T/NIFA 21-2023 金融数据安全技术防护规范

ICS03.060

CCSA11

团体标准

T/NIFA21—2023

金融数据安全技术防护规范

Financialdatasecurity

technicalprotectionspecification

2023—11—10发布2023—11—10实施

中国互联网金融协会发布

T/NIFA21—2023

目次

前言..................................................................................II

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语与定义...........................................................................1

4缩略语...............................................................................4

5金融数据安全技术总则.................................................................4

5.1概述.............................................................................4

5.2目标.............................................................................5

5.3原则.............................................................................5

6金融数据安全技术防护框架.............................................................5

7金融数据基础安全.....................................................................6

7.1制度规范.........................................................................6

7.2人员管理.........................................................................7

7.3金融数据资产管理.................................................................8

7.4金融数据分类分级.................................................................8

8金融数据全生命周期安全..............................................................10

8.1数据采集安全....................................................................10

8.2数据传输安全....................................................................10

8.3数据存储安全....................................................................11

8.4数据使用安全....................................................................12

8.5数据交换安全....................................................................17

8.6数据销毁安全....................................................................18

9金融数据安全监管与运维..............................................................18

9.1边界管控........................................................................18

9.2访问控制........................................................................19

9.3数据安全监测....................................................................19

9.4数据安全审计....................................................................21

9.5数据安全评估....................................................................21

9.6安全事件应急处置................................................................22

附录A（资料性）自动化数据分类分级技术.................................................23

附录B（资料性）数据脱敏技术...........................................................25

附录C（资料性）数据加密技术...........................................................27

附录D（资料性）用户实体行为分析技术...................................................29

附录E（资料性）安全级别定义...........................................................31

参考文献..............................................................................32

I

T/NIFA21—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》和GB/T

20004.1—2016《团体标准化第1部分：良好行为指南》给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国互联网金融协会提出。

本文件由中国互联网金融协会归口。

本文件起草单位：中国互联网金融协会、同盾科技有限公司、海问律师事务所、奇富科技股份有限

公司、重庆富民银行股份有限公司、中互金认证有限公司。

本文件主要起草人：单强、陆书春、朱勇、王新华、唐晓军、李阜新、马丹、高建锋、周良、陈克

举、赵新、邓康、杨建媛、李娜、马元朋、王睿、刘志刚、邬肖玢。

II

T/NIFA21—2023

金融数据安全技术防护规范

1范围

本文件规定了金融数据安全技术防护的目标和原则，明确了相关制度规范、数据全生命周期安全、

数据安全监管和运维方法等内容，确立了金融机构在开展业务和进行经营管理过程中的数据安全技术

防护方案。

本文件适用于金融机构开展金融数据安全技术防护使用，并为第三方评估机构单位开展金融数据

安全防护检查与评估工作提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

GB/T35273—2020信息安全技术个人信息安全规范

3术语与定义

GB/T35273—2020和GB/T25069—2022界定的以及下列术语和定义适用于本文件。

3.1

金融数据financialdata

金融机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。

注：该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理。

[来源：JR/T0197—2020，3.10，有修改]

3.2

个人信息personalinformation

以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人

活动情况的各种信息。

注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内

容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或

者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。

[来源：GB/T35273—2020，3.1，有修改]

3.3

个人金融信息personalfinancialinformation

1

T/NIFA21—2023

金融机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。

注1：个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定

个人某些情况的信息。

注2：改写GB/T35273—2020，定义3.1。

[来源：JR/T0185—2020，3.9]

3.4

敏感个人信息sensitivepersonalinformation

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人

信息。

注1：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周

岁未成年人的个人信息等。

注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或滥用可能危害人

身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇的，属于个人敏感信息。

[来源：GB/T41479—2022，3.7]

3.5

敏感数据sensitivedata

由权威机构确定的受保护的信息数据。

注：敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。

[来源：GB/T39477—2020，3.7]

3.6

重要数据importantdata

一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。

3.7

数据安全datasecurity

通过管理和技术措施，确保数据有效保护和合规使用的状态。

[来源：GB/T37988—2019，3.1]

3.8

保密性confidentiality

信息对未授权的个人、实体或进程不可用或不可泄露的性质。

[来源：GB/T25069—2022，3.41]

3.9

完整性integrity

准确和完整的性质。

[来源：GB/T25069—2022，3.612]

3.10

可用性availability

2

T/NIFA21—2023

可由经授权实体按需访问和使用的性质。

[来源：GB/T25069—2022，3.345]

