安华金和助力徽商银行完善数据安全风险评估能力建设
日期:2022年09月27日 阅:74
数字化转型工作已经成为商业银行顶层架构和战略规划的重中之重,数据安全作为其中一项重要工作,关系着数字化转型的成败。面对日益严格的监管和时代提出的新要求,银行机构须对数据安全管理高度重视。传统的单点安全防护措施已难以满足日趋复杂的数据使用场景,为保证数据自由而安全的使用,需要基于商业银行现状,有针对性、全方位体系化的做好数据安全防护工作,保障数据安全并促进数据开发利用。
徽商银行作为安徽省地方的金融主力军,在助力区域经济实现高质量发展中起到了关键作用。随着其业务的不断拓宽,徽商银行面临着各个业务系统数据量增多,数据安全评估能力不足,数据安全管控能力不完善等诸多难点,亟需搭建完善的数据安全治理体系进而提升其数据安全风险评估能力,为徽商银行数字化转型跃升,顺应数字经济发展新趋势提供强有力支撑。
(图片来源:搜狐网)
需求背景
1
合规驱动随着《网络安全法》、《数据安全法》、《个人信息保护法》的颁布与实施,国家正不断完善数据安全法律法规体系,金融行业数据安全监管要求也随之呈现出逐步明确且不断加强的趋势。自2020年以来,陆续颁布了《JR/T 0171-2020 个人金融信息保护技术规范 》、《JR/T 0223-2021金融数据安全 数据生命周期安全规范》、《JR/T 0197-2020 金融数据安全数据安全分级指南》、《金融数据安全 数据安全评估规范》 (征求意见稿)等金融行业标准,要求金融机构结合实际按照规范加强金融数据安全管理。
2
风险驱动随着数据的大量集中和广泛应用,数据所面临的安全风险也在急剧增加,数据泄露事件层出不穷,数据安全已经成为制约数据价值实现的主要因素之一。与此同时,针对数据泄露的监管处罚也呈现不断增多的趋势,仅2022年初数据安全相关的监管处罚金额已超2000万元。
3
业务驱动中国人民银行关于印发《金融科技发展规划(2022-2025)》的通知中提出,数据要素被升级成为金融业的生产要素,其重要性正日益增强。徽商银行的数据存在类型多、形式多样、存储分散、访问人员多、易传播等特点,复杂的数据使用场景使传统的安全措施难以发挥效应,单点防护的方式愈发不能满足数据安全需求。
如何建立起完善的数据安全治理体系,统筹金融数据的开发利用、完善金融数据的标准体系、建设数据在采集、传输、使用、存储、加工、销毁等场景下的安全防护能力,成为了徽商银行亟待解决的问题。
痛点分析
01
缺乏数据安全评估体系
徽商银行从“信息化”到“数据化”转型过程中,数据量大幅度增加,然而机构内部尚未建立起合适的数据安全风险评估方法和体系,无法针对性地摸清所面临的数据安全风险,也无法评估与行业标准所规定要求的差距。
02
缺乏对敏感数据、重要数据的识别分类及管控能力在徽商银行后台数据库中,储存着大量的敏感信息,一旦发生信息泄密行为,不仅会造成重大财产损失,也会对银行声誉造成严重影响。目前徽商银行缺乏对数据库后台中重要数据的识别能力,无法高效地对数据进行分类分级,更无法针对不同级别的数据制定相应的管控落地措施。
03
缺乏体系化的数据安全管控建设思路目前,徽商银行在数据安全建设主要集中在面向具体场景或具体能力的单点数据安全。随着徽商银行的数据量逐渐增多,数据的使用场景趋于复杂化、多样化,所面临的数据安全威胁及付出的代价也在不断增长。因此,依靠单一的防护手段只能满足单点场景的安全需求,很难形成全面的数据安全防护能力。徽商银行迫切需要基于自身数据安全长远考虑,体系化地规划数据安全建设路线,逐步构建一体化的数据安全能力来应对复杂的安全形势。
规划建设数据安全现状评估是数据安全管理规划、落地的基石,只有摸清现状,方可有的放矢。对于徽商银行而言,摸清家底是整个数据安全评估工作的第一步;在摸清家底后,分析现状,找到风险点,针对风险梳理应对策略;再根据整体行内现状,从“管理”、“技术”两方面综合考虑,统一规划,以最终的持续运营为目标,形成“管理、技术、运营”三个体系相辅相成的整体解决方案,进而根据规划方案,结合现状、工作难度、风险重要性,分解建设任务,分步推动整体解决方案落地实践。最终建立起以“技术体系、管理体系、运营体系“为核心的数据安全管理链,自上而下,由下往上地形成战略规划、执行落地、改进优化、监督运营的协同及迭代,共同组建成徽商银行的总体安全策略。
1►
全面评估数据安全现状本次评估主要以个人敏感信息为主,参考《金融数据安全 数据生命周期安全规范(JR/T 0223—2021)》及2021年底发布的《金融数据安全 数据安全评估规范(征求意见稿)》,评估范围主要包含数据安全管理(S1)、数据安全保护(S2)、数据安全运维(S3)三方面内容,涵盖了数据安全的组织架构、制度建设、分类分级、全生命周期管理、技术工具情况、访问控制情况、安全监测情况、安全审计情况、边界管控情况及应急响应与事件处置。为了评估有效落地,针对数据安全全生命周期管理,通过前期调研分析,选取行内60多个典型系统作为重点,通过与相关业务人员及开发人员访谈、旁站验证技术工具功能及查验管理制度资料等手段,力求最大程度了解行内整体现状。
