在数字化浪潮席卷而来的今天,数据安全无疑是各行各业的“心头大患”。面对这一严峻挑战,如何实现科学有效的数据安全治理,已然成为众多企业亟待解决的关键课题,尤其是承载着国家经济命脉的金融行业。金融行业关乎民生,其数据安全也与大众息息相关。因此,无论是出于国家战略的考量,还是行业自律的要求,金融机构都肩负着维护数据安全、保障信息安全的神圣使命。

此外,在数字化背景下,金融业务所涉及的数据也越来越宽泛,提高数据安全治理能力不仅能够保障金融业务的稳定,还能在事故发生时,最大程度减少损失,维护金融市场的稳定与繁荣。

据威胁猎人发布的《2023年数据泄露风险年度报告》显示,金融成为2023年公民个人信息泄露事件数量最多的行业。这表明黑灰产对金融行业的关注度不断攀升,金融机构所面临的威胁也日益凸显。

而在今年3月26日国家金融监管总局开展的银行保险机构侵害个人信息权益乱象专项整治行动中,则发现了银行保险机构在个人信息处理的具体执行层面存在诸多问题或隐患,这些问题或隐患影响了高达1556万人次的消费者。

因此,数据,以及数据安全成为金融行业面临的一大挑战,成为悬在其头顶的一把“达摩克利斯之剑”。

金融行业数据安全建设的三大驱动力

金融行业之所以如此重视数据安全,并致力于做好数据安全,其压力以及强要求主要来自三个方面:合规、业务和风险。

在合规驱动方面,强调,要切实保障国家数据安全,要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。

此外,根据《民法典》《网络安全法》《数据安全法》以及《个人信息保护法》等上位法的指导,数据作为生产要素的地位得以确立,并对数据安全保护提出了多项具体要求。随后,陆续出台的《中国人民银行业务领域数据安全管理办法(征求意见稿)》以及《银行保险机构数据安全管理办法(征求意见稿)》进一步明确了数据处理者的责任与义务,以及数据保护的具体要求。

在业务驱动方面,金融行业业务涉及了大量的数据资产和敏感数据,结合合规的要求,这些数据需要进行细致的分类分级、API安全管理、风险评估和溯源分析。

在风险驱动方面,自2020年以来,金融行业数据泄露事件持续高频发生,并呈现出组织化、隐蔽化、复杂化的特点。这些接连不断且严重的数据泄露事件,对企业经济和声誉都造成了巨大损失。

《银行保险机构数据安全管理办法(征求意见稿)》中明确提出了五个核心要点:

1、落实数据安全责任制;

2、明确数据安全归口管理部门;

3、将数据安全风险纳入全面风险管理体系;

4、强化数据安全评估;

5、建立数据安全保护基线

由此可见,金融行业数据安全当前需要重点关注两个方面:风险评估以及体系建设。

金融行业该怎么做数据安全

目前来看,无论是银行业、保险业,还是金融资产管理、信托、财务等其他金融机构,普遍面临着数据安全风险评估能力不足以及体系建设相对薄弱的问题。

这些问题主要体现在以下几个方面:一是无法满足合规要求和客户的数据安全期望;二是缺乏足够的事前防范能力,导致事后损失较高;三是在技术运用上缺乏统筹和管控,导致安全投入重复且效率低下;四是管理效率不足,对企业当前的数据现状缺乏清晰的认识。

针对以上问题,金融机构想要做好数据安全,需要采取以下措施:首先要依法合规,确保业务活动符合行业的合规要求;其次是利用IT技术,满足客户对信息安全的多样化需求,实现IT与业务的深度融合;同时,要提升风险感知能力,预先识别并降低数据安全事件的发生概率,特别要加强对高价值数据的保护,以降低潜在的损失成本;此外,还需要建立综合的技术管控体系,实现现有技术管控措施的有机融合;再者,要从全局出发,统筹数据安全管理,实现从事后被动应对到事前主动防范的转变;最后,全面梳理数据分布及使用情况,深入排查现存及潜在的数据安全风险,确保数据的安全可控。

那么从风险评估的角度来看,金融行业应该如何开展?我们可以从七个方面找到明确的对标要求。

首先是明确数据安全治理架构。要求银行保险机构建立数据安全责任制,指定归口管理部门负责本机构的数据安全工作;按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任,落实数据安全保护管理要求。

