一、行業(yè)背景

現(xiàn)代信息化科技建設(shè)的大力發(fā)展下，銀行和金融機構(gòu)在日常經(jīng)營活動中積累了大量數(shù)據(jù)，這些數(shù)據(jù)除了支持銀行前臺業(yè)務(wù)流程運轉(zhuǎn)之外，越來越多被用于財務(wù)報表、產(chǎn)品定價、客戶信息、績效考核、決策支持等領(lǐng)域。銀行日常經(jīng)營決策過程背后實質(zhì)是數(shù)據(jù)產(chǎn)生、存儲、傳遞和利用的過程。充分挖掘這些數(shù)據(jù)資產(chǎn)的使用價值, 可以為金融生產(chǎn)帶來極大的經(jīng)濟效益和競爭優(yōu)勢。然而, 一旦這些業(yè)務(wù)數(shù)據(jù)丟失、損壞或泄露, 則有可能造成巨大的經(jīng)濟損失, 或在社會、法律、信用、品牌上對銀行造成嚴重的不良影響。在金融機構(gòu)轉(zhuǎn)型和發(fā)展的過程中，平衡數(shù)據(jù)使用的便捷性和安全性成為極大的挑戰(zhàn)。

在數(shù)據(jù)安全層面，《網(wǎng)絡(luò)安全法》的頒布以及即將發(fā)布的《數(shù)據(jù)安全法》從法律制度層面對數(shù)據(jù)安全相關(guān)信息防護進行了要求。各行業(yè)的規(guī)定如《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》、《證券基金經(jīng)營機構(gòu)信息技術(shù)管理辦法》、《證券期貨業(yè)數(shù)據(jù)分類分級指引》、《個人金融信息保護技術(shù)規(guī)范》則根據(jù)行業(yè)特點對本行業(yè)數(shù)據(jù)安全相關(guān)工作進行了規(guī)定，而國家相關(guān)部委、信息安全委員會則發(fā)布了《網(wǎng)絡(luò)安全等級保護條例（征求意見稿）》、《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》、《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》等國家標準。政策法規(guī)、行業(yè)標準、國家規(guī)范共同組成了數(shù)據(jù)安全的相關(guān)規(guī)章體系。

金融行業(yè)相關(guān)機構(gòu)要想實現(xiàn)安全的管理和運營，就必須滿足國家上級監(jiān)管機構(gòu)要求的數(shù)據(jù)安全合規(guī)性建設(shè)，這種需求項目大、周期長、客戶要求較高。通常需要先進行整體體系建設(shè)的交流，以及成功案例的經(jīng)驗分析，對客戶進行分階段的規(guī)劃，然后取得建設(shè)思路的一致，才能逐步開展組織架構(gòu)、數(shù)據(jù)體系制度流程的建設(shè)、數(shù)據(jù)的分級分類、數(shù)據(jù)安全產(chǎn)品技術(shù)落地等。

 

二、金融數(shù)據(jù)安全風險分析

金融行業(yè)作為國家的經(jīng)濟重要領(lǐng)域，數(shù)據(jù)資產(chǎn)龐大，涉及的數(shù)據(jù)使用方式多樣化，數(shù)據(jù)使用角色繁雜，數(shù)據(jù)共享和分析的需求強烈，但目前金融機構(gòu)數(shù)據(jù)管理仍存在較多問題，具體表現(xiàn)在數(shù)據(jù)處理過程中大量的用戶信息及用戶業(yè)務(wù)使用信息等個人信息數(shù)據(jù)管控機制不足，商業(yè)秘密和敏感數(shù)據(jù)的信息在處理、共享和使用過程中面臨違規(guī)越權(quán)使用或被用于非法用途等數(shù)據(jù)泄露安全風險。員工對敏感數(shù)據(jù)保護的安全意識不足，對員工有意或無意的敏感數(shù)據(jù)泄露缺乏檢測與防護手段。

 