2►
识别数据资产,完善制度体系敏感数据发现及数据分类分级是数据安全管控落地的前期及基础。通过敏感数据识别及分类分级平台的建设,按照《JR/T0197-2020金融数据安全数据安全分级指南》要求,形成数据分类分级模板,实现对数据的快速分类,建立统一、准确、完善的数据架构基础,实现集中化、专业化、标准化的数据管理,并全面厘清数据资产,对数据资产实现规范化管理。数据分级有助于徽商银行根据数据的不同级别,确定数据在其生命周期的各个环节采取的数据安全防护策略和管控措施,进而提高机构的数据管理和安全防护水平,确保数据的完整性、保密性和可用性。梳理徽商银行现有的组织架构及规章制度情况,依据评估发现风险,结合行内现状,针对行内落地管控措施进行完善,形成了覆盖数据安全管理、数据安全防护、数据安全运维三方面的可落地制度规范。主要内容包含数据安全场景评估规范、数据安全自查表、信息系统权限管理细则、数据安全生命周期管理规范、分类分级操作指南、数据脱敏技术规范、数据安全事件应急预案等,形成了覆盖制度、规范、细则、操作指南的全方位数据安全管理制度体系。
3►
针对不同场景的防护技术规划在数据应用场景上,对典型的监管报送、系统数据交互、用户访问、安全用数、存储安全、安全运维等进行有针对性的数据安全规划。在场景中数据的全生命周期环节,结合管理策略与技术工具给出合理化、可落地的建设意见,充分发挥事前预防、事中管控,事后审计的策略,保障数据使用安全。
4►
全面规划数据安全体系
重点围绕实现徽商银行数据安全治理体系建设规划管理体系、技术体系和运营体系。在安全管理体系上,包含组织架构、制度建设、人员管理、合作管理、技术管理等,目前徽商银行已经搭建了数据安全管理组织架构,并颁布了高层级的数据安全管理制度。本次规划结合数据安全管理现状及数据安全技术现状,基于可落地、可执行的原则,健全、完善实施细则方案,并结合技术体系建设路线,制定后期的完善计划。在技术防护体系上,围绕终端安全、网络安全、应用安全、数据安全等层面,基于IPDR能力框架,从数据资产识别、数据安全防护、数据安全响应处置到数据溯源进行合规性全面的建设和加固,对现有数据安全措施,经过风险评估,综合考虑技术成熟度、实际管控效果、后续扩展性、建设成本等情况进行利旧或优化,对当前尚未建设的部分,提出相应的建设方案。在安全运营体系上,规划建立数据安全监测预警与处置中心,将数据资产管理、数据分类分级、合规管控、数据风险监测与响应处置等结合为一体,形成数据安全闭环。通过将数据安全生命周期中相关的安全设备和平台进行整合,配合行内数据安全管理制度和规范,构建基于数据感知、安全合规、事件稽核、风险感知四个维度的运营管控体系,实现数据资产管理、合规指标策略下发、事件稽核处理、数据流转监测、风险分析监测的常态化持续运营体系。在落地实施建议中通过风险等级、建设难易、业务需求和实际情况对规划建设内容进行排序,进行分布建设、逐步完善,最终实现一体化运营的效果。
优先解决重要风险问题
针对行内重点系统、监管目前重点检查要点及历年的处罚案例涉及的问题进行优先解决。
完善当前管控措施
针对行业规范要求,对行内涉及的客户信息系统进行纳管,并对风险较大及管控不完善的环节进行覆盖。
全面解决现有风险
满足行业规范要求,针对行内现有系统全面纳管,并实现数据安全行业规范要求全覆盖。
加强主动数据安全防御能力
增加主动防护能力,由被动防御变为主动发现,将风险扼杀在摇篮之中。
形成完善的数据安全管理运营体系
将数据安全管理工具及管理方法形成运营体系,从而形成常态化、平台化、可持续运营的数据安全防护体系。
数据安全进入快速迭代、迅猛发展的新时代,商业银行在数字化转型的的浪潮中,只有不断汲取能量加强数据安全管理,提升数据安全防护能力,才能确保数字化转型的成功,勇立于数字化时代的潮头。未来,安华金和将结合数字化转型中的新场景安全需求,持续为用户提供更具有前瞻性和落地性的产品及解决方案,寻求数据安全发展的有效之道,为银行筑起数据安全“防火墙”。
北京安华金和科技有限公司成立2009年成立至今,一直专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商,作为中国“数据安全治理”体系框架的提出者,安华金和提供敏感数据发现、数据分级分类、数据流动过程管控、数据审计监控整体数据安全思路与方案,覆盖数据使用全生命周期;同时,安华金和在云数据安全方面,国内领先,适配腾讯云、华为云、AWS、Azure等国内外大型云平台,并与阿里云、华为云成为战略合作伙伴。