二是建立数据分类分级标准。要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。

三是强化数据安全管理。要求银行保险机构按照国家数据安全与发展政策要求,根据自身发展战略建立数据安全管理制度和数据处理管控机制,在开展相关数据业务处理活动时应兰进行数据安全评估。

四是健全数据安全技术保护体系。要求银行保险机构建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系,建立数据安全技术架构,明确数据保护策略方法,采取技术手段保障数据安全。

五是加强个人信息保护。要求银行保险机构在处理个人信息时,应按照“明确告知、授权同意”的原则实施,并履行必要的告知义务;收集个人信息应限于实现金融业务处理目的的最小范围,不得过度收集;共享和对外提供个人信息时,应取得个人同意。

六是完善风险监测与处置机制。要求银行保险机构将数据安全风险纳入本机构全面风险管理体系,明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程,有效防范和处置数据安全风险。

七是明确监督管理职责。规定国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理,开展非现场监管、现场检查,依法对银行保险机构数据安全事件进行处置。对违反《办法》要求的依法追究相应责任。

综合来看,金融机构想要全面地实现数据安全确实是一项较为艰巨的任务,特别是在风险评估和体系建设这两个关键环节上,需要借助一些科学有效的方法论。对此,安言咨询特别推出了符合最新要求的数据安全风险评估及体系建设规划咨询方案,旨在协助金融用户建立健全数据安全治理及管理体系,确保数据安全工作得到全面有效的推进。

数据安全风险评估咨询解决方案

安言咨询以专业评估为核心,致力于协助金融客户主动识别数据安全管理中的差距,明确数据安全现状及改进空间,持续深化数据安全管理,精心规划数据安全风险评估的前中后期调研、评估以及总结工作,并据此设计了一整套成熟的数据安全风险评估咨询服务方案。

该方案紧密结合《数据安全法》《个人信息保护法》《数据安全能力成熟度模型》《银行保险机构数据安全管理办法(征求意见稿)》等法律法规和标准,充分考虑行业数据安全的要求和特性,全面识别企业可能存在的数据安全风险,并评估这些风险一旦触发可能带来的潜在影响,从而为企业提出综合性和可操作性强的改进建议,实现风险管理的闭环。

方案中提到,企业治理数据安全可从两个重要维度出发,一是进行数据安全风险评估,二是构建健全的数据安全体系。从风险评估来看,主要分为三个主要矩阵,分别是针对管理体系的基础评估,针对技术体系的数据生命周期评估,以及针对运营体系的技术能力评估。这些评估矩阵将为企业提供全面而细致的数据安全风险识别与防控策略。

整个评估流程包括六个阶段。一是评估准备,确定评估目标、明确评估范围、组建评估团队、制定工作计划;二是调研评估,通过信息调研、访谈或问卷的方式;三是资产、场景识别,包括对数据资产和数据应用场景的识别;四是风险识别,包括威胁分析和脆弱性识别;五是分析报告,梳理风险源清单、综合风险评价、制定风险矩阵等;六是制定风险处理计划、制定风险监控与应对机制、法律合规性评估。

通过以上流程,企业可以全面了解数据安全风险的状况,发现潜在的合规风险和安全隐患,并制定相应的风险管理和技术防护措施,提升数据的安全性。

该方案涵盖了整整8类共计69项评估内容,并融合了综合评估法、风险矩阵法、场景模拟法以及专家评审法等多种评估方式,能够全面、准确地识别数据安全方面的潜在风险,为制定针对性的风险防控措施提供坚实支撑。同时,安言咨询始终秉持合作共赢的原则,积极与金融机构携手合作,共同推动数据安全管理的持续优化与提升。

在数据安全体系建设的具体规划与落地方面,安言咨询推出了全面的数据安全体系建设规划咨询方案。该方案可从两方面着手,一是帮助企业依据国家及金融行业数据安全管理规范与标准,制定完善的数据安全管理制度体系;二是评估数据安全技术可行性和必要性,规划合理的数据安全技术能力建设方案。

具体服务内容涵盖四个层面。第一是夯实安全基础,例如构建全面的数据安全管理制度,规划基础安全防护技术措施,包括数据脱敏、加密、日志及行为审计、账号权限、接口安全管理等;第二是巩固完善提高,强化业务数据的安全管理,规划数据安全组织保障以及数据生命周期安全防护技术手段,如数据销毁、防泄漏、溯源、代码审查等;第三是全面安全管理规划,实现数据业务过程和人员操作行为的全面监管,规划数据安全态势感知能力建设,推动数据安全管理的自动化、智能化;最后是总结改进提升,结合数据运营情况开展新一轮数据安全建设规划。

