随着数据成为数字经济发展的核心生产要素,各种新兴技术如云计算、人工智能、区块链、联邦学习快速发展,对数据价值的挖掘成为双刃剑,个人客户信息等重要数据信息化后,既可以得到快速、便捷、有效的利用,也面临着被非法收集、窃取、泄露、篡改、破坏等风险。
一、数据安全治理体系建设背景
1、数据资产价值凸显,数据安全风险日益严峻
证券行业作为典型的数据规模巨大、数据价值高、数据应用场景复杂的行业,面向个人投资者提供着众多金融产品和服务,对数据安全治理有着天然的诉求。然而,在开展数据安全和个人信息保护政策的落地时,往往面临着一系列问题和挑战,例如多法并轨下数据安全实施细则尚不完善、越来越多的个人客户信息泄露来源于内部人员、海量数据导致资产梳理和分类分级难度大、数据的职责权属尚不明确、缺乏长期有效的运营机制来持续保障等。
2、数据安全相关法律法规相继发布实施,监管要求日益严格
我国于 2021 年先后发布了《数据安全法》、《个人信息保护法》,从国家层面确立了数据安全和个人信息保护的原则、责任和义务。为了数据安全法、个人信息保护法的配套落地,一些上级机关和地方政府单位,也先后发布了相关制度,例如中央网信办也起草或者发布了《网络数据安全管理条例》、《数据出境安全评估办法》,深圳市政府发布了《深圳经济特区数据条例》,中国证券监督管理委员会也于 2022 年 11 月发布了《证券期货业数据安全管理与保护指引》。可以预见,在短期的未来,各级单位和各行各业也将不断地完善各级法律法规和政策制度,推动统一公平、竞争有序、成熟完备的数据经济市场发展。证券行业属于强监管行业,数据安全与合规是业务经营、内控管理的底线。
为落实数据安全保护和个人信息保护义务,保证数据在业务中的合规性使用及流转,提升数据价值以及满足监管要求,国信证券开展了数据安全治理项目,以个人客户数据为切入点,建设数据安全治理体系,对数据资产开展分类分级管理、风险评估以及落地整改。
二、数据安全治理体系建设思路
1、以个人客户数据为抓手开展数据安全治理工作
数据安全治理是一个持续性的工作,需要分阶段从管理、技术和运营三个方面,建立有效的数据安全治理体系,推动企业内外部数据的合规使用、有序开放和共享,如图 1 所示。
国信证券本期项目以交易类重要系统的个人客户数据为中心,开展数据资产盘点、数据确权、数据分类分级、数据安全风险评估、数据安全培训宣贯等工作,制定数据全生命周期安全管控制度和流程,并建设数据安全运营平台实现数据安全管理工作的常态化运行,构建公司数据安全管理体系。待平台逐步推广后,可基于分类分级结果实施数据全生命周期安全防护,完善数据安全技术体系和运营体系。
图 1 国信证券数据安全治理框架
来源:国信证券
2、结合国家、行业监管要求构建数据安全管理体系
在数据安全治理的管理层面,国信证券深入结合国家、行业监管和企业自身发展的诉求,制定公司数据安全战略、成立数据安全组织、发布数据安全管理制度。
数据安全战略指明了企业数据安全工作的愿景、目标、规划、和工作框架,是开展数据安全工作的纲领。数据安全战略要求保障公司内各类数据资产全生命周期的安全,避免遭到泄露或者非法篡改破坏,保障数据的机密性、完整性和可用性,践行企业社会责任,保障客户、企业和员工的利益。
基于自上而下、统筹管控的治理思路,国信证券在前期数据治理工作中已经成立了决策层—管理层—执行层三层数据治理组织架构,本次通过完善数据治理组织职责来明确数据安全治理组织。决策层由公司数据安全最高负责人、各业务、职能部门和信息化分管领导担任,负责对公司数据安全数据安全战略、范围、重大事项进行决策。管理层由数据安全管理团队组成,负责数据安全治理体系的规划、建设、持续运营、推广和培训。执行层由各个业务、职能和 IT 部门的成员组成,执行层是数据安全各项制度、策略和流程规范的主要执行者,也多是数据的提供方和消费方。他们最能发现数据安全管理的漏洞和潜在风险,也直接关系着数据安全治理体系是否能有效落地和持续保障。
