01 数据安全关系到商业银行数字化转型的成败

随着2022年初《中国银保监会办公厅关于银行业保险业数字化转型的指导意见》的发布,数字化转型工作已经成为商业银行顶层架构和战略规划的重中之重,商业银行应当以数字化转型推动高质量发展,构建适应现代经济发展的数字金融新格局,不断提高金融服务实体经济的能力。

在商业银行推进数字化转型工作中,数据安全作为一项重点工作,关系到整个数字化转型的成败。如果数据安全能够有力的支撑数字化转型,那么商业银行可以基于数据资产和数字化技术开展金融创新,提升个性化、差异化、定制化产品和服务开发能力,从而提高金融服务质量和效率,进而建设合作共赢、安全高效的经营生态环境和市场竞争能力。反之,如果数据安全出现严重问题,甚至触犯《数据安全法》、《个人信息保护法》和央行银保监会的监管要求,将导致监管问责、舆情风险、客户流失、经济损失、业务创新停滞等一系列严重后果。因此,商业银行应当把数据安全工作纳入到全行数字化转型的顶层架构和战略规划中并加以落实,才能更好的引入金融科技的新技术、新业务和新模式,将其应用到银行业激烈的市场竞争之中。

02 商业银行面临的数据安全风险

由于行业敏感度和严格的行业监管要求,银行业一般都采用了封闭隔离的网络来保护数据安全,但是由于互联网行业的发展和传统行业数字化转型的加深,银行需要与大量外部机构和个人交互数据,封闭隔离的网络环境已经无法适应数字化时代对银行的发展要求,银行必须在有效降低数据安全风险的前提下充分利用数据能力开展业务。具体来说,当前银行业数据安全风险有如下5个方面:

  • 合规风险:对国家要求和商业银行监管要求落地执行不足导致风险,例如2021年某银行因“制卡数据违规明文留存、数据安全管理较粗放、存在数据泄露风险”等问题被银保监会罚款420万元;2022年某银行因“违反信用信息采集、提供、查询及相关规定”被银保监会罚款1674万元。

  • 内部风险:银行内部人员泄露或篡改敏感数据和个人信息的风险;

  • 外部风险:利用安全漏洞,外部未授权人员和第三方人员通过黑客手段窃取或篡改敏感数据和个人信息的风险;

  • 合作伙伴风险:在与业务渠道、IT公司、其他金融机构等合作过程中对敏感数据和个人信息进行违规处理的风险

  • 业务风险:新业务、新产品、新系统的创新过程中,过度收集或未妥善处理客户个人隐私而导致违反监管要求或客户追究的风险。

03 商业银行数据安全监管要求

  • 《JR/T 0223-2021金融数据安全 数据生命周期安全规范》

中国人民银行于2021年4月颁布了《JR/T 0223-2021金融数据安全 数据生命周期安全规范》,该规范从金融数据生命周期出发,规定了金融数据安全原则、安全防护要求、组织保障要求以及信息系统运维保障要求等内容,建立了覆盖数据采集、传输、存储、使用、删除及销毁各个过程的数据安全框架。

商业银行个人金融信息处理的环节包括:

上述6个环节中,数据安全风险主要发生在使用、存储以及传输三个方面,其中,使用阶段的数据泄露占绝大多数。为防范数据使用过程中的泄露风险,一方面需要对操作进行规范,利用制度防范数据泄露,另一方面应通过技术识别数据泄露行为并进行阻断。

  • 《JR/T 0197-2020 金融数据安全 数据安全分级指南》

中国人民银行于2020年9月颁布了《JR/T 0197-2020 金融数据安全 数据安全分级指南》。数据安全定级旨在对数据资产进行全面梳理并适当分级,是金融业机构实施有效数据分级管理的必要前提和基础,该指南给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。该标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级,具体如下:

  • 《JR/T 0171-2020 个人金融信息保护技术规范》

中国人民银行于2020年2月颁布了《JR/T 0171-2020 个人金融信息保护技术规范》,根据信息遭到未经授权操作所产生的影响和危害,该规范将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。具体如下:

该规范涵盖了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期的6个环节,从安全技术和安全管理两个方面,针对三个不同类别的个人金融信息,对个人金融信息保护提出了规范性要求,例如C3类信息在技术上应进行加密传输、加密存储和脱敏展示;在管理上应禁止将C3类信息进行转让、共享和公开等等。

04 商业银行数据安全管理

从顶层设计角度,数据安全需要考虑数据治理、数据管理和数据安全技术三个层面,形成数据安全管理体系架构,并综合战略目标、以及法律法规、组织等情况制定相关的数据治理体系架构进行统筹。在数据治理层面,应明确数据安全责任部门和角色,把数据安全与数据标准、数据质量、数据架构和元数据管理等方面进行统筹考虑;在数据管理层面,应开展数据资产管理、数据分类分级、数据风险评估、制度体系规范等管理工作;在数据安全技术层面,应不断建设技术防护能力,促进《JR/T 0171-2020 个人金融信息保护技术规范》中相关技术要求的落地,促进管理能力的提升。

在具体实施时,商业银行应重点执行如下六方面工作,保障数据安全,降低数据安全风险:

