近期,一張某大型銀行因信息安全等問題被罰50萬、責(zé)任人被禁業(yè)10年的罰單引發(fā)行業(yè)關(guān)注,金融數(shù)據(jù)安全問題再次被推向風(fēng)口浪尖。眾所周知,金融數(shù)據(jù)不僅具備數(shù)據(jù)的一般特性,更是包含了國民個人信息、企業(yè)資金流轉(zhuǎn)、社會經(jīng)濟活動等重要內(nèi)容,因此其安全重要性不僅得到行業(yè)廣泛認同和大眾關(guān)切,更是在各行業(yè)的法律監(jiān)管中一騎絕塵。
安全419關(guān)注到,在日前召開的BCS 2022大灣區(qū)網(wǎng)絡(luò)安全峰會數(shù)據(jù)安全治理論壇上,來自平安銀行股份有限公司的安全專家立足真實的甲方視角和需求,分享了平安銀行在個人信息保護上的思考和實踐。我們在此梳理總結(jié)相關(guān)精華內(nèi)容,以期為同業(yè)者開展數(shù)據(jù)安全建設(shè)提供一定的借鑒參考。
金融數(shù)據(jù)安全重要性
站在數(shù)據(jù)安全及個人信息保護的角度,中央網(wǎng)信辦、國家網(wǎng)信辦、銀保監(jiān)會、公安部、市場監(jiān)管局、密碼管理局、工信部、人民銀行、消保協(xié)會等部門都有相應(yīng)的法規(guī)政策支撐,對金融機構(gòu)進行監(jiān)督管理。目前呈現(xiàn)三階立法態(tài)勢,在網(wǎng)安法、數(shù)安法、個保法等近10個國家法律及司法解釋的頂層規(guī)劃下,細化出了《金融消費者權(quán)益保護實施辦法》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等10余個部門規(guī)章及行業(yè)監(jiān)管要求,此外還有近50項相關(guān)的國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)。
在密集出臺、要求趨嚴的政策之下,金融業(yè)面臨從刑事處罰、民事處罰、到行政處罰的三重法律責(zé)任,違規(guī)將可能帶來業(yè)務(wù)暫緩、資金流失、聲譽受損及銷售銳減等惡劣影響。多方聯(lián)動監(jiān)管的局面導(dǎo)致近年來我們能看到的大額罰單越來越多,這是高標(biāo)準(zhǔn)、嚴法律、強監(jiān)管帶來的高要求。因此,保護好客戶數(shù)據(jù)是金融業(yè)義不容辭的使命。
個人信息保護實踐
參照DSMM成熟度模型,從組織能力、管理機制、技術(shù)工具三個層面構(gòu)建個人信息保護體系。
組織能力
由于數(shù)據(jù)是持續(xù)流動變化的,并不存在一鍵合規(guī)、一勞永逸的方案,建立一套有效的組織保障體系就顯得尤為重要。為了避免科技或安全單方面主導(dǎo),必須建立與關(guān)鍵業(yè)務(wù)的協(xié)同管理機制,并且建立高級管理層的報告決策機制。
基于事前事中事后整個數(shù)據(jù)生命周期內(nèi)需要進行的安全相關(guān)工作事項,并結(jié)合行內(nèi)的部門職責(zé)與組織架構(gòu),分三類職責(zé)來建立組織保障體系,橫向聯(lián)動,以保證數(shù)據(jù)安全責(zé)任予以落實落地。
1.個人信息保護委員會,負責(zé)業(yè)務(wù)過程中對客戶敏感信息和消費權(quán)益的保護。該組織由業(yè)務(wù)部門(風(fēng)險管理部)牽頭,需要在業(yè)務(wù)層面達成涉及客戶的數(shù)據(jù)收集、??授權(quán)、告知等義務(wù),以及落實與第三方業(yè)務(wù)合作過程中的數(shù)據(jù)安全合規(guī)責(zé)任。
2.數(shù)據(jù)治理工作組,負責(zé)數(shù)據(jù)質(zhì)量和服務(wù)。數(shù)據(jù)保護的起點是數(shù)據(jù)的盤點和分類分級,本質(zhì)上,所有接觸數(shù)據(jù)的部門并不是數(shù)據(jù)的所有者,需要數(shù)據(jù)治理工作組在組織內(nèi)部去梳理清楚數(shù)據(jù)的位置、形態(tài)、如何打標(biāo)、安全責(zé)任歸屬等。
