质量提升工作。

c)明确数据质量提升的相关方及其职责,明确数据质量问题责任人,及时处理出现的问题,并提出相关建议。

d)结合相关方的诉求制定数据质量提升工作计划,并监督执行。

e)跟踪内部管理、行业监管等要求的变化,及时更新数据质量提升管理制度。

f)定期开展数据质量提升工作,对重点问题进行汇总分析,制定数据质量提升方案,避免相关问题的发生,形成良性循环。

g)对数据质量问题进行校正,建立数据质量跟踪记录。

h)根据数据质量分析,制定并实施数据质量问题预防方案。

i)持续开展培训和宣传,建立企业数据质量文化氛围。

j)企业中的管理人员、技术人员、业务人员能协同推动数据质量提升工作。

k)通过量化分析的方式对数据质量提升过程进行评估,并对管理过程和方法进行优化。


13数据应用


13.1数据分析


13.1.1概述


数据分析是对企业各项经营管理活动提供数据决策支持而进行的数据挖掘、建模、成果交付推广等的活动,有助于促进业务发展。


13.1.2工作措施


数据分析采取的工作措施包括但不限于:

a)具有专门的数据分析团队,统筹各部门数据分析需求。

b)在企业内部建立统一的数据分析与应用的管理办法,指导各部门数据分析工作。

c)形成统一的数据分析管理平台,数据分析结果能在各个部门之间复用,分析口径定义明确,可实现数据统一管理、按需调用。

d)建设企业统一报表平台,支持部门间及部门内部的常规报表分析和数据接口开发。

e)在风险管理、业务经营与内部控制中加强数据分析结果应用,实现数据驱动。

f)根据JR/T0171—2020相关要求,建立个人金融信息滥用及泄露防范机制,对个人金融信息滥用行为与泄漏风险进行有效的识别、监控和预警。

g)建立分析结果评价方法,量化评价数据分析效果。

h)建立数据分析模型库,支持业务人员进行数据分析处理,并主动开展数据分析方法或模型等方面的自主创新。

i)运用数据仓库、数据挖掘、机器学习、数据可视化等技术方法,深入开展数据分析。


13.2数据交换


13.2.1概述


数据交换是指数据在企业内外部的流转交互,包括按一定策略引入外部数据供内部应用以及有选择地对外提供企业内部数据等。数据交换的主要目的是通过及时高效获取外部数据和安全合规分享内部数据,从而更好地发挥数据价值。开展数据交换需建立明确的交换目录和策略,并做好交换合作方的管理。


13.2.2工作措施


数据交换采取的工作措施包括但不限于:

a)数据交换满足数据保护等相关要求。

b)对数据交换实行统一管理,规范数据交换工作。

c)在企业层面制定统一的数据交换策略,指导数据交换实践。

d)在企业层面制定数据交换目录,便于内外部用户浏览、查询可供交换的数据。

e)根据需求更新完善数据交换目录。

f)加强对外部合作机构的管理,确认外部数据的合规性、完整性、真实性。

g)按照安全合规、专事专用、最小够用要求开展数据交换,对交换获得的数据未经许可不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其他目的。

h)定期开展内部评估和外部意见收集,及时改进数据交换流程和策略,消除相关风险。

i)按照JR/T0196—2020、JR/T0149—2016等,积极运用多方安全计算、标记化等技术,提升数据交换安全性。


13.3数据服务


13.3.1概述


数据服务是通过对企业内外部数据的统一加工和分析,结合公众、行业和企业的需要,以数据分析结果的形式提供服务。数据服务一般需经过需求分析、服务开发、服务部署、服务监控、用户管理等过程。


