一、对数据安全管理的理解与认识
首先,基于国家政策背景、行业监管与数据安全事件,介绍一下银行对当前数据安全管理的理解和认识。
数据安全事关国家安全红线,应把数据安全贯穿到数据治理全过程。自个人信息保护法、数据安全法(以下简称“两法”)发布以后,数据安全已经上升到国家安全高度,基本形成了网络安全、数据安全、个人信息保护为核心数据合规的法律体系。同时我们注意到,国家及各行业监管机构,对于违反数据安全法律法规行为的查处范围、频度、力度都在不断加大。2022 年 6 月,全面深化改革委员会第二十六次会议上强调数据安全治理是数据基础制度体系的重要组成部分,要把安全贯穿到数据治理的全过程。
这意味着,一方面数据安全管理已经是独立的管理体系,银行金融机构要建立企业级的数据安全治理体系;另一方面要将数据安全管控要求和措施在数据治理的各项管理流程中落地,实现数据全生命周期的安全保障,确保金融行业安全运行,守好国家的安全底线。
金融监管机构一直以来不断提高对数据安全的重视程度。金融行业作为科技驱动型和数据密集型的行业,一直以来都是监管机构重点关注的行业,并且未来监管趋势将更加严格。
首先,在监管制度体系建设方面,金融行业始终走在前面。在“两法”发布之前,中国人民银行已经发布了《金融数据安全 数据安全分级指南》和《金融数据安全 数据信息安全规范》两个行业标准。在“两法”发布后,中国人民银行又领先各个行业率先发布了《金融数据安全 数据安全评估规范(征求意见稿)》。
其次,《数据安全法》明确行业主管要承担数据安全监管职责,金融监管数据安全的合规将进一步行业化、细则化、场景化,门槛不断提高。另外,监管和督导力度也在不断升级。近年来,中国人民银行和银保监会向银行机构开出的数据合规类罚单,在数量、比重以及处罚金额方面持续提升,处罚金额同比增加了 67.5%。此外,监管机构逐步提高对数据安全的重视程度,银保监会近期也就银行机构数据安全分别开展了两次风险排查,并密集召集金融机构开会,征求各方对数据分级分类指南的意见,准备出台数据安全方面监管办法。
因此,金融行业高质量发展面临着数据安全管理困难与挑战。随着数字化金融的兴起,加剧了数据在用户、金融机构和第三方企业之间的流动。相较于其他行业,金融行业所处的数据环境更加复杂,对数据安全的要求更加严格。金融行业领域面临的典型数据安全合规场景有:
① 用户数据收集(过度的采集和分析用户信息);
② 与第三方机构合作(违规委托催收方提供客户信息、第三方数据来源不合规);
③ 数据跨境流动(个人信息跨境未评估和申报);
④ 数据查询展示(用户信息明文展示)。
开放经济背景下,金融行业数据安全管理面临的挑战包括:
① 开放场景下数据流动加剧;
② 数据安全保护要求升级;
③ 数据安全管理机制不健全;
④ 安全技术工具不完善。
企业是数据安全的责任主体,要牢固树立数据安全红线意识。在国家数据安全治理数据基础制度中已明确强调,要构建起政府、企业、社会多方协同治理的模式,强化行业监管和跨行业协同监管,压实企业数据安全责任,即企业是数据安全的第一责任主体。此外,银行金融机构是具有多重身份的核心企业,因此银行金融机构要牢固树立安全意识,识别数据处理过程中的多种身份,以及对应特殊监管合规要求,包括重要数据的处理者、金融信息服务提供者等。在此基础上构建全领域覆盖的数据安全管理体系,将数据安全贯穿数据治理的全过程,保障数据合规和安全流通。
各金融机构在数据安全方面的工作都有一些进展。目前,金融机构已逐步从数据安全组织架构、制度规范、流程机制、技术工具以及人员能力等方面开展了相关工作。在组织架构建设方面,明确数据治理的整体架构,建立数据安全管理的组织模式。在制度规范方面,部分银行已经建立了企业级的数据安全管理制度,以及数据安全专项管理制度。在流程机制建设方面,主要围绕数据安全分级管理、用户权限管控,以及合作机构管理等方面实施数据安全管理。在技术工具方面,多家银行已经完善安全保护技术基础,推动自动化分级分类,并开展隐私计算相关探索和应用。
二、数据安全管理实践分享
接下来,从数据安全体系的建设、数据安全全生命周期保护管理、数据安全技术支撑以及业界合作 4 个方面,介绍当前某银行数据安全管理工作的情况。
1、数据安全治理体系建设
