北京金融科技產業聯盟第十期監管科技分享匯:《數據安全法》下金融數據安全風險評估研究與實踐
全文共2367字,閱讀大約需要5分鐘。
近日,由北京金融科技產業聯盟秘書處與主任委員單位國家金融科技測評中心聯合主辦的線上直播欄目《監管科技分享匯》第十期開播。在本期直播中,綠盟科技集團股份有限公司數據安全解決方案架構師施嶺為大家帶來《數據安全法》下金融數據安全風險評估研究與實踐的相關分享。
數據安全現狀分析
近年來,金融領域的數據安全事件頻發。2021年1月29日,銀保監會開出今年第一張罰單,某銀行因數據安全、網絡安全被罰,涉及發生重要信息系統突發事件未報告、互聯網門戶網站泄露敏感信息等六項問題,罰款金額420萬元人民幣。3月19日,某銀行因“未經客戶本人授權查詢并向第三方提供其個人銀行帳戶交易信息”被罰450萬元人民幣。
在《數據安全法》體系之下,2019年至2021年金融行業發生多起事件,相關部門對數據安全下達多項指導意見和方針,金融機構應在可見的法律和規范內進行合規化建設,避免因某些無意識的操作而造成數據泄露,從而遭到處罰。
金融行業數據存在四方面特性,一是存在形式多樣式,包括結構化數據、半結構化數據、非結構化數據,二是動態流轉復雜性,包括全生命周期動態流轉、實際業務驅動數據動態流轉,三是數據主體多樣式,包括基礎設備、數據中心、部門間和第三方機構,四是數據價值模糊性,包括數據確權問題、數據歸屬認責、數據價值準確評估。
應對上述特性,很多企業都在做數據咨詢服務。全行業可以把數據咨詢服務分為數據分類分級、個人信息安全影響評估、數據安全評估、數據安全管理體系建設、數據安全培訓等。
數據安全數據安全第一步:分類分級
《數據安全法》第三章第二十一條明確提出,國家建立數據分類分級保護制度,依據危害程度,對數據實行分類分級保護。各地區、各部門應當按照國家有關規定,確定本地區、本部門、本行業重要數據保護目錄,對列入目錄的數據進行重點保護。
在進行數據分類分級之前,首先要明確所有數據的屬性,做數據資產的識別。識別數據資產、建立數據資產清單、掌握數據重要程度是風險評估的基礎,也是數據分類分級管理的基礎。
數據分類分級需要一定原則性,其中數據分類基于系統性、規范性、穩定性、擴展性、明確性等,數據分級基于依從性、可執行性、時效性、自主性、合理性、客觀性等。《數據安全法》基于敏感賦值,將數據的類別分為一般數據、重要數據、核心數據。數據分類分級的目的是將數據以標簽化的模式進行管理。
在進行分類分級時,可以利用掃描工具最大化提升效率。目前,市面上已經推出一些數據掃描工具,IDR產品設計融入了實施需求,是數據分類分級的絕佳搭檔。
數據的分類分級需要前期準備工作、數據資產調研、數據分類分級、制定分級管理辦法、匯報與總結等必不可少的流程,每一個流程都有其相對應的服務成果,比如過程文檔-項目實施計劃、數據資產調研記錄、《數據分類分級表》和《數據資產清單》《數據分級管理辦法》《數據分類分級服務報告》等。
以個人金融信息數據分類分級為例,按敏感程度從高到低分為C3、C2、C1三個類別,即高敏感、中敏感、低敏感三類。兩種或兩鐘以上的低敏感度類別信息經過組合、關聯和分析后可能產生高敏感程度的信息,同一信息在不同的服務場景中可能處于不同的類別,這些應依據服務場景以及該信息在其中的作用,對信息的類別進行識別,并實施針對性的保護措施。
數據分類分級需要明確數據安全的組織責任,將《數據分級安全管理辦法》結合數據分級管控策略,結合數據生命周期的每個階段,把數據安全的訪問控制落到實處。
數據安全風險評估實踐
《數據安全法》第四章第三十條明確提出,重要數據的處理者應定期開展風險評估,并向有關主管部門報送風險評估報告。數據安全風險評估能夠幫助組織發現自身數據安全問題和短板,明確數據安全保護需求,為建設數據安全管理和技術手段指明方向,給出解決方案。
數據應用場景與數據生命周期息息相關,包括數據收集/產生、傳輸、存儲、調取、加工分析、外發等數據行為。每個數據類型都對應著多個數據應用場景,每個應用場景背后都有潛在的安全風險和合規風險。
對于個人信息而言,需要分析其中是否存在對個人權益的影響,以及影響程度。典型的個人權益影響類型包括影響個人自主決定權、引發差別性待遇、個人名譽受損或遭受精神壓力、個人財產受損等。
安全事件的可能性分析需要從網絡環境與技術措施、處理流程規范性、參與人員與第三方、安全態勢及處理的規模等四個方面入手。
風險分析的各項活動在識別出的具體數據應用場景中展開,從場景中識別數據威脅、脆弱性、已有安全措施、數據資產,進而判斷數據威脅發生可能性、脆弱性和可利用性、脆弱性對數據影響嚴重程度、數據重要程度,進而得出安全事件可能性、安全事件后果,然后將其賦值,變成一種風險值,最終形成風險分析報告。
當數據安全發生風險時,需要采取適當方式進行處置,一是控制風險,即及時發現風險,降低損失,二是轉嫁風險,即可利用安全公司、保險公司等第三方機構進行風險轉嫁,三是避免風險,即做好日常監測,培養相關人員的安全意識,四是接受風險,即在無法避免風險的前提下,及時溯源處置。風險處置措施的涉及風險描述、風險值、風險處置措施、風險處置步驟、相關責任人、預計時間、風險級別等。
根據數據安全風險評估結果,針對每一個數據的安全風險,結合被影響的數據資產重要程度,應選擇恰當的數據安全控制措施,實現數據分級分類管理與保護。
數據安全治理全景介紹
依據方法論,綠盟科技通過五個階段對數據安全進行治理。一是“知”,即制定規范與定義敏感數據,二是“識”,即數據分類分級與風險評估,三是“控”,即安全策略與控制敏感數據,四是“察”,即安全監察與行為追蹤溯源,五是“行”,即安全事件處置與持續運營。
本文轉載自公眾號:金融科技產業資訊,已獲授權