13.3.2工作措施


数据服务采取的工作措施包括但不限于:

a)建立企业层面统一的数据服务申请、审核和监控制度。

b)制定数据服务管理相关的流程和策略,实现数据服务规范管理。

c)根据业务需求,设计对外提供的数据服务产品。

d)编制并发布统一的数据服务目录。

e)定期评估数据使用情况,并向相关方提供数据应用情况报告。

f)对数据服务进行状态监控、统计分析、服务管理、用户意见处理等。

g)对数据服务价值进行量化评估,持续提升数据服务质量。


14数据生存周期管理


14.1数据需求管理


14.1.1概述


数据需求是指企业在业务运营、经营分析和战略决策过程中产生和使用数据的分类、含义、分布和流转相关要求的描述。


14.1.2工作措施


数据需求管理采取的工作措施包括但不限于:

a)建立和执行规范化的数据需求收集、验证和汇总流程。

b)数据需求管理流程与信息化项目管理流程协调一致。

c)建立统一的数据需求管理模板,明确数据需求描述有关内容。

d)统筹各部门的数据需求,根据业务、管理等方面的要求制定数据需求的优先级。

e)开展数据需求评审,与相关方就数据优先级、应用范围、权责等内容达成共识。

f)记录、管理和维护业务流程与数据需求的匹配关系。

g)基于数据需求对数据规范和数据架构进行完善,增强三者之间的一致性。

h)建立数据需求变更管理流程,并对需求变更进行管理。

i)采取有效措施持续改善数据需求管理流程。

j)定义并应用量化指标,衡量数据需求管理的有效性。


14.2数据开发管理


14.2.1概述


数据开发是指设计实施数据解决方案、提供数据服务并持续满足企业数据需求的过程。数据解决方案包括数据结构设计、采集存储、整合交换、挖掘探索、可视化(报表、用户视图)等内容。


14.2.2工作措施


数据开发管理采取的工作措施包括但不限于:

a)建立并执行规范化的数据开发流程。

b)建立数据开发规范、设计模板,指导数据开发。

c)建立并执行数据开发的质量规范、保护规范。

d)数据开发过程中参考权威数据源的设计,优化数据集成关系并进行评审。

e)明确数据供需双方职责,统一开展数据准备工作。

f)在数据解决方案中制定并执行数据权限管控,确保数据所有权、数据保护等得到有效保障。

g)数据开发能支撑数据战略的落地,有效促进数据的应用。

h)采取有效措施持续改善数据开发流程。

i)定义并应用量化指标,衡量数据开发流程的有效性。


14.3数据维护管理


14.3.1概述


数据维护是指数据服务上线投入运营后,对数据采集、数据处理、数据存储等日常的运行维护,保证数据正常服务的过程。


14.3.2工作措施


数据维护管理工作措施包括但不限于:

a)建立并执行数据维护规范化管理方案和流程。

b)在数据采集环节,建立并执行规范化管理流程和规则,强化数据源管理。

c)在数据访问环节,制定并严格执行数据访问策略、涉密数据策略等,并对数据访问行为进行合规检测。

d)在数据处理环节,确保数据平台及相关数据服务安全高效运转,能够及时响应各类数据提取、分析等需求。

e)在数据存储环节,按照授权方式存储数据并在数据保存期限内做好数据保护,禁止擅自留存未经授权的数据。

f)定期生成并发布数据维护管理工作报告。

g)采取有效措施持续改善数据维护管理方案和流程。

h)定义并应用量化指标,衡量数据维护管理工作的有效性。


14.4历史数据管理


14.4.1概述


历史数据管理是指根据法律法规、行业监管要求,以及业务、技术等方面的需求对历史数据进行归档、迁移、销毁等。


14.4.2工作措施


历史数据管理采取的工作措施包括但不限于:

a)满足内部管理、行业监管等对历史数据的管理要求。

b)制定统一的历史数据定义规范和处置规范,对历史数据进行准确定位,合法合规确定处置方式。

c)结合业务需求对不同历史数据建立并执行符合处置规范的管理策略,提升数据访问性能,降低数据存储成本,保证数据的安全。

d)历史数据的处置需科学、合理,无纰漏、无隐患。

e)实施数据处理方案过程中,进行全流程记录和重要节点监督,对数据销毁等处置落实到多人并相互监督。

f)对于保留的历史数据,定期开展数据可用性和可恢复性验证。

g)建立历史数据恢复请求审批机制,规范历史数据的恢复管理。

h)采取有效措施持续改善历史数据管理策略。

i)定义并应用量化指标,衡量历史数据管理的有效性。



参考文献


[1]GB/T35295—2017信息技术大数据术语

[2]GB/T36073—2018数据管理能力成熟度评估模型

[3]JR/T0092—2019移动金融客户端应用软件安全管理规范