近日,中国人民银行发布《金融业数据能力建设指引》(JR/0218-2021)(下称“指引”),旨在为金融机构开展金融数据能力建设提供指导。指引主要覆盖数据战略、数据治理、数据架构、数据范围、数据保护、数据质量、数据应用以及数据生存周期管理等八个方面的能力域,及二十八个具体能力项来引导整体数据能力建设的目标和思路。
本文主要聚焦能力域中的数据保护问题,以数据保护策略、数据保护管理和数据保护审计三个具体能力项进行梳理。笔者结合《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019),从组织建设、制度流程、技术工具以及人员能力四个维度,归纳数据保护的具体工作措施。
一、金融业数据保护策略
金融业数据保护策略是数据保护的核心内容,要求企业在制定的过程中结合企业本身的管理需求,同时结合金融行业不同分支部门的监管要求以及相关制度规范等统一制定相关金融行业数据保护的策略,如银行、证券、债券等分支部门数据保护的策略。
安全能力维度 | 工作措施(指引) | |
维度一 | 组织建设 | 在数据保护规范与策略制定过程中能够识别企业内外部的数据保护需求,包括法律法规、行业监管的要求 |
维度二 | 制度流程 | 制定数据保护规范与策略相关的管理流程,并以此指导数据保护规范和策略的制定 |
依据法律法规、行业规章制度以及相关规范的基本要求,建立统一的数据保护规范以及策略并正式发布 | ||
建立针对数据收集、传输、存储、使用、删除、销毁等全生命周期的安全保护策略 | ||
针对数据保护,建立相应的风险监测机制、风险评估机制、应急处置机制、风险事件通报机制 | ||
梳理和明确有关法律法规行业规章制度以及相关规范等关于数据保护方面的要求列表,并与企业的数据保护规范和策略逬行关联 | ||
根据内外部环境的变化定期优化完善数据保护规范与策略 | ||
根据《金融数据安全 数据安全分级指南》,建立统一的数据分级分类管理制度 | ||
采用或提供云服务时制定的数据保护策略 | ||
采用符合数据生存周期的数据保护策略 | ||
维度三 | 技术工具 | 无 |
维度四 | 人员能力 | 识别数据保护相关方,并明确数据保护相关方在数据保护管理过程中的职责 |
定期开展数据保护规范和策略相关教育培训和宣传工作 |
值得注意的是,《指引》在具体的工作措施中强调了“釆用或提供云服务时制定相应的数据保护策略”。提醒金融从业者及金融云的服务商注意,在云计算模式下更为复杂的安全风险,尤其是当金融数据纳入云计算后,采取更有针对性的安全保护手段则更加迫切和必要。
云计算安全及应用等相关标准包括,《云计算技术金融应用规范--技术架构》(JR/T 0166—2020)、《云计算技术金融应用规范--安全技术要求》(JR/T 0167—2020)、《云计算技术金融应用规范--容灾》(JR/T 0168—2020)、《信息技术 云计算 云服务采购指南》(GB/T 37734-2019)、《信息技术 云计算 云服务运营通用要求》(GB/T 36326-2018)、《信息技术 云计算 云存储系统服务接口功能》(GB/T 37732-2019)、《云计算服务安全评估办法》、《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)和《信息安全技术 云计算服务安全能力要求》等。
根据《信息技术 云计算 云服务交付要求》(GB/T 37741-2019)的指引,云服务使用者可主动或委托第三机构对云服务提供者的交付能力进行认定和做出评价。
二、金融业数据保护管理
数据保护管理将会采取数据保护等级划分、数据访问权限控制、用户身份认证和访问行为监控、数据安全风险防护、数据隐私保护等管理工作的手段,根据金融业不同行业的特性及监管要求,对不同的金融行业的数据保护量身定制数据保护管理制度。
安全能力维度 | 工作措施(指引) | |
维度一 | 组织建设 | 依据保护策略对数据进行全面的等级划分,清晰定义每级数据的保护需求,明确保护需求的责任部门 |
维度二 | 制度流程 | 根据行业监管对数据保护的要求明确定义数据范围 |
定期开展数据安全风险分析活动,明确分析要点,制定风险预案并监督实施 | ||
定义数据保护管理的考核指标和考核办法,并定期考核 | ||
定期总结数据保护管理工作,在企业层面发布数据保护管理工作报告 | ||
维度三 | 技术工具 | 围绕数据生存周期,了解相关方的数据保护需求,并对数据进行严格的使用授权和保护 |
通过数据脱敏、加密、过滤等手段,保证数据安全和数据隐私 | ||
定期汇总、分析企业内部的数据风险问题,并形成数据保护知识库 | ||
依据保护策略提供数据收集、传输、存储、使用、删除、销毁等全生命周期的保护 | ||
采用或提供云服务时依据数据保护策略提供数据保护 | ||
依据个人金融信息保护策略开展数据隐私保护 | ||
