探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
点击 "合规社" > 点击右上角“···” > 设为星标⭐
最近对国家金融监管总局2024年底发布的《银行保险机构数据安全管理办法》(以下简称“管理办法”)进行深入学习,发现《管理办法》有很多内容值得研究和推荐,解决了数据安全方面很多的疑问,整理成文供参考。
01.
《数据安全管理办法》的定位
该办法承接了《数据安全法》、《网络安全法》、《个人信息保护法》总体要求,也参照《网络数据安全管理条例》的细节,总体上更具金融行业特点,
提及了很多具体的措施,可落地性更强。
截止当前,超过10个行业也发布的行业数据安全管理办法
(📖 推荐阅读
重要领域数据安全管理办法汇编&框架要点|附下载
)
,用于给企业数据安全管理方面提供方向性的指导,比如数据安全事件分级、安全事件的上报流程、分类分级工作等。它是数据安全工作中必不可少的文件,企业需要根据自身业务特点和战略进行承接和细化,建立企业的《数据安全管理办法》。
《数据安全管理办法》不再是纯安全类的管理办法,除了安全管理、安全技术外,把数据资产、数据目录、分类分级、数据处理活动等内容写入其中,并给出了这些工作的职责分工。
另外,《管理办法》把个人信息保护单独成为章节纳入其中,包括“明确告知、授权同意”等基本原则,各类使用个人信息场景细化了具体要求。作为数据安全管理办法,不提个人信息内容不合适,提了又容易显得凌乱,相关内容的颗粒度不好把握。
关于自动算法、大模型安全、数据出境等内容作为数据安全新的热点内容,均在《管理办法》中有提及。
03.
早期的数据安全提出
“以数据为中心”或“以身份为中心”
,该《管理办法》中有大量章节内容,强调
“信息系统”在数据安全过程中重要关系。
这和个人从项目实践中的结论一致,
想要数据安全工作落地性强,需要回到信息系统层面谈具体工作。
因为数据的颗粒度太细,很难感受到它的存在,而信息系统则是我们过去所熟悉的,它可直观呈现、有业务功能、有应用系统和操作程序,甚可能在具体的机房和物理服务器,与真实的IT项目建设关联度高。
《管理办法》中提及了“
将数据、数据安全纳入信息系统全生命周期管理的思想,贯穿系统的规划、需求、开发、测试、部署实施、投产等多阶段,才能有效地做好数据安全管控”。
个人认为这是贯彻数据安全实践落地的核心。还强调信息系统所涉及的网络安全是基础底座,不能绕过网络安全谈数据安全,
提出建立数据安全技术基础设施的思路。
04.
清晰界定了数据安全组织及职责
《管理办法》最重要的是确定数据安全相关的职责分工。
个人理解包含两层关系,
一是以银行保险机构为核心的外在关系
,涉及金融监督管理总局、国家数据安全管理部门、国家安全机构关、为机构提供服务的服务商、外包方和第三方机构(合作方、数据委托处理方)等。
二是以银行保险机构为主体,企业内部各部门的横向内在关系
,涉及数据安全归口管理部门、信息科技部门、业务部门、风险管理、内控合规和审计部门等。
其中数据安全归口管理和信息科技部门是整个数据安全管理和技术主责部门,是整个工作的核心,且清晰列出了其职责内容。
此外,还特别提出将“数据安全”纳入金融的风险控制和合规审计体系,在风险和审计原有工作内容上,强调全面增加数据安全管控内容。因为业务才会产生系统和数据,提出
“谁管业务、谁管业务数据、谁管数据安全”
的原则,明确各业务领域的数据安全管理责任,落实数据安全保护管理要求,主要是指企业的业务部门职责。
05.
