随着金融行业数字化转型的加速,数据已成为金融机构的重要资产,数据安全和隐私保护成为亟待解决的问题。数据安全工作涉及多个部门和业务领域,如何有效协调各部门的工作,明确各自的职责和权限,是当前面临的挑战。5G、人工智能、云计算等新技术的应用虽然推动了行业发展,但也带来了新的安全风险,如何应对这些风险是金融机构需要关注的重点。
国家金管总局印发解答《银行保险机构数据安全管理办法》(以下简称《办法》),明确了企业需要建立数据安全责任机制,制定数据分类分级保护制度,强化数据安全管理,建立数据安全风险监测与处置机制等要求。银行保险机构数据安全实务入门不迷茫 我们公开课上见!《办法》实务解析公开课已在数治网院上线,请在文末扫码领取课件和脑图,更多治理、安全与合规体系课程可预约AI共创导师开讲。
《银行保险机构数据安全实践指南(2024)》详细分析了金融行业数据安全的合规要求和面临的问题,并提出了具体的合规实践建议。通过建立覆盖全员的数据安全组织架构、明确各部门权责边界、建立数据分类分级制度、梳理数据全生命周期安全要求、建立数据安全技术体系、加强个人信息保护和定期开展数据安全风险评估等措施,金融机构可以有效提升数据安全保护水平,确保数据安全与业务发展的双向促进。
数据安全责任体系
- 合规要点:企业需建立数据安全责任机制,明确数据安全责任人,指定归口管理部门负责数据安全工作,明确各业务领域的数据安全管理职责。
- 面临问题:数据安全工作需要企业高层领导的关注和全员参与,确保数据安全管理与企业战略发展同步。45.3%的企业在数据安全工作中面临数据使用部门、数据属主部门、数据安全牵头部门的数据安全权责划分不清晰的问题。
- 合规实践建议:通过建立专门的数据安全组织,落实数据安全管理责任,确保数据安全相关工作能够持续稳定的贯彻执行。细化数据安全责任划分机制,将数据安全融入业务规划,从源头保障数据处理活动的安全合规。
数据分类分级
- 合规要点:企业需制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。
- 面临问题:数据分类分级工作需要数据、技术、业务、安全等多个部门的协调沟通,统筹安排各部门工作职责、统一分类定级标准是保障数据分类分级工作高效开展的重要内容。如何评价数据分类分级建设成效成为大家关心的问题。
- 合规实践建议:通过明确数据分类分级工作的组织架构,划分各部门职责分工,为数据分类分级工作的协同开展提供支撑。依据数据分类分级成熟度评价模型,根据PDCA的闭环工作思路,按照“规划-实施-运营”三大模块内容评价数据分类分级工作成效。
数据安全管理体系建设
- 合规要点:企业需强化数据安全管理,按照国家数据安全与发展政策要求,根据自身发展战略,制定数据安全保护策略,建立数据安全管理制度和数据处理管控机制。
- 面临问题:企业在建立数据安全管理体系时,需明确数据安全管理边界,厘清管理体系工作内容及建设要求。数据安全管理策略需要更加精细化和动态化,以确保在保障数据安全的同时,不阻碍业务的正常开展。
- 合规实践建议:企业应根据现有标准及监管要求,结合已经开展的数据安全工作,梳理形成适用于自身的数据安全管理体系,并制定数据安全管理制度。企业需全面梳理业务场景,确定业务场景安全管理优先级,评估业务场景数据安全风险,制定并实施业务场景解决方案,完善业务场景操作规范。
数据安全技术保护
- 合规要点:企业需健全数据安全技术保护体系,建立数据安全技术架构,明确数据保护策略方法,采取技术手段保障数据安全。
- 面临问题:企业在引入技术产品时,缺乏统一的规划和标准,导致技术栈和产品集较为杂乱,不同产品之间的壁垒为安全作用的发挥带来阻碍。如何编排已有的技术工具,使得其对数据安全的支撑更加有效,或者如何针对技术应用现状进行差缺补漏,都需要一个体系化的技术呈现。
- 合规实践建议:结合组织自身使用场景,围绕数据全生命周期各阶段的安全要求,建立与制度流程相配套的技术和工具。通过数据资产梳理、数据合规管理、安全能力管理等核心功能,建立“协同管理”的能力,规避产品在实际应用过程中的粗防护、弱联动、单视角等问题。
个人信息保护
- 合规要点:企业需加强个人信息保护,按照“明确告知,授权同意”原则处理个人信息,收集个人信息应限于实现金融业务处理目的的最小范围,不得过度收集。
- 面临问题:国家层面和行业层面通过一系列专项行动,严格治理企业个人信息泄露、滥用等问题。用户对金融产品违规收集使用个人信息、过度索取、频繁骚扰等侵害用户主体权益的行为感受强烈。
- 合规实践建议:从权限管理、告知同意、定向推送、用户主体权利实现等方面提升APP个人信息保障能力建设。企业应在业务规则设计阶段评估采用生物识别技术的必要性,并依据国家标准开展个人信息安全影响评估,严格遵循“告知-同意”规则。
数据安全风险监测与处置
- 合规要点:企业需完善数据安全风险监测与处置机制,将数据安全风险纳入全面风险管理体系,明确风险监测评估、应急响应报告、事件处置的管理流程。
- 面临问题:政策方面和业务方面对金融机构的风险防范能力提出了新要求。5G、人工智能、云计算、移动互联网、大数据分析等新兴技术应用带来了大量的安全漏洞、风险。
- 合规实践建议:企业需明确数据安全风险评估的目标,确定评估对象、范围和边界,识别潜在的风险问题,提出风险处置建议,形成数据安全风险评估报告。金融机构需定期及在上线和更新等重要节点开展全面的风险评估和短板提升,参照大模型数据安全通用评估框架开展评估工作。
热点关注问题
问1:如何建立覆盖全员的数据安全组织架构?
