央行發布《金融業數據能力建設指引》(附全文)
發布時間:2021-01-30 20:37 來源: 人民銀行網站
央行近日發布《金融業數據能力建設指引》,規定了數據戰略、數據治理、數據架構、數據規範、數據保護、數據質量、數據應用、數據生存周期管理能力域劃分,明确了相(xiàng)關能力項,提出了每個能力項的建設目标和思路,旨在爲金融機構開展金融數據能力建設提供指導。
附《指引》全文
前言
本文件按照GB/T1.1-2020《标準化工作導則第1部分:标準化文件的結構和起草規則》的規定起草。
請注意本文件的某些内容可能涉及專利。本文件的發布機構不承擔識别專利的責任。
本文件由中國人民銀行提出。
本文件由全國金融标準化技術委員(yuán)會(SAC/TC180)歸口。
1 範圍
本文件規定了數據戰略、數據治理、數據架構、數據規範、數據保護、數據質量、數據應用、數據生存周期管理能力域劃分,明确了相(xiàng)關能力項,提出了每個能力項的建設目标和思路。
本文件适用于指導金融機構開展金融數據能力建設。
2 規範性引用文件
下列文件中的内容通過文中的規範性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改單)适用于本文件。
JR/T 0149—2016 中國金融移動支付 支付标記化技術規範
JR/T 0171—2020個人金融信息保護技術規範
JR/T 0196—2020 多方安全計算金融應用技術規範
JR/T 0197—2020 金融數據安全數據安全分級指南
3 術語和定義
下列術語和定義适用于本文件。
3.1 能力域 capability area
數據管理相(xiàng)關活動、過程等以及一組相(xiàng)關數據能力子域的集合。
3.2 數據戰略 data strategy
組織開展數據工作的願景、目的、目标和原則。
3.3 數據治理 data governance
對數據進行處置、格式化和規範化的過程。
注:1.數據治理是(shì)數據和數據系統管理的基本要素。
2.數據治理涉及數據全生存周期管理,無論數據是(shì)處于靜态、動态、未完成狀态還是(shì)交易狀态。
3.4 數據質量 data quality
在特定條件下使用時,數據特性滿足明确要求及隐含要求的程度。
3.5 數據生存周期 data lifecycle
将原始數據轉化爲可用于行動的知(zhī)識的一組過程。
3.6 主數據 master data
企業中需要跨系統、跨部門進行共享的核心業務實體數據。
3.7 參考數據 reference data
對其他數據進行分類和規範的數據。
4 縮略語
下列縮略語适用于本文件。
PEST:宏觀環境分析模型(Politics Economy Society Technology)
SWOT:企業戰略分析法(Strengths Weaknesses Opportunities Threats)
TCO:總擁有成本(Total Cost of Ownership)
5 能力域與能力項
金融數據管理能力劃分爲8個能力域和29個能力項(見(jiàn)下表)。
能力域及能力項表
6 基本原則
金融業數據能力建設遵循以下基本原則:
——用戶授權。明确告知(zhī)用戶數據釆集和使用的目的、方式以及範圍,确保用戶充分知(zhī)情,獲取用戶自願授權後方可采集使用,嚴格保障用戶知(zhī)情權和自主選擇權。
——安全合規。遵循國家法律法規、管理制度,符合國家及金融行業标準規範,建立健全數據安全管理長效機制和防護措施,通過技術手段将原始信息脫敏,并與關聯性較高的敏感信息進行安全隔離(lí)、分散存儲,嚴控訪問權限,嚴防數據洩露、篡改、損毀與不當使用,依法依規保護數據主體隐私權在數據管理與應用過程中不受侵害。
——分類施策。綜合考量國家安全、公衆權益、個人隐私和企業合法利益等因素,根據數據的保密性、完整性、可用性等屬性受到破壞後的影響對象和影響程度,對數據進行分級分類管理。對不同級别數據進行分類施策,釆取差異化控制措施,實現(xiàn)數據精細化管理。
——最小夠用。規範數據使用行爲,嚴控數據獲取和應用範圍,确保數據專事專用、最小夠用,杜絕過度采集、誤用、濫用數據,切實保障數據主體的數據所有權和使用權。
——可用不可見(jiàn)。建立數據規範共享機制,在保障原始數據可用不可見(jiàn)的前提下規範開展數據共享與融合應用,保證跨行業、跨機構的數據使用合規、範圍可控,有效保護數據隐私安全,确保數據所有權不因共享應用而發生讓渡。
7 數據戰略
7.1數據戰略規劃
7.1.1概述
數據戰略規劃是(shì)基于金融機構對數據的需求,經相(xiàng)關方充分協商達成一緻後拆解出可評估、可衡量、可操作的目标,最終形成數據戰略内容的過程。數據戰略具有一定前瞻性和統領性,内容覆蓋數據管理工作願景、目标、原則、任務、路徑等要素,做到内容全面、目标合理、範圍明确、路徑清晰,可操作性強,能夠指導未來一段時間有效開展數據管理工作。
