中国光大银行信息科技部总经理 史晨阳

在大数据时代背景下,数据已成为企业最重要的资产。2017年开始,大数据转向数据服务阶段,与此同时,新技术和新应用的迭代更新也不断催生出新的风险,数据质量、数据安全、隐私保护、共享开放等问题日益突出。近几年来,数据安全事件层出不穷,个人隐私大范围泄露,在数据高速发展的时代,数据安全治理逐步成为关注的焦点并引发各界深度思考。

目前,各国相继出台法律法规,对个人、企业和国家重要数据进行保护。国际社会进入了数据安全立法的快速发展期,规则体系日趋复杂。2018年,欧盟正式施行《通用数据保护条例》(General Data Protection Regulation,简称GDPR),掀起了个人数据保护立法的改革浪潮。我国也在加紧推进和完善相应的制度建设,加强对数据生态的监管和治理。2017年正式生效《中华人民共和国网络安全法》,确立了关键信息基础设施中的个人数据和重要数据的本地化存储和跨境传输原则,2018年正式生效《信息安全技术个人信息安全规范》。2019年出台《数据安全管理办法》《个人信息出境安全评估办法》等征求意见稿,进一步明确敏感数据全生命周期的管理规范。另外在金融行业,2018年5月银保监会发布了《银行业金融机构数据治理指引》,明确提出数据安全治理的要求。这些法规都把数据作为最为重要的保护对象,并提出了安全要求,对于这些法规的遵守将影响企业的声誉、合规甚至存亡。

大数据体系下数据安全治理的重要概念

如何保障数据的安全,某种意义上讲,将数据全部物理隔绝,变成“死”数据是最“安全”的,既拿不走,也破坏不了。但是数据通过使用才能创造价值,对数据的使用让数据变成“活”数据,数据安全治理的使命是对“活”数据开展一系列的有效管理,保障数据在安全可控的情况下使用并发挥价值。国际咨询机构Gartner认为数据安全治理不仅仅是一套工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。

在大数据背景下,要实现数据安全治理,要厘清两个关系。

1.大数据治理和数据安全治理的关系。

DAMA(国际数据管理协会)在其《DAMA数据管理知识体系指南》中提出数据治理是对数据资产管理行使权力和控制的活动集合(规划、监控和执行),因此数据治理和数据安全治理密不可分。

首先,大数据治理框架中,数据安全与隐私管理是其中的一个领域,对数据治理的边界要求也适用于数据安全治理。随着对数据资产的高度重视和对个人隐私数据的强监管要求,数据共享越来越频繁,数据安全领域变得更加重要,成为数据治理领域里非常突出和核心的子领域。

其次,数据安全治理的框架、组织架构、管理对象、管理目标、管理视角,参与组织等多个维度与数据治理都是高度一致的。治理的框架一般都包括政策、流程制度、人才机制、技术工具等各方面,组织架构都由决策层、组织协调层和执行层组成,全组织单元参与。数据治理和数据安全治理都是覆盖行内外所有类型的数据,实现数据全生命周期的管理,提升数据资产的质量,让数据资产在安全可控的范围内使用,并发挥数据的价值。

最后,数据安全治理工作要依托数据治理的成果同步开展。数据治理中的元数据是数据安全分级分类的核心对象和依据,依托数据资产开展数据分级分类,了解敏感数据资产的分布、访问情况和授权情况。数据安全管理要求的落地,与数据模型设计相结合,做到事前控制,并在数据的采集、存储、加工和使用流程中实现数据安全管理要求,满足合规要求。

2.大数据体系下的数据安全治理和传统的数据安全治理的关系。

大数据体系下,数据的种类、使用环境、使用场景都发生了变化,数据安全工作随着大数据的发展需要与时俱进,相比传统的数据安全管理工作,大数据体系下的数据安全治理有以下几个特点。

首先,数据安全治理对象全覆盖。传统的针对敏感数据、隐私数据的既定范围内的数据管理,大数据体系下的数据安全治理覆盖敏感数据、隐私数据、重要业务数据等全视角的数据,行内外结构化、非结构化的所有数据都是数据安全管理的范畴,并针对不同的数据对象进行分级和分类管理,制订不同的管理策略和要求。

其次,数据安全治理环境全覆盖。传统的数据安全管理为防止数据跨域的数据安全进行强制的数据分区分域,限制数据的共享使用。大数据体系下的数据安全治理允许数据无界受控使用,覆盖生产环境、开发环境、测试环境、办公环境以及到行外环境的传输,通过明确全面的数据管理策略,让数据流动起来,为数据的应用和发挥价值创造条件。

再次,数据安全治理人员全覆盖。传统的是以防范别人进来窃取数据为主,通过事后检查的机制防止发生数据安全事件。大数据体系下的数据安全治理,变被动为主动,防止接触数据的人员有意无意地泄露数据,覆盖所有能接触数据的内外部人员。

最后,数据安全治理流程全覆盖。传统的数据安全管理主要从制度上进行要求,从管理上进行限制和审批,偏事后检查和审计。大数据体系下的数据安全治理是和数据日常工作深度结合,在数据的采集、加工、存储、应用、销毁等数据流程中提出具体明确的要求,通过管理和日常工作流程的结合,从事前、事中、事后多个维度全面开展数据安全工作。