结合内外部要求,明确数据安全治理落地的整体思路。在“两法”发布以后,高度重视《数据安全法》的贯彻落实。以《数据安全法》为出发点,以《金融数据安全 数据安全评估规范》为基本框架,融入国标的数据安全管理成熟度模型,结合数据安全管理现状,明确了围绕数据安全“三个维度”、“十七个领域”的治理要求。“三个维度”主要是指管理、保护、运维,纳入了科技、风险、合规、人力等多个部门,形成前、中、后台的安全管理三道防线,以及多方协同的安全治理模式,制定了分阶段推进的数据安全体系建设实施策略。
首先,持续完善数据安全管理的体系建设。当前主要围绕组织职责、制度规范、流程机制、人员能力、技术工具 5 个方面,推进数据安全管理体系的完善。包括建立了管理层、执行层、监督层三个层次的数据安全组织架构,涵盖了纲领制度、专业制度、其他制度的数据安全制度体系,围绕日常管理、应急管理和数据全生命周期管理三个方面优化安全管理的流程机制。
在组织架构的建设方面,设立相关委员会,作为数据安全管理的决策层,数据管理部门作为牵头部门,统筹全行的数据安全管理工作,组建了涵盖 20 多个部门的数据安全柔性团队,负责各项数据安全工作协同和推进。同时按照“谁的业务谁负责,谁的渠道谁负责,谁的场景谁负责”的原则,明确了各领域数据安全的管理职责。
在制度规范和流程机制方面,完善数据安全管理制度和流程。充分对标数据安全相关法律法规梳理,形成了数据安全专项规章制度,组织开展数据安全制度体系建设以及制度重检修订工作。目前,已经在数据管理、信息科技管理、业务管理等领域,逐步推进一系列数据安全相关管理制度和流程制度的制定,初步形成了数据安全制度规范体系。在数据管理领域,已经制定数据安全管理办法作为纲领性制度文件。推动建设《数据安全分级管理办法》《数据安全评估管理办法》《数据安全应急管理办法》专项制度与实施细则的制定。在基础安全技术领域,建立了全面的网络安全制度体系,制定了《信息安全管理办法》作为纲领性文件,全面落实境内外机构信息科技相关的法律法规等监管要求。在业务管理领域,修订发布了《个人客户信息管理办法》等规章制度。
在人员能力方面,加强人员能力培养及文化宣传贯彻工作。设立数据安全专栏,面向全部员工提供法律标准解读分析等学习课程,编制信息安全事件警示录、员工信息安全技能手册等培训教育手册供员工学习。同时,建立新员工入职培训、在职员工年度安全培训机制,常态化组织员工开展安全意识培训。此外,还通过跟踪数据安全监管动态、业界实践、行内进展等,定期形成数据安全管理工作简报,加强宣传贯彻工作,促进全行数据安全文化建设。
2、落实数据全生命周期安全保护
在数据安全管理体系建设的基础上,将相关管理要求落实到数据采集、传输、存储、删除、销毁等全生命周期的各个环节。
在数据采集方面,建立了外部数据统一引进和管理机制,通过多方面严格审核供应商保证外部数据来源安全合规,并利用企业级的安全组件保证外部数据引入过程的安全。
在数据传输方面,加强敏感数据传输安全管理。一是生产数据源的问题,数据开发测试数据要进行分析才能交付;二是员工用户在桌面云交换和导出数据到办公电脑时,均需通过数据安全组件进行传输,确保中间环节无落地存储;三是对于涉及客户身份认证、资金交易等重要操作的数据,采用安全传输协议进行加密传输,防止在数据传输过程中信息泄露。
在数据存储方面,数据集中存储在数据中心的生产环境中,各级信息科技部门都严格规范管理生产环境,将生产环境划分出多个安全区域,各个区域间通过防火墙进行隔离,所有操作都通过安全操作管理系统完成,确保无法将数据私自拷贝出生产环境。
在数据使用方面,一是在信息系统设计阶段,严控数据下载和导出功能,非必要不开发相关功能。如果确需开发的,遵循最小必须的原则,控制数据范围、规模和频次。二是在业务应用层面,信息系统均设置了关键运行指标,并对指标设置了预警阈值,指标一旦出现大幅波动,运行部门和主管部门会在第一时间进行分析处理,研判是否出现异常行为。三是在研发层面,研发和运维人员操作动作和操作内容被系统记录并且保存。根据关键字快速搜索定位违规操作,操作行为可追溯,异常行为将第一时间得到监测与预警。
在数据提供方面,通过完善服务供应商准入审查、修订对外合作协议等方式,加强对合作方的安全管理,同时开展隐私计算技术的开发应用,持续提升数据安全共享能力。
