金融行业的数据安全怎么治理?
随着业务快速发展,金融机构积累了大量的数据,其中包含大量的客户信息等敏感数据,如果这些重要信息发生泄露,不仅会给客户造成直接经济损失,也会给金融业的声誉带来负面影响,甚至会导致金融机构承担相关的法律责任,支付巨额罚款。近年来,政策落地呈现窗口期,数据安全成为各类组织进行安全管理和合规工作的重要内容。金融行业为数据安全监管较为严格的行业,数据备份、数据分类分级、数据安全风险评估和审计是监管最为看重的四个子领域。
数据分类分级是法律明确规定的金融机构合规责任,是金融机构满足法规依从性的重要举措。根据《网络安全法》第二十一条规定,企业应当按照网络安全等级保护制度的要求,采取数据分类等措施,并应当对其中的重要数据采取备份、加密等措施。此外,正在制定中的《数据安全法》、《网络安全等级保护条例》、《数据安全管理办法》等也明确规定了数据分类分级的合规要求。在此之前,工业行业、证券期货行业也制定了各自领域内的数据分类分级指南。此外,《个人金融信息保护技术规范》等金融行业标准中也明确了该等要求。
对于数据安全建设的时间轴来说,前期会针对合规方面进行建设,更多的体现在基础建设方面比如:合规准入、防止恶意病毒、桌面运维。更多的是去做网络层上的防护和防止黑客攻击,但要想做到数据的安全治理这还远远不够。
在数据安全法正式落地后金融行业会加强对数据的安全治理,从制度层上建设治理架构和组织架构,因为各部门数据安全职责不清晰,一部分金融机构在财务部门;一部分在科技部门。这样做的目的是为了加强数据安全管理职能,建立一套属于自身的安全措施及管理制度。在技术层上首先要将数据进行可视化,因为对于散落在PC端和服务器中有大量的数据未精细化管理。这些可视化后的数据有利于金融机构识别数据风险,全面掌握暴露面。在这些大量的数据中我们不知道想要防护哪些数据,其中哪些数据对于自身来说是重要的,所以要将这些数据进行先分类再分级。要做到对于不同密级的文件实现不同的效果,不能对所有数据实现‘一刀切’的管控方式。比如对于高保密的数据,我们将这些数据分配权限只有高权限的人员才能查看;对于重要文件,我们用加密的方式进行防护,防止这些重要文件进行泄露;对于可公开的数据,我们只要做到添加水印和事后溯源。数据分类分级有利于金融机构统筹了解、掌握数据资产状况,全面提升有效性、可用性以及数据质量。在防护数据的手段上也要提升,从以前的pgp建立虚拟磁盘进行加密这种沙箱技术,转变为现在更为先进的驱动层实现加密。以前更多是靠人为自觉,但是现在实现了在用户无感知不改变操作习惯的前提下实现了加密。中期的这些建设都是利于金融机构采取针对性的配套安全措施及管理制度,便于相关措施制度的落地执行。在后期金融行业会通过UEBA和数据态势感知提供用户画像,可以快速的了解到每个用户对这些数据的操作行为和使用这些数据的频率。当用户出现违规操作会提供预警功能并将这些违规操作进行阻断并录取证据,做到了更好的防护我们的数据。
对于金融行业的数据安全治理,我们要找到一个平衡点,因为既要将数据进行保护起来的同时也要让数据进行流转,数据只有流转起来才会有价值。而这个平衡点就是要通过管理层的制度建设和技术层的产品能力相互结合,才能准确的找到。就像我们上邦的数据安全建设理念一样做到“分、放、管、服”,对这些数据进行防护管理的同时,面对合法的节点和合法的流程下允许数据进行有效的流转。