7.1.2工作措施
數據戰略規劃釆取的工作措施包括但(dàn)不限于:
a)開展數據戰略需求評估,全面考量法律法規、行業監管要求、金融機構業務發展規劃、金融科技發展趨勢等對數據的需求,并将數據戰略列入金融科技發展故略中,
b)對當前和未來面臨内外部形勢開展分析評估和研判。
c)識别數據戰略的相(xiàng)關方,包括行業主管部門、股東、職員(yuán)、客戶、業務合作夥伴等。數據戰略爲相(xiàng)關方充分協商并達成一緻的結果。
d)由董事會負責制定數據戰略。
e)至少考量以下數據戰略内容:
1)願景陳述,包括數據管理的原則、目的和目标。
2)規劃範圍,包括重要業務領域、數據範圍。
3)現(xiàn)狀分析,包括企業當前數據管理現(xiàn)狀及與目标存在的差距。
4)主要工作任務和優先級。
5)所選擇數據管理模型和建設方法。
6)戰略相(xiàng)關方名單。
7)管理層和相(xiàng)關職能部門具體責任和工作任務分工。
8)相(xiàng)關保障措施。
9)量化考核機制。
10)持續優化路線(xiàn)圖。
f)将數據戰略形成文檔,并經審批後以正式文件發布。
g)根據法律法規、監管政策、業務戰略、金融科技發展等方面的要求,持續優化改進數據戰略。
h)運用PEST、SWOT等方法對宏觀環境進行全面分析。
i)以股東大會表決等形式審批數據戰略,确保獲得企業内廣泛認可。
J)通過數據戰略的發布,帶動形成良好的數據文化。
7.2數據戰略實施
7.2.1概述
數據戰略實施是(shì)按照既定目标和路線(xiàn)持續執行數據戰略工作任務的過程,做好工作任務責任分解和措施保障,強化過程監督管理,确保達成預期目标。
7.2.2工作措施
數據戰略實施釆取的工作措施包括但(dàn)不限于:
a)落實數據戰略實施過程中的組織、資金、制度、人才等保障措施。
b)做好數據戰略實施過程中的工作計劃和中長期規劃,有序開展數據戰略實施。在實施過程中定期總結,及時對照修正偏差。
c)明确實施過程中的領導機構和牽頭部門以及具體負責部門的職責分工,做好工作任務分解落實。
d)由監事會對數據戰略的實施過程進行有效監督,強化目标管理與工作考核。
e)強化數據戰略實施組織保障.如設立專職負責數據管理的部門和崗位等。
7.3數據戰略評估
7.3.1概述
數據戰略評估是(shì)在數據戰略實施期間和實施後,對照目标和實施情況全面綜合評價數據戰略實施的效果,并進行閉環反饋。
7.3.2工作措施
數據戰略評估釆取的工作措施包括但(dàn)不限于:
a)針對數據戰略實施建立系統完整的評估準則,明确評估方法。
b)定期對數據戰略實施情況進行評估。
c)根據評估結果對數據戰略逬行持續優化,指導數據管理工作的有效開展。
d)采取量化分析方法或統計方法,從成本、效益、時間、風險等角度對企業整體的數據戰略實施情況開展成本效益評估。
e)構建專門的數據管理TCO方法,衡量評估數據管理工作的切入點和實施基礎的變化,并調整資金預算。
f)編制并發布數據管理資金預算報告。
g)定期對數據能力建設情況進行評估。
8 數據治理
8.1組織建設
8.1.1概述
組織建設包括組織架構、崗位設置、團隊建設、數據責任等内容,是(shì)各項數據職能工作開展的基礎。其目标是(shì)對數據管理和應用進行職責規劃與控制,指導各項數據職能的執行,以确保有效落實數據戰略目标。
8.1.2工作措施
數據治理組織建設采取的工作措施包括但(dàn)不限于:
a)管理層負責數據治理工作相(xiàng)關決策,參與數據治理相(xiàng)關工作。
b)明确統一的數據治理歸口部門,負責組織協調各項數據職能工作。
c)明确數據工作人員(yuán)的崗位職責。
d)制定數據治理工作的評價标準,建立人員(yuán)獎懲制度。
e)建立健全覆蓋管理、業務和技術等方面人員(yuán)的數據責任體系,明确各方在數據管理過程中的職責。
f)定期進行培訓和經驗分享,不斷提高數據治理能力。
g)建立覆蓋管理、技術、運營等的複合型數據團隊。
h)建立适用于數據工作相(xiàng)關崗位人員(yuán)的量化績效評估指标,評估相(xiàng)關崗位人員(yuán)績效,并發布考核結果。
8.2 制度建設
8.2.1槪述
制度建設是(shì)數據管理和數據應用各項工作有序開展的基礎,是(shì)數據治理的依據。制度建設分層次設計,遵循嚴格的發布流程,并定期檢査和更新。
8.2.2工作措施
數據治理制度建設釆取的工作措施包括但(dàn)不限于:
a)建立科學的數據制度框架。
b)建立全面、有效的數據管理和數據應用機制。
c)建立完備的數據制度體系,保障數據治理工作的規範性和嚴肅性。
d)根據實施情況對數據制度進行持續修訂,保障制度有效性。
e)定期開展數據制度相(xiàng)關培訓和宣傳。
f)業務人員(yuán)積極參與數據制度的制定。
g)數據制度的制定符合監管、合規要求。
h)量化評估數據制度的執行情況。
