作者:小程发布日期:2026年6月14日阅读时间:约12分钟
01
最近和一家城商行交流数据安全建设进展。
对方安全负责人聊到一个困惑:“93号文的139项排查,我们大部分都做了。系统有,制度有,流程也有。但监管来检查的时候,还是被指出一堆问题。我想问——到底做到什么程度,才算’做到了’?”
这个问题,之前没人能回答。
不是标准不够,是标准太多,但缺少一把统一的尺子。
JR/T 0197告诉你数据怎么分级,JR/T 0223告诉你数据生命周期每个环节要做什么防护,93号文列出了139项排查清单——但没有一个标准能让你整体回答"我们的数据安全能力到底处在什么水平"。
直到6月6日。
JR/T 0358—2026《金融数据安全 数据安全能力体系》正式发布实施。中国人民银行发布,工行、农行、中行、建行等26家机构参与起草。
这份标准做的事很明确:给金融数据安全能力定级,给出一把全行业统一的尺子。
02
在讲这把尺子之前,先把它和现有的标准、政策之间的关系理清楚。不然读完标准,很多人会困惑:“这不就是又出了一套新标准?跟之前的有什么区别?”
三层关系,一张图看懂。
最上层:法律
《数据安全法》《个人信息保护法》《网络安全法》——规定的是底线。所有行业标准、监管政策都必须在法律框架内。
中间层:行业标准,分两种
第一种叫"方法论标准",回答"怎么做":
- JR/T 0197—2020《数据安全分级指南》——回答"数据怎么分级"
- JR/T 0223—2021《数据生命周期安全规范》——回答"采集、传输、存储、使用、删除等环节要做什么安全保护"
- JR/T 0218—2021《金融业数据能力建设指引》——回答"数据能力整体怎么建"
这些标准给出的是技术方法。问题是:方法给了,但执行到什么程度算合格?没人说得清。
第二种叫"能力标准",回答"做到什么程度"。这就是JR/T 0358—2026。
它不教你"数据分级怎么分",而是问你"你的分级能力处在哪个等级"。
这就是0358和之前所有标准最本质的区别:从"做没做"到"做到什么程度"。
最下层:监管政策
93号文、24号文——这是监管的检查要求。
93号文问你"有没有分类分级制度?有没有数据安全风险评估?"
JR/T 0358问你"分类分级能力达到几级?风险评估能力达到几级?"
93号文是考卷上的题目,JR/T 0358是评分标准。
03
理清了关系,再看尺子本身。
JR/T 0358定义了一个三维框架:能力域 × 能力维度 × 能力等级。
四大能力域,19个子域
能力域一:通用数据安全保障
通则是基础中的基础,贯穿所有数据处理活动,是所有其他能力域的前提条件。
能力域二:数据分类分级管理
数据识别、定级、分类。注意,0358在这里不做分级方法论的重复(那是JR/T 0197的事),而是给出分类分级能力水平的五级要求。
能力域三:数据处理活动安全
这是最"重"的一个能力域,一共10个子域:数据收集、存储、传输、使用、加工、提供、委托处理、公开披露、删除、销毁。
基本覆盖了JR/T 0223定义的全部生命周期环节,但每个环节都配备了五级成熟度能力要求。
举个例子:数据存储安全。
- 等级一:临时制定存储安全管理工作要求
- 等级二:建立基本管理制度,采用加密、备份等技术措施
- 等级三:细化到数据存储环境分类、访问控制、存储介质管理、数据完整性校验等全流程操作规程
- 等级四:自动化管控,实现存储安全策略的动态调整
- 等级五:智能化管控,实现存储安全风险智能预判和自适应防护
从"临时应付"到"智能自适应",每一级都是前一级的深化。
能力域四:数据安全运营保障
这是0358相比之前标准最大的突破——首次把"运营治理"作为一个独立能力域。
7个子域:权限安全管理、数据备份与恢复、新技术应用风险防控、数据安全风险监测、数据安全风险评估、数据安全合规审计、应急响应与事件处置。
之前的JR/T 0223主要讲"数据生命周期环节的安全",但安全体系建完之后怎么持续运营?这个问题一直缺标准回答。
0358补上了这块空白。
以"新技术应用风险防控"为例——注意,这个子域明确提到了人工智能、量子计算。金融行业现在大量部署大模型做风控、客服、智能投顾,AI用得越多,数据安全风险越大。这个子域的五级能力要求,从"人工关注新技术风险"到"具备智能化新技术风险防控体系",给了一个清晰的建设路径。
四大能力维度
每个能力子域,都必须从四个维度来建设:
- 组织建设:有没有团队?结构是否合理?
- 制度流程:制度是否健全?流程是否可执行?
- 技术能力:工具是否落地?是否有效?
- 人员能力:团队能不能执行?
