在“数据为王”的当下,各类信息中,个人金融信息的经济价值日益凸显。金融机构大量收集个人金融信息,并运用大数据、云计算等技术进行分析,描绘出包括人口统计学特征、消费能力数据、兴趣数据、风险偏好等内容的客户画像。这些举措有利于金融机构进行身份认证、精准营销、加强风险管理与控制和优化运营等,虽为金融消费者的生活带来不少便利,但同时也造成了一些人借此机会非法收集他人的个人信息、甚至是滥用和泄露个人金融信息等问题。
针对个人金融信息保护领域的严峻挑战和存在的问题,明朝万达认为,加强个人金融信息的保护,亟待立法部门、金融机构和金融监管部门等形成多方合力,从逐步完善个人金融信息立法,强化金融机构的内部合规控制,加强对个人金融信息的监管力度三个层面进行综合考虑和制度设计。
据相关资料统计,近几年个人金融信息泄露事件的年增长率高达35%,金融机构在保障金融消费者的个人金融信息安全及相关权益层面面临着前所未有的挑战。基于上述背景,广东省农村信用社联合社(以下简称“农信社”)携手北京明朝万达科技股份有限公司(以下简称“明朝万达”)推进个人信息保护安全合规评估建设,建立健全安全管理机制,提高数据安全管理的规范化水平,保障金融消费者的信息安全权益。
明朝万达安全建设方案
该项目中,明朝万达参照《等保2.0》、《网络安全法》、《数安全法》、《个人信息保护法》等法律法规要求,基于银保监会相关要求,携手农信社共同制定个人信息保护安全合规标准。所提供的的建设方案从满足合规、风险及业务安全需求角度出发,遵循“事前主动防御,事中实时控制,事后审计溯源”的数据安全动态管控理念,围绕数据的全生命周期,构建数据安全管控体系,实现整体数据安全治理。
一、金融机构面临的安全风险
利用《数据安全治理能力评估方法》制定数据安全战略、围绕数据采集、传输、存储、使用、交换、销毁全生命周期进行数据治理,以基础安全能力作为数据基本支撑,进行数据安全治理规划与建设、持续运营,以解决数据安全治理面临的各项问题。
▵ 数据安全管理的总体架构体系
二、平衡业务需求与风险
综合分组织战略、组织管理制度、合规要求、IT战略、风险容忍度,制定符合业务发展与风险管控相平衡的数据安全治理策略。
三、个人信息数据梳理和管理
个人信息数据梳理的工作内容是对数据进行分类分级,包括结构化数据和非结构化数据,目的是识别组织内的敏感数据,为下一步实施分级管控做好准备。数据的分类分级是数据安全治理的基础。明确了组织的敏感数据和安全风险,在制定针对性的管理控制措施时,才能做到有的放矢。
四、制定个人信息数据安全管控措施
数据安全策略,包括数据安全保护的制度和方针、数据安全保护的组织架构和职责分工、数据安全保护的工作流程、数据安全保护的技术和工具等。
五、管理所有个人信息数据
将个人信息数据安全管控手段全面推广到各种类型的敏感数据,包括数据库、大数据、电子文件、云、终端等。
六、持续自适应风险与信任评估
为了实现对数据安全风险进行长久可持续地适应、评估和管控,Gartner在DSG框架的基础上进一步提出了CARTA(Continuous Adaptive Risk and Trust Assessment)方法。CARTA方法建议从阻止(Prevent)、探测(Detect)、响应(Response)、预测(Predict)四个方面设计数据安全的管控措施,并通过四个方面的循环往复,持续优化管控体系。
七、个人信息保护管理体系
明朝万达通过丰富的行业业经验分享、市场成熟解决方案调研,结合农信社实际情况,围绕数据全生命周期的事前预防、事中控制、事后审计的建设思路,构建数据安全管理的总体架构体系。从农信社的战略出发,针对业务、风险及个人信息保护安全合规安全要求,面向全公司信息化涉及的四大网络域生产网、开发测试网、行政办公网、互联网服务区,围绕数据全生命周期安全管理,构建相应的数据安全管理体系和数据安全防护技术体系。
▵ 个人金融信息保护管理体系
八、个人信息防护策略
随着新技术、新业务、新场景的不断涌现,个人金融信息在不同系统、产品、业务环节中快速流转,数据安全和个人金融信息保护管理策略逐渐由“以系统为中心”向“以数据为中心”转变。
▵ 个人金融信息防护策略
以“零信任”为出发点,在数据分类分级的基础上,遵循最小权限和动态授权原则,在数据全生命周期各个阶段建立数据可信接入、数据加密、数据脱敏、认证授权、数据操作审计等措施,实现数据可见、可控、可管,为业务的稳定、可靠运行保驾护航。
▵ 知、识、防、监、控闭环安全管控体系
01建立个人信息数据分级分类标准信
协助广东省农村信用社联合社落实国家相关法律法规、监管机构对数据安全管理的要求(包含但不限于《网络安全法》、《关键信息基础设施安全保护条例》、GB/T 22239《信息安全技术网络安全等级保护基本要求》、GB/T 25070《信息安全技术网络安全等级保护安全设计技术要求》、GB/T 35273《信息安全技术 个人信息安全规范》等),收集并整理密码局相关标准规定,建立广东省农村信用社联合社数据安全管理体系所依据的国家相关法律法规和监管机构要求的资料库。
02个人信息数据资产梳理
通过人员访谈、自动化工具采集等方式,梳理广东省农村信用社联合社在业务系统、终端等存储、流转的结构化数据、半结构化数据及非结构化数据,理出数据资产的存储位置、数据大小、数据创建时间、数据属主、数据权限信息等,形成数据资产清单。根据数据分类分级标准,以数据内容为基础进行分类分级,形成敏感数据责任矩阵图;将静态数据与动态数据进行梳理,形成数据资产全敏感数据风险分析对敏感数据全生命周期风险进行评估,包括:数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁,识别出关键风险,明确管控目标,形成风险评估报告,并提出改进建议。
03制定个人信息数据安全管理制度
制定个人信息数据分类分级管理制度,落实分类分级的责任体系。结合分类分级标准协助广东省农村信用社联合社制订敏感数据使用规范、制度和管理办法。
04个人信息数据分级分类成功落实
结合分类分级体系明确分类分级技术控制手段,对广东省农村信用社联合社现有防护手段提供纠正、优化和完善建议。协助广东省农村信用社联合社对现有数据资产进行标签化处理。针对识别出的关键风险,对所投产品应用策略进行合理设计,作为产品部署实施的指导,同时协助广东省农村信用社联合社制定配套控制及操作流程,最终实现管控目标技术与管理落地。
05提升人员安全管理能力
通过培训等手段,实现知识转移,切实提高广东省农村信用社联合社相关人员的数据安全意识,增强数据安全防护技能,使广东省农村信用社联合社数据安全管理员具备持续改进和优化数据安全标准、制度体系的能力。在项目建设中提供全面而系统的培训,原则上要求达到所有培训对象掌握培训内容的培训效果。