8.3流程規範
數據治理流程規範采取的工作措施包括但(dàn)不限于:
a)建立規範的數據治理流程,規定具體的工作步驟以及各環節主要活動。
b)明确數據治理流程中各參與人員(yuán)工作任務,并有效執行。
c)建立完善的數據治理流程管理機制,用以指導數據治理流程的修訂,保障流程有效性。
d)業務人員(yuán)積極參與數據治理流程的制定,并有效推動業務工作的開展。
e)數據治理流程的制定參考行業先進案例,體現(xiàn)未來業務發展的需要。
8.4技術支撐
8.4.1概述
技術支撐是(shì)指爲開展數據治理工作而建設的相(xiàng)關系統或平台。
8.4.2工作措施
數據治理技術支撐采取的工作措施包括但(dàn)不限于:
a)對數據治理系統或平台進行整體建設規劃。
b)将數據治理相(xiàng)關組織、制度、流程落實到系統或平台當中,以規範數據治理工作流程,提高數據治理工作效率。
c)業務人員(yuán)充分運用系統或平台開展數據治理各領域工作。
d)明确數據治理系統或平台的規劃、建設和運維責任部門。
e)數據治理系統或平台建設參考行業先進案例,充分滿足數據治理各領域工作開展的需要。
f)針對數據治理系統或平台建立科學的效能評價體系,對系統或平台使用效能進行量化評估,不斷完善其功能。
9 數據架構
9.1元數據管理
9.1.1槪述
元數據管理是(shì)關于元數據的創建、存儲、整合、控制等一整套流程的集合。
9.1.2工作措施
元數據管理采取的工作措施包括但(dàn)不限于:
a)根據業務、管理、應用等方面的需求,對元數據進行分類,建立元數據标準,保障元數據的互操作性。
b)建立集中的元數據存儲庫,統一管理多個業務領域及應用系統的元數據。
c)制定和執行貫穿數據生存周期的元數據集成和變更流程,實現(xiàn)元數據釆集和變更規範化管理。
d)制定和執行統一的元數據應用需求管理流程,實現(xiàn)元數據應用需求的規範化管理。
e)通過服務、接口等方式實現(xiàn)各類元數據内容在應用系統之間共享使用。
f)定義并應用量化指标,衡量元數據管理工作的有效性。
g)建立元數據間的關聯關系,并通過可視化形式展現(xiàn)。
h)在滿足用戶授權、安全合規、最小夠用等前提下,實現(xiàn)跨機構、跨行業的元數據共享、交換和應用。
9.2數據模型
9.2.1概述
數據模型使用結構化的語言将收集到的業務經營、管理和決策中使用的數據需求進行綜合分析,并按照模型設計規範将數據需求重新組織。數據模型分爲企業級數據模型和系統應用級數據模型。企業級數據模型包括主題域模型、概念模型和邏輯模型,系統應用級數據模型包括邏輯模型和物理模型。
9.2.2工作措施
數據模型采取的工作措施包括但(dàn)不限于:
a)對應用系統的數據現(xiàn)狀進行全面梳理,了解當前存在的問題并提出解決辦法。
b)分析相(xiàng)關方的數據需求,至少包括系統的分析應用需求、内部組織戰略和合規需求、行業監管需求、跨機構互聯互通需求。
c)制定企業級數據模型開發規範,指導企業級數據模型的開發和管理.
d)建立覆蓋業務經營、管理和決策數據需求的企業級數據模型。
e)使用企業級數據模型指導系統應用級數據模型的設計,并設置相(xiàng)應的角色進行管理。
f)建立企業級數據模型和系統應用級數據模型的映射關系,并根據系統的建設定期更新企業級數據模型。
g)基于數據模型建立統一的數據資源目錄,實現(xiàn)數據資源的統一管理。
h)根據數據變化情況持續維護、發布數據資源目錄。
i)使用企業級數據模型,指導和規劃整個企業應用系統的投資、建設和維護。
j)建立企業級數據模型和系統應用級數據模型的同步更新機制,确保一緻性。
k)及時跟蹤、研判内外部數據需求變化趨勢,持續優化企業級數據模型。
9.3數據分布
數據分布釆取的工作措施包括但(dàn)不限于:
a)在企業層面制定數據分布關系管理規範,統一數據分布關系的表現(xiàn)形式和管理流程。
b)梳理數據與業務流程、組織機構、系統之間的分布關系,形成數據分布關系庫。
c)梳理數據的權威數據源,對每類數據明确合理的唯一管理主體、信息釆集和存儲系統,減少重複采集,降低數據冗餘。
d)根據數據分布關系對數據相(xiàng)關工作進行規範。
e)根據業務流程和系統建設情況,定期維護和更新數據分布關系庫。
f)通過數據分布關系的梳理,員化分析數據相(xiàng)關工作的業務價值。
g)通過數據分布關系的梳理,優化數據的存儲和集成關系。
h)實現(xiàn)數據分布關系管理流程的自動優化,提升管理效率。
9.4數據集成
數據集成釆取的工作措施包括但(dàn)不限于:
a)建立數據集成規範管理制度,明确數據集成管理的原則、方式和方法。
b)形成數據集成管理标準,實現(xiàn)内部數據規範整合與有序流轉。
c)建設數據集成管理平台或工具,實現(xiàn)數據統一釆集與集中管理。
d)對新建系統的數據集成方式進行檢査,确保統一性和規範性.