大数据体系下的数据安全治理框架

在厘清上述关系的基础上,中国光大银行(以下简称我行)结合自身大数据治理和数据安全管理的实践经验,规划设计了大数据体系下的数据安全治理框架(见图1)。

图1 数据安全治理框架

1.组织建设。从组织业务的适用性、承担的工作职责的明确性及运作、沟通协调的有效性三方面考虑,我行已建立以信息科技与数据管理委员会为决策层、数据管理工作小组为组织协调层、总分行各部门及其数据安全岗为执行层的三层数据安全组织结构,并在数据安全管理办法中明确各层工作职责和协调机制。

2.制度流程。以明确数据安全方针和总纲、数据安全管理规范、数据安全操作指南和作业指导为主要内容,确定相关相关模板和表单和工作流程等,我行制订并发布了《数据安全管理办法》《办公环境数据安全管理细则》《个人敏感信息安全处理规范》等各项管理制度和技术规范,指导数据安全日常工作的开展。

3.技术工具。综合所有安全域进行整体规划和实现,和业务系统进行衔接,全方位立体地保障数据安全。通过打造五大名品工具,将数据安全管理要求落地:一是数据保管箱和数据侦探名品,推进业务系统数据下载对接数据保管箱,数据侦探监控办公环境敏感数据文件存放,实现办公环境敏感数据“零存放”;二是云桌面名品,实现开发、测试环境敏感数据“安全隔离”;三是加密平台和脱敏平台名品,确保生产环境敏感数据“安全使用”。

4.基础保障。以提升数据安全管理能力、数据安全运营能力、数据安全技术能力和数据安全合规能力为目标,全面开展数据安全文化和人员能力建设,通过多渠道多形式落实数据安全宣传工作,培养员工数据安全意识和能力,为我行营造一个保障业务良好运转的数据安全环境。在具体操作层面,我行已建立了从网络宣传、行内集中培训考试到现场数据安全检查和考评等三位一体的数据安全宣传、人员培养、检查及考评机制。

在大数据安全治理框架下,我行个人隐私保护、外部数据管理及数据合规共享等方面积累了一些切实的工作经验。

一是加强个人隐私保护,防止个人敏感信息泄露。在信息科技与数据管理委员会的数据安全战略指导下,我行成立了个人信息安全合规工作小组,推动个人信息保护相关工作方案的实施。在组织建设、制度流程、技术工具及基础保障层面构建个人信息保护的多重保障。通过制订和落地全行的技术规范以保证我行个人敏感信息的加工和处理的数据安全,通过个人敏感信息采集的要求和明示,保障个人敏感信息的采集和使用安全。

二是数据合规共享,实现数据价值。数据共享无罪,有罪的是数据没有被安全合规地共享使用。我行《数据安全管理办法》明确了数据合规共享要求及相关审批流程,要求事前须获取授权或去标识化、并进行安全评估,事中由专人负责、并进行安全加密,事后由专人负责及时清理销毁相关数据,共享双方及相关参与人员须签署保密协议。明确的数据共享机制,保障了我行数据共享行为合规有序。

数据安全治理面临的挑战与机遇

做到什么程度可以拍着胸脯说数据是绝对安全的?时代在发展,行业在发展,数据的环境和场景在发展,数据安全治理是一个有底线而无上限的工作,这个问题应该是没有答案。大数据时代,每个人都是大数据的使用者和生产者,提倡数据开放共享,让数据在流动中创造价值。大数据的这些特性,也对大数据安全提出了新的挑战。

5G时代来临,云计算、物联网、移动互联网等新技术新应用使得数据更加散落分布,数据类型复杂多样,数据源众多,流通性高,碎片化的数据对访问控制、安全审计管理提出了更高要求。同时数据的频繁共享共生,数据不断的被加工、被分享和变换形态,数据安全的核心对象也以不同的形象出现,当数据与第三方共享后,就脱离了企业掌控,存在被滥用和泄露的可能。

面对以上挑战,未来企业应转变思路,开展系统的、动态的、全面的、常态化的、前瞻性、持续性的数据安全治理工作,实现数据安全与业务发展的平衡,使数据在不同场景下有效合规地使用。主要包括:以数据资产为核心,识别数据安全资产目录和地图,识别敏感数据资产的分布和流动,建立企业统一的数据安全策略,实现对各类数据风险的实时监测。

有效运用云计算、区块链、人工智能等热点技术,构建智能高效的数据安全防控网。以合规要求为前提,以数据应用为基础,以满足业务用数需求为驱动,从技术导向转变为业务和管理导向,进行统筹规划。如通过大数据挖掘技术,识别工作中存在的数据安全泄露风险,通过区块链技术,本质解决信任问题,推进跨领域数据共享和内部信任。将数据安全治理工作和实际的工作紧密结合,以润物细无声的理念,将数据安全无缝深入到工作中的细节,让安全无处不在,无时不在。

实际工作中要时刻关注数据安全治理的目标,既要全面数据安全治理,保障数据安全,又要适度数据安全治理,为数据发挥价值保驾护航。数据安全无小事,从事数据安全工作要始终绷着一根弦,做一个幕后英雄,为数据使用创造一个安全好用的环境,让数据使用者放心大胆的专心致力于数据价值的挖掘。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。