作者:光大科技有限公司智能云计算部 孙亚东 蔚晨

建设数字中国是“十四五”时期的重要任务。打破数据之间的壁垒,拆除数据之间的“墙”是加速数据流通、促进数据要素市场化配置和建设数字中国的必由之路。金融机构在多年信息化以及数字化转型过程中,积累了海量数据,如何更高效安全地使用这些数据,破除数据之间的壁垒,让数据流动起来,进一步激活数据要素的潜能,是金融机构数字化转型和数字中国建设必须要解决的问题。长期的摸索实践逐渐证明,数据安全治理是促进金融机构数据流通、激活数据价值、促进数据要素市场化配置的有效措施。本文从讨论金融机构开展数据安全治理的必要性着手,重点阐述了开展数据安全治理的过程,并对数据安全治理的意义进行了宏观与微观层面的分析。

一、金融机构开展数据安全治理的必要性

金融数字化转型势在必行。中国人民银行原行长周小川曾提出,金融业本质上是一种信息技术产业。基于这一基本判断,可以看出金融业与数据的紧密联系。随着社会数字化程度逐步加深,各行各业都要进行数字化转型,经历数字化蜕变。从最近发布的《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》《金融数据安全 数据生命周期安全规范》等法律法规及监管要求可以看出,数字经济发展的基础制度保障日渐完善。从数据要素市场化配置到数字中国建设,种种变化显示出我国基于数据使用价值和价值实现的数字经济和数字社会已经到来。数据是金融业的核心要素,在金融数字化转型过程中,数据安全是金融机构需要关注的核心问题之一。

数据安全治理是金融数字化转型的基础保障。为保障数据有效、安全地流转与使用,加速数据要素市场化配置,金融监管机构明确提出了数据安全管控要求。数据安全治理过程强调安全与业务发展的平衡兼顾、融合共生。数据安全治理以数据安全、数据治理措施为基础工具,以数据尤其是敏感数据为核心关注点,以保障敏感数据全生命周期安全为目标。

二、金融机构开展数据安全治理的过程

1.数据安全治理的范围选择

开展数据安全治理,一定要抓住数据这个核心要素。金融机构数据规模差距极大,数据安全治理难度与业务类型、数据规模有直接联系,因此应首先在一个较小的范围内开展,方法论成熟后,再推广到更大范围。

具体建议如下:一是选择具有代表性的非核心系统。二是覆盖两个及以上数据类别。2020年9月,中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部等机构共同起草编制的《金融数据安全 数据安全分级指南》将金融机构典型数据划分为客户、业务、经营管理、监管四个一级子类和302个四级子类,内容详细且具有代表性,在选择数据类别时,可按照上述分类尽量覆盖两个及以上一级子类。三是数据量不宜过小或过大,过小则没有代表性,过大则工作量大,不宜完成闭环。因此数据量在重复度较小的情况下,以大于1G小于100G为宜。

2.数据安全治理的过程

在分阶段执行的前提下,金融机构数据安全治理过程大致分为以下六个步骤。

一是对标监管要求,明确数据安全治理工作的目标。根据《中华人民共和国数据安全法》《中国人民银行金融消费者权益保护实施办法》《信息安全技术 网络安全等级保护基本要求》《金融数据安全 数据安全分级指南》《金融数据安全 数据生命周期安全规范》等法律、规定和标准的要求,梳理形成“安全管理控制点”。需要注意的是,要协调控制点与机构安全目标、安全投入,区分出落实的优先级。

二是梳理数据资产,明确数据安全治理工作的对象。通过工具扫描和专家调研等方式,摸清机构内的数据资产构成。其中工具扫描是指采用数据库扫描、文件扫描等工具,掌握结构化数据信息以及非结构化信息。专家调研是指通过走访数据管理部门、数据使用部门,借助数据流图等工具,掌握业务系统数据使用情况以及数据的分布情况,并结合工具扫描结果,形成“数据资产清单”。数字资产清单至少包括以下属性:业务名称、数据对象名称、使用频率、数据格式、业务系统、用户岗位、数据标签等。其中数据对象隶属于四级数据类别,由数据标签组成。需要注意的是,不能将甲方、乙方这样的数据标签作为数据对象,在缺乏数据对象这个中间汇聚核心的情况下,数据资产梳理将陷入无限的细节中无法自拔。

三是评估安全风险,明确数据安全治理工作要化解的安全风险隐患。评估过程需要通过分类分级、风险分析、风险评估三个子过程完成。首先是进行分类分级。采用分类分级工具,根据数据分类分级标准,形成数据分类分级表。按照《金融数据安全 数据安全分级指南》的要求,表格至少包括数据对象、数据类别、载体、影响定级的标签、合规要求、公开范围、影响业务、影响对象、安全级别等内容。其次是进行风险分析。根据数据资产清单和监管合规要求,基于STRIDE威胁模型理论,编制形成“敏感数据安全风险清单”。风险清单至少包括以下内容,数据对象、数据生命周期阶段、风险类型、合规要求、风险成因、数据对象安全等级、危害性、复现难度、利用难度、影响范围、发现难度、风险值等。最后是采用数据安全风险评估工具。根据“敏感数据安全风险清单”,基于DREAD-V数据安全风险评估模型,生成“数据安全风险评估报告”,掌握数据全生命周期风险综合态势情况。其中DREAD-V是指危害程度(Damage)、安全事件重现率(Reproducibility)、安全漏洞可利用性(Exploitability)、影响的用户范围(Affected users)、漏洞是否可被发现(Discoverability)以及数据资产的价值(Value)。

四是评估防护现状,明确数据安全治理工作的现实基础。这一过程需要通过评估能力现状、提出防护建议、设计防护架构三个子过程完成。首先是评估能力现状。根据“数据安全风险评估报告”分析金融机构当前面临的数据安全风险态势,在此基础上分析现有防护措施与监管合规要求的差距,形成“数据安全防护能力现状评估报告”,该报告需包括目前存在的数据安全风险、监管合规要求、现有防护措施、防护能力差距等内容。其次是提出防护建议。根据“数据安全防护技术现状评估”,结合监管合规要求以及数据安全管控目标,形成优化建议。最后是设计防护架构。根据风险评估、防护现状评估结果和优化建议,形成数据安全防护技术架构。

五是制定与实施安全管控策略,明确数据安全治理需持续落实的工作。以监管合规要求为基础,针对数据业务特点,结合机构面临的数据安全风险态势和管控现状,制定“数据安全管理办法”“数据分类分级标准”等系列数据安全管理要求,并基于数据安全防护技术架构逐步实施技术措施,以满足监管要求。

六是监测反馈,持续满足合规要求。数据安全防护不是静态的,而是一直处于动态变化的过程中。因此金融机构在实施了管理策略与技术策略后,应持续监测评估安全态势与管控目标的差距,不断改进,以满足合规要求。

三、金融机构开展数据安全治理的意义

在宏观层面,数据要素市场化配置、加速数据流通是推动数字经济、数字社会发展的必要前提,金融业作为一个拥有大量高价值数据的行业,是数据共享、数据开放、数据流通的战略高地与桥头堡。因此,促进金融数据开放、金融数据要素市场化配置是金融业必须要思考与落实的重大课题。

在微观层面,数字化转型是金融机构融入产业链、社会经济与社会治理的必然选择,也是金融机构未来生存的根本之道,数据安全治理则是金融机构数字化转型之路的基础保障。

本文刊于《中国信用卡》2021年第11期

声明:本文来自中国信用卡,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。