一、行业背景

现代信息化科技建设的大力发展下,银行和金融机构在日常经营活动中积累了大量数据,这些数据除了支持银行前台业务流程运转之外,越来越多被用于财务报表、产品定价、客户信息、绩效考核、决策支持等领域。银行日常经营决策过程背后实质是数据产生、存储、传递和利用的过程。充分挖掘这些数据资产的使用价值, 可以为金融生产带来极大的经济效益和竞争优势。然而, 一旦这些业务数据丢失、损坏或泄露, 则有可能造成巨大的经济损失, 或在社会、法律、信用、品牌上对银行造成严重的不良影响。在金融机构转型和发展的过程中,平衡数据使用的便捷性和安全性成为极大的挑战。

在数据安全层面,《网络安全法》的颁布以及即将发布的《数据安全法》从法律制度层面对数据安全相关信息防护进行了要求。各行业的规定如《银行业金融机构数据治理指引》、《证券基金经营机构信息技术管理办法》、《证券期货业数据分类分级指引》、《个人金融信息保护技术规范》则根据行业特点对本行业数据安全相关工作进行了规定,而国家相关部委、信息安全委员会则发布了《网络安全等级保护条例(征求意见稿)》、《中央企业商业秘密保护暂行规定》、《信息安全技术数据安全能力成熟度模型》等国家标准。政策法规、行业标准、国家规范共同组成了数据安全的相关规章体系。

金融行业相关机构要想实现安全的管理和运营,就必须满足国家上级监管机构要求的数据安全合规性建设,这种需求项目大、周期长、客户要求较高。通常需要先进行整体体系建设的交流,以及成功案例的经验分析,对客户进行分阶段的规划,然后取得建设思路的一致,才能逐步开展组织架构、数据体系制度流程的建设、数据的分级分类、数据安全产品技术落地等。

二、金融数据安全风险分析

金融行业作为国家的经济重要领域,数据资产庞大,涉及的数据使用方式多样化,数据使用角色繁杂,数据共享和分析的需求强烈,但目前金融机构数据管理仍存在较多问题,具体表现在数据处理过程中大量的用户信息及用户业务使用信息等个人信息数据管控机制不足,商业秘密和敏感数据的信息在处理、共享和使用过程中面临违规越权使用或被用于非法用途等数据泄露安全风险。员工对敏感数据保护的安全意识不足,对员工有意或无意的敏感数据泄露缺乏检测与防护手段。

三、解决方案

构建数据安全治理的项目是一项从无到有、富有挑战且意义深远的工作。对于数据安全治理的建设,将数据安全标准化模型作为数据安全治理建设的总体目标蓝图。

安全防护拓扑图:

数据安全治理建设规划必须包含以下四个方面:

一、组织和架构的建设:

传统网络安全均由IT部门负责,随着数据治理工作的深入开展,业务部门要深入参与数据资产梳理以及分级分类工作,因此原有的组织架构和项目模式无法支撑数据治理的深入开展,需要自上而下形成高层牵头、跨业务部门、数据全覆盖的组织架构。

二、制度和流程的建设:

目前金融机构大多有较完整的安全规范,如分级分类规定,保密规定等,但一方面没有独立的数据安全规范,可执行性不强,另一方面缺乏技术监管手段,落地执行较难。在制度流程建设层面,可根据企业内部组织的特点分期进行建设。

三、技术工具的建设:

传统的安全理念是“七分管理,三分技术”,随着数据量的指数级增长,仅仅依靠管理很难对数据进行全方位管控,而在实践中技术工具占据了越来越大的比重。传统的咨询项目交付物是大量的文档,而数据安全的项目真正能够落地执行离不开技术工具的管控。技术管控按照生命周期来分,可分为数据采集、数据传输、数据存储、数据使用、数据删除、数据销毁六个方面。根据数据分级分类进行安全环境和边界管控,保障数据的保密性、完整性和可用性。

四、人员能力的建设:

传统安全人员的技术能力大多以网络安全和信息安全为基础,而在数据安全层面需要既懂业务,又懂数据安全体系的复合型人才,其核心能力包括数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。对数据治理人员的培养和管理制度的宣贯需形成常态化机制,提高数据安全人员能力。

四、方案价值

1.合规性收益

符合国家信息安全等级保护相关政策标准,满足行业系统的数据和业务服务的安全要求,满足数据整体安全运营下的实际业务需求,从管理和技术两个层面保障数据安全的安全防护水平。

2.安全性收益

立足于行内的实际情况,在满足国家和行业政策标准要求的同时,重点保护内部数据安全,保证相关业务应用的运行安全性;尽量减少数据安全机制对业务应用系统的性能和流程产生大的影响;保证相关管理和技术措施的有效性和实际可行性。