3.網(wǎng)絡(luò)與信息安全管理委員會,負責(zé)數(shù)據(jù)安全管理。??在數(shù)據(jù)全生命周期內(nèi),為了達成??不同等級和類型數(shù)據(jù)的安全保護要求,需要該組織出臺相應(yīng)的標(biāo)準(zhǔn),從技術(shù)層面推進各部門嚴格遵從技術(shù)規(guī)范。
管理機制
數(shù)據(jù)安全管理落地,配套的業(yè)務(wù)管理流程必不可少,需要在業(yè)務(wù)、產(chǎn)品的規(guī)劃和設(shè)計中,充分考慮數(shù)據(jù)安全的要求和能力構(gòu)建。
值得注意的是,制度體系不僅局限于技術(shù)層面,而是組織架構(gòu)、制度體系和控制流程的相互結(jié)合。為了落實業(yè)務(wù)合規(guī)的規(guī)則、保證數(shù)據(jù)合規(guī)的運營,建立數(shù)據(jù)從采集、傳輸、存儲、使用到銷毀全生命周期的授權(quán)制度流程,即擬定業(yè)務(wù)處理與業(yè)務(wù)合作過程中相應(yīng)的合規(guī)要求,并采用配套的技術(shù)工具予以支撐。
技術(shù)工具
● 落地數(shù)據(jù)分級分類
建立數(shù)據(jù)安全技術(shù)保障能力,首先是落地數(shù)據(jù)分級分類。以自動化的手段,通過對基礎(chǔ)數(shù)據(jù)的采集和分析,實現(xiàn)數(shù)據(jù)的梳理和打標(biāo)?;A(chǔ)數(shù)據(jù)來源應(yīng)包括所有數(shù)據(jù)庫的庫、表、字段信息及變化信息,所有生產(chǎn)、測試及辦公的網(wǎng)絡(luò)出口流量,所有應(yīng)用間的調(diào)用鏈路信息及屬主信息,所有辦公終端上的數(shù)據(jù)文件及操作行為。
通過對敏感數(shù)據(jù)的動態(tài)識別與風(fēng)險跟蹤,可以創(chuàng)建敏感數(shù)據(jù)資產(chǎn)分布地圖,基于可視化的管理來優(yōu)化數(shù)據(jù)的采集、存儲和使用;可以在數(shù)據(jù)外發(fā)和內(nèi)部使用時對數(shù)據(jù)進行分級管控,如未經(jīng)授權(quán)審批就發(fā)送數(shù)據(jù)至外部、違規(guī)超量或超字段發(fā)送數(shù)據(jù)至外部、不安全的內(nèi)部敏感數(shù)據(jù)調(diào)用及訪問請求等。
● 技術(shù)組合實現(xiàn)數(shù)據(jù)安全分級管控
在數(shù)據(jù)分級分類識別基礎(chǔ)之上,基于數(shù)據(jù)本身的密級(如:S1非保密、S2秘密、S3機密、S4絕密),在開發(fā)測試、數(shù)據(jù)運維、數(shù)據(jù)分析、應(yīng)用訪問、特權(quán)訪問、通用技術(shù)工具等所有不同場景下??做到真正意義上的以數(shù)據(jù)為單元的分級管控。
具體而言,對于任何一次主體(人員或應(yīng)用)訪問客體(數(shù)據(jù))的行為,需要基于主體訪問的網(wǎng)絡(luò)環(huán)境、終端環(huán)境、應(yīng)用環(huán)境,比如是在行內(nèi)通過標(biāo)準(zhǔn)終端、在外網(wǎng)通過BYOD、在辦公網(wǎng)絡(luò)或在生產(chǎn)網(wǎng),通過研發(fā)運維工具、郵件系統(tǒng)或大數(shù)據(jù)分析系統(tǒng)等通道,綜合評定主體訪問的風(fēng)險,并基于客體數(shù)據(jù)的密級和所在的環(huán)境,進行動態(tài)的訪問控制和安全防護。
● 統(tǒng)一用戶授權(quán)平臺
開戶辦卡、存錢匯款、理財貸款……銀行不同的業(yè)務(wù)場景對客戶的數(shù)據(jù)需求不盡相同,為了保證最小必要、明示同意的要求,構(gòu)建統(tǒng)一用戶授權(quán)平臺,以客戶為中心??建立其在本行不同業(yè)務(wù)產(chǎn)品及業(yè)務(wù)渠道上的數(shù)據(jù)??授權(quán)范圍、授權(quán)期限、分級授權(quán)及變更通知等。
