从2012年开始构建数据治理体系时起,在所有数据管理领域中,数据安全管理的对象、方法等内容一直困扰着我们,既感觉它是数据管理不可或缺的一部分,又觉得它是信息安全管理一部分。到了2014年,我们制定发布了《数据安全管理办法》,并推进了一些数据安全保护相关的机制工具的建立建设,但依然对数据安全管理的整体轮廓以及其与数据对象之间的关系不甚清晰。直到今年,在推动个人信息保护相关工作中充分阅读了相关法律法规并研读大量资料,突然发现一直悬在头顶上的那个数据安全管理的“靴子”就要落下来了。

2017年6月,阿里牵头制定的国家标准《数据安全能力成熟度模型(DSMM)》已进入征求意见稿阶段,它是一个比较典型的从数据治理层面对组织的数据安全能力进行成熟度等级评估的模型。这个模型既可以评价组织的数据安全水平,了解组织的数据安全风险,也是组织建立整体数据安全管理体系的框架指导。

下面就结合数据安全能力成熟度模型(DSMM),从数据治理角度来谈一谈对数据安全管理的一些认知与思考。

一、以数据为中心的安全管理

2012年的时候,大家普遍认为只要做好了网络安全、系统安全等信息安全工作,数据就是安全的,因此,多数银行都将数据安全职责纳入了信息安全的范畴。今天,大数据应用的蓬勃发展使得数据的价值越来越高,银行产生存储的大量数据面临巨大的安全风险:

1、银行内部应用数据的内容、场景等快速增加,所有人日常工作几乎都离不开数据,数据从应用系统导出后,通过各种途径扩散到银行的各个角落,这些数据是否能得到有效保护无从得知。

2、银行与各行各业的业务合作越来越多,从各类公司购买了大量的数据服务,与外部企业的数据交换越来越多,交换出去的数据被滥用也会对银行产生法律和声誉风险。

3、数据已被社会公认为是有价值的资产,数据可变现的特点使得接触到数据的人员窃取数据的动机或可能性大大增加。

4、个人信息泄露所带来对公民生命财产威胁已上升到国家与法律层面,一旦发生高风险事件,会造成巨大的经济损失并有可能触犯法律。

传统时代,数据基本都在银行内部、使用人员可控、可变现程度低,只要把网络安全和系统安全做好,就可以防范数据安全风险。大数据时代,数据具有高流动性、高价值、可衍生性等特点,数据安全管理需要针对数据流动的每一个环节、数据价值的大小以及衍生数据特征等采取不同的保护措施,真正以数据为中心来进行安全保护。举个例子来说,如果一个人呆在一幢房子里,我们要保护这个人只需要对房子实施相应安全保护措施即可。但如果这个人出了这幢房子,还会走到各个地方,那我们就在这个人所到的每一地方,并结合这个地方的特征实施相应的保护措施,这个人的价值大小决定了所采取保护措施的等级以及其周边的人是否需要保护等。显然,在这个例子,这个人是安全保护的中心。

二、数据安全职责界定与意识培养要先行

理想状态下,所有的数据安全能力都应该同步建设,以保证每一个环节都有能力对数据进行保护。但是,银行受各种条件的制约,即便意识到存在巨大的安全隐患,也很难短时间投入大量的人力、物力去开展数据安全能力体系化的建设,技术工具上的巨大投入往往让领导层望而生畏。从另一方面来看,数据安全能力不仅仅涉及技术,即便是一个系统或者服务本身没有漏洞,也远远不能证明数据就是安全的。银行自身以及相关机构中所有组织与人员(即干系人)都需要为自己收集、使用、存储、传输的各类数据负责。因此,数据安全管理中我们首先要做的工作是:

1、 在银行自身的组织架构下,明确各个组织在数据安全保护上的职责与问责机制。从实际情况看,可以细化各类数据安全职责并纳入部门职责要求,一旦发生数据安全事件,根据事件分析与职责确定责任方并启动问责机制。

2、 提高银行所有人员的数据安全意识。通过培训、宣传、检查等手段,强化数据安全人人有责的文化意识,充分意识到数据安全事件一旦发生,无论对企业还是个人都会产生巨大的风险。

3、 完善对外部干系人的数据安全职责要求。对相关机构人员,如外包服务商、外部数据服务商、以及各类进入内部的临时人员等明确数据安全职责,写进相应的合同条款中,签订保密协议,并制定相应的SLA与惩罚措施等。