建立涵盖密钥生成、存储、备份、恢复、更新、有效期变更、停止使用、撤销、销毁等全生命周期的密钥管理制度,保障数据安全 | ||
对重点数据的风险控制可落实到字段级,明确核心字段的保护等级和管控措施 | ||
维度四 | 人员能力 | 能对数据生存周期进行风险监控,及时了解可能存在的风险隐患 |
定期开展数据保护相关培训和宣传,提升人员数据保护意识 | ||
数据保护管理工作符合相关法律法规、规章制度以及金融行业规范 | ||
能主动防范数据风险,并对已发生的数据风险问题进行溯源和分析 | ||
建设自动化工具或平台,实现对数据保护管理工作的自动化支持能力 |
金融行业的企业需要根据自身企业制定的保护策略提供数据收集、传输、存储、使用、删除、销毁等全生命周期的保护。根据《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019))的规定,在上述所提及的6个生命周期内,进一步细分,划分出30个过程域,分为生存周期安全过程和通用安全过程,其中生存周期安全的部分过程域贯穿于整个数据生命周期。在对数据授权管理时参考下图对数据生命周期细分进行管理。
引自《信息安全技术 数据安全能力成熟度模型》
三、金融业数据保护审计
金融数据保护审计是一项控制活动,由金融企业内部或外部专项审计人员负责定期分析、验证、讨论、改进数据保护管理相关的策略、规范和活动。它是企业数据合规的重要组成部分,尤其对金融业数据合规管理是必不可少的,对推动数据保护规范和数据保护策略的优化具有重要的意义。
安全能力维度 | 工作措施(指引) | |
维度一 | 组织建设 | 评审数据保护规范与策略是否满足国家法律法规、金融行业规章制度要求,检查数据保护管理规范与策略是否能满足业务需要,以及数据保护管理的措施是否能按照数据保护管理规范与策略的要求进行 |
制定数据保护审计计划,评审企业数据保护等级的划分情况,评审数据保护管理岗位、职责、流程的设置和保护审计计划的执行情况,定期发布数据保护审计报告 | ||
根据云服务提供者和云服务使用者的职责划分,实现各自控制部分的审计 | ||
维度二 | 制度流程 | 在企业层面规范、统一数据保护审计的流程、相关文档模板和规范,并征求相关方意见 |
建立数据保护审计报告管理机制,并跟踪数据保护审计工作开展情况 | ||
具备审计工具,对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行审计操作,并对这些操作进行审计。对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析 | ||
维度三 | 技术工具 | 针对合规性审计、日志审计、网络行为审计、主机审计、应用系统审计、集中操作运维审计分别提出要求,并开展审计工作。数据保护审计覆盖全部重要节点、环节、用户,审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的相关事件 |
审计记录至少包括事件的口期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。对审计数据、分析结果、审计结果(报告)进行保护,定期备份,避免受到意外删除、修改或覆盖等,留存时间符合法律法规等要求 | ||
对云服务提供者和云服务使用者在远程管理时执行的特权命令进行审计,至少包括虚拟机刪除、虚拟机重启、管理员用户行为 | ||
根据数据保护审计结果对数据保护的管理流程、制度进行优化提升,实现数据保护管理的闭环 | ||
维度四 | 人员能力 | 建立数据保护审计平台,在发现已定义的潜在风险时可实现自动报警或处置 |
《指引》在数据保护审计,也特别提及了云服务场景下的审计要求,即应当对云服务提供者和云服务使用者在远程管理时执行的特权命令进行审计。
云服务提供者的审计要求,可按照《信息安全技术 云计算服务安全能力要求》(GBT31168-2014)的第11条中审计的规定具体执行,覆盖审计的各个流程,包括策略与规程,审计的审查、分析、报告,审计的记录与留存。
而对于云服务客户,则需要采购“可审计性”的云服务。参照《信息技术 云计算 云服务采购指南》(GB/T 37734-2019),云服务客户需要确定云服务使用过程中的审计要求和策略,包括有计费、安全、运维等审计要求,具体审计内容要涵盖服务及相关资源的用法、环境、可用性和性能相关的数据和证明的可用性等。
总之,金融企业是国家命脉、国之重器,金融业数据保护能力的建设是重中之重,直接关乎国家安全。2020年7月3日,全国人大常委会发布的《数据安全法(草案)》将数据活动和数据治理提升至专项立法的高度,对包括金融业在内的重要数据的合法及合规奠定了重要的法律基础。而近日发布的《金融业数据能力建设指引》更是在前期立法、国家及行业标准、最佳实践等基础上,为金融企业提供了具体的方向,有助于金融业不断提升数据能力,加强业务竞争力,增强抗风险能力。