在用戶統(tǒng)一授權(quán)平臺上,??所有的前端業(yè)務(wù)及渠道,其產(chǎn)品協(xié)議中對于客戶信息的采集告知將在后臺進行統(tǒng)一管理??,并實時響應(yīng)客戶隨時隨地取消授權(quán)的要求。??未來,還需要能夠響應(yīng)消保委等監(jiān)管部門的合規(guī)檢查要求,通過該平臺將清晰地呈現(xiàn)如何對客戶的數(shù)據(jù)進行授權(quán)管理和安全保護。
● 數(shù)據(jù)第三方交互評估機制
第三方交互是數(shù)據(jù)安全管理中非常重要的一個環(huán)節(jié),從提出與第三方合作的需求、到研發(fā)的實現(xiàn)、再到相關(guān)系統(tǒng)運行的變更,需要建立一套閉環(huán)的管理機制。
基于個人信息委員會和網(wǎng)絡(luò)與信息安全管理委員會,在每一次與第三方開展合作前進行安全評估,了解合作內(nèi)容中對于客戶信息的要求、數(shù)據(jù)交互的要求,反推是否需要修改相關(guān)的隱私政策和業(yè)務(wù)協(xié)議,并對客戶做單次的告知和授權(quán),嚴格履行個人信息保護義務(wù)。
當(dāng)合作需求固化之后,需要確保在未來的持續(xù)運營過程中,實時監(jiān)測實網(wǎng)傳輸?shù)臄?shù)據(jù)內(nèi)容不會發(fā)生越權(quán)、超量等變化。在技術(shù)實現(xiàn)上,需要把個人信息保護要求以及數(shù)據(jù)安全管控要求??嵌入到了SDL或DevOps的每個環(huán)節(jié)中(比如在需求設(shè)計階段,如果應(yīng)用涉及到需要??展示客戶敏感信息,那就必須進行安全評審,用安全的方式做屏蔽展示),以保證所有的安全策略在應(yīng)用的全生命周期中得以落實。
關(guān)于未來數(shù)據(jù)安全管理能力的暢想
基于以上從組織到管理到技術(shù)的體系構(gòu)建,數(shù)據(jù)安全動態(tài)風(fēng)險管控體系將形成三大中心。畫像中心將對人和數(shù)據(jù)分別畫像,一是依據(jù)崗位、終端操作行為、應(yīng)用系統(tǒng)訪問行為等日常監(jiān)控等,實時智能識別“風(fēng)險”人員;二是運用敏感信息自動識別技術(shù),對數(shù)據(jù)進行自動化識別、分級分類、標(biāo)記,識別“敏感”數(shù)據(jù)。
控制中心是基于場景的安全防護策略與工具。結(jié)合數(shù)據(jù)生命周期安全技術(shù)框架,對不同階段數(shù)據(jù)提供更完善和優(yōu)化的安全防護工具;充分運用大數(shù)據(jù)、機器學(xué)習(xí)、人工智能及云計算等新興前沿技術(shù),融合監(jiān)管要求、安全管控方案、知識庫,構(gòu)建實時智能快捷的安全訪問控制策略。
監(jiān)控中心則需要結(jié)合應(yīng)用系統(tǒng)交易全鏈路監(jiān)控、網(wǎng)絡(luò)流量監(jiān)控、數(shù)據(jù)水印、數(shù)據(jù)染色等手段,實現(xiàn)對敏感數(shù)據(jù)流轉(zhuǎn)的全鏈路跟蹤。
總而言之,未來的數(shù)據(jù)安全發(fā)展方向應(yīng)該是低門檻、強監(jiān)控的,即,在數(shù)據(jù)成為生產(chǎn)資料的現(xiàn)在,依靠管控準(zhǔn)入已經(jīng)不能完全達到業(yè)務(wù)創(chuàng)新的要求,因此必須在準(zhǔn)入之后加強監(jiān)控,能夠?qū)崟r發(fā)現(xiàn)數(shù)據(jù)運營過程的異常,對種種不合規(guī)的行為予以干預(yù)和控制,滿足個人信息保護的合規(guī)義務(wù),同步保障發(fā)展與安全。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<