近期,一张某大型银行因信息安全等问题被罚50万、责任人被禁业10年的罚单引发行业关注,金融数据安全问题再次被推向风口浪尖。众所周知,金融数据不仅具备数据的一般特性,更是包含了国民个人信息、企业资金流转、社会经济活动等重要内容,因此其安全重要性不仅得到行业广泛认同和大众关切,更是在各行业的法律监管中一骑绝尘。
安全419关注到,在日前召开的BCS 2022大湾区网络安全峰会数据安全治理论坛上,来自平安银行股份有限公司的安全专家立足真实的甲方视角和需求,分享了平安银行在个人信息保护上的思考和实践。我们在此梳理总结相关精华内容,以期为同业者开展数据安全建设提供一定的借鉴参考。
金融数据安全重要性
站在数据安全及个人信息保护的角度,中央网信办、国家网信办、银保监会、公安部、市场监管局、密码管理局、工信部、人民银行、消保协会等部门都有相应的法规政策支撑,对金融机构进行监督管理。目前呈现三阶立法态势,在网安法、数安法、个保法等近10个国家法律及司法解释的顶层规划下,细化出了《金融消费者权益保护实施办法》《金融数据安全数据生命周期安全规范》等10余个部门规章及行业监管要求,此外还有近50项相关的国家标准及行业标准。
在密集出台、要求趋严的政策之下,金融业面临从刑事处罚、民事处罚、到行政处罚的三重法律责任,违规将可能带来业务暂缓、资金流失、声誉受损及销售锐减等恶劣影响。多方联动监管的局面导致近年来我们能看到的大额罚单越来越多,这是高标准、严法律、强监管带来的高要求。因此,保护好客户数据是金融业义不容辞的使命。
个人信息保护实践
参照DSMM成熟度模型,从组织能力、管理机制、技术工具三个层面构建个人信息保护体系。
组织能力
由于数据是持续流动变化的,并不存在一键合规、一劳永逸的方案,建立一套有效的组织保障体系就显得尤为重要。为了避免科技或安全单方面主导,必须建立与关键业务的协同管理机制,并且建立高级管理层的报告决策机制。
基于事前事中事后整个数据生命周期内需要进行的安全相关工作事项,并结合行内的部门职责与组织架构,分三类职责来建立组织保障体系,横向联动,以保证数据安全责任予以落实落地。
1.个人信息保护委员会,负责业务过程中对客户敏感信息和消费权益的保护。该组织由业务部门(风险管理部)牵头,需要在业务层面达成涉及客户的数据收集、授权、告知等义务,以及落实与第三方业务合作过程中的数据安全合规责任。
2.数据治理工作组,负责数据质量和服务。数据保护的起点是数据的盘点和分类分级,本质上,所有接触数据的部门并不是数据的所有者,需要数据治理工作组在组织内部去梳理清楚数据的位置、形态、如何打标、安全责任归属等。
3.网络与信息安全管理委员会,负责数据安全管理。在数据全生命周期内,为了达成不同等级和类型数据的安全保护要求,需要该组织出台相应的标准,从技术层面推进各部门严格遵从技术规范。
管理机制
数据安全管理落地,配套的业务管理流程必不可少,需要在业务、产品的规划和设计中,充分考虑数据安全的要求和能力构建。
值得注意的是,制度体系不仅局限于技术层面,而是组织架构、制度体系和控制流程的相互结合。为了落实业务合规的规则、保证数据合规的运营,建立数据从采集、传输、存储、使用到销毁全生命周期的授权制度流程,即拟定业务处理与业务合作过程中相应的合规要求,并采用配套的技术工具予以支撑。
技术工具
·落地数据分级分类
建立数据安全技术保障能力,首先是落地数据分级分类。以自动化的手段,通过对基础数据的采集和分析,实现数据的梳理和打标。基础数据来源应包括所有数据库的库、表、字段信息及变化信息,所有生产、测试及办公的网络出口流量,所有应用间的调用链路信息及属主信息,所有办公终端上的数据文件及操作行为。