e)具備持續優化和提升數據集成管理的能力。
10 數據規範
10.1數據元
10.1.1概述
數據元是(shì)由一組屬性規定其定義、标識、表示和允許值的數據單元。通過制定核心數據元的統一規範,提升數據相(xiàng)關方對數據理解的一緻性。
10.1.2工作措施
數據元管理采取的工作措施包括但(dàn)不限于:
a)建立内部數據元管理規範,明确數據元的管理流程。
b)基于國家和金融行業相(xiàng)關制度、規範,建立健全内部數據元規範體系。
c)制定完整的規範落地方案,并發布數據元的統一目錄,提供統一的查詢方法。
d)定期開展數據元規範落地執行情況分析,形成分析報告,并對相(xiàng)關問題進行處理和跟蹤。
e)定期組織開展數據元應用相(xiàng)關培訓。
f)發布數據元管理報告,彙總數據元管理工作的進展。
g)對數據元管理過程進行監控分析,支持數據元信息定期更新,實現(xiàn)數據元髙效有序管理。
h)制定各部門數據元管理工作的考核體系,生成數據元管理考核報告。
10.2參考數據和主數據
10.2.1概述
參考數據是(shì)一組增強數據可讀性、可維護性、可理解性的數據集合。借助參考數據可實現(xiàn)對其他數據的合理分類。
主數據是(shì)企業中需要跨系統、跨部門共享的核心業務實體數據。主數據管理是(shì)對主數據規範和内容進行管理,實現(xiàn)主數據跨系統、跨部門的一緻、共享使用。
10.2.2工作措施
參考數據和主數據管理采取的工作措施包括但(dàn)不限于:
a)制定參考數據和主數據的管理流程,規範參考數據和主數據的應用。
b)實現(xiàn)企業級參考數據和主數據的統一管理、展現(xiàn)和使用。
e)制定企業内部各參考數據和主數據的數據規範,并在企業内部發布。
d)制定編碼規則和數據模型,定義參考數據和主數據唯一标識的生成規則、組成部分及其含義。
e)識别參考數據值域和取值範圍。
f)明确參考數據和主數據管理部門和可信數據源,保障參考數據和主數據的數據質量和使用效果。
g)保持各應用系統中的參考數據和主數據與企業級的參考數據和主數據一緻。
h)新建項目的過程中,統一分析項目與企業内部己有的參考數據和主數據的數據集成問題。
i)建立參考數據和主數據相(xiàng)關的質量規則,分析、跟蹤并推動解決各應用系統中參考數據和主數據的數據質蛍問題。
j)建立參考數據和主數據管理的資源庫。
k)優化參考數據和主數據的管理規範和管理流程,并支持參考數據和主數據信息定期更新,實現(xiàn)參考數據和主數據高效有序管理。
l)制定各部門參考數據和主數據管理工作的考核評價體系。
m)定期生成、發布參考數據和主數據管理工作的考核報告。
10.3明細數據
10.3.1概述
明細數據是(shì)日常生産經營等活動中直接産生或獲取的未經任何加工的初始數據。
10.3.2工作措施
明細數據管理采取的工作措施包括但(dàn)不限于:
a)制定統一的明細數據管理規範、細則等制度文件,規範企業層面的明細數據管理流程,明确明細數據管理要求,包括質量要求、安全要求等。
b)根據企業業務管理需求,制定企業内明細數據主題域分類。
c)根據企業業務戰略需求、行業監管要求建立統一的明細數據資源目錄。
d)遵循統一的業務規則、技術規範,建立企業層面的明細數據規範。
e)明确各類明細數據的管理部門,進行明細數據的管理。
f)對明細數據相(xiàng)關問題進行處理和跟蹤。
g)定期分析明細數據規範執行情況,形成分析報告,不斷完善明細數據規範。
h)結合企業業務情況,根據國家和金融行業相(xiàng)關制度規範,優化完善明細數據規範。
i)定期發布明細數據及其規範管理報告,階段彙總明細數據管理工作的進展。
j)制定明細數據及其規範的考核體系。
k)通過量化分析的方式對明細數據及其規範的管理過程進行考核。
l)定期發布明細數據及其規範管理工作考核報告。
10.4指标數據
10.4.1概述
指标數據是(shì)在經營分析過程中衡量某一個目标或事物的數據,由明細數據按照統計需求和分析規則加工生成,一般由管理屬性、業務屬性、技術屬性等組
10.4.2工作措施
指标數據管理采取的工作措施包括但(dàn)不限于:
a)制定統一的指标數據管理規範、細則等制度文件,規範企業層面的指标數據管理流程,明确指标數據的管理要求,包括質量要求、安全要求等。