三、解決方案

構(gòu)建數(shù)據(jù)安全治理的項目是一項從無到有、富有挑戰(zhàn)且意義深遠的工作。對于數(shù)據(jù)安全治理的建設(shè)，將數(shù)據(jù)安全標準化模型作為數(shù)據(jù)安全治理建設(shè)的總體目標藍圖。

安全防護拓撲圖：

 

 

數(shù)據(jù)安全治理建設(shè)規(guī)劃必須包含以下四個方面：

一、組織和架構(gòu)的建設(shè)：

傳統(tǒng)網(wǎng)絡(luò)安全均由IT部門負責，隨著數(shù)據(jù)治理工作的深入開展，業(yè)務(wù)部門要深入?yún)⑴c數(shù)據(jù)資產(chǎn)梳理以及分級分類工作，因此原有的組織架構(gòu)和項目模式無法支撐數(shù)據(jù)治理的深入開展，需要自上而下形成高層牽頭、跨業(yè)務(wù)部門、數(shù)據(jù)全覆蓋的組織架構(gòu)。

二、制度和流程的建設(shè)：

目前金融機構(gòu)大多有較完整的安全規(guī)范，如分級分類規(guī)定，保密規(guī)定等，但一方面沒有獨立的數(shù)據(jù)安全規(guī)范，可執(zhí)行性不強，另一方面缺乏技術(shù)監(jiān)管手段，落地執(zhí)行較難。在制度流程建設(shè)層面，可根據(jù)企業(yè)內(nèi)部組織的特點分期進行建設(shè)。

三、技術(shù)工具的建設(shè)：

傳統(tǒng)的安全理念是“七分管理，三分技術(shù)”，隨著數(shù)據(jù)量的指數(shù)級增長，僅僅依靠管理很難對數(shù)據(jù)進行全方位管控，而在實踐中技術(shù)工具占據(jù)了越來越大的比重。傳統(tǒng)的咨詢項目交付物是大量的文檔，而數(shù)據(jù)安全的項目真正能夠落地執(zhí)行離不開技術(shù)工具的管控。技術(shù)管控按照生命周期來分，可分為數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)刪除、數(shù)據(jù)銷毀六個方面。根據(jù)數(shù)據(jù)分級分類進行安全環(huán)境和邊界管控，保障數(shù)據(jù)的保密性、完整性和可用性。

四、人員能力的建設(shè)：

傳統(tǒng)安全人員的技術(shù)能力大多以網(wǎng)絡(luò)安全和信息安全為基礎(chǔ)，而在數(shù)據(jù)安全層面需要既懂業(yè)務(wù)，又懂數(shù)據(jù)安全體系的復(fù)合型人才，其核心能力包括數(shù)據(jù)安全管理能力、數(shù)據(jù)安全運營能力、數(shù)據(jù)安全技術(shù)能力及數(shù)據(jù)安全合規(guī)能力。對數(shù)據(jù)治理人員的培養(yǎng)和管理制度的宣貫需形成常態(tài)化機制，提高數(shù)據(jù)安全人員能力。

 

四、方案價值

1.合規(guī)性收益

符合國家信息安全等級保護相關(guān)政策標準，滿足行業(yè)系統(tǒng)的數(shù)據(jù)和業(yè)務(wù)服務(wù)的安全要求，滿足數(shù)據(jù)整體安全運營下的實際業(yè)務(wù)需求，從管理和技術(shù)兩個層面保障數(shù)據(jù)安全的安全防護水平。

2.安全性收益

立足于行內(nèi)的實際情況，在滿足國家和行業(yè)政策標準要求的同時，重點保護內(nèi)部數(shù)據(jù)安全，保證相關(guān)業(yè)務(wù)應(yīng)用的運行安全性；盡量減少數(shù)據(jù)安全機制對業(yè)務(wù)應(yīng)用系統(tǒng)的性能和流程產(chǎn)生大的影響；保證相關(guān)管理和技術(shù)措施的有效性和實際可行性