银行保险机构数据安全实践指南(2024)
AI智能总结
数据安全推进计划中国通信标准化协会大数据技术标准推进委员会2024年12月 版权声明 本报告版权属于数据安全推进计划,并受法律保护,转载,摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:数据安全推进计划”,违反上述声明者,编者将追究其相关法律责任数据安全推进计划 前言 随着金融行业数字化变革的加速演进,数据已成为金融机构最重要的资产之一,与之而来的新技术,新业务不断涌现,数据的使用、加工,传输,共享等活动日益频繁,进一步凸显了数据安全的重要意义,在此背景下,国家金融监管总局充分发挥监管“指挥棒”作用,在2024年12月发布《银行保险机构数据安全管理办法》,旨在帮助银行保险机构或企业(以下简称企业)规范数据处理活动,指导行业开展数据相关的技术研究与开发利用。 为进一步提升金融行业数据安全保护水平,增强金融机构数据安全合规保障能力,推动金融数据价值安全释放,保障安全与发展的双向促进,特编制本指南。本指南依据监管要求,同时参考行业最佳实践,针对金融行业数据安全的重要合规要求,结合金融行业特有场景,提出合规实践建议。数据安 目录 前言 1.建立履益全员的数据安全组织架构,提升高层参与度,.22.明确各部门工作内容与权责边界,建立协同工作机款 二、数据分类分级..5 1.数据分类分级跨部门协调待提效..52.数据分类分级工作成效待许 1.建立数据房类分级组织保障,推动跨部门协同62.依据数据美分级成熟度评价模型,对标建设过程及成效..6 三、数据安合理体系建设10 10(二)面临间题..101.效据安全管理体系建设框架如何设计..102.数据与业务紧据合墙加管理策略剖定难度10(三)合现实践建设.111.梳理数据全生命周期安全要求,明确管理框架及管理办法112,分析业务场景安全风险,梳理个性化管控方案13 15(一)合规要点15(二)面临间题.151.产品工具环岛现象阻得安全作用发挥.152.多种技术产品如何体系化呈现15(三)合规实践建议.161.建立数据安全技术体系,有效落实安全管理要求.162.构建数据安全运营管理平合:集中化调度安全能力18五,个人信息保护19(一)合规要点,..19(二)面临问题.191.个人信息保护的鉴管压力大192.用户对其主体权益保护的要求高.19(三)合规实践建议.201.全面排查,重点聚焦,升APP个人信息保障能力建设..202.生物识别类信息应谨慎收集21六,数据安全风险监测与处置.22【】合规要..2.22产划及业务方对金融机构的风险房范能力提出了新要求..222.新技术应用衍生新的安全风险.. 23(三)合规实践建议.231.定期开展数据安全风险评估,加快风险处置.232.开展大模型数据安全风险评估25 一、数据安全责任体系 (一)合规要点 要求企业建立数据安全责任机制,明确数据安全责任人,指定归口管理部门负责本机构的数据安全工作,明确各业务领域的数据安全管理职责。 (二)面临问题 数据安全工作具备来自监管要求和业务发展的双重驱动,一方面需要企业从整体管理层面进行合规的要点宣讲、要求内化、分工协作,另一方面需要从业务层面进行落地执行、效果反馈、优化纠偏。由于数据和业务的伴生关系,数据安全风险的防范与治理往往涉及企业所有业务部门及大多数职能部门。为了推动数据安全工作的高效协作与落实,企业高层领导的关注必不可少一数据安全工作也经常被称为“一把手工程。这也意味着,提升企业高层对数据安全工作的关注度,提升企业员工参与度,确保数据安全管理与企业战略发展同步,已成为当下函待解决的问题。 2.数据安全责任划分成为焦点间题 据《2023年数据安全行业调研报告》调查情况,45.3%的企业在数据安全工作开展过程中面临数据使用部门,数据属主部门,数据安全牵头部门的数据安全权责划分不清晰,数据安全工作开展拉通围难 大的问题。