中國互金協(xié)會發(fā)布金融數據安全系列四項標準 業(yè)內:金融數據安全治理需要下苦功夫、硬功夫
每日經濟新聞
2024-10-28 21:45:37
日前����,由中國互聯(lián)網金融協(xié)會組織編制的金融數據安全系列四項標準(下稱《標準》)正式發(fā)布。中國互聯(lián)網金融協(xié)會黨委委員兼副秘書長楊農表示���,《標準》將助力金融行業(yè)在數據質量管控�、技術防護�、安全評估和應急處置等方面查漏補缺,強基固本�����。
每經記者 陳植 每經編輯 馬子卿
10月25日�,由中國互聯(lián)網金融協(xié)會組織編制的金融數據安全系列四項標準(下稱《標準》)正式發(fā)布。
據悉���,《標準》包括《金融數據安全治理實施指南》《金融數據資產管理指南》《金融數據安全技術防護規(guī)范》《金融數據安全應急響應和處置指引》�,主要覆蓋數據分類分級管理���、數據安全風險管理�����、數據安全制度體系和數據安全技術體系等關鍵領域����,為金融數據安全治理提供全面的理論依據和實踐指導��。
中國互聯(lián)網金融協(xié)會黨委委員兼副秘書長楊農表示�����,《標準》的發(fā)布�����,既是金融行業(yè)響應國家數據安全法規(guī)、提升數據安全管理水平的重要舉措��,也體現(xiàn)了金融行業(yè)的自我完善和自我提升���?�!稑藴省穼⒅鹑谛袠I(yè)在數據質量管控�����、技術防護、安全評估和應急處置等方面查漏補缺�,強基固本。
隨著《標準》的實施�,預計金融行業(yè)的數據安全治理將更加規(guī)范化和制度化,顯著提升行業(yè)數據安全水平�,為構建安全、穩(wěn)定����、高效的金融生態(tài)環(huán)境貢獻力量,為金融數字化轉型和加快建設金融強國提供堅實的基礎��。
業(yè)內:金融數據安全治理需要下苦功夫、硬功夫
記者獲悉���,最新公布的《網絡數據安全管理條例》��,對金融行業(yè)提出更高的數據安全管理要求�����。楊農指出�,金融是典型的科技驅動型和數據密集型行業(yè)�����,如何平衡好金融數據創(chuàng)新應用與安全治理�,充分發(fā)揮金融數據要素的經濟社會價值,已是金融行業(yè)的一項重要而緊迫課題���。
記者獲悉�����,今年金融管理部門陸續(xù)出臺個人金融信息保護�����、金融數據分類分級�、金融數據安全管理等標準規(guī)范,深入開展金融數據綜合應用試點�,引導和支持廣大從業(yè)機構增強金融數據安全治理能力,建立全周期全鏈條數據資產管理體系���,困擾金融行業(yè)數據“不能用��、不敢用�����、不善用”等問題得到較大程度緩解����。
“與此同時��,我們也要認識到��,金融數據安全治理是一項涉及‘采數’‘傳數’‘存數’‘用數’等環(huán)節(jié)的系統(tǒng)性工程���,是苦活、累活�、基礎活���,需要下苦功夫、硬功夫甚至‘笨功夫’����。就行業(yè)實踐而言,很多金融機構在數據質量管控��、技術防護�、安全評估、應急處置等方面仍需要進一步查漏補缺�����、強基固本����。”楊農指出。
據國際貨幣基金組織發(fā)布的4月份金融穩(wěn)健性報告顯示����,針對金融公司的網絡攻擊事件增加500多起,占到所有攻擊總數的近1/5�,其中銀行風險最大。這背后�,是金融機構日益處理大量個人敏感數據與交易���,經常成為犯罪分子竊取資金或實施其他非法行動的目標。
奇富科技信息安全總監(jiān)吳業(yè)超向記者透露��,由于金融機構處理的個人敏感數據與交易日益增加��,無論是業(yè)務執(zhí)行環(huán)境�,還是業(yè)務落地環(huán)境,都存在不同數據應用保護的迫切需求�����。
吳業(yè)超指出�,“組織建設是數字安全的前提。比如�����,數據全生命周期管理����,數據流轉每個環(huán)節(jié)都會涉及不同業(yè)務部門與不同組織架構���,我們需要落實落地數據安全治理�,各個部分要配合完善整個數據合規(guī)應用與數據保護流程。”
