前言
随着全球数字化浪潮到来,
银行也在通过数字化转型。
打造开放化、场景化及智能化的金融生态,
数据也被认为是创造价值的核心资产。
与此同时,
随着金融机构业务的互联互通,
数据资产正被不法组织或个人所觊觎,
数据安全管理面临严峻考验。
案例
1、企业程序漏洞
(程序存在漏洞,被不法分子利用)
事件1:某票务公司支付信息泄露
后果:
大量用户的银行卡信息遭泄露。
(包含持卡人姓名、身份证、银行卡号、CVV2、密码等)
并因此导致个别用户遭遇诈骗电话,
受骗上万元。
原因:
技术人员不谨慎,
在对某个服务器进行系统问题排查时
留下的临时日志未及时删除,
同时用户的支付日志可被轻易下载
2、企业信息安全管理不善
事件:普通商业银行的IT研发能力弱,
信息化的建设大多依赖于软件开发公司。
(通常,软件开发公司会派驻工程师在现场做软件开发。
通过非法手段破解银行业务系统的数据库,
盗取海量信息。)
后果:
泄露了包括银行客户信息、客户资产信息、
信用卡号和安全码等隐私信息。
非法分子将盗取的信息转让给黑色产业人员,
由他们通过电话、网络等方式进行销售倒卖。
为了规避法律风险,
他们还安排专门的中间人负责收付款,
以防止黑色资金被监控。
外部监管要求
法律法规是保障网络空间秩序的重要基本手段。
近几年,
国家先后出台了一系列
信息安全法律法规和政策文件,
是依法治网、化解网络信息风险的法律重器,
是让互联网在法治轨道上健康运行的重要保障。
《银行业金融机构数据治理指引》
要求金融机构建立数据安全策略与标准并执行落地,
保障机构数据的完整性、准确性和连续性。
《中华人民共和国网络安全法》
发布及配套陆续出台了
《数据出境管理办法》
《个人信息安全管理规范》
《个人隐私数据管理办法》
《大数据安全标准》
等相关法律法规,
对数据安全有明确合规要求;
《国家信息安全等级保护2.0》
由公安部牵头推动,
要求国境内信息系统进行安全保护等级保护,
根据信息系统
在国家安全、经济建设、社会生活的重要程度,
以及其遭破坏对国家安全、社会秩序、
公共利益以及公民、法人和其他组织合法权益
的危害程度等因素定级。
数据安全对象识别
数据安全对象的识别一般可以遵循
外部法律、法规的合规要求进行盘点实施。
盘点过程中需要特别注意
对个人隐私信息和重要数据的定义。
数据安全对象识别环节的侧重点是
数据资产分级分类。
数据安全风险评估
数据安全风险评估一般按照
“ 数据生命周期安全评估 ”
和 “ 场景化数据安全评估 ”
两种方法。
1
按数据生命周期安全评估。
是基于数据生命周期各阶段进行风险识别,
按数据安全成熟度评估相应差距。
阶段风险评估重点:
2
按场景化数据安全评估。
是在数据生命周期各阶段的数据安全细化场景,
基于数据资产分级分类的不同安全属性,
识别数据安全具体风险点。
主要场景的风险评估重点:
数据安全风险识别
将风险评估识别出的数据安全风险,
按风险类型归集并做风险分析,
输出风险消除举措、保护技术和管控行为,
形成风险分析统一视图。
数据安全管理体系
在系统化评估数据资产的机密性,完整性和可用性,
识别风险消除举措足以将风险降低到可接受水平后,
据此进行数据安全管理规划:
1
建全安全组织
基于数据治理组织构架,
在合规或IT部门成立专业化数据安全团队,
通过与数据治理组织的协同配合,
保证能长期持续执行数据安全管理工作。
2
制定制度规范
建立整体方针政策,
加强数据资产分级分类和管控,
划分敏感数据使用部门和人员角色,
限定角色的数据使用场景,
制定场景对应制度规范、操作标准和模板,
推动执行落地。
3
建立技术架构
规划数据安全技术架构,
保护计算单元、存储设备、操作系统、
应用程序和网络边界各层免受恶意软件、
黑客入侵和内部人员窃取等威胁。
持续改善
通过行为管理、内部审计稽核和闭环管理等措施,
推进数据安全管理体系的不断优化,
推动数据安全的持续改善。
内部审计稽核
对过程化主要场景,
如开发测试、数据运维、
数据分析、应用访问、特权访问等,
引入量化内部审计手段和稽查工具
定期内部审计和稽核。
闭环管理
闭环管理数据安全,
及时根据政策合规与制度规范提升需求,
滚动修订数据安全的制度、流程、标准,
保障数据安全的规划、计划、实施、
运行、监督的全程管控,
持续提升机构的数据安全能力。
结语
数据安全是企业稳健经营的重要因素,
近些年从监管趋势上也不难看出,
国家对数据安全管控的重视。
通过提升安全团队专业化能力
来逐步构建企业的数据安全文化,
助推企业数据资产价值的不断提升。
本文来源山西农信
点击文末阅读原文,获取更多干货好文

觉得本文有用,欢迎转发分享,谢谢
<END>
大家都在看:
继续阅读
阅读原文