3.11

真实性authenticity

一个实体是其所声称实体的性质。

[来源：GB/T25069—2022.3.769]

3.12

数据生命周期datalifecycle

数据从产生，经过数据采集、数据传输、数据存储、数据使用（包括访问、导入与导出、加工、展

示、开发测试、汇聚融合、公开披露、转让等）、数据交换，直至数据销毁等各种生存形态的演变过程。

[来源：GB/T35274—2017，3.2，有修改]

3.13

匿名化anonymization

通过对个人信息的技术处理，使得个人信息主体无法被识别或关联，且处理后的信息不能被复原的

过程。

注：个人信息经匿名化处理后所得的信息不属于个人信息。

[来源：GB/T35273—2020，3.14]

3.14

数据脱敏datadesensitization

通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。

[来源：GB/T37988—2019，3.12]

3.15

数据沙箱datasandbox

一种通过实现数据所有权和数据使用权分离，以确保数据流通过程安全可控的产品或平台。

3.16

数据水印digitalwatermarking

一种将特定的数字信号嵌入数据产品中以保护数字产品版权、完整性防复制或去向追踪的技术。

[来源：GB/T36303—2018.3.1，有修改]

3.17

访问控制accesscontrol

一种确保数据处理系统的资源只能由经授权实体以授权方式进行访问的手段。

[来源：GB/T25069—2022.3.147]

3.18

溯源信息provenanceinformation

数据处理过程中记录的可以实现追踪数据来源的信息。

3

T/NIFA21—2023

[来源：GB/T39477—2020，3.10]

