2020年9月23日,中国人民银行正式印发《金融数据安全 数据安全分级指南》,根据金融行业机构数据安全性遭受破坏后的影响对象及程度,将数据安全由高至低划分为五个级别。与此同时,以银行为代表的众多金融行业机构面临着人员、技术、管理等诸多内部困扰,使得包括数据资产梳理、数据分类分级、敏感数据保护等在内的数据安全建设需求持续增长!
金融行业主要数据安全需求包括:
(1)对错综复杂的数据进行分类分级
金融相关的各个系统因业务需要,保存了大量不同类别、不同敏感级别的数据,包括客户基础信息、业务交易数据、业务产品数据、企业的经营数据、机构数据、员工信息、系统数据等。在海量级的业务数据里如何帮助金融行业合理、有效、全面地进行业务数据的分类分级,一直是金融行业面临的重要难题。
(2)降低数据对外展示的风险
金融行业拓展了包括网页、手机、微信等多渠道的银行业务服务渠道,建立了智慧银行等与客户开展友好互动,但在不同的渠道和界面上因业务需求可能要对客户或者合作商户展示业务数据,如交易的密码、认证的身份信息,甚至是生物特征信息等。这些信息的传输与展示可能会增加潜在的风险,容易被黑客或者不怀好意的人员利用,成为盗取账户获得利益的手段。
(3)实时掌握数据的流向和分布
掌握敏感的需要保护的数据到底在哪些系统内分布以及它们最终流向了何方,是否存在未授权的流转或者非法的流出,需要建立敏感数据资产的识别、标识、溯源系统,以便于随时跟踪敏感数据的流向和分布;需要建立对敏感数据的统一监控和审计措施,以便于对敏感数据的可疑使用进行跟踪。
(4)保证多渠道数据交换安全
金融行业业务多元复杂,面对多头监管,需要与同行或业内金融机构进行业务合作或者接受审计,比如行业联合组织、清算机构、其它合作企业。如何确保外发共享数据安全、合理的授权使用已经成为越来越多金融行业企业所关注的重点。
在这些背景下,我们推出“金融数据分类分级咨询服务”,根据政策法规标准与金融行业机构实际需求制定解决方案,并提供专业、成熟、领先的“数据梳理与分类分级”服务:
数据资产梳理服务主要针对数据库资产以及数据库账户、权限等进行梳理清查;同时,针对重要数据库进行敏感数据分布梳理与访问操作监控。通过对金融行业机构数据资产摸底并形成数据资产清单,帮助金融行业机构全面掌握自身数据资产分布,清晰了解重要数据库的访问情况与风险状态。
交付:
· 重要数据资产清单
· 数据库账户权限清单
· 业务数据流转图
数据安全治理中数据资产状况梳理的需求
1、数据使用部门和角色梳理:
在数据资产的梳理中,需要明确这些数据如何被存储,需要明确数据被哪些部门、系统、人员使用,数据被如何使用。对于数据的存储和系统的使用,往往需要通过自动化的工具进行 ;而对于部门和人员的角色梳理,更多是要在管理规范文件中体现。对于数据资产使用角色的梳理,关键是要明确在数据安全治理中不同受众的分工、权利和职责。
2、数据的存储与分布梳理:
敏感数据在什么数据库中分布着,是实现管控的关键。只有清楚敏感数据在什么库中分布,才能知道需要对什么样的库实现怎样的管控策略;对该库的运维人员实现怎样的管控措施;对该库的数据导出,实现怎样的模糊化策略;对该库数据的存储实现怎样的加密要求。
3、数据的使用状况梳理:
在清楚了数据的存储分布的基础上,还需要掌握数据被什么业务系统访问。只有明确了数据被什么业务系统访问,才能更准确地制订这些业务系统的工作人员对敏感数据访问的权限策略和管控措施。
二、数据分类分级服务
金融数据分类分级与策略定制服务是在数据资产梳理的基础之上,建立数据分类分级标准,从而对数据资产清单进行的准确、标准化的分级;同时,结合金融行业机构数据的使用场景,明确制定并严格执行对不同敏感级别数据的安全管控规范。
交付:
· 数据分类分级标准化文档
· 数据分类分级清单
· 数据分级管控要求规范
服务价值客户收益:
通过“金融数据分类分级咨询服务”,帮助金融行业机构在数据分类分级和数据安全治理相关工作中实现以下核心价值:
· 符合国家法律要求
· 满足行业标准规范
· 实现金融数据安全使用需求
· 夯实数据安全治理工作基础
数据分类分级是搭建金融数据安全治理体系的前提和基础,其价值作用不容轻视!通过金融数据分类分级咨询服务,金融行业机构将进一步提升对国家相关法律法规及行业标准要求的认知与理解;全面掌握自身数据资产的分布与使用情况;制定清晰的数据分类分级标准和不同敏感级别数据的外发共享管控规范等,为数据安全治理工作的开展明确方向、夯实基础,让数据使用自由而安全!