此外,针对涉及数据出境的企业,安言咨询还建立了由业务及数据梳理团队、安全评估团队组成的专业服务团队,为企业提供专业、深入、一站式的数据风险自评估服务。团队将结合技术支持,梳理企业数据出境的具体情况,并对合规及境内外安全保障能力进行评估,提出风险评定和处置建议,最终形成数据出境安全评估申报书。

围绕着风险评估和体系建设两大核心,安言咨询为金融机构提供了全面的解决方案,并结合多年的实践积累,对具体落地提供了切实有效的建议。通过实施上述提到的咨询方案,金融机构不仅能够加强数据安全防护,还能进一步挖掘数据价值,实现业务创新与发展。

数据安全赋能企业增值

具体来看,通过数据安全风险评估以及体系建设的专业服务,安言咨询助力金融机构从以下四个方面实现显著价值:

首先是满足合规要求,能够显著缩小数据安全合规差距,满足数据安全合规相关要求;其次是确保数据使用价值,充分了解数据资产中敏感数据管理的情况,协助管理者通过策略来高效管控数据,确保数据的最大使用价值;第三是实现降本增效,能够降低金融机构在数据安全方面的人力成本、时间成本,同时提高数据分析与数据使用效率;最后是减少数据安全风险,帮助企业进行全面的合规风险识别,及时提出有效的应对措施,显著降低企业的数据安全风险。

在数据安全服务中,数据安全风险评估服务方案的价值主要体现在风险识别与定位的准确性、合规性保障的可靠性、决策支持的有效性以及防护能力的显著提升。

而数据安全建设规划方案则侧重于为企业提供全面的数据安全规划,提升管理效率,实现持续的安全监控,并增强业务的连续性。

客户案例

此前,在与某银行的合作中,安言咨询成功完成了数据安全分类分级项目,并积累了丰富的落地实践经验。数据分类分级需要梳理数据流转情况,识别数据全生命周期的安全风险和影响,同时,还要对客户的管理、技术、业务数据进行详尽的资产识别。安言咨询严格遵守《金融数据安全 数据安全分级指南》(JR/T 0197-2020)和《金融数据安全 数据安全评估规范》(征求意见稿),确保分类分级的准确性和合规性。

完成数据分类分级后,该银行能够更合理地分配数据保护资源和成本,有效实施数据安全管理,并实现更精准、全面的数据安全防护。此外,数据分类分级还促进了数据在机构间、行业间的安全共享,推动了金融行业数据的合规流通、共享和价值释放。

在某银行的数据安全评估项目中,安言咨询帮助客户显著提升了数据安全风险的管理水平,有效保障了数据的保密性、完整性和可用性。围绕着评估结果,安言咨询还深入分析了客户在数据安全管理等方面存在的威胁、漏洞和风险,并出具了客观、全面且有效的数据安全评估报告。

评估过程中,依据《General Data Protection Regulation》、NIST SP 800-26、NIST SP 800-53以及《金融行业信息系统信息安全等级保护实施指引》JR/T 0071-2012等,安言咨询对客户的数据安全治理架构、数据分级标准、数据安全整体管控、数据生命周期管理、海外分行系统隔离及信息安全事件管理等多个方面进行了静态分析及现场核查,并对数据安全管理风险进行了全面识别、分析和评估。

目前,安言咨询已服务多家金融机构,并在实践中不断优化和完善现有解决方案。金融行业的数据安全意义重大,无论是对企业本身、用户,还是政府、国家来说都不容疏忽。因此,尽快建立全面的数据安全治理和管理体系,是当前金融机构的必要任务。通过安言咨询提供的各类专业解决方案,可以有效帮助金融机构了解建设意义,厘清建设路径,完善建设思路,共同维护金融行业的数据安全。

（正文已结束）

免责声明及提醒：此文内容为本网所转载企业宣传资讯，该相关信息仅为宣传及传递更多信息之目的，不代表本网站观点，文章真实性请浏览者慎重核实！任何投资加盟均有风险，提醒广大民众投资需谨慎！