通过对敏感数据的动态识别与风险跟踪,可以创建敏感数据资产分布地图,基于可视化的管理来优化数据的采集、存储和使用;可以在数据外发和内部使用时对数据进行分级管控,如未经授权审批就发送数据至外部、违规超量或超字段发送数据至外部、不安全的内部敏感数据调用及访问请求等。
·技术组合实现数据安全分级管控
在数据分级分类识别基础之上,基于数据本身的密级(如:S1非保密、S2秘密、S3机密、S4绝密),在开发测试、数据运维、数据分析、应用访问、特权访问、通用技术工具等所有不同场景下做到真正意义上的以数据为单元的分级管控。
具体而言,对于任何一次主体(人员或应用)访问客体(数据)的行为,需要基于主体访问的网络环境、终端环境、应用环境,比如是在行内通过标准终端、在外网通过BYOD、在办公网络或在生产网,通过研发运维工具、邮件系统或大数据分析系统等通道,综合评定主体访问的风险,并基于客体数据的密级和所在的环境,进行动态的访问控制和安全防护。
·统一用户授权平台
开户办卡、存钱汇款、理财贷款……银行不同的业务场景对客户的数据需求不尽相同,为了保证最小必要、明示同意的要求,构建统一用户授权平台,以客户为中心建立其在本行不同业务产品及业务渠道上的数据授权范围、授权期限、分级授权及变更通知等。
在用户统一授权平台上,所有的前端业务及渠道,其产品协议中对于客户信息的采集告知将在后台进行统一管理,并实时响应客户随时随地取消授权的要求。未来,还需要能够响应消保委等监管部门的合规检查要求,通过该平台将清晰地呈现如何对客户的数据进行授权管理和安全保护。
·数据第三方交互评估机制
第三方交互是数据安全管理中非常重要的一个环节,从提出与第三方合作的需求、到研发的实现、再到相关系统运行的变更,需要建立一套闭环的管理机制。
基于个人信息委员会和网络与信息安全管理委员会,在每一次与第三方开展合作前进行安全评估,了解合作内容中对于客户信息的要求、数据交互的要求,反推是否需要修改相关的隐私政策和业务协议,并对客户做单次的告知和授权,严格履行个人信息保护义务。
当合作需求固化之后,需要确保在未来的持续运营过程中,实时监测实网传输的数据内容不会发生越权、超量等变化。在技术实现上,需要把个人信息保护要求以及数据安全管控要求嵌入到了SDL或DevOps的每个环节中(比如在需求设计阶段,如果应用涉及到需要展示客户敏感信息,那就必须进行安全评审,用安全的方式做屏蔽展示),以保证所有的安全策略在应用的全生命周期中得以落实。
关于未来数据安全管理能力的畅想
基于以上从组织到管理到技术的体系构建,数据安全动态风险管控体系将形成三大中心。画像中心将对人和数据分别画像,一是依据岗位、终端操作行为、应用系统访问行为等日常监控等,实时智能识别“风险”人员;二是运用敏感信息自动识别技术,对数据进行自动化识别、分级分类、标记,识别“敏感”数据。
控制中心是基于场景的安全防护策略与工具。结合数据生命周期安全技术框架,对不同阶段数据提供更完善和优化的安全防护工具;充分运用大数据、机器学习、人工智能及云计算等新兴前沿技术,融合监管要求、安全管控方案、知识库,构建实时智能快捷的安全访问控制策略。
监控中心则需要结合应用系统交易全链路监控、网络流量监控、数据水印、数据染色等手段,实现对敏感数据流转的全链路跟踪。
总而言之,未来的数据安全发展方向应该是低门槛、强监控的,即,在数据成为生产资料的现在,依靠管控准入已经不能完全达到业务创新的要求,因此必须在准入之后加强监控,能够实时发现数据运营过程的异常,对种种不合规的行为予以干预和控制,满足个人信息保护的合规义务,同步保障发展与安全。