建立覆盖全员的数据安全组织架构需要明确各层的职责分工。
- 决策层由企业高层领导及相关部门负责人组成,负责统筹决策;
- 管理层由安全部门或数据部门组成,负责管理、建设和宣贯数据安全工作;
- 执行层由业务部门或数据生产部门组成,负责落实各项数据安全管理要求;
- 监督层由合规部门、风控部门、内审等部门组成,负责监督数据安全治理工作。
各层之间通过定期会议沟通等工作机制实现紧密合作、相互协同。
问2:金融机构在进行数据分类分级时应注意哪些方面?
金融机构在进行数据分类分级时应注重以下几个方面:
- 首先,明确数据分类分级的组织架构和职责分工,由数据管理部门牵头,安全部门、技术部门、业务部门等协同开展;
- 其次,制定数据分类分级标准和规范,考虑监管要求、行业标准和企业实际情况;
- 再次,采用成熟度评价模型,对分类分级工作进行持续优化和改进;
- 最后,确保分类分级结果能够被业务系统调用,并应用于数据管理和安全策略制定中。
问3:数据分类分级工作的具体实施步骤是什么?
数据分类分级工作的具体实施步骤包括以下几个方面:
- 数据分类:根据数据属性、对象、使用场景、格式等,对数据基本信息进行识别分析。金融机构应根据已制定的数据分类原则,定义包含多个层级的数据类别清单,再对数据资源清单中的数据逐个进行分类。
- 数据定级:综合考虑数据的重要性、敏感程度、精度、规模等因素,通过综合评估数据本身的重要程度和所面临的风险危害程度,确定数据的等级。金融机构建议将数据等级分为核心、重要、一般(敏感)、一般(其他)四个安全级别。
- 常态化运营机制:建立分类分级的PDCA循环体系,包括常态化运营机制、人员问责机制、分类分级结果纠错机制、级别动态调整机制、定期检查机制等。
- 结果应用:确保分类分级结果能被业务系统调用,并应用于后续的数据管理、数据安全策略制定中。
问4:如何建立数据安全技术体系?
建立数据安全技术体系的步骤如下:
- 明确技术架构:结合组织自身使用场景,围绕数据全生命周期各阶段的安全要求,建立与制度流程相配套的技术和工具。
- 基础通用类技术:包括数据分类分级相关工具平台、身份认证及访问控制相关工具平台、监控审计相关工具平台、日志管理平台、安全及合规评估相关工具平台等。
- 生命周期类技术:包括敏感数据识别、备份与恢复技术、数据加密、数据脱敏、数据安全网关、数据水印技术、数据防泄露技术、隐私计算、API管控、数据删除、介质销毁等。
- 平台类技术:通过接入各技术工具的能力点,打破其之间的协作壁垒,实现对不同技术工具的能力编排与调度,提供统一的管理入口与操作方式。
问5:大模型数据安全风险评估的通用评估框架包括哪些方面?
大模型数据安全风险评估的通用评估框架包括以下几个方面:
- 数据集准备过程:评估用于大模型训练的数据安全性,包括数据来源的合法合规性、训练数据是否经过有效脱敏、数据标注和清洗流程是否安全完备等。
- 模型开发及应用阶段:评估数据处理过程中的安全性,覆盖模型文件数据、训练和微调数据集、测试数据等,包括数据传输、存储加密、数据使用的权限与技术控制以及数据的及时删除销毁等。
- 通用安全部分:评估大模型在企业整体安全保障体系中的通用安全能力,包括针对新技术引入等场景的制度规范建立、鉴别与访问控制要求与落实、安全测试能力、定期开展安全评估、合作方安全管理以及是否具备专项应急预案等。
2025 我们一起在数治网院三步进阶,领取你的数智第一课,预约AI+双师开讲!完整《银行保险机构数据安全管理办法》实务解析公开课已上线,请扫码加入数治x一站式服务群@老邪 领取课件和脑图,添加 @老邪 企业微信升级成数治Pro个人、企业版助手和学习卡,更多治理、安全与合规体系课程可随到随学。
来源:《银行保险机构数据安全实践指南(2024)》,数据安全推进计划,本篇针对政策全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。图片:Jakub Zerdzicki,Unsplash