  • 确立数据安全组织角色

数据安全管理角色需要有一定的权力,以及高级别领导的支持,才能顺利开展数据安全管控工作。因此,确立组织和角色是开展数据安全体系建设的前提。全银行数据安全管理牵头部门一般有如下选择:牵头全行数字化转型的部门、牵头全行数据治理的部门、牵头全行信息科技的部门、牵头全行信息安全管理的部门等,商业银行可以根据本行实际情况和工作需要,慎重决策。一旦明确了数据安全牵头部门,各部门应积极配合相应工作,保证数据安全工作落实到银行生产运营的各个环节。

  • 进行数据资产管理

准确的掌握自身的数据资产状况可以使数据安全管控手段得以充分发挥,实现精准防护,规避数据安全防护短板现象。数据资产梳理包括数据资产状况、访问状况、权限状况三个方面。目前较多商业银行都在建设企业级客户信息整合系统(Enterprise Customer Information Facility,简称ECIF),能够实现客户信息的集中采集和存储,避免多个系统重复采集、共享性差、利用率低、泄露风险高等问题。

  • 执行数据分类分级

数据分类分级是保证数据全流程动态保护的基本前提,不仅是数据安全治理的第一步,也是当前数据安全治理的痛点和难点。数据分类分级的价值包括辅助决策、数据认责、定向管控等。商业银行应参照《JR/T 0197-2020 金融数据安全 数据安全分级指南》,对数据资产进行梳理和定级,从而对不同级别的数据执行更加有针对性的防护措施。

  • 开展数据资产风险评估

商业银行各部门业务流程复杂、系统众多且管理模式多样,应结合数据资产梳理的结果,对全行数据安全可能存在的风险进行评估,并对风险进行影响评估,明确容忍范围,为后续的管控工作提供依据。较多银行在实践中,引入了第三方数据安全咨询公司,以第三方立场评估数据治理现状、问题及与业内领先实践的差距,进而规划数据融合应用,针对不合理的部门职责、数据架构、主数据管理、IT开发流程、技术标准、服务模式等给出整改建议,第三方专家更具客观性、系统性及专业性,更容易得到各部门的配合与认可,便于形成更加明确的分工与工作规划。

  • 建立制度体系规范

制度与规范是日常数据安全管理工作的标准,是数据安全技术运用的依据,商业银行应按照《JR/T 0223-2021金融数据安全 数据生命周期安全规范》中提出的“合法正当、目的明确、选择同意、最小够用、全程可控、动态控制、权责一致”原则,逐步建立覆盖全行各部门数据采集、传输、存储、使用、删除及销毁各个过程的数据安全管理制度。其中数据使用环节风险较大,应优先建立相应管理制度和操作规范。

  • 建设数据安全技术能力

商业银行应加大投入,建设数据安全技术能力,具体思路是事前预防、事中拦截和事后审计。事前预防是指加强网络安全和信息安全等基础防护能力,同时对数据进行加密、脱敏与集中防护,防止内部人员和外部攻击者违规获得敏感数据。事中拦截是指实现数据可视化,建立数据风险感知和拦截系统,在业务系统和生产网络层面可部署EDR、HIDS、数据库审计、态势感知、API安全网关、数据流量分析等系统,在终端安全层面可部署DLP、安全U盘、沙箱、文件外发审批、虚拟桌面、云盘等数据安全防护措施。事后审计是指采用数据水印、操作行为审计、UEBA用户行为智能分析、数据溯源、暗网排查、威胁情报等技术措施及时发现数据外泄的事件,及时采取应急处置措施。

数据安全相关技术是支撑数据安全管理的重要手段,是金融与科技结合的具体体现,只有将技术与管理有机结合,才能有效的实现数据安全工作的执行与落地。

05 商业银行数据安全发展前景

随着商业银行金融科技的不断发展和数字化转型的不断升级,在监管要求和业务需求的双轮驱动下,未来数据安全领域将由新技术带动形成新的突破,具体包括:

1)通过数据建模、知识图谱、机器学习等新技术,智能分析数据流向,自动识别并实时阻拦敏感数据风险;

2)将传统的数据防泄漏(DLP)、脱敏工具、数据溯源、加密软件等安全产品与大数据平台、数据管理工具以及数据处理流程实现深度融合,将传统数据安全技术融入数据开发与数据使用之中;

3)充分利用联邦学习、同态加密、多方计算、隐私计算、差分隐私、匿名化、去标识化、动态脱敏等新技术,建立数据中台,对敏感数据进行模糊化或相关计算,在保证数据安全的同时,保证数据可以在业务中得到正常使用,实现数据的可用不可见;

4)建立数据安全风险管理中心,与传统的信息安全运营中心(SOC)、信息安全态势感知、安全编排自动化响应中心(SOAR)等平台进行整合,形成安全大脑,从顶层对风险进行可视化和安全管理,整体提升数据安全的管控能力,对数据泄露路径分析和应急响应提供准确的参考依据和处置措施。

结语:伴随着全球数字化的加速趋势,数据规模不断扩大意味着数据安全的重要性与日俱增,数据安全进入快速迭代、迅猛发展的时代。商业银行在数字化转型的的浪潮中,只有不断汲取能量加强数据安全管理,提升数据安全防护能力,才能确保数字化转型的成功,勇立于数字化时代的潮头。

撰稿 | 孙晶 张毅

编辑 | 严 雪

作者简介

孙晶,北银金科集成运维部公司本部信息安全团队负责人,曾获得首都五一劳动奖章、北京市信息安全职业技能大赛冠军、全国通信行业管理创新成果一等奖。

张毅,北银金科集成运维部本部信息安全团队成员,获得CCIE Sec,PMP认证。

声明:本文来自北银金科逐浪青春,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。