因此,在企业内部,数据安全工作“谁牵头,谁辅助、谁执行,谁监督”成为热议话题,如何建立一套行之有效的数据安全责任划分体系备受关注, (三)合规实践建议 1,建立覆盖全员的数据安全组织架构,提升高层参与度 数据安全组织架构是数据安全治理体系建设的前提条件.通过建立专门的数据安全组织,落实数据安全管理责任,确保数据安全相关工作能够持续稳定的贯彻执行。同时,因数据安全治理是一项多元化主体共同参与的复杂工作,明确的组织架构有助于划分各参与主体的数据安全权责边界,促进协同机制的建立,实现组织数据安全治理一盘。 业务部门,人力部门等都需要参与到数据安全治理的具体工作中,相互协同,共同保障组织的数据安全。一种较为典型的数据安全治理组织架构一般由决策层、管理层、执行层与监督层构成,如图1所示,各层之间通过定期会议沟通等工作机制实现紧密合作、相互协同。决策层指导管理层工作的开展,并听取管理层关于工作情况和重大事项等的汇报。管理层对执行层的数据安全提出管理要求,并听取执行层关于数据安全执行情况和重大事项的汇报,形成管理闭环,监替层对管理层和执行层各自职责范围内的数据安全工作情况进行监督,并所取各方汇报,形成最终监督结论后同步汇报至决策层, 各层的主要分工和构成如表1所示。决策层以虚拟组织的形式存在,如数据安全领导小组,该小组由企业的高层领导及相关部门负责人共同构成,主要负责对数据安全的重大事项进行统筹决策。管理层一般由数据安全归口管理部门与数据安全技术保护部门构成,通常是企业内部的安全部门或数据部门,负责数据安全的管理、建设、宣贯等工作,执行部门般由业务部门或数据生产部门构成,负责在本部门内落实执行各项数据安全管理要求。监督层涉及到合规部门,风控部门、内审部门等,负责从不同的角度对数据安全治理工作的开展情况进行监督。 因不同企业的部门设置都有较大不同,涉及到实际治理体系建设时,不同企业还需结合现有组织架构,进行适度的调整和补充, 2.明确各部门工作内容与权责边界,建立协同工作机制 在传统“主体责任制”的责任划分基础企业应充分考虑监管“谁管业务,谁管业务数据,谁管数据安全”“的核心思想与数据自身的强业务属性,细化数据安全责任划分机制,将数据安全融入业务规划,从源头保障数据处理活动的安全合规.建议如下: 一是应由业务部门直接参与。业务部门作为数据的生产者和使用者,对数据价值与凤险有着最直观的了解。可以遵循“谁创建,谁主管;谁使用、谁负责”的原则进行数据安全责任的划分,确保数据在Y采集,使用和流转的每一个环节得到有效保护。 二是强化组织内部协同工作机制。建立企业内部数据安全归口管理部门、数据安全技术保护部门,业务部门、风险合规与审计部门等之间的协同工作机制,是数据安全工作能够有效承接、完整落实监管合规要求,抵御相关风险的关键举措。 三是强化监督与考核奖惩机制。企业应建立并维护一个安全稳定 的数据活动工作环境,这种环境的建立及维护除了依靠技术手段之外,还需要通过管理手段来激励并约束。通过建立明确的数据安全考核标准和奖惩措施,将数据安全工作纳入考核体系,可以引导员工形成正确的行为模式,自觉遵守相关法律法规和企业规章制度,促进数据安全合规文化与企业氛围的建立, 二、数据分类分级 (一)合规要点 要求企业制定数据分类分级保护制度,建立数据目录和分类分级规范动态管理和维护数据目录,并采取差异化的安全保护措施。 (二)面临间题 1.数据分类分级跨部门协调待提效S 数据分类分级旨在根据数据的重要性,敏感程度以及业务价值等对数据进行合理的划分与保护,以确保数据的安全与合规使用.当前,数据分类分级工作时,必然要面临数据、技术、业务、安全等多个部门的协调沟道,协同推进。如何统筹安排各部门工作职责、统一分类定级标准是保障数据分类分级工作高效开展的重要内容, 2.数据分类分级工作成效待评价 数据分类分级是一项持续,动态的工作,一方面需要花费大量的 人力、物力、财力去盘点存量及增量数据资源信息;另一方面需要根据级别制定安全保护策略,让技术可行,让业务可用,以确保精细化管控的目标达成,近年来,数据分类分级作为金融监管的重要事项之一,各企业也在快速响应,积极推进,如何评价数据分类分级建设成效也成为大家关心的问题, (三)合规实践建议 1.