欢迎访问学兔兔标准下载网,学习、交流 分享 !
返回首页 |
ICS 03.060 CCS A 11
团 体 标 准
T/BIAMAC 001—2025
保险资产管理行业数据分类分级指南
Guide for classification and grading for data in the insurance asset management
industry
2025-12-25 发布 2026-01-01 实施
中国银行保险资产管理业协会 发 布
T/BIAMAC 001—2025
T/BIAMAC 001—2025
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国银行保险资产管理业协会提出并归口。
本文件起草单位:中国人寿资产管理有限公司、泰康资产管理有限责任公司、国寿投资保险资产管理有限公司、中信保诚资产管理有限责任公司。
本文件主要起草人:王毅、张倩、赵晖、刘蓉、熊文利、方修广、王风刚、李兴、田军、王璞、楚国宾、唐飒、李勇、詹浩强、张奋涛、田野、李愽、朱帅、马子悦。
T/BIAMAC 001—2025
引 言
保险资产管理行业作为金融市场的核心参与者,具有资金规模庞大、投资品类多元、业务链条复杂等特征,涵盖海量投资研究、交易执行、风险控制、运营管理等敏感数据。然而,由于行业不直接面向个人客户开展业务,传统数据安全管理体系多聚焦于银行、保险主业的零售端场景,导致针对保险资产管理业务特性的数据分类标准存在适配性不足、颗粒度粗等问题,难以有效支撑机构对复杂业务场景下的数据安全风险识别与防控。同时,行业面临监管合规要求趋严、数据要素市场化进程加速、数据泄露风险加剧等多重挑战,亟需构建一套贴合保险资产管理业务逻辑的精细化数据分类分级体系。
本文件聚焦于保险资产管理行业,旨在提供科学、实用、可操作的数据分类分级方法,构建行业统一的数据目录,提升数据安全管理标准化水平。
本文件主要内容包括数据分类分级的原则、方法、具体规则、实施步骤及分类分级应用场景,适用于保险资产管理机构对其业务及经营管理过程中,产生和使用的数据进行分类分级管理开展数据分类分级管理活动。通过建立行业适配的分类分级标准,助力机构准确识别数据安全级别,强化数据保护,提升数据治理与安全利用能力,为保险资产管理行业的高质量发展提供有力支撑。
T/BIAMAC 001—2025
保险资产管理行业数据分类分级指南
1 范围
本文件规范了保险资产管理行业数据分类分级的全流程管理要求,涵盖数据分类分级的原则、方法、具体规则、实施步骤及分类分级应用场景等内容。
本文件适用于保险资产管理机构对其业务管理、经营管理、客户服务等过程中,产生和使用的数据进行系统化分类分级管理。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
下列术语和定义适用于本文件。
3.1
数据分类 data classification
根据数据的属性、 内容、敏感程度或用途等特征,按照一定的原则和方法进行区分和归类。
3.2
数据分级 data grading
根据数据的敏感程度、重要性和潜在影响,划分为不同级别,并采取差异化的保护措施。
4 数据分类分级原则
4.1 依法合规原则
数据分类分级应遵循有关法律法规及金融监管部门规定要求,优先识别和管理涉及国家或行业有专门管理要求的数据,建立配套管理机制,确保分类分级结果符合法定安全保护义务。
4.2 全面覆盖原则
数据分类分级应对各类数据进行全面梳理与分类,数据范围需涵盖保险资产管理行业业务管理、经营管理和系统运营等过程中产生和获取的所有数据。
4.3 业务适配原则
数据分类分级应紧密结合保险资产管理行业特性,聚焦投资决策、风险管理、客户服务等核心业务场景,综合评估数据的重要程度、敏感程度差异,科学划分数据安全类型和级别,实现数据安全与业务效率的动态平衡。
T/BIAMAC 001—2025
4.4 动态更新原则
数据分类分级应根据监管政策调整、保险资管业务创新或技术环境变化,对数据分类分级结果、重要数据目录等材料进行动态审核更新。
5 数据分类
5.1 分类方法
基于保险资产管理行业数据的组织结构、业务特点、逻辑层次、扩展性以及管理维护等因素,数据分类采用树形层级分类体系,分为三层(详见附录A) 。各机构可结合自身内部管理要求, 自主决定是否需要细化至第四级分类。
5.2 分类规则
5.2.1 一级分类
保险资产管理行业数据一级分类包括以下四种:
a) 客户数据:服务对象的自然属性和金融身份识别数据;
b) 业务数据:在提供金融服务过程中产生的数据;
c) 经营管理数据:履行职能与经营管理过程中产生、记录的数据;
