一、行業背景

現代信息化科技建設的大力發展下,銀行和金融機構在日常經營活動中積累了大量數據,這些數據除了支持銀行前臺業務流程運轉之外,越來越多被用于財務報表、產品定價、客戶信息、績效考核、決策支持等領域。銀行日常經營決策過程背后實質是數據產生、存儲、傳遞和利用的過程。充分挖掘這些數據資產的使用價值, 可以為金融生產帶來極大的經濟效益和競爭優勢。然而, 一旦這些業務數據丟失、損壞或泄露, 則有可能造成巨大的經濟損失, 或在社會、法律、信用、品牌上對銀行造成嚴重的不良影響。在金融機構轉型和發展的過程中,平衡數據使用的便捷性和安全性成為極大的挑戰。

在數據安全層面,《網絡安全法》的頒布以及即將發布的《數據安全法》從法律制度層面對數據安全相關信息防護進行了要求。各行業的規定如《銀行業金融機構數據治理指引》、《證券基金經營機構信息技術管理辦法》、《證券期貨業數據分類分級指引》、《個人金融信息保護技術規范》則根據行業特點對本行業數據安全相關工作進行了規定,而國家相關部委、信息安全委員會則發布了《網絡安全等級保護條例(征求意見稿)》、《中央企業商業秘密保護暫行規定》、《信息安全技術數據安全能力成熟度模型》等國家標準。政策法規、行業標準、國家規范共同組成了數據安全的相關規章體系。

金融行業相關機構要想實現安全的管理和運營,就必須滿足國家上級監管機構要求的數據安全合規性建設,這種需求項目大、周期長、客戶要求較高。通常需要先進行整體體系建設的交流,以及成功案例的經驗分析,對客戶進行分階段的規劃,然后取得建設思路的一致,才能逐步開展組織架構、數據體系制度流程的建設、數據的分級分類、數據安全產品技術落地等。


二、金融數據安全風險分析

金融行業作為國家的經濟重要領域,數據資產龐大,涉及的數據使用方式多樣化,數據使用角色繁雜,數據共享和分析的需求強烈,但目前金融機構數據管理仍存在較多問題,具體表現在數據處理過程中大量的用戶信息及用戶業務使用信息等個人信息數據管控機制不足,商業秘密和敏感數據的信息在處理、共享和使用過程中面臨違規越權使用或被用于非法用途等數據泄露安全風險。員工對敏感數據保護的安全意識不足,對員工有意或無意的敏感數據泄露缺乏檢測與防護手段。


三、解決方案

構建數據安全治理的項目是一項從無到有、富有挑戰且意義深遠的工作。對于數據安全治理的建設,將數據安全標準化模型作為數據安全治理建設的總體目標藍圖。 

安全防護拓撲圖:


 

數據安全治理建設規劃必須包含以下四個方面:

一、組織和架構的建設:

傳統網絡安全均由IT部門負責,隨著數據治理工作的深入開展,業務部門要深入參與數據資產梳理以及分級分類工作,因此原有的組織架構和項目模式無法支撐數據治理的深入開展,需要自上而下形成高層牽頭、跨業務部門、數據全覆蓋的組織架構。

二、制度和流程的建設:

目前金融機構大多有較完整的安全規范,如分級分類規定,保密規定等,但一方面沒有獨立的數據安全規范,可執行性不強,另一方面缺乏技術監管手段,落地執行較難。在制度流程建設層面,可根據企業內部組織的特點分期進行建設。

三、技術工具的建設:

傳統的安全理念是“七分管理,三分技術”,隨著數據量的指數級增長,僅僅依靠管理很難對數據進行全方位管控,而在實踐中技術工具占據了越來越大的比重。傳統的咨詢項目交付物是大量的文檔,而數據安全的項目真正能夠落地執行離不開技術工具的管控。技術管控按照生命周期來分,可分為數據采集、數據傳輸、數據存儲、數據使用、數據刪除、數據銷毀六個方面。根據數據分級分類進行安全環境和邊界管控,保障數據的保密性、完整性和可用性。

四、人員能力的建設:

傳統安全人員的技術能力大多以網絡安全和信息安全為基礎,而在數據安全層面需要既懂業務,又懂數據安全體系的復合型人才,其核心能力包括數據安全管理能力、數據安全運營能力、數據安全技術能力及數據安全合規能力。對數據治理人員的培養和管理制度的宣貫需形成常態化機制,提高數據安全人員能力。


四、方案價值

1.合規性收益

符合國家信息安全等級保護相關政策標準,滿足行業系統的數據和業務服務的安全要求,滿足數據整體安全運營下的實際業務需求,從管理和技術兩個層面保障數據安全的安全防護水平。

2.安全性收益

立足于行內的實際情況,在滿足國家和行業政策標準要求的同時,重點保護內部數據安全,保證相關業務應用的運行安全性;盡量減少數據安全機制對業務應用系統的性能和流程產生大的影響;保證相關管理和技術措施的有效性和實際可行性。