金融业数据安全发展与实践报告(2024)
AI智能总结
版权声明 本报告版权属于北京金融信息化研究所有限责任公司,并受法律保护。转载、编摘或利用其他方式使用本报告文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。 编制委员会 专家顾问: 陈立吾吴永飞陈镔张放 潘润红 副主任: 黄程林庄文君 编委会成员(排名不分先后,按姓氏拼音排序): 车忠良陈梦霄胡敏华桊兴米伟施春江史巍威孙加光陶蓉王克俭王旭东王彦博温国梁吴士荣虞建锋苑博曾凯张建新张振山 编写组成员(排名不分先后,按姓氏拼音排序): 毕婷陈晨陈明畅邓岗范里耿贵宁郭恋胡俊冀磊贾蒴姜国通蒋斌蒋采玲蒋帅李达李红兵李娟李林涛李明军李月梁骏峰凌铁铖刘剑刘磊潘星宇郄军利沈超苏东明孙榆杰王爱玲王宏王旸魏文术吴金洲伍巧云肖飞龙肖雪谢金福许莹莹杨帆帆杨立春杨希杨晓明杨杨曾孔喆张玲岩张羽赵高磊赵亮郑慧郑晓红周雍恺朱晨红左银康 参编单位: 北京金融信息化研究所有限责任公司中国银联股份有限公司中国工商银行股份有限公司中国银行股份有限公司中国邮政储蓄银行股份有限公司中信银行股份有限公司华夏银行股份有限公司平安银行股份有限公司渤海银行股份有限公司江苏银行股份有限公司浙江萧山农村商业银行股份有限公司浙江农村商业联合银行股份有限公司国泰君安证券股份有限公司国信证券股份有限公司泰康保险集团股份有限公司华为技术有限公司深信服科技股份有限公司三六零数字安全科技集团有限公司北京明朝万达科技股份有限公司软通动力信息技术(集团)股份有限公司广州云新信息技术有限公司 前言 中央金融工作会议提出的五篇大文章,对数字金融高质量发展提出了新要求,防范化解金融数据安全风险,筑牢安全屏障,成为金融业日益迫切的需求。在“三法两条例”的背景下,数据安全合规建设一直是主管部门与金融机构关注的重点。随着人民银行、金融监管总局、证监会发布相应的数据安全管理办法,金融业数据安全建设合规要求趋严,数据全生命周期建设压力增大。 在此背景下,北京金融信息化研究所开展金融业数据安全发展与实践专题研究,通过问卷与调研访谈等形式深入 交 流 , 编 写 《 金 融 业 数 据 安 全 发 展 与 实 践 报 告(2024)》,尽量全面地展示金融机构数据安全建设的实践,包括数据治理体系建设、数据分类分级、数据全生命周期安全防护、风险管理等方面。针对业技协同、关键和重点环节缺乏落地指导、建设推进较难等数据安全管理与技术问题,报告从行业主管部门、金融机构、安全产业三个维度提出了对应的发展建议,并基于金融业数据安全政策要求以及行业实践经验,研究形成金融业数据安全重点工作,包括数据安全能力建设、数据分类分级、数据安全风险评估以及数据安全风险监测四个部分,以期为金融业数据安全建设提供借鉴与参考。 目录 一、金融业数据安全建设背景..................................................................................9 (一)数据安全治理体系持续优化...................................................12(二)数据分类分级工作稳步开展...................................................16(三)数据全生命周期安全保护重点工作逐步推进.......................20(四)安全风险防范手段日益丰富...................................................30(五)金融数据安全生态逐步构建...................................................33 三、金融业数据安全保护问题与挑战..........................................................34 (一)业务与技术协同程度有待进一步深化...................................35(二)分类分级与数据出境等标准缺乏落地指导...........................35(三)关键和重点环节建设推进较难...............................................36(四)新技术迭代加剧数据安全风险...............................................37 四、金融业数据安全发展建议与重点工作..................................................37 (一)发展建议...................................................................................37(二)重点工作...................................................................................40 案例1:中国银联隐私计算平台建设与应用实践.............................44案例2:中国银行数据分类分级实践.................................................46案例3:邮储银行金融数据统一备份自主创新实践.........................50案例4:平安银行数据安全分类分级双向打标实践.........................54案例5:渤海银行基于零信任理念数据安全防护实践.....................58案例6:长安银行数据安全合规建设应用实践.................................61案例7:浙江农商联合银行数据安全管控技术体系建设实践.........66 案例8:浙江萧山农商银行“一中心N平台”数据安全管控实践.71案例9:国泰君安证券数据安全风险评估实践.................................76案例10:国信证券数据安全治理实践...............................................82案例11:泰康保险集团基于隐私计算的客户数据交叉分析实践...86 附录A:法律规范与标准清单(节选).......................................................93 一、金融业数据安全建设背景 金融数据安全风险形势日益严峻。