【5月22-23日 南京】商业银行保险机构数据安全管理办法解读与落地实操

线下时间：2026年5月22日-23日

线下地点：中国•南京

第一天：政策解码+ 治理架构 + 分类分级专题培训

第一部分：监管全景｜《数据安全管理办法》核心要义精解

《办法》出台背景：金监局首部数据安全专项规章的战略意义

1.9章81条框架速览：从数据安全治理到监督管理的全链条设计

2.关键变化解读：

n直接责任人明确为"分管数据安全的高级管理人员"

n模型算法审查时点从"使用时"调整为"投入使用前"

n委托数据处理终止（非中止）时的数据销毁要求

n内外风险并重：防范外部攻击+内部违规操作

3. 互动：《办法》高频考点自测（10道情景判断题）

第二部分：责任体系｜数据安全责任制与组织架构落地

1."谁管业务、谁管业务数据、谁管数据安全"原则的实操拆解

2.三层责任主体界定：

3.主体责任：党委（党组）、董（理）事会

4.第一责任人：机构主要负责人

5.直接责任人：分管数据安全的高级管理人员

6.数据安全归口管理部门的设立要点与协同机制

7. 案例：某股份制银行数据安全治理委员会运作实践与问责机制

第三部分：分类分级｜金融数据分级标准与实操方法

1.《办法》数据分类框架：客户数据、业务数据、经营管理数据、系统运行与安全管理数据

2.三级分级标准详解：

n核心数据：关系国家安全、国民经济命脉

n重要数据：影响公共利益、行业稳定

n一般数据：细分为敏感数据（需强化保护）与其他一般数据

3.分级评估三维模型：影响对象+影响程度+业务场景

4.工作坊：选取1类典型数据（如：企业客户授信信息），现场演练分级判定与标识规则

第四部分：全生命周期管控｜关键环节合规要点

1.采集：最小必要原则、授权同意管理（含企业客户敏感数据共享授权）

2.传输与存储：加密通道、分级存储、密钥管理与访问隔离

3.使用：权限动态管控、操作留痕、敏感数据脱敏策略

4.共享：集团内"双隔离"要求（风险隔离+数据安全隔离）、授权留痕

5.委托处理：供应商准入评估、合同约束、终止时的数据销毁验证

6.销毁：逻辑擦除+物理销毁的双重验证与不可恢复确认

交付：《数据生命周期安全检查清单》（可编辑版，含《办法》条款索引）

第二天：技术防护+ 应急响应 + 综合演练专题培训

第一部分：技术体系｜合规要求下的技术落地路径

基础防护能力：数据库审计、DLP、API网关、零信任架构适配要点

1.高级技术应用边界：

2.动态脱敏、同态加密、联邦学习在金融场景的适用性评估

3.大模型/算法"投入使用前"审查：合理性、正当性、可解释性评估框架

4.新兴风险应对：生成式人工智能应用的数据合规、内容水印与溯源机制

5.对比：不同规模机构技术选型策略（头部机构vs中小银行保险机构）

第二部分：供应链与外包管理｜敏感数据场景下的合规管控

1.外包"两不得"红线：不得外包信息科技管理责任、不得外包数据安全管理责任

2.敏感级及以上数据外包的强化管理：

3.供应商准入：资质审查、安全能力评估、"白名单"机制

4.过程管控：系统上线前安全检测、操作权限隔离、日志审计

5.终止管理：数据返还/销毁的现场验证与不可恢复确认

6.情景模拟：识别"外包商违规留存客户数据"风险与处置流程

第三部分：应急响应｜事件分级与监管报告实操

1.数据安全事件四级分级标准（特别重大/重大/较大/一般）：

2.影响范围：数据类型、涉及区域、影响对象

3.影响程度：危害严重性、经济损失、社会影响

4.应急报告"三时限"要求：

5.一般事件：2小时内初报金监局或派出机构，24小时内提交书面报告

6.特别重大事件：立即处置+同步报告金监局与属地公安，每2小时进展上报

7.重大事件专项审计要求与整改闭环管理

8. 模板：《数据安全事件应急响应预案》框架+监管报告模板（含措辞要点）