來(lái)源:北京商報(bào)
對(duì)于擁有海量數(shù)據(jù)資源的銀行而言,數(shù)據(jù)安全既是業(yè)務(wù)開(kāi)展的基石,也關(guān)乎自身的合規(guī)風(fēng)險(xiǎn)管理。為規(guī)范銀行業(yè)保險(xiǎn)業(yè)數(shù)據(jù)處理活動(dòng),金融監(jiān)管總局近日制定《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》(以下簡(jiǎn)稱《辦法》),明確數(shù)據(jù)安全相關(guān)部門職責(zé)分工,強(qiáng)化數(shù)據(jù)分類分級(jí)管理和個(gè)人信息保護(hù)。
隨著銀行數(shù)字化轉(zhuǎn)型深入推進(jìn),數(shù)據(jù)已經(jīng)和銀行各業(yè)務(wù)領(lǐng)域進(jìn)行深度融合,與此同時(shí),銀行違規(guī)使用數(shù)據(jù)等情況也曾多次引起監(jiān)管處罰。為確保數(shù)據(jù)安全,多家機(jī)構(gòu)已有所行動(dòng),包括加強(qiáng)分類分級(jí)管理、強(qiáng)化數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)等。在分析人士看來(lái),《辦法》的下發(fā)有助于明確數(shù)據(jù)領(lǐng)域的安全管理思路,后續(xù)機(jī)構(gòu)將依規(guī)完善數(shù)據(jù)治理,不斷提升數(shù)據(jù)管理水平。
強(qiáng)化數(shù)據(jù)分類分級(jí)管理
金融數(shù)據(jù)具有高價(jià)值和高敏感性,為確保客戶信息和金融交易數(shù)據(jù)安全,《辦法》明確了數(shù)據(jù)安全歸口管理部門、數(shù)據(jù)安全技術(shù)保護(hù)部門以及風(fēng)險(xiǎn)合規(guī)與審計(jì)部門的職責(zé)分工,并與數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與處置等工作相對(duì)應(yīng)。
其中,在數(shù)據(jù)分類分級(jí)方面,《辦法》要求銀行保險(xiǎn)機(jī)構(gòu)對(duì)業(yè)務(wù)經(jīng)營(yíng)管理過(guò)程中獲取、產(chǎn)生的數(shù)據(jù)進(jìn)行分類管理。根據(jù)數(shù)據(jù)的重要性和敏感程度,將數(shù)據(jù)分為核心、重要、一般三個(gè)級(jí)別,并將一般數(shù)據(jù)進(jìn)一步細(xì)分為敏感數(shù)據(jù)和其他一般數(shù)據(jù),并采取差異化的安全保護(hù)措施,同時(shí),明確當(dāng)數(shù)據(jù)的業(yè)務(wù)屬性、重要程度和可能造成的危害程度發(fā)生變化,導(dǎo)致安全級(jí)別不再適用的,機(jī)構(gòu)應(yīng)及時(shí)進(jìn)行動(dòng)態(tài)調(diào)整。
知名經(jīng)濟(jì)學(xué)者盤和林認(rèn)為,數(shù)據(jù)分類分級(jí)管理的意義在于能夠針對(duì)不同級(jí)別和敏感性的數(shù)據(jù)采取差異化的安全保護(hù)措施,提高數(shù)據(jù)管理的針對(duì)性和有效性。為提高數(shù)據(jù)分類分級(jí)管理的準(zhǔn)確性,銀行需要完善數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)和流程,加強(qiáng)數(shù)據(jù)管理使用人員的培訓(xùn)、提高對(duì)分類分級(jí)工作的認(rèn)識(shí),此外,數(shù)據(jù)分類分級(jí)之后,還要對(duì)工作進(jìn)行定期復(fù)核。
在數(shù)據(jù)的使用過(guò)程中,個(gè)人信息安全保護(hù)是管理的重點(diǎn),近年來(lái)銀行App未經(jīng)用戶同意,違規(guī)或超范圍收集個(gè)人信息的情況時(shí)有發(fā)生。為此,《辦法》單獨(dú)設(shè)置“個(gè)人信息保護(hù)”章節(jié),以進(jìn)一步落實(shí)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等上位法要求。要求銀行保險(xiǎn)機(jī)構(gòu)按照“明確告知、授權(quán)同意”的原則處理個(gè)人信息,以金融業(yè)務(wù)處理目的的最小范圍收集個(gè)人信息。共享和向外部提供個(gè)人信息,應(yīng)履行個(gè)人告知及取得同意的義務(wù)。
