王悦:银行业数据安全管理体系建设思路
金融机构数字化转型是当下金融发展的重要趋势,在与互联网企业、数据研究处理机构全面广泛的深度合作中,催生了银行前中后台对数据使用的纷繁创新和巨大变化。但伴随着大数据、人工智能、云计算等技术的广泛运用,大量金融数据快速频繁地交互流转,数据属主和管理边界愈发模糊,数据泄露、滥用、窃取等安全威胁日益加大。近些年,数据安全事件呈现出爆发式增长的态势,对涉事企业的品牌声誉和业务效益都造成了不良影响。造成上述问题的根本原因,是企业数据安全管理停留在原有“舒适圈”,没能匹配业务创新发展及新技术运用的伴生风险。
随着《数据安全法》《金融数据安全数据生命周期安全规范》等法律法规相继颁布,社会各界均认识到数据安全管理的重要性和紧迫性。银行因其日常接触大量客户个人隐私信息和金融信息,数据安全更是不容有失。因此,笔者抛砖引玉,想就银行数据安全管理体系建设思路进行一番探讨。
笔者认为做好数据安全管理工作,关键在于回答“谁对什么数据在什么环节做什么样的安全保护”这一问题。具体实践上,保障数据安全管理工作得到有效落实有五个关键要素:自上而下的数据安全管理组织架构;全面完整的数据资产安全分类分级;业务场景驱动的数据安全生命周期管理;标准化的数据安全技术产品和工具保障;精细化的数据安全绩效考核机制。
东亚银行(中国)信息总监 王悦
自上而下的数据安全管理组织架构
银行组织架构中,数据安全作为网络空间安全的一部分,一般由科技条线安全部门统筹管理,高级管理层和各条线部门甚少参与决策和管理,形成了数据安全是科技一家之事的认知误区。在这样的架构下,安全部门受限于自身职能,对实际业务缺少实操经验,不了解业务活动中涉及的具体数据内容和使用方式,制定的制度标准缺乏针对性和可操作性,数据安全技术防护工具可能导致一叶障目,或许在研发、运维等科技活动中能做到一定程度的数据安全管理,但在更广阔的银行整体层面,大量业务经营活动存在数据安全管理盲区。国家出台的《数据安全法》及人民银行发布的《JRT 0223-2021金融数据安全数据生命周期安全规范》,均提出数据安全需要自上而下的完整组织架构。笔者以上述法规标准为基础,结合工作实践,认为银行机构合理的数据安全管理组织应是自上而下由决策层、管理层、执行层以及独立监督审计部门共同组成。
决策层是数据安全工作的指挥棒,需要由分管科技、业务、风险、合规的高级管理人员组成,形式上可以成立专门的数据安全委员会,也可以由数据治理委员会或类似机构兼任。决策层负责审批数据安全整体策略,决策数据安全重大事项,协调各职能条线充分合作,统筹保障数据安全工作所需资源,保障数据安全各项工作有序开展。
管理层是数据安全工作推进落实的引擎,需要由科技、业务、风险、合规、法律、人事等部门的负责人和技术骨干组成数据安全工作小组,安全部门负责人、技术骨干作为小组办公室,组织制定数据安全相关制度、规范、标准,明确数据安全责任归属,建设数据安全技术防护架构,健全数据安全考核机制。管理层各成员之间精诚合作、理念一致,是数据安全工作成败的关键。
执行层是数据安全工作有效落实的基石。执行层由全体员工组成,所有人都是数据安全政策执行的一份子,需要认真学习和贯彻落实理解数据安全制度流程。同时,考虑到各部门在落实数据安全政策中面临的实际差异,需要在各部门内设立数据安全联络员的岗位,作为管理层和执行层之间的纽带,组织指导本部门全体人员贯彻各项数据安全相关工作,比如数据安全政策宣贯、组织识别敏感数据、辖内数据安全自查等。数据安全联络员的角色十分重要,应有一定的准入门槛并得到数据安全工作小组的认可和任命,部门负责人需要全力支持其工作,有效保障各项措施切实执行。
监督审计由银行风险和内审部门负责,作为全行数据安全工作的监督检查角色,独立研判数据安全工作存在的不足,推动改进优化。
全面完整的数据资产安全分类分级
银行在日常运营中,数据的传输、存储等环节众多,时常会遇到各类数据安全保护问题,比如与合作伙伴邮件往来,附件要不要加密?如果所有附件都加密,沟通效率偏低。但不加密,附件中含有敏感数据将面临被窃取泄露的风险。上述示例就引申出数据安全的核心问题,什么样的数据在什么环节需要什么样的保护。要回答这个问题,首先要梳理需保护的数据资产目录,这方面可以借鉴企业数据治理中相关成果,在此基础上根据其价值及敏感程度建立安全等级清单,为后续落实数据保护措施夯实基础。
考虑到整体经营活动中面临着各式各样的数据,各部门在梳理时难免口径不一,需要数据安全工作小组牵头,建立统一的数据资产安全等级标准,在各部门的协同配合下形成涵盖业务、运营、财务、科技、人事、合规等各类型数据资产安全等级清单。安全等级一般至少分为公开、内部、敏感、极度敏感4个等级。