d) 系统运行和安全管理数据:信息系统及其相关信息基础设施建设和运行过程中产生的数据。
5.2.2 二级分类
在一级分类基础上,按照公司业务经营和内部管理的条线或部门,向下拆分形成数据二级分类。例如:客户数据包括个人客户数据和机构客户数据;业务数据包括投资账户数据、产品管理数据、投资标的管理数据、投资管理数据、交易管理数据和行情资讯数据。
5.2.3 三级分类
在二级分类基础上,聚焦业务细分场景下数据主题,向下拆分形成数据三级分类。例如:投资管理数据可进一步细分为投资研究数据(内部)、投资研究数据(共享)、投资决策数据、投后管理数据等。数据分类分级目录架构见图1。
T/BIAMAC 001—2025
图1 数据分类分级目录
6 数据分级
6.1 分级方法
保险资产管理机构按照数据的覆盖度、精度、规模、深度等要素,评估此项数据的重要性及其泄露后可能造成的安全风险,将行业数据从高到低分为核心数据、重要数据、一般数据。其中,一般数据进一步细分为敏感数据和其他一般数据。
6.2 分级规则
6.2.1 核心数据
对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或者共享,可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。
6.2.2 重要数据
特定领域、特定群体、特定区域或者达到一定精度和规模的数据,一旦被泄露、篡改或损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。
6.2.3 敏感数据
一旦被泄露或者篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据。
保险资产管理机构在开展业务及经营管理过程中,产生的投资研究、投资决策、投资交易、风险监测等数据,通过采购、合作引入、自行收集等方式获得的外部数据,在其他业务活动中产生的战略规划信息、人力信息、源代码信息等,涉及金融市场内部信息或保险资产管理机构内部关键信息,一旦被泄露或者篡改、损毁,可能对机构的核心竞争力及社会声誉造成一定损害、导致机构自身及客户权益出现损失,应划定为敏感数据。
6.2.4 其他一般数据
除上述数据以外的数据为其他一般数据。
6.3 非结构化数据分级规则
非结构化数据的定级采用“结构化拆分、就高定级、整体把控 ”的原则。例如:对于视频、影像、文稿等非结构化数据,优先对其内容进行人工或智能结构化拆分,解析其中蕴含的敏感级及以上的结构化信息。若拆分后的数据涉及不同安全等级,需遵循 “就高定级 ”规则, 以所含信息中的最高安全等级作为该非结构化数据的基础安全级别。同时,结合数据整体用途与潜在风险进行整体把控:若数据整体仅用于常规业务流程,且不涉及敏感操作,可在基础安全级别上适度下调;若数据整体涉及重大决策,或可能影响公司合规经营的,应保持最高安全级别。此外,定期对非结构化数据的安全等级进行复核,确保其与数据使用场景、业务需求及监管要求动态适配,最终确定该非结构化数据的整体安全级别,保障非结构化数据安全与合规应用。
T/BIAMAC 001—2025
7 数据分类分级步骤
7.1 确定分类分级对象
对本机构数据进行梳理盘点,明确待分级的数据范围,如数据项、数据集或衍生数据等。
7.2 分类分级要素识别
根据数据盘点情况,获取到影响数据分级的要素,包括数据的所属领域、覆盖度、源头系统、深度、重要性等要素信息。
7.3 数据影响分析
结合数据所属领域、覆盖度、源头系统、深度、重要性等要素识别情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的范围和程度。
7.4 综合确定级别
按照前述分析识别结果,综合确定数据的分类和级别。
T/BIAMAC 001—2025
附录 A
(资料性)
数据分类分级目录
表 A.1 规定了数据分类分级体系。
表A.1 数据分类分级目录
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
T/BIAMAC 001—2025
参 考 文 献
[1] GB/T 35273-2020 信息安全技术 个人信息安全规范
[2] GB/T 43697-2024 数据安全技术 数据分类分级规则
[3] JR/T 0171-2020 个人金融信息保护技术规范
[4] JR/T 0197-2020 金融数据安全 数据安全分级指南
[5] JR/T 0223-2021 金融数据安全 数据生命周期安全规范
[6] 银行保险机构数据安全管理办法(金规〔2024〕24 号)
[7] 中国人民银行业务领域数据安全管理办法(中国人民银行令〔2025〕第 3 号)