盤和林指出,《辦法》首先是明確了各部門職責(zé)分工,金融機(jī)構(gòu)數(shù)據(jù)管理方面,未來(lái)職責(zé)更加明確,將有效提高銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理的質(zhì)量。其次,是強(qiáng)化數(shù)據(jù)分類分級(jí)管理,有助于銀行建立完善的數(shù)據(jù)安全體系,最后,是加強(qiáng)了個(gè)人信息保護(hù),落實(shí)了法律法規(guī)要求,將法律要求更加具象化、具體化,讓金融機(jī)構(gòu)更容易執(zhí)行。
摸索數(shù)據(jù)安全自主化方案
隨著銀行數(shù)字化轉(zhuǎn)型深入推進(jìn),數(shù)據(jù)已經(jīng)和銀行各業(yè)務(wù)領(lǐng)域進(jìn)行深度融合。各家銀行深挖數(shù)據(jù)潛在價(jià)值賦能業(yè)務(wù)發(fā)展,隨著行業(yè)對(duì)數(shù)據(jù)的依賴不斷增加,數(shù)據(jù)安全風(fēng)險(xiǎn)也日益受到重視。
多家銀行通過(guò)進(jìn)行數(shù)據(jù)安全分類分級(jí)、加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)、建立個(gè)人信息保護(hù)體系等措施強(qiáng)化數(shù)據(jù)安全管理。例如,工商銀行強(qiáng)化數(shù)據(jù)安全管理,啟動(dòng)集團(tuán)數(shù)據(jù)安全分類分級(jí)工作,從系統(tǒng)層、終端層、網(wǎng)絡(luò)層和應(yīng)用層實(shí)施數(shù)據(jù)全生命周期安全防護(hù);中國(guó)銀行推動(dòng)數(shù)據(jù)全生命周期安全技術(shù)防護(hù),在金融行業(yè)內(nèi)首批通過(guò)了國(guó)家數(shù)據(jù)安全管理認(rèn)證,持續(xù)加強(qiáng)銀行客戶信息保護(hù)和數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè);為嚴(yán)防數(shù)據(jù)濫用,招商銀行建立了全域個(gè)人信息保護(hù)體系,確保個(gè)人信息采集合法,該行采取大量數(shù)據(jù)脫敏工作,保證內(nèi)部數(shù)據(jù)為業(yè)務(wù)發(fā)展所用。
數(shù)據(jù)安全管理是一項(xiàng)長(zhǎng)周期系統(tǒng)性工程,在實(shí)踐過(guò)程中,也不乏違規(guī)行為出現(xiàn)。例如,交通銀行、湖北銀行、山西農(nóng)村商業(yè)聯(lián)合銀行年內(nèi)就分別因數(shù)據(jù)安全管理不足、數(shù)據(jù)安全管理不到位存在風(fēng)險(xiǎn)隱患、數(shù)據(jù)安全管理較粗放存在數(shù)據(jù)泄露風(fēng)險(xiǎn)等被監(jiān)管處罰。
“銀行數(shù)據(jù)量大、種類多,管理難度大。同時(shí)基層人員多,違規(guī)操作和濫用較難管控。另外,外部攻擊也是不容忽視的潛在風(fēng)險(xiǎn)。”盤和林指出,后續(xù),銀行應(yīng)完善數(shù)據(jù)安全技術(shù),以技術(shù)圍墻保護(hù)數(shù)據(jù),同時(shí)完善數(shù)據(jù)安全管理制度,比如數(shù)據(jù)調(diào)用需要權(quán)限,數(shù)據(jù)查詢需要留痕。此外,要定期對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,預(yù)判數(shù)據(jù)風(fēng)險(xiǎn)。
在分析人士看來(lái),隨著《辦法》的印發(fā),銀行數(shù)據(jù)安全管理將更加有章可循,銀行機(jī)構(gòu)應(yīng)對(duì)照規(guī)則進(jìn)一步摸索數(shù)據(jù)安全自主化管理方案。素喜智研高級(jí)研究員蘇筱芮表示,《辦法》有助于明確數(shù)據(jù)領(lǐng)域的安全管理思路,為銀行保險(xiǎn)機(jī)構(gòu)建立健全數(shù)據(jù)安全管理機(jī)制、落實(shí)人員職責(zé)分工等合規(guī)工作提供了有益參考,后續(xù)機(jī)構(gòu)將依規(guī)完善數(shù)據(jù)治理,不斷提升數(shù)據(jù)管理水平。
盤和林建議,銀行應(yīng)主動(dòng)和監(jiān)管部門合作,建立聯(lián)合金融數(shù)據(jù)監(jiān)管系統(tǒng),并加強(qiáng)在實(shí)踐中摸索數(shù)據(jù)安全的自主化方案,將數(shù)據(jù)安全案例做成手冊(cè),在機(jī)構(gòu)內(nèi)部進(jìn)行普及。
責(zé)任編輯:秦藝
VIP課程推薦
APP專享直播
熱門推薦
收起
24小時(shí)滾動(dòng)播報(bào)最新的財(cái)經(jīng)資訊和視頻,更多粉絲福利掃描二維碼關(guān)注(sinafinance)