还是举上面的例子,即使所有安防人员的能力和武器不够强大,但每一名安防人员的职责要求明确并且有很强的安全意识与责任心,被保护人的安全系数还是比较高的。责任与意识是数据安全能力中需要最先建设的。

三、全生命周期安全保护机制要尽快跟上

DSMM中有一个数据生命周期维度,它基于数据在组织业务中的流转情况,定义了数据的六个生命周期阶段:

——数据产生:指新的数据产生或现有数据内容发生显著改变或更新的阶段;

——数据存储:指非动态数据以任何数字格式进行物理存储的阶段;

——数据使用:指组织在内部针对动态数据进行的一系列活动的组合;

——数据传输:指数据在组织内部从一个实体通过网络流动到另一个实体的过程;

——数据共享:指数据经由组织与外部组织及个人产生交互的阶段;

——数据销毁:指利用物理或者技术手段使数据永久或临时性的不可用的过程。

数据全生命周期的每一环节上基于不同类型的数据、不同的应用系统、不同的人员等有不同的风险,哪一个环节点出现了问题,都有可能发生数据安全事件。这个也很容易理解,被保护的“人”会走到任何一个地方,只要有一个薄弱环节敌人一定会首先攻击的这个环节。数据的价值与日俱增,靠窃取数据获取非法收入的黑灰色产业链给数据安全防护带来巨大风险。基于此,需要尽快评估分析数据生命周期各个环节上安全防护能力(五级成熟度),找到其所对应的风险点,并根据风险大小,有计划的逐步推进。这样做一方面可以找到最薄弱的环节,尽快防护,另一方面可以让高级管理层对银行当前数据安全管理现状有清晰的认知,并可以作为指导数据安全能力建设规划的重要依据。

四、个人信息保护的严苛要求带来巨大挑战

最近,国家出台一系列与个人信息安全相关的法律法规与国家标准,史上最严苛隐私数据保护法-欧盟GDPR也于2018年5月生效,个人信息安全成为当银行数据安全管理的核心内容。个人信息保护的合法化、客户授权、去标识化、可审计等要求与个人信息频繁、高效使用存在天然的矛盾,如何化解这些矛盾,给数据安全管理工作提出了更高要求:

1、 所有客户的信息采集均要向客户进行明示应用场景并得到用户的同意,这是一项非常繁琐的工作,尤其对于一些重点的、保护意识强的、欧盟相关的客户可能需要进行大量的说明与解释,如果客户不同意,就无法对这些个人进行使用。

2、 存储、传输、使用、共享个人信息均需要去标识化,去标识化的方法有很多种(详见《个人信息去标识化指南》),需要根据数据生命周期不同环节、不同业务场景的需求,在保证合法合规的前提下充分考虑数据可用性而进行选择。这需要数据安全人员与数据使用人员不断的进行沟通与讨论,才能最终确定。

3、 与外部数据服务商、外包商存在个人信息共享,它们个人信息安全保护是否合法合规除了合同、保密协议等层面进行约束、去标识化外,也需要进行通过其它手段进行检查核实是否存在个人信息泄露隐患。当前,个人信息无处不在,对于有目的的攻击者来说,总是可以通过各种其他渠道获得各种数据,然后进行关联、汇总和还原的,实际我们在共享本机构的个人信息后,就已经打上是本机构个人客户的标签。

4、 欧盟的GDPR要求数据控制方和数据处理方应保留关于数据处理活动的详细记录,监督机构随时可以进行审计,这就要求银行对个人信息所有的操作与处理都要有明确的权限控制与记录日志。有了这些日志,不仅仅用于监管机构,我们也可以通过分析挖掘这些数据,找到违规操作或是可能的内部作案,以防范数据泄露。

以上只是个人信息保护中的一部分关注点,还有如何建立个人信息安全应急机制?如何识别个人信息的衍生数据(整合加工后的个人财产信息等)?如何按客户要求删除信息?等诸多问题都需要我们逐一去解决,但这些工作按什么样路径实施,要结合银行实际现状以及监管要求来进行合理安排。

显然,数据安全已远远不只是大家以前认为的技术问题,而是一个管理问题,是以数据为核心的安全管理。从数据治理层面看,与数据质量管理、数据标准管理的对象从本质上是一致的,相应的规范、标准、技术运用在数据产生、存储、传输、使用、共享、销毁的各个环节中,为实现在安全运营数据的过程中充分发挥数据价值目标奠定基础。

作者:刘巍

声明:本文来自金融科技实战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。