3.19

多方安全计算securemulti—partycomputation

多方安全计算主要研究针对无可信第三方情况下，安全地进行多方协同的计算问题。即在一个分布

式网络中，多个参与实体各自持有秘密数据，各方希望以这些数据为输入共同完成对某函数的计算，而

要求每个参与实体除计算结果、预期可公开的信息外均不能得到其他参与实体的任何输入信息。

注：多方安全计算的常用技术有混淆电路（GarbledCircuit）、不经意传输（ObliviousTransfer）、秘密分享

（也称为秘密分割，SecretSharing）、同态加密（HomomorphicEncryption）等。

3.20

联邦学习federatedlearning

一种多个参与方在保证各自原始私有数据不出数据方定义的私有边界的前提下，协作完成某项机

器学习任务的机器学习模式。

4缩略语

下列缩略语适用于本文件：

API：应用程序接口（ApplicationProgrammingInterface）

DES—CBC：数据加密标准—密码块链接（DataEncryptionStandard—CipherBlockChaining）

DLP：数据泄露防护（DataLeakageProtection）

IP：网际互连协议（InternetProtocol）

MAC：媒体访问控制（MediaAccessControl）

MD5：消息摘要算法（Message—DigestAlgorithm5）

SHA1：安全散列算法（SecureHashAlgorithm1）

SSL：安全套接层协议（SecureSocketLayer）

TLS：安全传输层协议（TransportLayerSecurity）

UEBA：用户实体行为分析（UserandEntityBehaviorAnalytics）

5金融数据安全技术总则

5.1概述

金融数据安全技术防护旨在对金融数据资产进行全面梳理，并指导金融机构设置数据安全防护措

施。数据安全防护管理是建立统一、完善的数据生命周期安全保护框架的基础工作，能够为金融机构制

定有针对性的数据安全管控措施提供支撑。

a)组织保障：数据安全组织保障是数据安全技术防护框架必不可少的组成部分，确保数据安全工

作具有包括决策层、管理层、执行层以及监督层的完善管理体系，是确保数据安全防护机制能

够有效落实和严格执行的基石；

b)核心保障：数据生命周期安全防护要求是数据安全技术防护框架的核心，针对不同数据类型的

安全防护要求，明确其在采集、传输、存储、使用、删除以及销毁等数据生命周期各个环节的

安全防护要求，是金融机构开展数据安全防护工作的基本依据；

c)运维保障：在金融机构日常运营过程中，加强在监测运维过程中的数据安全风险防控能力，可

保障数据安全防护机制的有效执行，和数据安全问题的及时发现与应对。

4

T/NIFA21—2023

5.2目标

数据安全防护的目标是保障金融数据及其应用过程中的运营合规、风险可控和价值实现，主要包括：

a)运营合规：建立符合法律法规和行业监管的数据运营管理体系，保障数据及其应用的合规；

b)风险可控：建立数据风险管控机制，确保数据及其应用满足风险偏好和风险容忍度；

c)价值实现：构建数据价值实现体系，促进数据资产化和数据价值实现。

5.3原则

为防范和抵御金融数据安全风险，金融机构在开展业务及日常经营管理过程中，遵循以下数据安全

基本原则：

a)合法合规原则：满足国家法律法规及行业主管部门有关规定，确保金融数据全生命周期活动的

合法性和正当性；

b)目的明确原则：制定金融数据安全防护策略，明确金融数据生命周期各环节的安全防护目标和

要求；

c)授权保密原则：向个人金融信息主体明示数据采集和处理的目的、方式、范围、规则等，制定

完善的隐私政策，在进行数据采集和处理前征得其授权同意，对所涉及的信息进行严格保密；

d)最小够用原则：金融机构应仅处理个人金融信息主体授权同意的金融数据，处理的金融数据为

业务所必需的最小金融数据类型和数量；

e)全程可控原则：采取与金融数据安全级别相匹配的安全管控机制和技术措施，确保金融数据在

全生命周期各环节的保密性、完整性和可用性，避免数据在全生命周期内被未授权访问、破坏、

篡改、泄漏或丢失等；

f)动态控制原则：金融数据的安全控制策略和安全防护措施不是一次性和静态的，可基于业务需

求、安全环境属性、系统用户行为等因素实施实时和动态调整；

g)权责一致原则：明确本机构数据安全防护工作相关部门及其职责，有关部门及人员积极落实相

关措施，履行数据安全防护职责。

6金融数据安全技术防护框架

金融数据安全技术防护框架（见图1）包含以下四部分：

a)金融数据安全总则：包含金融数据安全防护的任务、目标和原则；

b)金融数据全生命周期安全：包含数据采集、数据传输、数据存储、数据使用、数据交换和数据

销毁；

c)金融数据基础安全：包含制度规范、人员管理、数据资产管理和数据分类分级；

d)金融数据检测及运维安全：包含边界管控、访问控制、数据安全监测、数据安全审计、数据安

全评估和安全事件应急处置。

5

T/NIFA21—2023

图1金融数据安全技术防护框架

7金融数据基础安全

7.1制度规范

金融机构应建立统一的金融数据安全管理制度体系，明确各层级部门与相关岗位数据安全工作的

职责，规范工作流程。数据安全管理制度体系要求如下：

a)应依据国家与行业主管和监管部门要求，结合机构自身风险管控策略和偏好、安全建设预算等

因素，制定本机构数据安全总体安全策略、方针、目标、原则；

b)应制定本机构数据分级规程，识别并维护本机构数据资产清单，并标注相应的数据级别；

