一、行業(yè)背景

現(xiàn)代信息化科技建設(shè)的大力發(fā)展下，銀行和金融機(jī)構(gòu)在日常經(jīng)營(yíng)活動(dòng)中積累了大量數(shù)據(jù)，這些數(shù)據(jù)除了支持銀行前臺(tái)業(yè)務(wù)流程運(yùn)轉(zhuǎn)之外，越來(lái)越多被用于財(cái)務(wù)報(bào)表、產(chǎn)品定價(jià)、客戶信息、績(jī)效考核、決策支持等領(lǐng)域。銀行日常經(jīng)營(yíng)決策過(guò)程背后實(shí)質(zhì)是數(shù)據(jù)產(chǎn)生、存儲(chǔ)、傳遞和利用的過(guò)程。充分挖掘這些數(shù)據(jù)資產(chǎn)的使用價(jià)值, 可以為金融生產(chǎn)帶來(lái)極大的經(jīng)濟(jì)效益和競(jìng)爭(zhēng)優(yōu)勢(shì)。然而, 一旦這些業(yè)務(wù)數(shù)據(jù)丟失、損壞或泄露, 則有可能造成巨大的經(jīng)濟(jì)損失, 或在社會(huì)、法律、信用、品牌上對(duì)銀行造成嚴(yán)重的不良影響。在金融機(jī)構(gòu)轉(zhuǎn)型和發(fā)展的過(guò)程中，平衡數(shù)據(jù)使用的便捷性和安全性成為極大的挑戰(zhàn)。

在數(shù)據(jù)安全層面，《網(wǎng)絡(luò)安全法》的頒布以及即將發(fā)布的《數(shù)據(jù)安全法》從法律制度層面對(duì)數(shù)據(jù)安全相關(guān)信息防護(hù)進(jìn)行了要求。各行業(yè)的規(guī)定如《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》、《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》、《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》則根據(jù)行業(yè)特點(diǎn)對(duì)本行業(yè)數(shù)據(jù)安全相關(guān)工作進(jìn)行了規(guī)定，而國(guó)家相關(guān)部委、信息安全委員會(huì)則發(fā)布了《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》、《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》、《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》等國(guó)家標(biāo)準(zhǔn)。政策法規(guī)、行業(yè)標(biāo)準(zhǔn)、國(guó)家規(guī)范共同組成了數(shù)據(jù)安全的相關(guān)規(guī)章體系。

金融行業(yè)相關(guān)機(jī)構(gòu)要想實(shí)現(xiàn)安全的管理和運(yùn)營(yíng)，就必須滿足國(guó)家上級(jí)監(jiān)管機(jī)構(gòu)要求的數(shù)據(jù)安全合規(guī)性建設(shè)，這種需求項(xiàng)目大、周期長(zhǎng)、客戶要求較高。通常需要先進(jìn)行整體體系建設(shè)的交流，以及成功案例的經(jīng)驗(yàn)分析，對(duì)客戶進(jìn)行分階段的規(guī)劃，然后取得建設(shè)思路的一致，才能逐步開(kāi)展組織架構(gòu)、數(shù)據(jù)體系制度流程的建設(shè)、數(shù)據(jù)的分級(jí)分類、數(shù)據(jù)安全產(chǎn)品技術(shù)落地等。

 

二、金融數(shù)據(jù)安全風(fēng)險(xiǎn)分析

金融行業(yè)作為國(guó)家的經(jīng)濟(jì)重要領(lǐng)域，數(shù)據(jù)資產(chǎn)龐大，涉及的數(shù)據(jù)使用方式多樣化，數(shù)據(jù)使用角色繁雜，數(shù)據(jù)共享和分析的需求強(qiáng)烈，但目前金融機(jī)構(gòu)數(shù)據(jù)管理仍存在較多問(wèn)題，具體表現(xiàn)在數(shù)據(jù)處理過(guò)程中大量的用戶信息及用戶業(yè)務(wù)使用信息等個(gè)人信息數(shù)據(jù)管控機(jī)制不足，商業(yè)秘密和敏感數(shù)據(jù)的信息在處理、共享和使用過(guò)程中面臨違規(guī)越權(quán)使用或被用于非法用途等數(shù)據(jù)泄露安全風(fēng)險(xiǎn)。員工對(duì)敏感數(shù)據(jù)保護(hù)的安全意識(shí)不足，對(duì)員工有意或無(wú)意的敏感數(shù)據(jù)泄露缺乏檢測(cè)與防護(hù)手段。

 