b)根據企業業務管理需求制定企業内指标數據分類管理框架,保證指标分類框架的全面性和各分類之間的獨立性。
c)根據指标數據的數據、接門規範等,由相(xiàng)關部門或應用系統定期進行數據的采集、生成。
d)對指标數據進行授權訪問,并根據用戶需求進行數據展示。
e)對指标數據釆集、生成過程進行監控,保證指标數據的準确性。
f)對各部門的指标數據進行統一彙總和梳理,形成企業層面的指标數據字典并發布。
g)根據企業的業務戰略需求、行業監管要求建立統一的指标數據資源目錄。
h)遵循統一的業務規則、技術規範,在企業層面建立指标數據規範。
i)明确各類指标數據的歸口管理部門,負責相(xiàng)應指标數據的管理。
j)對指标數據相(xiàng)關問題進行處理和跟蹤。
k)定期分析指标數據規範執行情況,形成分析報告,不斷完善指标數據規範。
l)建立指标數據價值評價體系,包括質量、标準、應用頻(pín)次、依賴車要性等。
m)結合企業業務情況,根據國家和金融行業相(xiàng)關制度規範,優化完善指标數據規範。
n)定期發布指标數據及其規範管理報吿,階段彙總指标數據管理工作的進展。
o)制定各部門指标數據及其規範的考核體系。
p)通過量化分析的方式對指标數據及其規範的管理過程進行考核。
q)定期發布指标數據及其規範管理工作考核報告。
11 數據保護
11.1數據保護策略
11.1.1概述
數據保護策略是(shì)數據保護的核心内容,在制定的過程中結合企業管理需求、行業監管要求以及相(xiàng)關制度規範等統一制定。
企業在制定數據保護策略的過程中需要了解、掌握行業監管要求,并根據企業對數據保護的業務需要,定義企業數據保護管理的目标、原則、制度、管理組織、管理流程等,制定适合的數據保護标準,确定數據保護等級及覆蓋範圍等,建立數據保護管理策略,指導數據保護管理及相(xiàng)關工作,爲企業的數據保護管理提供保障。
11.1.2工作措施
數據保護策略釆取的工作措施包括但(dàn)不限于:
a)制定數據保護規範與策略相(xiàng)關的管理流程,并以此指導數據保護規範和策略的制定。
b)依據法律法規、行業規章制度以及相(xiàng)關規範的基本要求,建立統一的數據保護規範以及策略并正式發布。
c)識别數據保護相(xiàng)關方,并明确數據保護相(xiàng)關方在數據保護管理過程中的職責。
d)在數據保護規範與策略制定過程中能夠識别企業内外部的數據保護需求,包括法律法規、行業監管的要求。
e)建立針對數據收集、傳輸、存儲、使用、删除、銷毀等全生命周期的安全保護策略。
f)依據法律法規、行業規章制度以及相(xiàng)關規範的基本要求,建立個人金融信息保護策略。
g)針對數據保護,建立相(xiàng)應的風險監測機制、風險評估機制、應急處置機制、風險事件通報機制。
h)根據JR/T0197-2020相(xiàng)關要求,依據合法合規、可執行性、時效性、自主性、差異性、客觀性等原則,建立統一的數據分級分類管理制度。
i)釆用或提供雲服務時制定相(xiàng)應的數據保護策略。
j)定期開展數據保護規範和策略相(xiàng)關教育培訓和宣傳工作。
k)梳理和明确有關法律法規'行業規章制度以及相(xiàng)關規範等關于數據保護方面的要求列表,并與企業的數據保護規範和策略逬行關聯。
l)根據内外部環境的變化定期優化完善數據保護規範與策略。
11.2數據保護管理
11.2.1概述
數據保護管理是(shì)通過開展數據保護等級劃分、數據訪問權限控制、用戶身份認證和訪問行爲監控、數據安全風險防護、數據隐私保護等管理工作,滿足數據保護的業務需求和監管要求,實現(xiàn)對數據生存周期的安全管理。
11.2.2工作措施
數據保護管理采取的工作措施包括但(dàn)不限于:
a)依據保護策略對數據進行全面的等級劃分,清晰定義每級數據的保護需求,明确保護需求的責任部門。
b)根據行業監管對數據保護的要求明确定義數據範圍。
c)圍繞數據生存周期,了解相(xiàng)關方的數據保護需求,并對數據進行嚴格的使用授權和保護。
d)能對數據生存周期進行風險監控,及時了解可能存在的風險隐患。
e)通過數據脫敏、加密、過濾等手段,保證數據安全和數據隐私。
f)定期開展數據安全風險分析活動,明确分析要點,制定風險預案并監督實施.
