6月6日，中国人民银行发布金融行业标准《金融数据安全数据安全能力体系》（JR/T 0358—2026）（以下简称“《能力体系》”），于当天实施。其起草单位包括多家国有银行、股份制银行、城商行、农商行、民营银行等。

该文件提出了金融数据安全能力体系，包括通用数据安全保障、数据分类分级管理、数据生命周期安全及数据安全运营保障4个能力域，从组织建设、制度流程、技术能力及人员能力4个能力维度，将金融从业机构数据安全能力由低到高划分为一至五级，明确了各能力域建设目标及对应等级的能力要求。适用于金融从业机构数据安全能力体系的规划、建设、评估等工作。

数据安全能力体系包含3大部分

《能力体系》提到，数据安全能力体系包含数据安全能力域、数据安全能力维度和数据安全能力等级。

其中，数据安全能力域明确金融从业机构数据安全能力，包括通用能力和专项能力。金融从业机构应在通用能力建设基础上，结合数据应用场景及数据安全工作策略，按照专项能力子域要求建设专项能力，同时宜结合自身数据安全工作特点，自行细化和增补有关专项能力子域的特性化要求。

数据安全能力维度描述金融从业机构在组织建设、制度流程、技术能力及人员能力4个方面应具备的能力。文件提出，在这4方面，应从对应的角度，根据多个方向进行能力等级区分。

例如，在技术能力方面，从金融从业机构数据安全相关安全技术、应用系统、组件/服务等技术应用情况的角度，根据以下方向进行能力等级区分：技术能力对数据安全管理制度及操作规程的标准化、自动化、智能化支持程度；技术能力对数据安全技术落地的有效性、自动化、智能化支持程度；技术能力在数据生命周期全过程安全防护中的普及程度和有效程度；技术能力对本机构数据安全风险评估、监测及应对处置能力的支持程度。

数据安全能力等级从低到高划分为一至五级，用于衡量金融从业机构数据安全建设的体系化程度、制度执行力、防护有效性、安全状态可持续性等整体数据安全能力，等级越高代表机构数据安全工作的系统性、有效性、可靠性和可持续性程度越高。各级均应覆盖组织建设、制度流程、技术能力、人员能力4个维度能力域的能力要求。

其中，等级一的情况为：数据安全工作处于随机、无序和被动执行状态，通常根据临时需求建立、执行临时数据安全管理要求和流程，数据安全建设高度依赖个人经验且无法广泛复制；等级五的情况为：数据安全体系处于持续自我改进和完善的闭环管理状态，并依据数据安全整体战略、目标、规划、实施效果等情况，进行数据安全相关组织、制度、流程、防护机制等需求和策略的自动识别评价和优化调整。

此外，《能力体系》提到，金融从业机构应参照该文件能力体系要求，建立、保持和改进本机构数据安全保障工作能力，并提出了具体应用方法，包括“数据安全能力体系应用”和“专项能力的能力域应用”。

4个能力域及对应能力子域的能力要求

《能力体系》还分别从通用数据安全保障、数据分类分级管理、数据生命周期安全、数据安全运营保障4个能力域提出目标以及细化的能力要求。

其中，通用数据安全保障的目标为，金融从业机构通过构建和完善数据安全相关组织结构、岗位职责、制度规程、技术体系、人员配置等方面工作机制，明确本机构数据安全相关内设部门职责分工、岗位角色和人员分配、策略和规划设计、审批流程设定、技术应用方式、操作规程执行等工作部署，形成科学、系统、全面的数据安全管控体系，防范因策略、制度、技术等管理机制和防护措施的体系漏洞、策略缺失、使用不当或资源不足等问题造成的整体性、系统性数据安全风险。

数据分类分级管理的目标为，金融从业机构结合自身数据资源情况，建立数据资源识别梳理及数据分类分级工作机制，系统、全面开展数据资源分类分级管理工作，建立并维护本机构数据资源目录，明确基于数据分类分级的差异化安全管理需求。

数据生命周期安全又分为数据收集、数据存储、数据传输、数据使用、数据加工、数据提供、数据委托处理、数据公开披露、数据删除、数据销毁等10个环节。《能力体系》从10个环节均提出了对应的目标及能力要求。其中，数据使用环节的目标为，金融从业机构通过建立数据访问、查询、修改、展示、导出等数据使用安全管理机制，明确权限最小化原则，并采取身份鉴别、访问控制、数据脱敏、数据水印、文件加密、操作日志留存等技术措施，提升数据使用合规性和安全性，防范数据滥用、数据泄露、数据篡改等安全风险。

数据安全运营保障也分为权限安全管理、数据备份与恢复、新技术应用风险防控、数据安全风险监测、数据安全风险评估、数据安全合规审计、应急响应与事件处置等7个部分。《能力体系》同样从7个部分提出了对应的目标及能力要求。

需要说明的是，《能力体系》对上述4个能力域以及各自的能力子域均提出了细化的能力要求，并形成了关于各等级能力说明的表格。由于表格较多，本文未一一进行展示，有需要的可点击《金融数据安全 数据安全能力体系》进行下载查阅。