此外����,技術也成為金融數據安全治理的重要抓手——在不停地擴展技術能力同時,金融機構也在逐步深入分析數據安全和數據治理��,并找到相應的實施路徑��。其中�����,數據分類分級是一個重要的著眼點�����,只有數據分類分級做得好���,金融機構才能將所有數據按照想要的模式�,在不同業(yè)務場景與使用場景進行分級使用��,成為數據資產管理的“新舉措”�����。
在他看來,在金融數據安全治理方面�,制度體系(包括策略、流程與制度建設)�,技術體系(針對數據泄露風險、數據流轉�����、數據全生命周期管理的合理可控管理)與風險管理(包括專項審計��、安全評審��、風險排查與應急處理)也應形成一個閉環(huán)���,通過相互引領與相互制約��,促使金融數據安全治理工作更好地推進�。
進一步發(fā)揮數據要素在金融機構降本增效中的積極作用
為了增強金融機構在金融數據安全方面的各項能力建設���,此次中國互聯(lián)網金融協(xié)會先后組織研制《金融數據安全治理實施指南》《金融數據資產管理指南》《金融數據安全技術防護規(guī)范》《金融數據安全應急響應和處置指引》等四項標準�。
其中���,《金融數據安全治理實施指南》由互金協(xié)會組織奇富科技��、神州信息���、平安銀行等編制,集聚金融數據安全治理框架實施流程及成果�����,明確數據安全治理實施的主要內容和方法��,用于指導金融機構有效地建立和實施數據安全治理體系���,提升金融數據使用的合規(guī)性和安全性�����,有利于金融機構落實數據安全相關的法律法規(guī)��。
《金融數據資產管理指南》提出����,金融數據資產管理的框架��、原則、對象���、活動���、運營支撐和保障,提供金融數據資產盤點和估值方法��,有利于深化金融業(yè)的數據治理���,促進金融機構的數字化轉型發(fā)展���,進一步發(fā)揮金融數據要素在金融機構降本增效中的積極作用。
《金融數據安全技術防護規(guī)范》規(guī)定�,金融數據安全技術的目標和原則,技術框架�,安全管理制度,全生命周期安全�����,安全監(jiān)管與運維等方面的內容���,既提出保障金融數據安全的通用技術要求����,也提出針對金融數據生命周期各環(huán)節(jié)的流程特點和安全風險的特定技術要求,有利于提升金融機構在數據采集�����、共享��、使用過程的安全防范能力�,全面保障金融數據生命周期各環(huán)節(jié)的數據安全���。
而《金融數據安全應急響應和處置指引》概括了金融數據安全應急響應和處置的整體框架����,為金融機構在組織架構�����、制度流程���、基礎工具�����、人員能力等方面加強應急響應處置能力與能力建設提供指導�。此外,這項指引還規(guī)定金融數據安全事件分類分級的原則和應急響應流程等�����,可用于指導金融機構開展數據安全應急響應和處置工作�����,減少數據安全突發(fā)事件造成的損失和影響��,促進金融數據安全治理�����。
在業(yè)內人士看來���,上述四項標準分別從金融數據安全的綜合治理�����、資產管理�、技術防護和應急管理等不同角度���,為做好金融數據安全治理工作提供指導��,將在金融數據安全建設方面發(fā)揮積極作用�。
今年上半年數據泄露事件數量較去年下半年上漲59%
記者獲悉,在《金融數據安全治理實施指南》相關標準研制過程�,多家參與標準研制的金融科技機構、銀行機構已紛紛遵循上述監(jiān)管要求���,持續(xù)增加金融數據安全治理方面的能力建設。
吳業(yè)超透露���,在數據安全治理指南研制過程���,企業(yè)一方面積極踐行理論基礎,以相關規(guī)定為基礎�����,研究了一整套金融數據安全治理指南體系����;另一方面,企業(yè)結合以往日常經營過程的實踐經驗���,持續(xù)完善數據治理的技術規(guī)定��,最終形成了一套完整的技術體系與治理體系�。
他透露,在實踐過程中����,奇富科技已借鑒數據安全治理指南,落地一些數據安全保護工作����。比如,在數據安全接口方面獲得DIM認證�����,此外他們著手搭建專門的平臺�����,一面做好數據流轉過程的異常狀況管理�����,數據泄露監(jiān)控�,數據安全風險監(jiān)控�,數據泄露漏洞監(jiān)控排查等����,并在風險處置環(huán)節(jié)提供相應的行業(yè)最佳實踐,逐步將數據安全治理建成一個閉環(huán)并持續(xù)優(yōu)化���,進一步強化金融數據安全治理能力���。