g)定期彙總、分析企業内部的數據風險問題,并形成數據保護知(zhī)識庫。
h)定期開展數據保護相(xiàng)關培訓和宣傳,提升人員(yuán)數據保護意識。
i)數據保護管理工作符合相(xiàng)關法律法規、規章制度以及金融行業規範等。
j)依據保護策略提供數據收集、傳輸、存儲、使用、删除、銷毀等全生命周期的保護。
k)采用或提供雲服務時依據數據保護策略提供數據保護。
l)依據個人金融信息保護策略開展數據隐私保護。
m)建立涵蓋密鑰生成、存儲、備份、恢複、更新、有效期變更、停止使用、撤銷、銷毀等全生命周期的密鑰管理制度,保障數據安全。
n)定義數據保護管理的考核指标和考核辦法,并定期考核。
o)定期總結數據保護管理工作,在企業層面發布數據保護管理工作報告。
p)對重點數據的風險控制可落實到字段級,明确核心字段的保護等級和管控措施。
q)能主動防範數據風險,并對己發生的數據風險問題進行溯源和分析。
r)建設自動化工具或平台,實現(xiàn)對數據保護管理工作的自動化支持能力。
11.3數據保護審計
11.3.1概述
數據保護審計是(shì)一項控制活動,負責定期分析、驗證、讨論、改進數據保護管理相(xiàng)關的策略、規範和活動。審計工作可由企業内部或外部審計人員(yuán)執行,并且審計人員(yuán)獨立于審計所涉及的數據和流程。
11.3.2工作措施
數據保護審計釆取的工作措施包括但(dàn)不限于:
a)評審數據保護規範與策略是(shì)否滿足國家法律法規、金融行業規章制度要求,檢查數據保護管理規範與策略是(shì)否能滿足業務需要,以及數據保護管理的措施是(shì)否能按照數據保護管理規範與策略的要求進行。
b)在企業層面規範、統一數據保護審計的流程、相(xiàng)關文檔模闆和規範,并征求相(xiàng)關方意見(jiàn)。
c)制定數據保護審計計劃,評審企業數據保護等級的劃分情況,評審數據保護管理肉位、職責、流程的設置和保護審計計劃的執行情況,定期發布數據保護審計報告。
d)針對合規性審計、日志審計、網絡行爲審計、主機審計、應用系統審計、集中操作運維審計分别提出要求,并開展審計工作。數據保護審計覆蓋全部重要節點、環節、用戶,審計内容包括重要用戶行爲、系統資源的異常使用和重要系統命令的使用等系統内重要的相(xiàng)關事件。
e)審計記錄至少包括事件的口期和時間、用戶、事件類型、事件是(shì)否成功及其他與審計相(xiàng)關的信息。對審計數據、分析結果、審計結果(報告)進行保護,定期備份,避免受到意外删除、修改或覆蓋等,留存時間符合法律法規等要求。
f)具備審計工具,對審計管理員(yuán)進行身份鑒别,隻允許其通過特定的命令或操作界面進行審計操作,并對這些操作進行審計。對遠程訪問的用戶行爲、訪問互聯網的用戶行爲等單獨進行行爲審計和數據分析。
g)對雲服務提供者和雲服務使用者在遠程管理時執行的特權命令進行審計,至少包括虛拟機刪除、虛拟機重啓、管理員(yuán)用戶行爲。
h)根據雲服務提供者和雲服務使用者的職責劃分,實現(xiàn)各自控制部分的審計。
i)建立數據保護審計平台,在發現(xiàn)已定義的潛在風險時可實現(xiàn)自動報警或處置。
j)建立數據保護審計報告管理機制,并跟蹤數據保護審計工作開展情況。
k)根據數據保護審計結果對數據保護的管理流程、制度進行優化提升,實現(xiàn)數據保護管理的閉環。
l)數據保護審計成爲企業審計工作的重要組成部分,能有效推動數據保護規範和策略的優化及實施。
12 數據質量
12.1數據質量需求
12.1.1概述
數據質量需求是(shì)根據業務、數據需要制定的一種衡量數據質量的規則,是(shì)度量和管理數據質量的依據,包括技術指标、業務指标以及相(xiàng)應的校驗方法。數據質量需求符合相(xiàng)關規範,依據數據管理目标、業務管理需求和行業監管要求統一制定和管理。
12.1.2工作措施
數據質量需求釆取的工作措施包括但(dàn)不限于:
a)深入分析數據質量管理日标、範圍、規則等,明确數據質量需求。
b)數據質量需求符合内部管理、行業監管、國家及金融行業标準規範等的相(xiàng)關要求。
c)制定數據質量需求統一模闆,明确相(xiàng)關管理規範。
d)建立機制明确各類數據管理人員(yuán)及相(xiàng)關職責,制定各類數據的優先級和質量管理需求。
e)設計統一的數據質量評價指标體系以及相(xiàng)應的規則庫,數據質量評價指标體系的制定符合國家标準、金融行業相(xiàng)關規範。
f)将數據質量需求融入數據生命周期管理的各個階段.能滿足業務發展的需要。
g)定義并應用量化指标,衡量數據質量規則庫運行的有效性,持續優化數據質量規則庫。
12.2數據質量檢查
12.2.1概述
數據質量檢査是(shì)根據數據質量規則中的技術指标、業務指标、校驗方法等對數據質量進行有效監控、發現(xiàn)問題并及時反饋的一種方法。
12.2.2工作措施
數據質量檢查采取的工作措施包括但(dàn)不限于:
a)基于出現(xiàn)的數據問題,開展數據質量檢査工作。
b)制定統一的數據質量檢査管理制度、流程和工具,明确數據質量檢査的主要内容和方式,定義相(xiàng)關人員(yuán)的職責。
c)明确各個階段數據質量的檢査點、檢査模闆,強化數據質量檢査管理。
d)制定企業級的數據質量檢查計劃。
e)在企業層面統一開展數據質量的校驗,幫助數據管理人員(yuán)及時發現(xiàn)數據質量問題。
f)在企業層面建立數據質量問題發現(xiàn)、吿警機制,明确數據質量責任人員(yuán)。
g)采用技術手段開展數據核驗,保障共享數據、監管報送數據等的一緻性、完整性、真實性。
h)建立數據質量相(xiàng)關考核制度,明确數據質量考核的目标、範圍和方法。
i)定義并應用量化指标對數據質量檢查和問題處理過程進行有效分析,及時對相(xiàng)關制度和流程進行優化。
j)将數據質量管理納入業務人員(yuán)日常管理工作中,主動發現(xiàn)并解決相(xiàng)關問題。
12.3數據質量分析
12.3.1概述
數據質量分析作爲數據質量提升的參考依據,通過對檢査過程中發現(xiàn)的數據質量問題及相(xiàng)關信息進行分析,找出影響數據質量的原因,并定義數據質量問題的優先級。
12.3.2工作措施
數據質量分析釆取的工作措施包括但(dàn)不限于:
a)基于出現(xiàn)的數據質量問題開展數據質量分析,明确數據質量問題原因和影響。
b)數據質量分析滿足内部管理、行業監管等要求。
c)建立企業級的數據質量問題評估分析方法,制定統一的數據質量報告模闆,明确數據質量問題分析的要求。
d)制定數據質量問題分析計劃,定期進行數據質量問題分析。
e)對數據質量關鍵問題的根本原因、影響範圍進行分析。
f)定期組織編制數據質量報告并發送至相(xiàng)關方。
g)建立數據質量分析案例庫、知(zhī)識庫,提升人員(yuán)對數據質最的關注度和理解度。
h)建立數據質量問題的效益評估模型,分析數據質量問題對機構效益的影響。
i)通過數據質量分析及時發現(xiàn)潛在的數據質量風險,預防數據質量問題的發生.
