数据是银行的重要资产,也是其安全防护的重要对象。《中华人民共和国数据安全法》《网络数据安全管理条例(征求意见稿)》等法律法规规定了数据处理者的数据安全保护责任。《JR/T 0223-2021金融数据安全 数据生命周期安全规范》和《T/NIFA 21—2023金融数据安全技术防护规范》进一步提出金融业机构应建立统一的金融数据安全管理制度体系,并明确各层级部门与相关岗位数据安全工作职责,规范工作流程。
在此背景下,建立一套科学有效的数据安全管理制度保护银行数据安全已势在必行。本文将从银行数据安全管理制度的建设需要进行分析,给出切实应对策略,以帮助落实银行数据安全保护要求。
银行数据安全管理制度建设需求
1、合规性需求
监管部门会对银行进行监督和检查,因此银行在制定数据安全管理制度时必须严格遵守相关法规和法律要求,并建立符合行业标准的数据安全管理制度,以确保满足监管要求。
2、数据安全和隐私保护需求
银行数据非常敏感,大量的金融数据在网络中传输和存储。任何数据的泄露或篡改都可能对用户个人隐私和财产安全以及银行声誉造成严重影响。
3、员工安全意识培训需求
尽管许多银行已经意识到员工是数据安全的一个重要环节,但仍然有部分员工的数据安全意识较为薄弱,需要加强员工的安全意识培训。
4、制度落实需求
尽管有些银行已经制定了数据安全管理制度、规范和操作标准,但缺乏技术监管手段,如何有效落地执行仍然是一个挑战。
银行数据在创造价值的同时,也带来了新的安全风险和挑战。为确保银行数据的安全,需要综合考虑多方面的安全需求,并建立完善的数据安全管理制度。
银行行业数据安全管理制度特色
银行机构应用系统数量非常多,其架构设计严密,一般按照分层架构模式设计,从面向客户提供服务的角度,将应用分为不同的层次,不同层的应用定位和作用不同,安全要求也不同。
银行数据应用场景多种多样且涉及信息系统多,具有更新频繁、数据规模庞大、数据类型多样、数据分布复杂、数据分析难度大等特点。
因此,银行在数据全生命周期所面临的威胁也因其特殊的行业数据而有所不同,如过度收集数据、网间传输风险、数据未脱敏、数据未加密、数据跨境流通等。
银行数据安全管理制度建设应对策略
启明星辰针对银行特定的数据安全管理制度建设需求,提供银行数据安全管理制度咨询与建设服务,结合法律法规、相关标准、行业要求及实践经验,建设合理、完善、具有银行特色的数据安全管理制度。
制度文档体系结构分为四层,各层级之间相互关联。一级文档为方法总纲类文档,作为整体数据安全方针策略;二级文档为管理制度、管理办法类文档;三级文档为操作流程、规范、作业指导书、模板文件类文档;四级文档为计划、表格、报告、各种运行记录/检查记录、日志文件等记录类文档。
1、数据生命周期安全管理制度
参考《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》《JR/T 0223-2021 金融数据安全 数据生命周期安全规范》《T/NIFA 21—2023金融数据安全技术防护规范》及其它对于数据生命周期的安全保护的相关标准和政策,结合银行实际情况进行设计和编制。
在数据采集中,银行从外部机构和个人信息主体采集数据,外部机构数据和个人主体数据通过人工或系统采集的方式收集,经过数据预处理的清洗、转换等流程后进行存储。
在数据传输中,银行数据传输涉及与金融业机构相关联的全通信网络架构和通信方式,按照传输模式可分为机构内部数据传输、机构与外部机构或客户的数据传输两种形式,应采用相应的传输加密、通道加密、安全传输协议等保护银行数据在传输过程中的安全。
在数据存储中,银行会涉及采用磁带、磁盘、云存储、网络存储等方式进行数据的存储,应保证存储的安全性,必要时要采用数据加密、权限控制、数据备份恢复等方式保护数据在存储过程中的安全。
在数据使用中,不应超出数据采集时所声明的目的和范围,数据使用过程存在数据非授权访问、窃取、泄漏、篡改、损毁等安全风险。
在数据删除中,因为银行数据高敏感度的特殊性,在删除数据时要保证其有效性和不可恢复性,保证数据被完全删除,防止银行数据的丢失。
在数据销毁中,银行可能会因为机构停止业务服务、数据使用以及存储空间释放再分配等场景而进行数据销毁,在销毁过程中要保证销毁流程规范及销毁的有效性和不可恢复性。
2、个人信息保护制度
参考《GB/T 35273-2017 信息安全技术 个人信息安全规范》、《JR/T 0171-2020 个人金融信息保护技术规范》等个人信息保护相关的标准和政策及银行实际对于个人信息的涉及情况进行设计和编制。
银行个人信息包括反映特定个人金融信息主体某些情况的信息,可根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将银行个人信息按敏感程度从高到低分为C3、C2、C1三个级别,并采取相应的安全技术手段进行对个人信息的保护。
3、重要数据保护制度
参考《信息安全技术 重要数据处理安全要求》(征求意见稿)、《JRT 0197-2020 金融数据安全 数据安全分级指南》等国家和行业相关标准以及结合银行自身实际情况进行建设。
需明确银行重要数据有哪些,根据重要数据情况与相关标准要求设计重要数据保护制度。整体分为数据处理活动安全和运行与管理安全两个模块,每个模块对应相关安全保护要求和具体安全措施,保护银行重要数据安全。
4、数据分类分级制度
参考《信息安全技术 网络数据分类分级要求(征求意见稿)》《JRT 0197-2020 金融数据安全 数据安全分级指南》《JR/T 0158-2018 证券期货业数据分类分级指引》《JR/T 0171-2020 个人金融信息保护技术规范》及相关标准和政策进行建设。
在数据分类中银行可按照数据业务应用维度进行分类,基于数据产生主体和数据权属等分类要素,银行数据可划分为客户类数据、业务类数据、经营管理类数据和监管类数据等。
在数据分级中可根据银行数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。
整体数据安全管理制度的建设需要从客户的实际情况出发,综合考虑合规要求和制度合理性等进行设计和编制。
建立健全数据安全管理制度有助于银行数据风险防控和规范化管理。启明星辰提供银行数据安全管理制度咨询与建设服务,从银行客户的实际情况出发,在满足合规需求的同时,帮助厘清内外部数据管理策略,以从容应对不断变化的数据安全风险,并为银行数据的应用和共享夯实制度基础,全面提升银行数据应用的合规性、安全性。
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号