基于数据安全战略和组织架构,数据安全管理制度也分为三级,分别是数据安全总则、管理办法和各项细则,如图 2 所示。数据安全管理总则与数据安全战略相契合,是通过决策层审定的数据安全工作的指导文件。数据安全管理办法明确了数据安全的组织与人员、数据确权、各生命周期的保护策略、应急响应、监控预警、审计评估、培训宣导等制度。数据安全各项细则属于流程规范性文件,偏向流程落地和操作指引,包括数据分类分级模板、敏感数据申请流程、数据安全事件响应工单等流程模板和表单文件。
图 2 国信证券数据安全制度框架
来源:国信证券
3、建设数据安全运营平台支撑数据安全管控流程落地
如图 3 所示,国信证券建设了数据安全运营平台,通过平台的自动发现、数据录入等方式对公司内数据库资产进行管理,构建起个人客户数据资产梳理、自动分类分级、安全策略管理、数据确权、持续风险分析到响应处置的动态、闭环管控体系。
图 3 国信证券数据安全运营平台
来源:国信证券
平台主要提供数据资产采集、数据分类分级以及后续运营管理功能支撑。同时也能提供安全可视化界面,如数据资产视图、敏感数据地图、分类分级报告和安全评估报告。并且在公司内部与 IDM/SSO/ 数据管控平台对接,共同构建数据安全治理生态。
在数据安全治理运营层面,主要基于数据安全管理框架和各种技术平台落实数据安全各项管控措施,持续开展数据资产梳理、安全风险监测、应急事件响应、培训宣贯四方面的工作。
首先,在数据资产梳理方面,主要是借助数据安全运营平台的数据分类分级、敏感数据识别功能,基于前期调研梳理制定的数据分类分级策略,对数据库表、字段、数据文件进行自动扫描,记录和统计敏感数据、重要数据的分布、流向,打上分类分级标签,并对数据项的归属部门、责任人等信息进行权责归属登记。
在安全风险监测方面,通过数据流量监测、数据库账号监测等手段,持续监测数据流转和使用风险,针对异常事件进行告警和记录,方便事前、事中和事后的风险溯源和处置。
在应急事件响应方面,基于数据安全应急工单和流程,定期开展数据安全应急演练,并对每一个工单形成数据安全应急事件报告,归档并作为数据安全知识清单和培训材料。
在培训宣贯方面,通过邮件、企业 OA、线上培训视频或者会议、线下培训等多种方式,以定期或者不定期的方式展开。培训内容包括内外部数据安全规章制度、数据安全管控流程、个人客户信息保密意识和手段、数据安全事件宣贯等,培训对象既可以是各个业务部门的业务和一线人员,也可以是职能内控部门和 IT 人员。数据安全合规是底线,通过不间断的培训宣贯工作,才能在人人心中树立起安全意识,保护好企业和客户的数据。
三、数据安全治理体系建设亮点
结合行业和国信证券在数据安全治理体系建设过程中面临的挑战,总结数据安全治理的实施路径,可以归纳如下几个亮点。
1、基于数据资产盘点落实细粒度的分类分级
在数据安全治理体系建设过程中,数据分类分级作为数据安全治理的最基本实,为后续各项数据的安全运用,数据价值最大化实现,以及数字化应用的充分落实奠定了安全根基。
国信证券以个人客户数据为中心开展了数据资产盘点。通过问卷调研、业务访谈、系统自动扫描等方式,对结构化数据、非结构化的个人客户数据,从合规性、业务需求、安全需求方面整理数据资产分布情况,汇总数据资产流转及授权审批情况,为数据分类分级及安全防护建议提供数据支撑。在梳理过程中,识别不同的业务活动、数据活动中所涉及到的不同角色,例如数据提供方、数据所有方、数据处理方、数据合作方等。明确在不同场景下各方角色的数据安全义务和责任,便于后续针对性的开展后续数据安全治理工作,进行分步实施、分级治理。这一项工作的关键在于制定可落地的数据的分类分级和确权策略,并借助系统进行敏感数据识别。项目中建设的数据安全运营平台通过元数据匹配、正则表达式匹配、数据内容扫描等识别手段,结合数据项所在库表的业务描述以及对业务规则的组合定义,实现表级和字段级的数据分类定级工作。