建立数据分类分级组织保障,推动跨部门协同× 数据分类分级是业务知识、数据知识和安全知识哟交叉领域,是数据分类分级工作的组织架构,划分客部门职责分工,为数据分类分级工作的协同开展提供支撑。 在实际工作中,我们观察到数据分类分级工作多由数据管理部门牵头,主要职责包括统筹工作计划、牵头数据资源盘点,制定标准规范,分类定级结果复核等内容,安全部门负责明确分级安全管理策略和技术要求,技术部门负责建设技术工具或平台,业务等其他部门负责配合执行及问题反馈。 2.依据数据分类分级成熟度评价模型,对标建设过程及成效 2023年中国信息通信研究院率头制定BDC155-2023《数据分类分级成熟度评价模型》,根据PDCA的闭环工作思路,按照“规划-实施-运营”三大模块内容评价数据分类分级工作成效. (1)数据分类分级规划 金融机构在制定数据分类分级规划时,应至少包含数据分类分级战略规划,数据分类分级的资源保障以及数据分类分级的标准设计三部分内容: ●数据分类分级的战略规划应具各帮助金融机构为其开展分类分级工作制定指导要求,进行资源规划的能力, ·数据分类分级资源保障应确保金融机构提供的资源保障能力能够完整覆盖分类分级工作的开展。特别是金融机构数据量级庞大,分布广泛,分类分级工作需要较强的跨部门联动能力,所以足够的高层关注和资源保障是促进数据管理部门、科技部门,职能部门与业务部门携手推进分类分级的前提条件. ·数据分类分级标准设计应考虑监管要求,行业标准,并结合企业实际情况,明确数据范围、概念定义、执行步骤、反馈优化等工作内容,钮速对齐参与方理解与认知。尤其针对一些平台级企业和关键信息基础设施企业,对于重要、核心数据的识别管理也应当纳入分类分级的考量范围。 (2)数据分类分级实施 数据分类需要充分考虑监管要求,根据数据属性,对象,使用场景,格式等,对数据基本信息进行识别分析,金融机构应根据已制定的数据分类原则,定义包含多个层级的数据类别清单,再对数据资源清单中的数据逐个进行分类。结合金融监管要求与业实际业务场景,本指南建议将数据类型划分为客户数据、业务数据、经营管理数据、 系统运行和安全管理数据四个一级分类。 数据定级需要充分考虑数据的重要性、敏感程度,精度、规模等诺多因素,因此,金融机构在定级过程中,可以通过综合评估数据本身的重要程度和所面临的风险危害程度,具体的评估要素应至少包括影响对象和影响程度,若定级过程中出现多个影响对象,应按照影响程度的最高等级进行判定, 影响对象是指数据一旦遭到泄露,筹改,破坏或者非法获取,非法利用、非法共享,可能影响的对象。数据安全凤险涉及的影响对象包括国家安全、公共利益、组织权益、个人权益。影响程度是指数据一旦到泄露、篡改、破坏或者非法获取。非法利用、非法共享,可能造成的影响程度影响程度从高到低可分为特别严重危害,严重危害,一般危害对不同影响对象进行影响程度判断时,采取的基准不同。如果影响对象是组织或个人权益,则以本单位或本人的总体利益作为判断影响程度的基准。,如果影响对象是国家安全、经济运行、社会稳定或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。 根据上述内容,通过判断数据一巨被泄露、算改、破坏或者非法获取,非法利用、非法共享,对国家安全、经济运行、社会秩序,公共利益,组织权益与个体合法权益的影响程度,本指南建议金融机构将数据等级分为核心,重要,一般(敏感),一般(其他)四个安全级别,分级方法如表2所示。 来源:数据安全推进计划 (3)数据分类分级运营 金融机构在开展数据分类分级工作时,应至少包含数据分类分级的常态化运营机制、检查优化以及对分类分级的结果应用三部分内容: 点关注其建立分类分级的PDCA循环体系的能力,包括常态化运营机
