《金融数据安全 数据安全能力体系》发布:金融数据安全终于有了一把“量能力的尺子“ 作者小程发布日期2026年6月14日阅读时间约12分钟01最近和一家城商行交流数据安全建设进展。对方安全负责人聊到一个困惑“93号文的139项排查我们大部分都做了。系统有制度有流程也有。但监管来检查的时候还是被指出一堆问题。我想问——到底做到什么程度才算’做到了’”这个问题之前没人能回答。不是标准不够是标准太多但缺少一把统一的尺子。JR/T 0197告诉你数据怎么分级JR/T 0223告诉你数据生命周期每个环节要做什么防护93号文列出了139项排查清单——但没有一个标准能让你整体回答我们的数据安全能力到底处在什么水平。直到6月6日。JR/T 0358—2026《金融数据安全 数据安全能力体系》正式发布实施。中国人民银行发布工行、农行、中行、建行等26家机构参与起草。这份标准做的事很明确给金融数据安全能力定级给出一把全行业统一的尺子。02在讲这把尺子之前先把它和现有的标准、政策之间的关系理清楚。不然读完标准很多人会困惑“这不就是又出了一套新标准跟之前的有什么区别”三层关系一张图看懂。最上层法律《数据安全法》《个人信息保护法》《网络安全法》——规定的是底线。所有行业标准、监管政策都必须在法律框架内。中间层行业标准分两种第一种叫方法论标准回答怎么做JR/T 0197—2020《数据安全分级指南》——回答数据怎么分级JR/T 0223—2021《数据生命周期安全规范》——回答采集、传输、存储、使用、删除等环节要做什么安全保护JR/T 0218—2021《金融业数据能力建设指引》——回答数据能力整体怎么建这些标准给出的是技术方法。问题是方法给了但执行到什么程度算合格没人说得清。第二种叫能力标准回答做到什么程度。这就是JR/T 0358—2026。它不教你数据分级怎么分而是问你你的分级能力处在哪个等级。这就是0358和之前所有标准最本质的区别从做没做到做到什么程度。最下层监管政策93号文、24号文——这是监管的检查要求。93号文问你有没有分类分级制度有没有数据安全风险评估JR/T 0358问你分类分级能力达到几级风险评估能力达到几级93号文是考卷上的题目JR/T 0358是评分标准。03理清了关系再看尺子本身。JR/T 0358定义了一个三维框架能力域 × 能力维度 × 能力等级。四大能力域19个子域能力域一通用数据安全保障通则是基础中的基础贯穿所有数据处理活动是所有其他能力域的前提条件。能力域二数据分类分级管理数据识别、定级、分类。注意0358在这里不做分级方法论的重复那是JR/T 0197的事而是给出分类分级能力水平的五级要求。能力域三数据处理活动安全这是最重的一个能力域一共10个子域数据收集、存储、传输、使用、加工、提供、委托处理、公开披露、删除、销毁。基本覆盖了JR/T 0223定义的全部生命周期环节但每个环节都配备了五级成熟度能力要求。举个例子数据存储安全。等级一临时制定存储安全管理工作要求等级二建立基本管理制度采用加密、备份等技术措施等级三细化到数据存储环境分类、访问控制、存储介质管理、数据完整性校验等全流程操作规程等级四自动化管控实现存储安全策略的动态调整等级五智能化管控实现存储安全风险智能预判和自适应防护从临时应付到智能自适应每一级都是前一级的深化。能力域四数据安全运营保障这是0358相比之前标准最大的突破——首次把运营治理作为一个独立能力域。7个子域权限安全管理、数据备份与恢复、新技术应用风险防控、数据安全风险监测、数据安全风险评估、数据安全合规审计、应急响应与事件处置。之前的JR/T 0223主要讲数据生命周期环节的安全但安全体系建完之后怎么持续运营这个问题一直缺标准回答。0358补上了这块空白。以新技术应用风险防控为例——注意这个子域明确提到了人工智能、量子计算。金融行业现在大量部署大模型做风控、客服、智能投顾AI用得越多数据安全风险越大。这个子域的五级能力要求从人工关注新技术风险到具备智能化新技术风险防控体系给了一个清晰的建设路径。四大能力维度每个能力子域都必须从四个维度来建设组织建设有没有团队结构是否合理制度流程制度是否健全流程是否可执行技术能力工具是否落地是否有效人员能力团队能不能执行四要素缺一不可。