通过数据分类分级工作的持续运行,开启新一代的满足安全合规要求的数据安全治理体系建设,从而切实保障安全贯穿数据安全治理全过程。
2、数据确权与数据分类分级流程结合奠定安全管控基础
在国信证券的实践中,为避免数据分类分级等安全管控流程流于形式,基于数据安全运营平台,建立了自动化、线上化的分类分级和确权流程,并嵌入已有开发流程如实施前评审、上线前评审流程。对于新建系统上线,在分类分级环节,数据安全运营平台通过固化的分类分级策略和敏感数据识别功能,完成该系统数据库、表和字段的分类分级标签。在分类分级之后,根据分类分级结果和分类分级框架,将识别出的重要业务数据和敏感数据流转至相应的业务归口管理人员和技术负责人,进行分类分级标签的复核和数据确权。
3、数据安全运营平台与数据治理管控平台融合完善数据资产目录
基于前期数据治理工作开展,国信证券已经建设了数据治理管控平台管理了元数据、数据标准、数据质量等数据管理模块,数据安全运营平台则具备数据分类分级、敏感数据识别、数据资产风险评估等功能。本项目通过将数据治理的元数据模块和数据安全的分类分级模块打通,可以构建更为完整的数据资产目录,同时对每个系统库级、表级、字段级的做到全量和增量的扫描、监控和告警,在企业内构建数据安全治理生态。
四、未来与展望
在证券行业日益发展的业务及其海量数据背景下,以个人客户信息保护为中心开展数据安全治理,符合当下的监管和业务发展趋势,也更能找到切入点,推动业务、合规风控和技术部门共同参与到数据安全的建设过程中。展望行业数据安全治理的发展,有以下几点可以加大重视。
(一)行业监管指引、标准规范不断推出。自《数据安全法》、《个人信息保护法》发布以来,行业加大了数据安全方面的研究,人行等主管单位已经发布了《个人金融信息保护技术规范》、《金融数据安全数据安全分级指南》,中国证券监督管理委员会也于 2022 年 11 月发布了《证券期货业数据安全管理与保护指引》,可以预见更多的行业数据安全规范、标准也将持续推出。
(二)数据安全保护技术日新月异,需要加速研究和投入应用。这一点和大数据术的迅速发展相辅相成,随着大数据技术创新与应用日趋活跃,在新技术和场景中对个人客户信息保护的手段也需要推陈出新,对于区块链、零信任、联邦学习、差分隐私等技术灵活研究和应用。
(三)侵犯个人客户信息的方式愈加多样,问题愈加严重。以最常见的各类 APP 为例,个人信息数据过度采集、滥用、非法交易及用户数据泄露等问题近年来频繁发生且已有不少处罚案例。例如, 根据《“ 十四五” 信息通信行业发展规划》,2021 年工信部针对 APP 的违法违规手机使用个人信息行为进行检查,共发现 38 款 APP 存在问题。
基于以上特点,数据安全治理的发展也将朝向资产化、智能化和服务化三个方向。
资产化,数据资产意味着数据要素需要确权、标准化和定价,只有主权明确、完整规范的数据要素才能成为满足安全合规、风险可控的要求。
智能化,是金融企业数据安全治理的必经之路,金融行业数据规模巨大、敏感数据集中、数据使用和交换场景复杂,日数据量可以达到千万级。数据安全治理各类流程需要依赖大量的人力和资源,需要借助智能化、可视化的方法和技术来实现数据安全治理的常态化。
服务化,通过与业务场景、用户痛点、应用的处处融合,保持安全可控与数据价值应用的平衡是数据安全治理保持长效和活力的秘诀。数据的安全管控也是为了更好的进行服务和价值创造。
本文摘编自数据安全推进计划发布的《金融行业数据安全治理案例汇编(2022年)》,全文下载:
金融行业数据安全治理案例汇编(2022年)
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
一条评论