10月25日,由中国互联网金融协会组织编制的金融 数据安全 系列四项标准(下称《标准》)正式发布。
据了解,《标准》包含《金融 数据安全 治理实施指南》《金融数据资产管理指南》《金融 数据安全 技术防护规范》《金融 数据安全 应急响应和处置指引》,主要覆盖数据分类分级管理、 数据安全 风险管理、 数据安全 制度体系和 数据安全 技术体系等关键领域,为金融 数据安全 治理提供全面的理论依据和实践指导。
中国互联网金融协会党委委员兼副秘书长杨农表示,《标准》的发布,既是金融领域响应国家 数据安全 法规、提升 数据安全 管理水平的重要举措,也体现了金融领域的自我完善和自我提升。《标准》将助力金融领域在数据质量管控、技术防护、安全评估和应急处置等方面查漏补缺,强基固本。
随着《标准》的实施,预计金融领域的 数据安全 治理将更加规范化和制度化,明显提升行业 数据安全 水平,为构建安全、稳定、高效的金融生态环境贡献力量,为金融数字化转型和加快建设金融强国提供坚实的条件。
业内:金融 数据安全 治理需要下苦功夫、硬功夫
记者获悉,最新公布的《网络 数据安全 管理条例》,对金融领域提出更高的 数据安全 管理要求。杨农指出,金融是典型的科技驱动型和数据密集型行业,如何平衡好金融数据创新应用与安全治理,充分施展金融 数据要素 的经济社会价值,已是金融领域的一项重要而紧迫课题。
记者获悉,今年金融管理部门逐渐出台个人金融信息保护、金融数据分类分级、金融 数据安全 管理等标准规范,深入开展金融数据综合应用试点,引导和支持广大从业机构增强金融 数据安全 治理能力,建立全周期全链条数据资产管理体系,困惑金融领域数据“不能用、不敢用、不善用”等诸多问题得到较大水平缓解。
“这时,我们也要认识到,金融 数据安全 治理是一项涉及‘采数’‘传数’‘存数’‘用数’等环节的系统性工程,是苦活、累活、基础活,需要下苦功夫、硬功夫甚至‘笨功夫’。就行业实践而言,很多金融机构在数据质量管控、技术防护、安全评估、应急处置等方面仍需要进一步查漏补缺、强基固本。”杨农指出。
据国际货币基金组织发布的4月份金融稳健性报告显示,针对金融公司的网络攻击事件增加500多起,占到所有攻击总数的近1/5,其中银行风险最大。这背后,是金融机构日益处理大量个人敏感数据与交易,我们时常成为犯罪分子窃取资金或实施其它非法行动的目标。
奇富科技信息安全总监吴业超向记者透露,由于金融机构处理的个人敏感数据与交易日益增加,甭管是业务执行环境,还是业务落地环境,都存在不同数据应用保护的迫切需求。
吴业超指出,“组织建设是数字安全的前提。好比,数据全生命周期管理,数据流转每个环节都会涉及不同业务部门与不同组织架构,我们需要落实落地 数据安全 治理,各个部分要配合完善整个数据合规应用与数据保护流程。”
另外,技术也成为金融 数据安全 治理的重要抓手——在不停地扩展技术能力同时,金融机构也在逐步深入分析 数据安全 和数据治理,并找到相应的实施路径。其中,数据分类分级是一个重要的着眼点,只有数据分类分级做得好,金融机构才能将所有数据根据想要的模式,在不同业务场景与使用场景进行分级使用,成为数据资产管理的“新举措”。
在他看来,在金融 数据安全 治理方面,制度体系(包含策略、流程与制度建设),技术体系(针对数据泄露风险、数据流转、数据全生命周期管理的合理可控管理)与风险管理(包含专项审计、安全评审、风险排查与应急处理)也应形成一个闭环,通过相互引领与相互制约,促使金融 数据安全 治理工作更好地推进。
进一步施展 数据要素 在金融机构降本增效中的积极作用
为了增强金融机构在金融 数据安全 方面的各项能力建设,此次中国互联网金融协会先后组织研制《金融 数据安全 治理实施指南》《金融数据资产管理指南》《金融 数据安全 技术防护规范》《金融 数据安全 应急响应和处置指引》等四项标准。
其中,《金融 数据安全 治理实施指南》由互金协会组织奇富科技、 神州信息 、 平安银行 等编制,集聚金融 数据安全 治理框架实施流程及成果,明确 数据安全 治理实施的主要内容和方法,用于指导金融机构有效地建立和实施 数据安全 治理体系,提升金融数据使用的合规性和安全性,有益于金融机构落实 数据安全 相关的法律法规。
《金融数据资产管理指南》提出,金融数据资产管理的框架、原则、对象、活动、运营支撑和保障,提供金融数据资产盘点和估值方法,有益于深化金融业的数据治理,增进金融机构的数字化转型发展,进一步施展金融 数据要素 在金融机构降本增效中的积极作用。
《金融 数据安全 技术防护规范》规定,金融 数据安全 技术的目标和原则,技术框架,安全管理制度,全生命周期安全,安全隐患监管与运维等方面的内容,既提出保障金融 数据安全 的通用技术要求,也提出针对金融数据生命周期各环节的流程特点和安全风险的特定技术要求,有益于提升金融机构在数据收集、共享、使用过程的安全防范能力,全面保障金融数据生命周期各环节的 数据安全 。