j)持續優化數據質量知(zhī)識庫。
k)通過數據質量分析提升人員(yuán)的數據質量意識。
12.4數據質量提升
12.4.1概述
數據質量提升針對數據質量分析結果,制定實施數據質量改進和數據問題預防方案,确保數據質量改進工作有效落實。具體包括錯誤數據更正、業務流程優化、應用系統問題修複等。
12.4.2工作措施
數據質量提升采取的工作措施包括但(dàn)不限于:
a)建立數據質量整改機制。
b)建立企業層面的數據質量提升管理制度,明确數據質量提升方案的構成要素,指導數據質量提升工作。
c)明确數據質量提升的相(xiàng)關方及其職責,明确數據質量問題責任人,及時處理出現(xiàn)的問題,并提出相(xiàng)關建議(yì)。
d)結合相(xiàng)關方的訴求制定數據質量提升工作計劃,并監督執行。
e)跟蹤内部管理、行業監管等要求的變化,及時更新數據質量提升管理制度。
f)定期開展數據質量提升工作,對重點問題進行彙總分析,制定數據質量提升方案,避免相(xiàng)關問題的發生,形成良性循環。
g)對數據質量問題進行校正,建立數據質量跟蹤記錄。
h)根據數據質量分析,制定并實施數據質量問題預防方案。
i)持續開展培訓和宣傳,建立企業數據質量文化氛圍。
j)企業中的管理人員(yuán)、技術人員(yuán)、業務人員(yuán)能協同推動數據質量提升工作。
k)通過量化分析的方式對數據質量提升過程進行評估,并對管理過程和方法進行優化。
13 數據應用
13.1數據分析
13.1.1概述
數據分析是(shì)對企業各項經營管理活動提供數據決策支持而進行的數據挖掘、建模、成果交付推廣等的活動,有助于促進業務發展。
13.1.2工作措施
數據分析采取的工作措施包括但(dàn)不限于:
a)具有專門的數據分析團隊,統籌各部門數據分析需求。
b)在企業内部建立統一的數據分析與應用的管理辦法,指導各部門數據分析工作。
c)形成統一的數據分析管理平台,數據分析結果能在各個部門之間複用,分析口徑定義明确,可實現(xiàn)數據統一管理、按需調用。
d)建設企業統一報表平台,支持部門間及部門内部的常規報表分析和數據接口開發。
0)在風險管理、業務經營與内部控制中加強數據分析結果應用,實現(xiàn)數據驅動.
f)根據JR/T 0171-2020相(xiàng)關要求,建立個人金融信息濫用及洩露防範機制,對個人金融信息濫用行爲與洩漏風險進行有效的識别、監控和預警。
g)建立分析結果評價方法,量化評價數據分析效果。
h)建立數據分析模型庫,支持業務人員(yuán)進行數據分析處理,并主動開展數據分析方法或模型等方面的自主創新,
i)運用數據倉庫、數據挖掘、機器學習、數據可視化等技術方法,深入開展數據分析。
13.2數據交換
13.2.1概述
數據交換是(shì)指數據在企業内外部的流轉交互,包括按一定策略引入外部數據供内部應用以及有選擇地對外提供企業内部數據等。數據交換的主要目的是(shì)通過及時高效獲取外部數據和安全合規分享内部數據,從而更好地發揮數據價值。開展數據交換需建立明确的交換冃錄和策略,并做好交換合作方的管理。
13.2.2工作措施
數據交換采取的工作措施包括但(dàn)不限于:
a)數據交換滿足數據保護等相(xiàng)關要求。
b)對數據交換實行統一管理,規範數據交換工作。
c)在企業層面制定統一的數據交換策略,指導數據交換實踐.
