近期,一張某大型銀行因信息安全等問題被罰50萬、責任人被禁業10年的罰單引發行業關注,金融數據安全問題再次被推向風口浪尖。眾所周知,金融數據不僅具備數據的一般特性,更是包含了國民個人信息、企業資金流轉、社會經濟活動等重要內容,因此其安全重要性不僅得到行業廣泛認同和大眾關切,更是在各行業的法律監管中一騎絕塵。
安全419關注到,在日前召開的BCS 2022大灣區網絡安全峰會數據安全治理論壇上,來自平安銀行股份有限公司的安全專家立足真實的甲方視角和需求,分享了平安銀行在個人信息保護上的思考和實踐。我們在此梳理總結相關精華內容,以期為同業者開展數據安全建設提供一定的借鑒參考。
金融數據安全重要性
站在數據安全及個人信息保護的角度,中央網信辦、國家網信辦、銀保監會、公安部、市場監管局、密碼管理局、工信部、人民銀行、消保協會等部門都有相應的法規政策支撐,對金融機構進行監督管理。目前呈現三階立法態勢,在網安法、數安法、個保法等近10個國家法律及司法解釋的頂層規劃下,細化出了《金融消費者權益保護實施辦法》《金融數據安全數據生命周期安全規范》等10余個部門規章及行業監管要求,此外還有近50項相關的國家標準及行業標準。
在密集出臺、要求趨嚴的政策之下,金融業面臨從刑事處罰、民事處罰、到行政處罰的三重法律責任,違規將可能帶來業務暫緩、資金流失、聲譽受損及銷售銳減等惡劣影響。多方聯動監管的局面導致近年來我們能看到的大額罰單越來越多,這是高標準、嚴法律、強監管帶來的高要求。因此,保護好客戶數據是金融業義不容辭的使命。
個人信息保護實踐
參照DSMM成熟度模型,從組織能力、管理機制、技術工具三個層面構建個人信息保護體系。
組織能力
由于數據是持續流動變化的,并不存在一鍵合規、一勞永逸的方案,建立一套有效的組織保障體系就顯得尤為重要。為了避免科技或安全單方面主導,必須建立與關鍵業務的協同管理機制,并且建立高級管理層的報告決策機制。
基于事前事中事后整個數據生命周期內需要進行的安全相關工作事項,并結合行內的部門職責與組織架構,分三類職責來建立組織保障體系,橫向聯動,以保證數據安全責任予以落實落地。
1.個人信息保護委員會,負責業務過程中對客戶敏感信息和消費權益的保護。該組織由業務部門(風險管理部)牽頭,需要在業務層面達成涉及客戶的數據收集、??授權、告知等義務,以及落實與第三方業務合作過程中的數據安全合規責任。
2.數據治理工作組,負責數據質量和服務。數據保護的起點是數據的盤點和分類分級,本質上,所有接觸數據的部門并不是數據的所有者,需要數據治理工作組在組織內部去梳理清楚數據的位置、形態、如何打標、安全責任歸屬等。
3.網絡與信息安全管理委員會,負責數據安全管理。??在數據全生命周期內,為了達成??不同等級和類型數據的安全保護要求,需要該組織出臺相應的標準,從技術層面推進各部門嚴格遵從技術規范。
管理機制
數據安全管理落地,配套的業務管理流程必不可少,需要在業務、產品的規劃和設計中,充分考慮數據安全的要求和能力構建。
值得注意的是,制度體系不僅局限于技術層面,而是組織架構、制度體系和控制流程的相互結合。為了落實業務合規的規則、保證數據合規的運營,建立數據從采集、傳輸、存儲、使用到銷毀全生命周期的授權制度流程,即擬定業務處理與業務合作過程中相應的合規要求,并采用配套的技術工具予以支撐。
技術工具
● 落地數據分級分類
建立數據安全技術保障能力,首先是落地數據分級分類。以自動化的手段,通過對基礎數據的采集和分析,實現數據的梳理和打標。基礎數據來源應包括所有數據庫的庫、表、字段信息及變化信息,所有生產、測試及辦公的網絡出口流量,所有應用間的調用鏈路信息及屬主信息,所有辦公終端上的數據文件及操作行為。