信息科技部门
作为数据安全的技术保护主责部门,要求建立配套的安全技术保护体系、安全技术架构和保护控制界限,建立数据安全技术标准规范制度,强调要组织开展风险评估,详细职责见下文:
第十四条
银行保险机构信息科技部门是数据安全的技术保护主责部门,其主要职责包括:
(一)建立数据安全技术保护体系,建立数据安全技术架构和保护控制基线,落实技术保护措施。
(二)制定数据安全技术标准规范制度,组织开展数据安全技术风险评估。
(三)组织开展信息系统的生命周期安全管理,确保数据安全保护措施在需求、开发、测试、投产、监测等环节得到落实。
(四)建立数据安全技术应急管理机制,组织开展数据安全风险技术监测、预警、通报与处置,防范外部攻击、内外部破坏等危害数据安全活动。
(五)组织数据安全技术研究与应用。
《管理办法》中提出应建立
多元异构的数据安全技术保护体系
,这是金融领域实践而沉淀出来的经验,属于在真实现状下提出的安全要求。多元异构包括大数据、云计算、移动互联网、物联网等环境,不同技术环境下数据安全的解决方案和保护策略肯定不同。
与此同时,数据安全事件通常是跨场景联动
,比如从办公场景到测试场景,再到生产场景,通过一个点渗入,逐步跳入其他场景,导致最后的数据安全风险(泄漏、篡改、滥用等)。《管理办法》的第四十六条提到了终端和移动存储介质的安全管理要求;第四十八条明确测试环境和生产环境的系统隔离,未脱敏数据不得进入测试环境。
《管理办法》中提及的数据技术基础设施,包括身份管理、数据匿名化、行为监测、日志审计、数据虚拟化等。另外,银行保险机构开发信息系统时,应实施有效的访问控制,系统正式投产前开展安全测试,确保系统不“带病”上线。
关注新技术新应用的数据安全管控
关于新技术、新应用方面,主要涉及自动化决策的算法、模型算法、数据标准等,
要求对人工智能模型的开发应用进行统一管理,建立模型算法产品的准入控制以及开展必要的数据安全审查。
使用人工智能开展业务时,需要对决策结果进行解释说明和信息批量,并监测自动化结果。
重点是建立应用的风险缓解措施和退出人工智能应用的替代方案,对安全威胁制定应急方案并开展演练。
总体上,《管理办法》为企业侧提出了关于人工智能应用方面的数据安全管控关注点,比如
模型开发统一管理、算法产品准入机制、模型备案、数据安全审查、人工智能应用的退出替代方案
等,
这些都是作为数据安全工作人员需要去了解和掌握的工作内容和关注方向
。
数据安全风险监测的一些启示
数据安全风险监测是核心工作内容之一,《管理办法》第六十五条进行详细描述,如下:
(二)内部人员异常访问、使用数据;
(三)对数据集中共享的系统或者平台的网络安全、数据安全威胁;
(四)敏感级及以上数据在不同区域的异常流动;
(五)移动存储介质的异常使用;
(六)外包、第三方合作中的数据处理异常或者数据泄露、丢失和篡改;
(七)客户有关数据安全的投诉;
(八)数据泄露、仿冒欺诈等负面舆情;
(九)其他可能导致数据安全事件发生的情况。
数据安全更加关注特权账号、权限管控、异常访问、异常数据流动、合作方数据处理、测试数据、与数据相关重要配置开关(如缓存开关)、API接口安全管控、数据舆情监测等内容,
个人认为这些就是数据安全与网络安全区别的地方之一
,因此要加强相关日志、流量的监测和分析,及时发现问题。
全链路的数据安全风险监测从逻辑上是一个很好的想法,但想要实现异常艰难或者需要长周期的建设(3-5年)
。比如各类日志汇聚及不同格式处理、各类流量监测与获取,不同厂家协议及接口数据对接、海量日志和流量的分析等,都是曾经遇到的难题。
注:
本文基于个人
经验,从数据安全视角对《银行保险机构数据安全管理办法》进行研读学习,提供一些学习后的体会,仅代表个人观点。
本文作者
Smart,成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。
「 一键加入数据安全及个人信息保护领域的知识宝库」