三、解決方案

構(gòu)建數(shù)據(jù)安全治理的項(xiàng)目是一項(xiàng)從無(wú)到有、富有挑戰(zhàn)且意義深遠(yuǎn)的工作。對(duì)于數(shù)據(jù)安全治理的建設(shè)，將數(shù)據(jù)安全標(biāo)準(zhǔn)化模型作為數(shù)據(jù)安全治理建設(shè)的總體目標(biāo)藍(lán)圖。

安全防護(hù)拓?fù)鋱D：

 

 

數(shù)據(jù)安全治理建設(shè)規(guī)劃必須包含以下四個(gè)方面：

一、組織和架構(gòu)的建設(shè)：

傳統(tǒng)網(wǎng)絡(luò)安全均由IT部門負(fù)責(zé)，隨著數(shù)據(jù)治理工作的深入開(kāi)展，業(yè)務(wù)部門要深入?yún)⑴c數(shù)據(jù)資產(chǎn)梳理以及分級(jí)分類工作，因此原有的組織架構(gòu)和項(xiàng)目模式無(wú)法支撐數(shù)據(jù)治理的深入開(kāi)展，需要自上而下形成高層牽頭、跨業(yè)務(wù)部門、數(shù)據(jù)全覆蓋的組織架構(gòu)。

二、制度和流程的建設(shè)：

目前金融機(jī)構(gòu)大多有較完整的安全規(guī)范，如分級(jí)分類規(guī)定，保密規(guī)定等，但一方面沒(méi)有獨(dú)立的數(shù)據(jù)安全規(guī)范，可執(zhí)行性不強(qiáng)，另一方面缺乏技術(shù)監(jiān)管手段，落地執(zhí)行較難。在制度流程建設(shè)層面，可根據(jù)企業(yè)內(nèi)部組織的特點(diǎn)分期進(jìn)行建設(shè)。

三、技術(shù)工具的建設(shè)：

傳統(tǒng)的安全理念是“七分管理，三分技術(shù)”，隨著數(shù)據(jù)量的指數(shù)級(jí)增長(zhǎng)，僅僅依靠管理很難對(duì)數(shù)據(jù)進(jìn)行全方位管控，而在實(shí)踐中技術(shù)工具占據(jù)了越來(lái)越大的比重。傳統(tǒng)的咨詢項(xiàng)目交付物是大量的文檔，而數(shù)據(jù)安全的項(xiàng)目真正能夠落地執(zhí)行離不開(kāi)技術(shù)工具的管控。技術(shù)管控按照生命周期來(lái)分，可分為數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)刪除、數(shù)據(jù)銷毀六個(gè)方面。根據(jù)數(shù)據(jù)分級(jí)分類進(jìn)行安全環(huán)境和邊界管控，保障數(shù)據(jù)的保密性、完整性和可用性。

四、人員能力的建設(shè)：

傳統(tǒng)安全人員的技術(shù)能力大多以網(wǎng)絡(luò)安全和信息安全為基礎(chǔ)，而在數(shù)據(jù)安全層面需要既懂業(yè)務(wù)，又懂?dāng)?shù)據(jù)安全體系的復(fù)合型人才，其核心能力包括數(shù)據(jù)安全管理能力、數(shù)據(jù)安全運(yùn)營(yíng)能力、數(shù)據(jù)安全技術(shù)能力及數(shù)據(jù)安全合規(guī)能力。對(duì)數(shù)據(jù)治理人員的培養(yǎng)和管理制度的宣貫需形成常態(tài)化機(jī)制，提高數(shù)據(jù)安全人員能力。

 

四、方案價(jià)值

1.合規(guī)性收益

符合國(guó)家信息安全等級(jí)保護(hù)相關(guān)政策標(biāo)準(zhǔn)，滿足行業(yè)系統(tǒng)的數(shù)據(jù)和業(yè)務(wù)服務(wù)的安全要求，滿足數(shù)據(jù)整體安全運(yùn)營(yíng)下的實(shí)際業(yè)務(wù)需求，從管理和技術(shù)兩個(gè)層面保障數(shù)據(jù)安全的安全防護(hù)水平。

2.安全性收益

立足于行內(nèi)的實(shí)際情況，在滿足國(guó)家和行業(yè)政策標(biāo)準(zhǔn)要求的同時(shí)，重點(diǎn)保護(hù)內(nèi)部數(shù)據(jù)安全，保證相關(guān)業(yè)務(wù)應(yīng)用的運(yùn)行安全性；盡量減少數(shù)據(jù)安全機(jī)制對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的性能和流程產(chǎn)生大的影響；保證相關(guān)管理和技術(shù)措施的有效性和實(shí)際可行性