光有系统没有制度或者光有制度没有团队都不算。这才是体系化的真正含义——不是买套系统是四个维度都要到位。04理解了框架一个很自然的问题是我们机构现在处在什么水平根据这几年的项目实践经验初步判断大多数金融机构的数据安全能力集中在等级二到等级三之间。等级二意味着有基本的制度和工具能做基本的安全防护。但往等级三走就开始出现分化——有些能力域可以达到三级甚至四级有些能力域可能还停留在一级。最典型的三个短板第一个短板数据分类分级——分级做了但没有形成动态能力。很多机构的分级工作是这样的集中一个月做一次出一份分级报告交差。后面数据资产在变、业务在变分级结果半年后就不准了。对照JR/T 0358这大概在等级一到等级二之间。等级三明确要求建立涵盖数据识别、定级、变更与审核的分类分级管理细则和操作规程等级四要求自动化数据分类分级识别与策略联动。要真正达标分类分级不能是一次性工程必须变成持续运行的机制。第二个短板风险监测——告警有了但没有形成闭环能力。之前那篇讲运营困境的文章提到过安全团队每天收到1000多条告警真正处理的不到10%。对照0358的数据安全风险监测子域等级二要求采用技术措施实现终端标识、敏感数据识别、病毒检测等级三要求具备基于数据分类分级且适配不同场景的数据安全措施有效性监测及敏感数据泄露等高风险防控能力。从等级二到等级三核心跨越是从能监测到能针对性防控。很多机构的告警系统停留在等级二——能发现异常但不能自动关联到分类分级策略不能自动触发差异化处置。第三个短板运营保障——很多子域可能还停留在等级一。尤其是新技术应用风险防控这个子域——大模型、AI Agent、知识图谱这些新技术在金融行业快速落地但数据安全团队对新技术带来的安全风险往往是知道有风险但不知道怎么系统化管控。对照0358等级一就是临时关注。要系统化地管起来至少要达到等级三。05那么面对这把新尺子应该怎么用第一步用尺子量自己。对照JR/T 0358的19个能力子域逐项评估当前成熟度等级。不需要追求所有子域都达到最高等级。一个务实的做法是核心能力域达到三级关键能力域达到四级优先级较低的能力域至少达到二级。评估的结果就是一张能力体检表——哪强哪弱一目了然。第二步补短板从最痛的地方开始。我们建议的优先级最高优先级数据分类分级能力、数据安全风险监测能力——这是数据安全的地基基础不牢上面建什么都白搭次高优先级数据存储安全、数据使用安全、权限安全管理——这些是93号文排查的重灾区一般优先级数据备份与恢复、数据安全合规审计——这些大多数机构有基础需要的是从有到好第三步建立能力持续提升机制。JR/T 0358的五级成熟度不是一次性评估就结束。每年做一次能力评估对比上一年的变化识别能力提升和退化。这不是为了应付检查是为了让数据安全能力真正长起来。06最后回到开头那个问题。“93号文139项排查大部分都做了但还是被指出一堆问题。到底做到什么程度才算做到”JR/T 0358给出的回答是不能只看做没做要看做到什么程度。有制度不等于制度有效执行。有系统不等于系统能力达标。有团队不等于团队能力到位。四个能力维度——组织建设、制度流程、技术能力、人员能力——缺一不可。这把尺子的意义不在于增加新的合规负担而在于让金融机构第一次有了客观评估自身数据安全能力的工具。知道自己在哪才知道该往哪走。“数安智见”——从实战中来到实战中去。全文完附JR/T 0358—2026与现有标准政策关系速查文件角色和JR/T 0358的关系数据安全法/个保法/网安法上位法0358是法律的技术标准落地JR/T 0197—2020 数据安全分级指南方法论标准0197说怎么分0358加上了分的能力要达标JR/T 0223—2021 数据生命周期安全规范方法论标准0223是要做什么0358是做到什么程度JR/T 0218—2021 金融业数据能力建设指引方法论标准0218范围宽泛0358聚焦数据安全专项能力93号文监管政策93号文是考卷题目0358是评分标准24号文监管政策24号文要求做风险评估0358给出能力建设路径往期推荐《93号文驱动下的金融数据安全一体化建设路径》《AI赋能数据安全全景图8个已经落地的实战方向》