一、行業(yè)背景

現代信息化科技建設的大力發(fā)展下，銀行和金融機構在日常經營活動中積累了大量數據，這些數據除了支持銀行前臺業(yè)務流程運轉之外，越來越多被用于財務報表、產品定價、客戶信息、績效考核、決策支持等領域。銀行日常經營決策過程背后實質是數據產生、存儲、傳遞和利用的過程。充分挖掘這些數據資產的使用價值, 可以為金融生產帶來極大的經濟效益和競爭優(yōu)勢。然而, 一旦這些業(yè)務數據丟失、損壞或泄露, 則有可能造成巨大的經濟損失, 或在社會、法律、信用、品牌上對銀行造成嚴重的不良影響。在金融機構轉型和發(fā)展的過程中，平衡數據使用的便捷性和安全性成為極大的挑戰(zhàn)。

在數據安全層面，《網絡安全法》的頒布以及即將發(fā)布的《數據安全法》從法律制度層面對數據安全相關信息防護進行了要求。各行業(yè)的規(guī)定如《銀行業(yè)金融機構數據治理指引》、《證券基金經營機構信息技術管理辦法》、《證券期貨業(yè)數據分類分級指引》、《個人金融信息保護技術規(guī)范》則根據行業(yè)特點對本行業(yè)數據安全相關工作進行了規(guī)定，而國家相關部委、信息安全委員會則發(fā)布了《網絡安全等級保護條例（征求意見稿）》、《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》、《信息安全技術數據安全能力成熟度模型》等國家標準。政策法規(guī)、行業(yè)標準、國家規(guī)范共同組成了數據安全的相關規(guī)章體系。

金融行業(yè)相關機構要想實現安全的管理和運營，就必須滿足國家上級監(jiān)管機構要求的數據安全合規(guī)性建設，這種需求項目大、周期長、客戶要求較高。通常需要先進行整體體系建設的交流，以及成功案例的經驗分析，對客戶進行分階段的規(guī)劃，然后取得建設思路的一致，才能逐步開展組織架構、數據體系制度流程的建設、數據的分級分類、數據安全產品技術落地等。

 

二、金融數據安全風險分析

金融行業(yè)作為國家的經濟重要領域，數據資產龐大，涉及的數據使用方式多樣化，數據使用角色繁雜，數據共享和分析的需求強烈，但目前金融機構數據管理仍存在較多問題，具體表現在數據處理過程中大量的用戶信息及用戶業(yè)務使用信息等個人信息數據管控機制不足，商業(yè)秘密和敏感數據的信息在處理、共享和使用過程中面臨違規(guī)越權使用或被用于非法用途等數據泄露安全風險。員工對敏感數據保護的安全意識不足，對員工有意或無意的敏感數據泄露缺乏檢測與防護手段。

 

三、解決方案

構建數據安全治理的項目是一項從無到有、富有挑戰(zhàn)且意義深遠的工作。對于數據安全治理的建設，將數據安全標準化模型作為數據安全治理建設的總體目標藍圖。

安全防護拓撲圖：

 

 

數據安全治理建設規(guī)劃必須包含以下四個方面：

一、組織和架構的建設：

傳統網絡安全均由IT部門負責，隨著數據治理工作的深入開展，業(yè)務部門要深入參與數據資產梳理以及分級分類工作，因此原有的組織架構和項目模式無法支撐數據治理的深入開展，需要自上而下形成高層牽頭、跨業(yè)務部門、數據全覆蓋的組織架構。

二、制度和流程的建設：

目前金融機構大多有較完整的安全規(guī)范，如分級分類規(guī)定，保密規(guī)定等，但一方面沒有獨立的數據安全規(guī)范，可執(zhí)行性不強，另一方面缺乏技術監(jiān)管手段，落地執(zhí)行較難。在制度流程建設層面，可根據企業(yè)內部組織的特點分期進行建設。

三、技術工具的建設：

傳統的安全理念是“七分管理，三分技術”，隨著數據量的指數級增長，僅僅依靠管理很難對數據進行全方位管控，而在實踐中技術工具占據了越來越大的比重。傳統的咨詢項目交付物是大量的文檔，而數據安全的項目真正能夠落地執(zhí)行離不開技術工具的管控。技術管控按照生命周期來分，可分為數據采集、數據傳輸、數據存儲、數據使用、數據刪除、數據銷毀六個方面。根據數據分級分類進行安全環(huán)境和邊界管控，保障數據的保密性、完整性和可用性。

四、人員能力的建設：

傳統安全人員的技術能力大多以網絡安全和信息安全為基礎，而在數據安全層面需要既懂業(yè)務，又懂數據安全體系的復合型人才，其核心能力包括數據安全管理能力、數據安全運營能力、數據安全技術能力及數據安全合規(guī)能力。對數據治理人員的培養(yǎng)和管理制度的宣貫需形成常態(tài)化機制，提高數據安全人員能力。

 

四、方案價值

1.合規(guī)性收益

符合國家信息安全等級保護相關政策標準，滿足行業(yè)系統的數據和業(yè)務服務的安全要求，滿足數據整體安全運營下的實際業(yè)務需求，從管理和技術兩個層面保障數據安全的安全防護水平。

2.安全性收益

立足于行內的實際情況，在滿足國家和行業(yè)政策標準要求的同時，重點保護內部數據安全，保證相關業(yè)務應用的運行安全性；盡量減少數據安全機制對業(yè)務應用系統的性能和流程產生大的影響；保證相關管理和技術措施的有效性和實際可行性