以下文章来源于CCIA数据安全工作委员会 ,作者谭峻楠
1、国家战略层面
数据作为市场要素成为国家战略
2022年1月6日中共中央国务院印发了《要素市场化配置综合改革试点总体方案》,第六章中明确要提出加快培育数据要素市场的意见。
(十九)完善公共数据开放共享机制。建立健全高效的公共数据共享协调机制,探索完善公共数据共享、开放、运营服务、安全保障的管理体制。
(二十)建立健全数据流通交易规则。在保护个人隐私和确保数据安全的前提下,分级分类、分步有序推动部分领域数据流通应用。
(二十一)拓展规范化数据开发利用场景。支持打造统一的技术标准和开放的创新生态,促进商业数据流通、跨区域数据互联、政企数据融合应用。
(二十二)加强数据安全保护。强化网络安全等级保护要求,推动完善数据分级分类安全保护制度,运用技术手段构建数据安全风险防控体系。
我国数据安全相关法律法规和监管机构日趋完善,安全红线逐步确立;以《网络安全法》为基础,《个人信息保护法》为安全红线,《数据安全法》为数据发展和数据保护的基本框架,确保以数据为核心要素的市场健康发展。
2、行业发展层面
1.银行业发展历程-Open Banking模式到来
银行和金融机构面临的挑战:利润损失、业务增长缓慢、无法提供客户所需的现代服务。
开放银行模式应运而生,利用开放API等技术实现银行与第三方机构间的数据共享、银行服务与产品的即插即用,提高数据使用效率、更为精准地聚焦于满足客户体验的理念。
2.业务的开放必须建立在安全可靠的基础上
收益:加快数字化转型,为新客户快速创建现代应用,推动新的收入渠道,提供个性化差异化服务,加快业务增长。
风险:数据类型多、数据量暴增,数据开始跨域使用,数据价值的增加,数据使用场景越加复杂化,数据交换场景增多。
3. 金融科技发展规划
《规划》提出了金融数字化转型的重点任务,共涉及8个方面任务,其中,金融科技治理被放在了首位。《规划》提出,健全法规制度体系,制定《网络安全法》《数据安全法》《个人信息保护法》在金融领域的配套规章制度,研究出台与金融数字化发展相适应的政策规则;数据要素升级为金融业的生产要素,是金融科技数据安全治理的核心。
发展规划提出整个银行业的发展重点,强调了数据要素和数据安全的重要性。
3、标准规范层面
1. 人行出台相应标准配合金融科技发展规划
在充分吸纳社会各界合理意见建议的基础上,中国人民银行牵头陆续发布了《JR/T0171》《JR/T0185》《JR/T0197》《JR/T0223》等标准规范,引导银行业金融机构加强数据安全治理,加强数据安全建设,充分发挥数据价值,提高经营管理水平。
《JR/T0171》,在个保法之前出台,解决个人信息安全问题。
《JR/T0185》,解决开放银行信息框架问题。
《JR/T0197》,明确了数据安全定级防护执行过程和执行规范。
《JR/T0223》,解决金融数据安全管理问题。
国家战略、法律法规、市场和银行业务发展、标准规范,多方合力推动金融数据安全治理。在外部推动和内部业务发展驱动下,银行业高度重视分类分级为基础的数据安全治理体系建设。
4、银行分类分级落地实践案例
1、 建设情况
某银行为试点开展数据分类分级建设,主要依据《JR/T 0171》和《JR/T 0197》两套标准开展数据分类分级,结合业务现状,给出切实可行的分类分级方案,总体采用系统化平台完成分类分级记录和敏感数据发现、分类分级打标工作,人工调研方式完成表、字段等信息收集。分类分级完成后配套建设敏感数据监测系统,完成不同级别数据的安全风险监测。
2、 项目实施方法
前期调研表发送回馈
人工现场访谈
数据分类分级方法提供
数据分类分级落地打标
制定数据安全管理规范
3、 项目交付物
《数据资产清单》
《数据分类分级清单》
《数据分类分级操作手册》
《数据分类分级防护策略》
《数据安全基线检查表》
《数据安全事件应急预案》
4、 实践效果
完成数据资源摸底;完成了7个核心业务系统的数据分类分级,并形成分类分级清单(四十万个以上字段分类分级结果),输出数据安全管理细则,提供针对不同等级的数据的安全管理策略和防护措施。以数据安全生命周期规范为核心,划分不同级别数据安全监测要求规范,保证对于其他分支进行管理和检查能力。
5、数据安全治理建设思路
1. 将复杂的问题简单化,繁杂的过程阶段化。
2. 从资产梳理入手、每步见效、快速见效。
基于现有人员少,投入规模有限的客观情况,以核心数据资产为起点,在不影响业务使用的前提下,快速完成数据分类分级工作,建立风险持续监测能力,能够快速体现数据安全建设效果,初步建立数据安全闭环体系,从而证明路线选择的正确,应对可能开始的检查或评估。并不断在内部扩大建设范围,迭代建设复杂的数据安全治理体系。
银行数据安全治理过程:体系建设、组织确立、职责划分、技术应用、标准制定。
3. 以结果导向,推进数据安全治理体系建设:
(1)逐步优化原则。
(2)数据安全体系建设:管理体系、技术体系、运营体系,快速见效、每步见效、不断迭代、形成体系。
(3)应用全面纳管:一般系统、办公系统、核心系统、主要系统。重点先上、急用先上、随用随上、逐步纳管、全面纳管。
新形势下,银行业面临更为复杂的发展和安全环境,各类风险因素更易交织传染,提高数据安全防护能力至关重要。作为国内领先的数据安全厂商之一,安华金和将基于多年来丰富的实践经验,为银行业带来可靠、好用、全方位、全生命周期的数据安全保护,为银行业数据流通安全有序、合规合法夯实基石底座。