通過對敏感數據的動態識別與風險跟蹤,可以創建敏感數據資產分布地圖,基于可視化的管理來優化數據的采集、存儲和使用;可以在數據外發和內部使用時對數據進行分級管控,如未經授權審批就發送數據至外部、違規超量或超字段發送數據至外部、不安全的內部敏感數據調用及訪問請求等。
● 技術組合實現數據安全分級管控
在數據分級分類識別基礎之上,基于數據本身的密級(如:S1非保密、S2秘密、S3機密、S4絕密),在開發測試、數據運維、數據分析、應用訪問、特權訪問、通用技術工具等所有不同場景下??做到真正意義上的以數據為單元的分級管控。
具體而言,對于任何一次主體(人員或應用)訪問客體(數據)的行為,需要基于主體訪問的網絡環境、終端環境、應用環境,比如是在行內通過標準終端、在外網通過BYOD、在辦公網絡或在生產網,通過研發運維工具、郵件系統或大數據分析系統等通道,綜合評定主體訪問的風險,并基于客體數據的密級和所在的環境,進行動態的訪問控制和安全防護。
● 統一用戶授權平臺
開戶辦卡、存錢匯款、理財貸款……銀行不同的業務場景對客戶的數據需求不盡相同,為了保證最小必要、明示同意的要求,構建統一用戶授權平臺,以客戶為中心??建立其在本行不同業務產品及業務渠道上的數據??授權范圍、授權期限、分級授權及變更通知等。
在用戶統一授權平臺上,??所有的前端業務及渠道,其產品協議中對于客戶信息的采集告知將在后臺進行統一管理??,并實時響應客戶隨時隨地取消授權的要求。??未來,還需要能夠響應消保委等監管部門的合規檢查要求,通過該平臺將清晰地呈現如何對客戶的數據進行授權管理和安全保護。
● 數據第三方交互評估機制
第三方交互是數據安全管理中非常重要的一個環節,從提出與第三方合作的需求、到研發的實現、再到相關系統運行的變更,需要建立一套閉環的管理機制。
基于個人信息委員會和網絡與信息安全管理委員會,在每一次與第三方開展合作前進行安全評估,了解合作內容中對于客戶信息的要求、數據交互的要求,反推是否需要修改相關的隱私政策和業務協議,并對客戶做單次的告知和授權,嚴格履行個人信息保護義務。
當合作需求固化之后,需要確保在未來的持續運營過程中,實時監測實網傳輸的數據內容不會發生越權、超量等變化。在技術實現上,需要把個人信息保護要求以及數據安全管控要求??嵌入到了SDL或DevOps的每個環節中(比如在需求設計階段,如果應用涉及到需要??展示客戶敏感信息,那就必須進行安全評審,用安全的方式做屏蔽展示),以保證所有的安全策略在應用的全生命周期中得以落實。
關于未來數據安全管理能力的暢想
基于以上從組織到管理到技術的體系構建,數據安全動態風險管控體系將形成三大中心。畫像中心將對人和數據分別畫像,一是依據崗位、終端操作行為、應用系統訪問行為等日常監控等,實時智能識別“風險”人員;二是運用敏感信息自動識別技術,對數據進行自動化識別、分級分類、標記,識別“敏感”數據。
控制中心是基于場景的安全防護策略與工具。結合數據生命周期安全技術框架,對不同階段數據提供更完善和優化的安全防護工具;充分運用大數據、機器學習、人工智能及云計算等新興前沿技術,融合監管要求、安全管控方案、知識庫,構建實時智能快捷的安全訪問控制策略。
監控中心則需要結合應用系統交易全鏈路監控、網絡流量監控、數據水印、數據染色等手段,實現對敏感數據流轉的全鏈路跟蹤。
總而言之,未來的數據安全發展方向應該是低門檻、強監控的,即,在數據成為生產資料的現在,依靠管控準入已經不能完全達到業務創新的要求,因此必須在準入之后加強監控,能夠實時發現數據運營過程的異常,對種種不合規的行為予以干預和控制,滿足個人信息保護的合規義務,同步保障發展與安全。
更多信息可以來這里獲取==>>電子技術應用-AET<<
