在“數據為王”的當下,各類信息中,個人金融信息的經濟價值日益凸顯。金融機構大量收集個人金融信息,并運用大數據、云計算等技術進行分析,描繪出包括人口統計學特征、消費能力數據、興趣數據、風險偏好等內容的客戶畫像。這些舉措有利于金融機構進行身份認證、精準營銷、加強風險管理與控制和優化運營等,雖為金融消費者的生活帶來不少便利,但同時也造成了一些人借此機會非法收集他人的個人信息、甚至是濫用和泄露個人金融信息等問題。
針對個人金融信息保護領域的嚴峻挑戰和存在的問題,明朝萬達認為,加強個人金融信息的保護,亟待立法部門、金融機構和金融監管部門等形成多方合力,從逐步完善個人金融信息立法,強化金融機構的內部合規控制,加強對個人金融信息的監管力度三個層面進行綜合考慮和制度設計。
據相關資料統計,近幾年個人金融信息泄露事件的年增長率高達35%,金融機構在保障金融消費者的個人金融信息安全及相關權益層面面臨著前所未有的挑戰。基于上述背景,廣東省農村信用社聯合社(以下簡稱“農信社”)攜手北京明朝萬達科技股份有限公司(以下簡稱“明朝萬達”)推進個人信息保護安全合規評估建設,建立健全安全管理機制,提高數據安全管理的規范化水平,保障金融消費者的信息安全權益。
明朝萬達安全建設方案
該項目中,明朝萬達參照《等保2.0》、《網絡安全法》、《數安全法》、《個人信息保護法》等法律法規要求,基于銀保監會相關要求,攜手農信社共同制定個人信息保護安全合規標準。所提供的的建設方案從滿足合規、風險及業務安全需求角度出發,遵循“事前主動防御,事中實時控制,事后審計溯源”的數據安全動態管控理念,圍繞數據的全生命周期,構建數據安全管控體系,實現整體數據安全治理。
一、金融機構面臨的安全風險
利用《數據安全治理能力評估方法》制定數據安全戰略、圍繞數據采集、傳輸、存儲、使用、交換、銷毀全生命周期進行數據治理,以基礎安全能力作為數據基本支撐,進行數據安全治理規劃與建設、持續運營,以解決數據安全治理面臨的各項問題。
? 數據安全管理的總體架構體系
二、平衡業務需求與風險
綜合分組織戰略、組織管理制度、合規要求、IT戰略、風險容忍度,制定符合業務發展與風險管控相平衡的數據安全治理策略。
三、個人信息數據梳理和管理
個人信息數據梳理的工作內容是對數據進行分類分級,包括結構化數據和非結構化數據,目的是識別組織內的敏感數據,為下一步實施分級管控做好準備。數據的分類分級是數據安全治理的基礎。明確了組織的敏感數據和安全風險,在制定針對性的管理控制措施時,才能做到有的放矢。
四、制定個人信息數據安全管控措施
數據安全策略,包括數據安全保護的制度和方針、數據安全保護的組織架構和職責分工、數據安全保護的工作流程、數據安全保護的技術和工具等。
五、管理所有個人信息數據
將個人信息數據安全管控手段全面推廣到各種類型的敏感數據,包括數據庫、大數據、電子文件、云、終端等。
六、持續自適應風險與信任評估
為了實現對數據安全風險進行長久可持續地適應、評估和管控,Gartner在DSG框架的基礎上進一步提出了CARTA(Continuous Adaptive Risk and Trust Assessment)方法。CARTA方法建議從阻止(Prevent)、探測(Detect)、響應(Response)、預測(Predict)四個方面設計數據安全的管控措施,并通過四個方面的循環往復,持續優化管控體系。
七、個人信息保護管理體系
明朝萬達通過豐富的行業業經驗分享、市場成熟解決方案調研,結合農信社實際情況,圍繞數據全生命周期的事前預防、事中控制、事后審計的建設思路,構建數據安全管理的總體架構體系。從農信社的戰略出發,針對業務、風險及個人信息保護安全合規安全要求,面向全公司信息化涉及的四大網絡域生產網、開發測試網、行政辦公網、互聯網服務區,圍繞數據全生命周期安全管理,構建相應的數據安全管理體系和數據安全防護技術體系。
? 個人金融信息保護管理體系
八、個人信息防護策略
隨著新技術、新業務、新場景的不斷涌現,個人金融信息在不同系統、產品、業務環節中快速流轉,數據安全和個人金融信息保護管理策略逐漸由“以系統為中心”向“以數據為中心”轉變。
? 個人金融信息防護策略
以“零信任”為出發點,在數據分類分級的基礎上,遵循最小權限和動態授權原則,在數據全生命周期各個階段建立數據可信接入、數據加密、數據脫敏、認證授權、數據操作審計等措施,實現數據可見、可控、可管,為業務的穩定、可靠運行保駕護航。
? 知、識、防、監、控閉環安全管控體系
01建立個人信息數據分級分類標準信
協助廣東省農村信用社聯合社落實國家相關法律法規、監管機構對數據安全管理的要求(包含但不限于《網絡安全法》、《關鍵信息基礎設施安全保護條例》、GB/T 22239《信息安全技術網絡安全等級保護基本要求》、GB/T 25070《信息安全技術網絡安全等級保護安全設計技術要求》、GB/T 35273《信息安全技術 個人信息安全規范》等),收集并整理密碼局相關標準規定,建立廣東省農村信用社聯合社數據安全管理體系所依據的國家相關法律法規和監管機構要求的資料庫。
02個人信息數據資產梳理
通過人員訪談、自動化工具采集等方式,梳理廣東省農村信用社聯合社在業務系統、終端等存儲、流轉的結構化數據、半結構化數據及非結構化數據,理出數據資產的存儲位置、數據大小、數據創建時間、數據屬主、數據權限信息等,形成數據資產清單。根據數據分類分級標準,以數據內容為基礎進行分類分級,形成敏感數據責任矩陣圖;將靜態數據與動態數據進行梳理,形成數據資產全敏感數據風險分析對敏感數據全生命周期風險進行評估,包括:數據采集、數據傳輸、數據存儲、數據處理、數據交換、數據銷毀,識別出關鍵風險,明確管控目標,形成風險評估報告,并提出改進建議。
03制定個人信息數據安全管理制度
制定個人信息數據分類分級管理制度,落實分類分級的責任體系。結合分類分級標準協助廣東省農村信用社聯合社制訂敏感數據使用規范、制度和管理辦法。
04個人信息數據分級分類成功落實
結合分類分級體系明確分類分級技術控制手段,對廣東省農村信用社聯合社現有防護手段提供糾正、優化和完善建議。協助廣東省農村信用社聯合社對現有數據資產進行標簽化處理。針對識別出的關鍵風險,對所投產品應用策略進行合理設計,作為產品部署實施的指導,同時協助廣東省農村信用社聯合社制定配套控制及操作流程,最終實現管控目標技術與管理落地。
05提升人員安全管理能力
通過培訓等手段,實現知識轉移,切實提高廣東省農村信用社聯合社相關人員的數據安全意識,增強數據安全防護技能,使廣東省農村信用社聯合社數據安全管理員具備持續改進和優化數據安全標準、制度體系的能力。在項目建設中提供全面而系統的培訓,原則上要求達到所有培訓對象掌握培訓內容的培訓效果。