在数据销毁方面,采用不用的数据及时销毁策略,生产系统报废的设备存储部件通过专用设备进行消磁或物理可去处理,建立专人专岗,记录销毁全过程。
① 实施数据资产的自动化盘点和整合。数据资产的全域管理是实现数据全生命周期和业务全流程数据安全保障的重要基础。通过全域的数据资产盘点,广域数据资产整合,构建了企业级数据资产目录,形成了覆盖系统组件、外部数据、数据湖、数据仓库、标签、指标、报表、数据产品等各类数据资产的全域数据资产目录,帮助用户厘清数据资产分布及关联关系,勾勒出企业级的数据资产全貌,为数据安全管理向自动化、智能化的转变夯实数据基础。
② 实现全域数据资产的自动化数据安全分级。将数据安全的标准落实到每个数据项上。一是在数据资产盘点整合的基础上,制定数据安全分类分级标准。基于数据安全分析指南的分类维度、分类类别、安全级别,并参考银行企业级的数据模型以及业务理解,制定了数据安全分级标准;基于个保法分级分类标准,针对个人信息数据安全加以细化和完善,制定个人金融信息数据安全分类标准。二是研发数据安全自动化定级模型,建立了近 6 万条数据的定级词库,通过机器学习的方式,实现数据安全等级的自动化初判。三是开展分级工作,组织推进全行数据的安全分级打标工作,通过资产梳理、定级准备、级别判定、级别审核、级别批准等环节,初步完成对数据湖、数据仓库、业务系统数据自动化定级和确认复核,为数据分级管控提供了有效支撑。后续,将落实各级数据的安全保护措施,制定分级管理制度。
③ 建立统一的数据授权使用管控机制。统一用户权限管控体系,确保按照“最小必要”原则设立使用权限。在用户管理方面,建立了员工用户管理应用权限管控模型,包含员工用户、岗位、角色、权限 4 层,通过映射实现员工用户对具体权限的获取。部署统一认证服务,实现个人信息系统之间的账号合并以及统一管理。在此架构下,所有的信息系统均采用统一的权限管控模式。在数据授权管理方面,围绕数据湖仓用数和个人客户隐私授权两个重要场景,建立了企业级的授权管理机制,为全行快捷用数、安全用数、合规用数提供保障。
④ 合作探索隐私计算技术促进数据安全共享。主要打造了共享的安全计算平台,全面整合联邦学习多方安全计算等技术路线,支持联合计算、联合建模等功能,支持集团内外部各机构快速部署和使用。在确保“数据不出域”的前提下,实现数据“可用不可见”,充分挖掘跨机构数据在银行风控、营销、监管等场景的价值。
⑤ 建立数据资产全链路数据流转监测机制。通过建立数据资产全链路数据流转监测机制,实现了从数据生产、加工整合到数据服务应用全链路数据关系的全覆盖,全面掌握端到端数据流转情况及健康状况,确保所有敏感数据的流转都被监测、记录、分析和溯源。
3、数据安全技术支撑
建立企业级数据安全技术体系。构建企业级一体化,覆盖数据全生命周期的数据安全技术防护体系,通过数据访问控制平台、隐私计算平台、数据安全下载平台等技术平台,承建数据脱敏、加密权限、访问控制、数字水印、隐私计算等数据安全核心技术,为后台生产数据、前端分析数据等场景提供了数据保护技术手段,并通过联通安全运营平台,持续开展数据安全安全运行,支持数据的安全管理活动。
加强内外部风险防范。以客户信息防泄漏场景为例,依托企业级的安全技术体系,提供全方位的安全技术保护,在抵御外部攻击窃取的方面,构建纵深防御体系,有效解决不法分子通过网络“进不来”的问题。通过向上层应用统一提供身份认证、授权数据加密、安全监控等安全技术措施,有效解决非法授权信息“看不懂、拿不走”的问题。有效应对外部渗透窃取、数据库脱库、第三方数据泄露等客户信息安全风险。在防范内部操作线路方面,通过建立安全封闭的数据专用环境和采用安全技术措施,严控终端和网络数据的泄露途径,及时阻断员工有意或者无意的数据操作风险。
4、业内合作
携手业内专家共同推进数据安全治理水平提升。在推进安全体系建设的同时,积极参与金融行业数据安全标准的制定,同时与领先的金融机构和互联网公司参加中国信息通信研究院发起的数据安全推进计划,携手探索建设数据安全全行业生态。
三、数据安全管理未来展望
在当前数据安全管理成果的基础上,进一步推进落实充实数据安全岗位设置、完善制度体系建设、加强数据安全全生命周期的分级管理、固化数据安全评估机制、优化数据应急管理等 7 个方面的重点工作,持续提升数据安全管理能力。
今天的分享就到这里,谢谢大家。