在数字化转型背景下,金融机构生产过程中的数据以不同形式转化为数字资产,伴随数据的流动与开放,数据流转中间环节增多,加之人员数据安全意识与风险防范能力参差不齐,数据风险暴露面持续拓宽。同时,传统网络攻击形势依然严峻,以窃取数据为目的的网络攻击规模与频次持续扩大。近年来以数据泄露、数据勒索为代表的安全事件频发、成本上升。IBM《2023年数据泄露成本报告》显示,2023年数据泄露的全球平均成本达到445万美元,相较于2020年增加15.3%;其中金融领域数据泄露成本高达590万美元,居于第二位。天际友盟发布的《2024年上半年全球勒索软件报告》显示,2024年上半年勒索软件攻击事件高达2300余起,攻击者敲诈金额高达4.59亿美元,远超其他类型的网络攻击赎金;其中2024年6月中旬勒索赎金中位数已达150万美元,相较于2023年第一周增长近7倍,金融机构面临外部威胁与内部建设双重压力。 合规要求驱动金融数据安全建设。政策要求方面,中央金融工作会议提出数字金融要兼顾发展效能与安全要求,在创新的同时提升风险管理能力,守住金融业发展合规底 线。多项部门规章相继发布1,在“三法两条例”2的框架下,《网络数据安全管理条例》将于2025年1月1日起施行,进一步规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用。国家网信办发布《促进和规范数据跨境流动规定》等系列制度规范,聚焦数据跨境、新技术应用、个人信息保护等环节,规范数据依法有序自由流动。人民银行、金融监管总局、证监会分别发布相应数据安全管理办法,数据安全保障要求已上升至国家层面。执法检查方面,主管部门对数据安全监管力度逐渐加大,且有事前处罚的趋势。从2019至2023年人民银行和金融监管总局官网行政处罚公示情况(如图1)来看,近几年罚单数量与罚没金额均呈上升趋势,且通常为事后处罚。但近期已有多家金融机构因数据安全管理不到位、未建立数据安全制度被处以高额罚款,表明行业主管部门的执法检查与处罚逐渐从事后转向事前,金融机构合规压力增大。 数据安全标准体系框架逐步构建3。国家标准层面,《数据安全技术数据分类分级规则》(GB/T 43697—2024)规定数据分类分级的原则、框架、方法和流程,明确数据的分类分级方法,为金融数据的分类分级提供重要指导。行业标准层面,金融业制定《个人金融信息保护技术规范》(JR/T 0171—2020)、《金融数据安全数据安全分级指南》(JR/T 0197—2020)、《金融数据安全数据生命周期安全规范》(JR/T 0223—2021)以及《金融数据中心容灾建设指引》(JRT 0264—2024),从细分领域逐步过渡,形成覆盖数据全生命周期的安全要求,为金融机构数据安全建设提供标准支撑。 二、金融业数据安全建设现状 为深入了解金融机构数据安全建设情况,报告编写组于2024年6月开展金融业数据安全专题调研,调研对象覆盖银行、证券、保险等20家代表性金融机构,机构类别如图2所示。 (一)数据安全治理体系持续优化 数据安全治理组织架构方面,65%的调研对象形成了决策层、管理层、执行层、监督层的体系。决策层上,金融机构成立数据安全领导小组或专业委员会,并由党委主要负责人作为数据安全第一责任人,负责机构数据安全战略以及重大事项的决策,统筹领导数据安全工作;管理层上,组建数据信息部或数据管理部等数据安全管理团队,推动本机构的数据安全管理工作;执行层上,由信息科技部或 金融科技部等技术团队构成,负责建立数据安全技术保护体系等工作;监督层上,通常由审计或内控部门组成,负责对数据安全的战略、制度、策略、流程等工作的贯彻落实情况进行审查考核,发现问题和风险并向决策层汇报。35%的调研对象则采用主责部门(通常为科技部门)牵头、其他部门(业务、审计、合规等)配合的跨部门协作方式,由主责部门统一协调数据安全建设工作。 数据安全制度建设方面,金融机构对标数据安全相关法律法规、标准规范,梳理数据全生命周期安全保护要点,依托总分结构的制度框架,基于机构自身组织架构,制定或修订数据安全战略规划、管理办法等,明确数据安全相关部门、角色和人员的职责分工,制定覆盖数据全生命周期各个环节的策略,逐步构建并完善数据安全制度体系。调研对象均已制定了数据安全相关的管理规范,以指导数据安全建设实践,报告根据调研结果梳理形成金融机构数据安全制度规范框架。 数据安全团队能力提升方面,金融机构逐步重视数据安全文化建设,扩大数据安全培训范围与频次,筑牢人防屏障。据调研,培训频次较2023年增加20%,培训形式采用线上与线下、培训与考试、定期或不定期结合等,培训内容包括内外部数据安全规章制度、数据安全管控流程、个人客户信息保密意识和措施、数据安全事件处理等主题,培训对象覆盖数据官、数据专员、数据治理以及参与数据采集、数据应用的相关人员。同时部分金融机构反映,当前数据安全培训仍存在成本高、缺乏资源渠道以及培训效果不可持续等难点。 (二)数据分类分级工作稳步开展 数据分类分级是支撑数据安全管理的前提,为数据安全风险识别分析、数据安全策略配置、数据安全技术工具部署、数据安全运营监管能力提升等奠定了基础。在形成数据安全治理体系的基础上,金融机构稳步推进数据分类分级工作。 统筹管理方面,金融机构将数据分