而《金融 数据安全 应急响应和处置指引》概括了金融 数据安全 应急响应和处置的整体框架,为金融机构在组织架构、制度流程、基础工具、人员能力等方面加强应急响应处置能力与能力建设提供指导。另外,这项指引还规定金融 数据安全 事件分类分级的准则和应急响应流程等,可用于指导金融机构开展 数据安全 应急响应和处置工作,减少 数据安全 突发事件造成的损失和影响,增进金融 数据安全 治理。
在业内人士看来,上述四项标准分别从金融 数据安全 的综合治理、资产管理、技术防护和应急管理等不同角度,为做好金融 数据安全 治理工作提供指导,将在金融 数据安全 建设方面施展积极作用。
今年上半年数据泄露事件数量较去年下半年上涨59%
记者获悉,在《金融 数据安全 治理实施指南》相关标准研制过程,多家参与标准研制的金融科技机构、银行机构已纷纷遵循上述监管要求,持续增加金融 数据安全 治理方面的能力建设。
吴业超透露,在 数据安全 治理指南研制过程,企业一方面积极践行理论基础,以有关规定为基础,研究了一整套金融 数据安全 治理指南体系;另一方面,企业结合以往日常经营过程的实践经验,持续完善数据治理的技术规定,最终形成了一套完整的技术体系与治理体系。
他透露,在实践进程中,奇富科技已借鉴 数据安全 治理指南,落地一些 数据安全 保护工作。好比,在 数据安全 接口方面获得DIM认证,另外他们着手搭建专门的平台,一面做好数据流转过程的异常状况管理,数据泄露监控, 数据安全 风险监控,数据泄露漏洞监控排查等,并在风险处置环节提供相应的行业最佳实践,逐步将 数据安全 治理建成一个闭环并持续优化,进一步强化金融 数据安全 治理能力。
奇富科技总裁吴海生指出,随着中国互联网金融协会发布的金融 数据安全 系列标准落地实施,金融领域的 数据安全 治理将更规范有效,金融领域未来发展将更安全可靠,在中国互联网金融协会的指导下,奇富科技将继续在金融安全领域总结出一套可参考可实施的理论框架,为金融领域健康发展贡献力量。
在金融 数据安全 应急响应和处置指引研制过程,众多参与研制的金融机构更偏重解决当前的实际操作槽点。数据显示,今年上半年,数据泄露事件数量较2023年下半年期间上涨59%,窃取隐私数据的相关黑灰产团伙增长近1倍。金融机构在快速定位与溯源数据泄露节点、提升应急响应速度等方面面临较大的挑战。
一位参与《金融 数据安全 应急响应和处置指引》研制的金融科技平台人士透露,他们先在日志层面实现网络架构分析,业务范围收敛,以此提前收集溯源相关的数据,并接入溯源分析平台,在数据查询方面通过优化数据存储方式与索引构建方式等办法,完善数据查询算法,能提升 海量数据 单次查询速度,迅速找出数据泄露节点并快速做好数据泄露风险防范与封堵举措。
如今,他们结合《金融 数据安全 应急响应和处置指引》相关内容,正增强情报能力建设——鉴于大量数据都是通过黑客买卖“流转”,金融科技平台正高度关注黑客买卖数据的情报。一方面,针对某些数据买卖相对频繁的黑客交易渠道开展动态跟踪,保障情报监控足够全面快速;另一方面,在情报识别方面结合AI算法能力,在主体识别,相关性识别,发布人画像补充完善等方面增加多语言的情报识别能力,提升情报识别的准确率。
针对《金融 数据安全 技术防护规范》的实践,一位金融科技平台人士向记者透露,在金融机构内部, 网络安全 与 数据安全 有着较大区别。好比,银行 网络安全 负责部门发现一个漏洞或黑客攻击,迅速打补丁或调整防火墙策略就可以,无须协同银行其它部门协同处理。但 数据安全 甭管是分类分级,还是安全保护监测,都需要 数据安全 主管部门与各个业务部门的充分交流沟通与相互配合,造成后者工作是一个闭环,工作模式不一样。
“另外,两者保护的对象也不一样, 网络安全 重点关注的是漏洞和危险, 数据安全 则关注数据生命周期。因此, 网络安全 产品是攻防视角,令 网络安全 产品更偏重过程,还原整个攻击线路与事件并进行监测与阻断,但 数据安全 产品则是业务视角,令 数据安全 是直接看结果,包含数据有没有异常访问,有没有流转异常,有没有异常变化等。”他指出。针对数据生命周期的安全防护要求,金融机构需要增强数字化系统数据流转视角的安全能力要求,好比从终端、到汇聚不同类型数据的数据库,再到对外的数据分享与规范使用,都需要建立相应的金融 数据安全 技术防护规范与操作举措。
这位金融科技平台人士向记者透露,针对金融数据生命周期里的数据交换环节安全性,他们结合《金融 数据安全 技术防护规范》,提供API安全分析系统,有API端安全监测系统,安全保护系统,形成小闭环,着手做好API端资产管理、API端风险监测、API端数据泄露风险的防范。
吴业超指出,未来围绕金融 数据安全 治理,金融领域还会迎来诸多挑战。尤其是随着 人工智能 技术持续发展,各类金融数据将拥有更多使用场景,令 数据安全 治理将更重视AI技术应用,由此持续探索新的安全策略并适应未来新技术的应用与挑战。这需要金融机构之间加强合作,在金融 数据安全 治理层面提供更多的最佳实践经验与技术输出。