随着全球数字化浪潮到来,
银行也在通过数字化转型。
打造开放化、场景化及智能化的金融生态,
数据也被认为是创造价值的核心资产。
与此同时,
随着金融机构业务的互联互通,
数据资产正被不法组织或个人所觊觎,
数据安全管理面临严峻考验。
案例
1、企业程序漏洞
(程序存在漏洞,被不法分子利用)
事件1:某票务公司支付信息泄露
后果:
大量用户的银行卡信息遭泄露。
(包含持卡人姓名、身份证、银行卡号、CVV2、密码等)
并因此导致个别用户遭遇诈骗电话,
受骗上万元。
原因:
技术人员不谨慎,
在对某个服务器进行系统问题排查时,
留下的临时日志未及时删除,
同时用户的支付日志可被轻易下载。
2、企业信息安全管理不善
事件:普通商业银行的IT研发能力弱,
信息化的建设大多依赖于软件开发公司。
(通常,软件开发公司会派驻工程师在现场做软件开发。
通过非法手段破解银行业务系统的数据库,
盗取海量信息。)
后果:
泄露了包括银行客户信息、客户资产信息、
信用卡号和安全码等隐私信息。
非法分子将盗取的信息转让给黑色产业人员,
由他们通过电话、网络等方式进行销售倒卖。
为了规避法律风险,
他们还安排专门的中间人负责收付款,
以防止黑色资金被监控。
外部监管要求
法律法规是保障网络空间秩序的重要基本手段。
近几年,
国家先后出台了一系列
信息安全法律法规和政策文件,
是依法治网、化解网络信息风险的法律重器,
是让互联网在法治轨道上健康运行的重要保障。
《银行业金融机构数据治理指引》
要求金融机构建立数据安全策略与标准并执行落地,
保障机构数据的完整性、准确性和连续性。
《中华人民共和国网络安全法》
发布及配套陆续出台了
《数据出境管理办法》、
《个人信息安全管理规范》、
《个人隐私数据管理办法》、
《大数据安全标准》
等相关法律法规,
对数据安全有明确合规要求;
《国家信息安全等级保护2.0》
由公安部牵头推动,
要求国境内信息系统进行安全保护等级保护,
根据信息系统
在国家安全、经济建设、社会生活的重要程度,
以及其遭破坏对国家安全、社会秩序、
公共利益以及公民、法人和其他组织合法权益
的危害程度等因素定级。
数据安全对象识别
数据安全对象的识别一般可以遵循
外部法律、法规的合规要求进行盘点实施。
盘点过程中需要特别注意
对个人隐私信息和重要数据的定义。
数据安全对象识别环节的侧重点是
数据资产分级分类。
数据安全风险评估
数据安全风险评估一般按照
“ 数据生命周期安全评估 ”
和 “ 场景化数据安全评估 ”
两种方法。
一:
按数据生命周期安全评估。
是基于数据生命周期各阶段进行风险识别,
按数据安全成熟度评估相应差距。
阶段风险评估重点:
二:
按场景化数据安全评估。
是在数据生命周期各阶段的数据安全细化场景,
基于数据资产分级分类的不同安全属性,
识别数据安全具体风险点。
主要场景的风险评估重点:
数据安全风险识别
将风险评估识别出的数据安全风险,
按风险类型归集并做风险分析,
输出风险消除举措、保护技术和管控行为,
形成风险分析统一视图。
数据安全管理体系
在系统化评估数据资产的机密性,完整性和可用性,
识别风险消除举措足以将风险降低到可接受水平后,
据此进行数据安全管理规划:
一:
建全安全组织
基于数据治理组织构架,
在合规或IT部门成立专业化数据安全团队,
通过与数据治理组织的协同配合,
保证能长期持续执行数据安全管理工作。
二:制定制度规范
建立整体方针政策,
加强数据资产分级分类和管控,
划分敏感数据使用部门和人员角色,
限定角色的数据使用场景,
制定场景对应制度规范、操作标准和模板,
推动执行落地。
三:建立技术架构
规划数据安全技术架构,
保护计算单元、存储设备、操作系统、
应用程序和网络边界各层免受恶意软件、
黑客入侵和内部人员窃取等威胁。
持续改善
通过行为管理、内部审计稽核和闭环管理等措施,
推进数据安全管理体系的不断优化,
推动数据安全的持续改善。
内部审计稽核
对过程化主要场景,
如开发测试、数据运维、
数据分析、应用访问、特权访问等,
引入量化内部审计手段和稽查工具
定期内部审计和稽核。
闭环管理
闭环管理数据安全,
及时根据政策合规与制度规范提升需求,
滚动修订数据安全的制度、流程、标准,
保障数据安全的规划、计划、实施、
运行、监督的全程管控,
持续提升机构的数据安全能力。
结语
数据安全是企业稳健经营的重要因素,
近些年从监管趋势上也不难看出,
国家对数据安全管控的重视。
通过提升安全团队专业化能力
来逐步构建企业的数据安全文化,
助推企业数据资产价值的不断提升。