d)在企業層面制定數據交換目錄,便于内外部用戶浏覽、査詢可供交換的數據。
e)根據需求更新完善數據交換目錄。
f)加強對外部合作機構的管理,确認外部數據的合規性、完整性、真實性。
g)按照安全合規、專事專用、最小夠用要求開展數據交換,對交換獲得的數據未經許可不得直接或以改變數據形式等方式提供給第三方,也不得用于或變相(xiàng)用于其他目的。
h)定期開展内部評估和外部意見(jiàn)收集,及時改進數據交換流程和策略,消除相(xiàng)關風險。
i)按照JR/T0196-2020、JR/T0149-2016等,積極運用多方安全計算、标記化等技術,提升數據交換安全性。
13.3數據服務
13.3.1概述
數據服務是(shì)通過對企業内外部數據的統一加工和分析,結合公衆、行業和企業的需要,以數據分析結果的形式提供服務。數據服務一般需經過需求分析、服務開發、服務部署、服務監控、用戶管理等過程。
13.3.2工作措施
數據服務采取的工作措施包括但(dàn)不限于:
a)建立企業層面統-的數據服務申請、審核和監控制度。
b)制定數據服務管理相(xiàng)關的流程和策略,實現(xiàn)數據服務規範管理。
c)根據業務需求,設計對外提供的數據服務産品。
d)編制并發布統一的數據服務目錄。
e)定期評估數據使用情況,并向相(xiàng)關方提供數據應用情況報告。
f)對數據服務進行狀态監控、統計分析、服務管理、用戶意見(jiàn)處理等。
g)對數據服務價值進行量化評估,持續提升數據服務質量。
14 數據生存周期管理
14.1數據需求管理
14.1.1概述
數據需求是(shì)指企業在業務運營、經營分析和戰略決策過程中産生和使用數據的分類、含義、分布和流轉相(xiàng)關要求的描述。
14.1.2工作措施
數據需求管理采取的工作措施包括但(dàn)不限于:
a)建記和執行規範化的數據需求收集、驗證和彙總流程。
b)數據需求管理流程與信息化項目管理流程協調一緻。
c)建立統一的數據需求管理模闆,明确數據需求描述有關内容,
d)統籌各部門的數據需求,根據業務、管理等方面的要求制定數據需求的優先級。
e)開展數據需求評審,與相(xiàng)關方就數據優先級、應用範圍、權責等内容達成共識。
f)記錄、管理和維護業務流程與數據需求的匹配關系。
g)基于數據需求對數據規範和數據架構進行完善,增強三者之間的一緻性。
h)建立數據需求變更管理流程,并對需求變更進行管理。
i)釆取有效措施持續改善數據需求管理流程。
j)定義并應用量化指标,衡量數據需求管理的有效性。
14.2數據開發管理
14.2.1概述
數據開發是(shì)指設計實施數據解決方案、提供數據服務并持續滿足企業數據需求的過程。數據解決方案包括數據結構設計、采集存儲、整合交換、挖掘探索、可視化(報表、用戶視圖)等内容。
14.2.2工作措施
數據開發管理采取的工作措施包括但(dàn)不限于:
a)建立并執行規範化的數據開發流程。
b)建立數據開發規範、設計模闆,指導數據開發。
c)建立并執行數據開發的質量規範、保護規範。
d)數據開發過程中參考權威數據源的設計,優化數據集成關系并進行評審。
e)明确數據供需雙方職責,統一開展數據準備工作。
f)在數據解決方案中制定并執行數據權限管控,确保數據所有權、數據保護等得到有效保障。
g)數據開發能支撐數據戰略的落地,有效促進數據的應用。
h)采取有效措施持續改善數據開發流程。
i)定義并應用量化指标,衡量數據開發流程的有效性。
14.3數據維護管理
14.3.1概述
數據維護是(shì)指數據服務上線(xiàn)投入運營後,對數據采集、數據處理、數據存儲等日常的運行維護,保證數據正常服務的過程。
14.3.2工作措施
數據維護管理工作措施包括但(dàn)不限于:
a)建立并執行數據維護規範化管理方案和流程。
b)在數據采集環節,建立并執行規範化管理流程和規則,強化數據源管理。
c)在數據訪問環節,制定并嚴格執行數據訪問策略、涉密數據策略等,并對數據訪問行爲進行合規檢測。
d)在數據處理環節,确保數據平台及相(xiàng)關數據服務安全高效運轉,能夠及時響應各類數據提取、分析等需求。
e)在數據存儲環節,按照授權方式存儲數據并在數據保存期限内做好數據保護,禁止擅自留存未經授權的數據。
f)定期生成并發布數據維護管理工作報吿。
g)采取有效措施持續改善數據維護管理方案和流程。
h)定義并應用量化指标,衡量數據維護管理工作的有效性。
14.4曆史數據管理
14.4.1概述
曆史數據管理是(shì)指根據法律法規、行業監管要求,以及業務、技術等方面的需求對曆史數據進行歸檔、遷移、銷毀等。
14.4.2工作措施
曆史數據管理采取的工作措施包括但(dàn)不限于:
a)滿足内部管理、行業監管等對曆史數據的管理要求。
b)制定統一的曆史數據定義規範和處置規範,對曆史數據進行準确定位,合法合規确定處置方式。
c)結合業務需求對不同曆史數據建立并執行符合處置規範的管理策略,提升數據訪問性能,降低數據存儲成本,保證數據的安全。
d)曆史數據的處置需科學、合理,無纰漏、無隐患。
e)實施數據處理方案過程中,進行全流程記錄和重要節點監督,對數據銷毀等處置落實到多人并相(xiàng)互監督。
f)對于保留的曆史數據,定期開展數據可用性和可恢複性驗證。
g)建立曆史數據恢複請求審批機制,規範曆史數據的恢複管理。
h)采取有效措施持續改善曆史數據管理策略。
i)定義并應用量化指标,衡量曆史數據管理的有效性。
(文章來源:中國人民銀行)