c)应制定数据安全管理制度及实施细则并定期评价更新，确保基于数据分级的数据安全制度体系

覆盖机构数据全生命周期，并对有关制度的有效性进行定期评价与更新，具体要求如下：

1)制定本机构数据安全管理规定，提出本机构数据安全生命周期保护工作的总体策略；

2)针对不同安全级别的数据，制定相应的安全策略和保障措施；

3)建立金融数据安全日常管理及操作流程，对数据生命周期各阶段的数据保护工作提出具体

要求；

4)建立合理、统一的密码使用和密钥管理技术规范和制度；

5)建立数据脱敏技术规范和制度，明确不同安全级别数据脱敏规则、脱敏方法和脱敏数据的

使用限制，配置脱敏数据识别和脱敏效果验证服务组件或技术手段，确保数据脱敏的有效

性和合规性，对数据的脱敏操作过程留存日志记录，用于审核违规使用、审核脱敏完整性；

6)建立数据供应方安全管理要求，确定数据来源合法合规，对数据的真实性、有效性进行管

理；

6

T/NIFA21—2023

7)建立数据出境安全控制要求与操作程序；

8)建立数据采集、传输、存储、使用、删除及销毁相关审核规程，宜采用电子化手段实现审

核流程；

9)制定数据采集的操作规程，规范数据采集的渠道、数据格式、流程和方式；

10)建立数据安全评估、个人金融信息安全影响评估以及内外部数据安全检查与评估制度；

11)建立数据安全事件管理、处置规程和应急响应等机制，明确重大数据安全事件的处置流程

及应对方法。

d)应定期审核和更新金融数据安全管理制度；

e)在本机构组织架构发生重大调整或数据相关服务发生重大变化时，应及时对金融数据安全策略

与规程进行评估，并按需进行修订和更新。

7.2人员管理

金融机构应对涉及数据安全的人员进行管理，具体要求如下：

a)人员录用及日常管理方面：

1)录用员工前，进行必要的背景调查；

2)对数据安全关键岗位制定统一的保密协议，并与可接触机构3级及以上数据的员工以及从

事数据安全关键岗位的员工签署保密协议；

3)识别机构数据安全关键岗位，并与其签署数据安全岗位责任协议，数据安全关键岗位包括

但不限于：

——数据安全管理岗位、审计岗位；

——业务操作与信息技术操作特权账户所有者；

——数据各级权限审批岗位；

——重要数据处理岗位；

——信息系统开发、测试岗位人员；

——因业务需要，需高频和（或）大批量接触3级及以上数据的岗位人员；

——外部数据采购岗位；

——其他金融机构识别的数据安全关键岗位。

4)发生人员调离岗位时，立即完成相关人员数据访问、使用等权限的配置调整，并明确有关

人员后续的数据保护管理权限和保密责任；若有关人员调整后的岗位不涉及数据的访问与

处理的，明确其继续履行有关信息的保密义务要求；

5)与员工终止劳动合同时，立即终止并收回其对数据的访问权限，明确并告知其继续履行有

关信息的保密义务要求，并签订保密承诺书；

6)建立外部人员管理制度，对允许被外部人员访问的系统和网络资源建立数据存取控制机制、

认证机制，列明所有外部用户名单及其权限，加强对外部人员的数据安全要求和培训，必

要时签署保密协议。

b)在人员培训和教育方面，应制定数据安全相关岗位人员的安全专项培训计划：

1)按照培训计划定期开展数据安全意识教育与培训，培训内容包括但不限于国家有关法律法

规、行业规章制度、技术标准，以及金融机构内部数据安全有关制度与管理规程等内容，

并对培训结果进行评价、记录和归档；

2)对密切接触高安全等级数据的人员定期开展数据安全意识教育和培训，培养办公数据定期

删除意识，并定期开展数据删除自查工作；

3)每年至少对数据安全管理专职与关键岗位人员进行1次数据安全专项培训；

4)至少每年1次或在隐私政策发生重大变化时，对数据安全关键岗位上的人员开展专业化培

7

T/NIFA21—2023

训和考核，确保人员熟练掌握隐私政策和相关规程。

c)在数据安全技术方面，应具备以下能力：

1)应熟悉国内外主流的数据安全产品和工具，如DLP、脱敏工具、加密平台、数据溯源和态势

感知平台等，能判断当前组织的需求；

2)在数据生命周期中，应能评估潜在数据安全风险，包括但不限于数据泄露风险、数据篡改

风险、数据滥用风险等，并能制定有效、合理降低数据风险的解决方案或措施；

3)应对敏感数据流动做好审计工作，具备风险排查能力，以及快速处置数据篡改和数据泄露

的能力；

4)应对当前数据安全体系进行技术验证，可采用白盒、灰盒和黑盒等安全测试和对抗，确保

数据安全防御形成一个持续迭代更新的良性循环系统；

5)应了解国内外前沿的数据安全和隐私保护技术，如加密技术、差分隐私和UEBA等，能在恰

当时期引入组织需要的技术，降低数据安全和隐私保护的风险。

d)在数据相关人员管理及关键岗位设置方面，应进一步加强管理，对接触高安全等级金融数据的

人员及其岗位进行审批和登记，并定期对这些人员的行为进行安全审查；

e)数据库管理员、操作员及安全审计人员等岗位应设立专人专岗，并实行职责分离；必要时特权

账户所有者、关键数据处理岗位等数据安全关键岗位应设立双人双岗，强化数据安全管理。

7.3金融数据资产管理

金融数据资产管理应执行国家及行业监管要求，并结合金融机构实际情况，具体要求如下：

a)应明确数据资产安全责任主体及相关方；

b)应通过技术工具实现数据资产的自动识别与发现，包括但不限于：资产扫描、元数据接口对接、

数据字典导入等方式，收集、发现数据资产。其中，资产扫描方式以任务形式对指定网段内的

各类数据库进行嗅探，自动发现数据库资产并进行备案，再通过对指定数据库进行扫描，识别

库中的表名、表描述、字段名、字段描述、字段类型、字段长度与样本数据；数据字典导入和

接口方式可通过文件导入或与元数据系