表 1 数据资产安全等级清单
上述示例中,数据安全等级清单覆盖面非常广,单靠任何一个部门或人员都难以完成,所有部门的参与程度将直接关系数据安全管理工作的成效。
结合业务场景的数据安全
全生命周期管理措施
建立了自上而下的数据安全管理组织架构,并梳理制定了数据资产安全等级后,数据安全全生命周期管理即需要回答“对什么数据在什么环节需要什么样的安全保护”。银行金融机构可以参照《金融数据安全数据生命周期安全规范》,构建并不断完善自身的数据安全生命周期控制矩阵,对于数据从采集、传输、存储、使用、删除、销毁等全生命周期节点进行详细控制,整体上可以归纳为15个环节、115个控制点的数据安全全生命周期控制矩阵表。数据安全全生命周期控制矩阵表中不同的控制项,其管理部门和实施部门亦有所不同,一些公共模块比如开发测试、数据销毁等亦建立统一的管理要求和标准,而一些因业务场景不同而有所差异的控制项,如数据采集、数据访问等,则需要因地制宜地制定针对性的控制措施。
图1 数据安全全生命周期控制矩阵
数据安全全生命周期控制矩阵表是包含各种情况、场景的完整控制集合,但实际工作中,某个业务活动一般只涉及其中一部分,落实全部的管控措施既不现实,也容易让相关人员眼花缭乱、陷入困惑,导致数据安全停留于纸面。另外,同一个数据在不同的业务场景下,其安全控制点也会完全不同。比如柜面业务和电子渠道业务都会收集客户身份信息,但因渠道不同,在采集环节应实施的安全控制措施也是不同的。银行应该从业务视角出发,梳理出具体业务涉及的数据清单,再对照勾选出安全控制项和控制点。这里也可以看到,业务、科技、安全、合规需要紧密合作,才能切实完成这一过程的梳理。以手机银行业务为例,其涉及的活动主要为蓝色背景部分。
图2 手机银行业务数据安全全生命周期控制项
标准化的数据安全技术产品和工具保障
数据安全有管理要求,也需要有技术手段来保障相关要求可以遵照落实,考虑到数据全生命周期涉及的链路冗长,其中涉及的安全技术保障环节也众多,银行在落实过程中应注重统一标准,避免安全防护的篱笆此长彼短,产生木桶短板风险。其中,笔者主要就加密、脱敏、认证三方面内容做一些展开。
加密:数据在传输、存储、使用等环节均会涉及到加密,加密可能发生在应用层、网络层、系统层、数据库层等多个层面。而数据在应用过程中必然需要解密,加密解密频繁势必会导致业务效率被拉低,因此如何选择加解密机制是银行面临的实际问题。笔者认为,银行应建立一套包含应用页面字段加密、网络加密通讯协议、数据库存储加密等在内的统一标准。
脱敏:数据脱敏分为静态脱敏和动态脱敏,两者对应不同场景。静态脱敏主要运用在开发测试活动,一般为了保证主键字段唯一性和业务逻辑校验规则,敏感字段脱敏策略需要使用哈希变形处理;对于其他没有要求的字段,则可以使用随机生成和统一替换等方法。同时,由于上下游系统关系,银行应制订统一的脱敏标准,保障脱敏与工作需要兼顾,有条件的可以尝试平台化自动化处理静态脱敏活动。动态脱敏主要面向业务生产活动,比如反洗钱业务中不同人员可查看到的敏感信息需要在线脱敏,传统做法通过应用系统逻辑控制,但这种方法代码重复量大且难以统一标准,相较而言建立统一的脱敏网关,控制所有流经数据的脱敏标准和范围,可以有效提高动态脱敏的效率和准确性。
认证:数据访问需要对访问者身份和权限进行鉴别,银行往往比较重视客户端的身份鉴别,部署专业证书认证对线上系统进行大量安全测试,相对的,对内部系统的访问认证往往容易被忽视。但无论系统底层的特权账号,抑或是业务人员的业务账号,其往往能容易获得大量敏感数据。因此,完全有必要在应用系统中设立双因素认证和敏感数据访问二次认证,同时对于系统特权账号应部署特权账号管理系统,集中统一上收管理。
精细化的数据安全绩效考核机制
数据安全需要所有人的参与和落实,为了考量不同岗位在数据安全工作上的参与度和落实情况,需要设计一套针对不同数据安全职责的绩效考核机制,在员工整体考核中占一定比例,以鼓励员工主动参与和配合相关工作。对于决策层,考核应注重数据安全整体实施成效、数据安全合规程度以及资源保障情况;对于管理层,考核应注重数据安全分级、数据安全管理控制手段及技术防护体系建设情况;对于执行层,考核应注重数据安全要求实际落实执行情况,包括数据安全等级完整性、数据合规使用情况等。
(栏目编辑:郑岩)
推荐阅读
(点击图片查看精彩内容)
精彩内容回顾
(点击查看精彩内容)
■ 实战 | 多集群场景下数据访问控制和路由机制的探索与实践
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