奇富科技CEO吳海生指出,隨著中國互聯(lián)網金融協(xié)會發(fā)布的金融數據安全系列標準落地實施����,金融行業(yè)的數據安全治理將更規(guī)范有效�,金融行業(yè)未來發(fā)展將更安全可靠,在中國互聯(lián)網金融協(xié)會的指導下���,奇富科技將繼續(xù)在金融安全領域總結出一套可參考可實施的理論框架���,為金融行業(yè)健康發(fā)展貢獻力量。
在金融數據安全應急響應和處置指引研制過程���,眾多參與研制的金融機構更側重解決當前的實際操作痛點����。數據顯示,今年上半年����,數據泄露事件數量較2023年下半年期間上漲59%,竊取隱私數據的相關黑灰產團伙增長近1倍����。金融機構在快速定位與溯源數據泄露節(jié)點、提升應急響應速度等方面面臨較大的挑戰(zhàn)�����。
一位參與《金融數據安全應急響應和處置指引》研制的金融科技平臺人士透露�,他們先在日志層面實現(xiàn)網絡架構分析,業(yè)務范圍收斂�����,以此提前收集溯源相關的數據�,并接入溯源分析平臺,在數據查詢方面通過優(yōu)化數據存儲方式與索引構建方式等辦法�����,完善數據查詢算法,能提升海量數據單次查詢速度�����,迅速找出數據泄露節(jié)點并快速做好數據泄露風險防范與封堵舉措���。
如今�,他們結合《金融數據安全應急響應和處置指引》相關內容�����,正增強情報能力建設——鑒于大量數據都是通過黑客買賣“流轉”����,金融科技平臺正高度關注黑客買賣數據的情報。一方面���,針對某些數據買賣相對頻繁的黑客交易渠道開展動態(tài)跟蹤,保障情報監(jiān)控足夠全面快速�;另一方面,在情報識別方面結合AI算法能力�����,在主體識別,相關性識別����,發(fā)布人畫像補充完善等方面增加多語言的情報識別能力,提升情報識別的準確率���。
針對《金融數據安全技術防護規(guī)范》的實踐����,一位金融科技平臺人士向記者透露�����,在金融機構內部�����,網絡安全與數據安全有著較大區(qū)別����。比如,銀行網絡安全負責部門發(fā)現(xiàn)一個漏洞或黑客攻擊����,迅速打補丁或調整防火墻策略就行�,無須協(xié)同銀行其他部門協(xié)同處理��。但數據安全無論是分類分級����,還是安全保護監(jiān)測,都需要數據安全主管部門與各個業(yè)務部門的充分交流溝通與相互配合�����,導致后者工作是一個閉環(huán)����,工作模式不一樣。
“此外�,兩者保護的對象也不一樣,網絡安全重點關注的是漏洞和危險�����,數據安全則關注數據生命周期����。因此,網絡安全產品是攻防視角����,令網絡安全產品更側重過程,還原整個攻擊線路與事件并進行監(jiān)測與阻斷��,但數據安全產品則是業(yè)務視角���,令數據安全是直接看結果����,包括數據有沒有異常訪問�,有沒有流轉異常,有沒有異常變化等��。”他指出����。針對數據生命周期的安全防護要求,金融機構需要增強數字化系統(tǒng)數據流轉視角的安全能力要求���,比如從終端�����、到匯聚不同類型數據的數據庫����,再到對外的數據分享與規(guī)范使用,都需要建立相應的金融數據安全技術防護規(guī)范與操作舉措��。
這位金融科技平臺人士向記者透露�����,針對金融數據生命周期里的數據交換環(huán)節(jié)安全性����,他們結合《金融數據安全技術防護規(guī)范》,提供API安全分析系統(tǒng)��,有API端安全監(jiān)測系統(tǒng)�,安全保護系統(tǒng),形成小閉環(huán)�����,著手做好API端資產管理��、API端風險監(jiān)測��、API端數據泄露風險的防范����。
吳業(yè)超指出,未來圍繞金融數據安全治理���,金融行業(yè)還會迎來諸多挑戰(zhàn)�����。尤其是隨著人工智能技術持續(xù)發(fā)展��,各類金融數據將擁有更多使用場景���,令數據安全治理將更注重AI技術應用,由此持續(xù)探索新的安全策略并適應未來新技術的應用與挑戰(zhàn)�。這需要金融機構之間加強合作,在金融數據安全治理層面提供更多的最佳實踐經驗與技術輸出�����。
封面圖片來源:視覺中國-VCG211189121661