四要素缺一不可。光有系统没有制度,或者光有制度没有团队,都不算。
这才是"体系化"的真正含义——不是买套系统,是四个维度都要到位。
04
理解了框架,一个很自然的问题是:我们机构现在处在什么水平?
根据这几年的项目实践经验,初步判断:
大多数金融机构的数据安全能力,集中在等级二到等级三之间。
等级二意味着"有基本的制度和工具,能做基本的安全防护"。
但往等级三走,就开始出现分化——有些能力域可以达到三级甚至四级,有些能力域可能还停留在一级。
最典型的三个短板:
第一个短板:数据分类分级——分级做了,但没有形成"动态能力"。
很多机构的分级工作是这样的:集中一个月做一次,出一份分级报告,交差。后面数据资产在变、业务在变,分级结果半年后就不准了。
对照JR/T 0358,这大概在等级一到等级二之间。等级三明确要求"建立涵盖数据识别、定级、变更与审核的分类分级管理细则和操作规程",等级四要求"自动化数据分类分级识别与策略联动"。
要真正达标,分类分级不能是一次性工程,必须变成持续运行的机制。
第二个短板:风险监测——告警有了,但没有形成"闭环能力"。
之前那篇讲运营困境的文章提到过:安全团队每天收到1000多条告警,真正处理的不到10%。
对照0358的"数据安全风险监测"子域:等级二要求"采用技术措施实现终端标识、敏感数据识别、病毒检测",等级三要求"具备基于数据分类分级且适配不同场景的数据安全措施有效性监测及敏感数据泄露等高风险防控能力"。
从等级二到等级三,核心跨越是:从"能监测"到"能针对性防控"。
很多机构的告警系统停留在等级二——能发现异常,但不能自动关联到分类分级策略,不能自动触发差异化处置。
第三个短板:运营保障——很多子域可能还停留在等级一。
尤其是"新技术应用风险防控"这个子域——大模型、AI Agent、知识图谱这些新技术在金融行业快速落地,但数据安全团队对新技术带来的安全风险,往往是"知道有风险,但不知道怎么系统化管控"。
对照0358,等级一就是"临时关注"。要系统化地管起来,至少要达到等级三。
05
那么,面对这把新尺子,应该怎么用?
第一步:用尺子量自己。
对照JR/T 0358的19个能力子域,逐项评估当前成熟度等级。不需要追求所有子域都达到最高等级。
一个务实的做法是:核心能力域达到三级,关键能力域达到四级,优先级较低的能力域至少达到二级。
评估的结果,就是一张"能力体检表"——哪强哪弱,一目了然。
第二步:补短板,从最痛的地方开始。
我们建议的优先级:
- 最高优先级:数据分类分级能力、数据安全风险监测能力——这是数据安全的地基,基础不牢,上面建什么都白搭
- 次高优先级:数据存储安全、数据使用安全、权限安全管理——这些是93号文排查的重灾区
- 一般优先级:数据备份与恢复、数据安全合规审计——这些大多数机构有基础,需要的是从"有"到"好"
第三步:建立能力持续提升机制。
JR/T 0358的五级成熟度,不是一次性评估就结束。每年做一次能力评估,对比上一年的变化,识别能力提升和退化。
这不是为了应付检查,是为了让数据安全能力真正"长起来"。
06
最后,回到开头那个问题。
“93号文139项排查,大部分都做了,但还是被指出一堆问题。到底做到什么程度才算做到?”
JR/T 0358给出的回答是:不能只看"做没做",要看"做到什么程度"。
有制度不等于制度有效执行。有系统不等于系统能力达标。有团队不等于团队能力到位。
四个能力维度——组织建设、制度流程、技术能力、人员能力——缺一不可。
这把尺子的意义,不在于增加新的合规负担,而在于让金融机构第一次有了客观评估自身数据安全能力的工具。
知道自己在哪,才知道该往哪走。
“数安智见”——从实战中来,到实战中去。
(全文完)
附:JR/T 0358—2026与现有标准政策关系速查
| 文件 | 角色 | 和JR/T 0358的关系 |
|---|---|---|
| 数据安全法/个保法/网安法 | 上位法 | 0358是法律的技术标准落地 |
| JR/T 0197—2020 数据安全分级指南 | 方法论标准 | 0197说"怎么分",0358加上了"分的能力要达标" |
| JR/T 0223—2021 数据生命周期安全规范 | 方法论标准 | 0223是"要做什么",0358是"做到什么程度" |
| JR/T 0218—2021 金融业数据能力建设指引 | 方法论标准 | 0218范围宽泛,0358聚焦数据安全专项能力 |
| 93号文 | 监管政策 | 93号文是考卷题目,0358是评分标准 |
| 24号文 | 监管政策 | 24号文要求做风险评估,0358给出能力建设路径 |
往期推荐
- 《93号文驱动下的金融数据安全一体化建设路径》
- 《AI赋能数据安全全景图:8个已经落地的实战方向》
