中國互金協會發布金融數據安全系列四項標準 業內:金融數據安全治理需要下苦功夫、硬功夫
10月25日,由中國互聯網金融協會組織編制的金融數據安全系列四項標準(下稱《標準》)正式發佈。
據悉,《標準》包括《金融數據安全治理實施指南》《金融數據資產管理指南》《金融數據安全技術防護規範》《金融數據安全應急響應和處置指引》,主要覆蓋數據分類分級管理、數據安全風險管理、數據安全制度體系和數據安全技術體系等關鍵領域,爲金融數據安全治理提供全面的理論依據和實踐指導。
中國互聯網金融協會黨委委員兼副秘書長楊農表示,《標準》的發佈,既是金融行業響應國家數據安全法規、提升數據安全管理水平的重要舉措,也體現了金融行業的自我完善和自我提升。《標準》將助力金融行業在數據質量管控、技術防護、安全評估和應急處置等方面查漏補缺,強基固本。
隨着《標準》的實施,預計金融行業的數據安全治理將更加規範化和制度化,顯著提升行業數據安全水平,爲構建安全、穩定、高效的金融生態環境貢獻力量,爲金融數字化轉型和加快建設金融強國提供堅實的基礎。
業內:金融數據安全治理需要下苦功夫、硬功夫
記者獲悉,最新公佈的《網絡數據安全管理條例》,對金融行業提出更高的數據安全管理要求。楊農指出,金融是典型的科技驅動型和數據密集型行業,如何平衡好金融數據創新應用與安全治理,充分發揮金融數據要素的經濟社會價值,已是金融行業的一項重要而緊迫課題。
記者獲悉,今年金融管理部門陸續出臺個人金融信息保護、金融數據分類分級、金融數據安全管理等標準規範,深入開展金融數據綜合應用試點,引導和支持廣大從業機構增強金融數據安全治理能力,建立全週期全鏈條數據資產管理體系,困擾金融行業數據“不能用、不敢用、不善用”等問題得到較大程度緩解。
“與此同時,我們也要認識到,金融數據安全治理是一項涉及‘採數’‘傳數’‘存數’‘用數’等環節的系統性工程,是苦活、累活、基礎活,需要下苦功夫、硬功夫甚至‘笨功夫’。就行業實踐而言,很多金融機構在數據質量管控、技術防護、安全評估、應急處置等方面仍需要進一步查漏補缺、強基固本。”楊農指出。
據國際貨幣基金組織發佈的4月份金融穩健性報告顯示,針對金融公司的網絡攻擊事件增加500多起,佔到所有攻擊總數的近1/5,其中銀行風險最大。這背後,是金融機構日益處理大量個人敏感數據與交易,經常成爲犯罪分子竊取資金或實施其他非法行動的目標。
奇富科技信息安全總監吳業超向記者透露,由於金融機構處理的個人敏感數據與交易日益增加,無論是業務執行環境,還是業務落地環境,都存在不同數據應用保護的迫切需求。
吳業超指出,“組織建設是數字安全的前提。比如,數據全生命週期管理,數據流轉每個環節都會涉及不同業務部門與不同組織架構,我們需要落實落地數據安全治理,各個部分要配合完善整個數據合規應用與數據保護流程。”
此外,技術也成爲金融數據安全治理的重要抓手——在不停地擴展技術能力同時,金融機構也在逐步深入分析數據安全和數據治理,並找到相應的實施路徑。其中,數據分類分級是一個重要的着眼點,只有數據分類分級做得好,金融機構才能將所有數據按照想要的模式,在不同業務場景與使用場景進行分級使用,成爲數據資產管理的“新舉措”。
在他看來,在金融數據安全治理方面,制度體系(包括策略、流程與制度建設),技術體系(針對數據泄露風險、數據流轉、數據全生命週期管理的合理可控管理)與風險管理(包括專項審計、安全評審、風險排查與應急處理)也應形成一個閉環,通過相互引領與相互制約,促使金融數據安全治理工作更好地推進。
進一步發揮數據要素在金融機構降本增效中的積極作用
爲了增強金融機構在金融數據安全方面的各項能力建設,此次中國互聯網金融協會先後組織研製《金融數據安全治理實施指南》《金融數據資產管理指南》《金融數據安全技術防護規範》《金融數據安全應急響應和處置指引》等四項標準。
其中,《金融數據安全治理實施指南》由互金協會組織奇富科技、神州信息、平安銀行等編制,集聚金融數據安全治理框架實施流程及成果,明確數據安全治理實施的主要內容和方法,用於指導金融機構有效地建立和實施數據安全治理體系,提升金融數據使用的合規性和安全性,有利於金融機構落實數據安全相關的法律法規。
《金融數據資產管理指南》提出,金融數據資產管理的框架、原則、對象、活動、運營支撐和保障,提供金融數據資產盤點和估值方法,有利於深化金融業的數據治理,促進金融機構的數字化轉型發展,進一步發揮金融數據要素在金融機構降本增效中的積極作用。
《金融數據安全技術防護規範》規定,金融數據安全技術的目標和原則,技術框架,安全管理制度,全生命週期安全,安全監管與運維等方面的內容,既提出保障金融數據安全的通用技術要求,也提出針對金融數據生命週期各環節的流程特點和安全風險的特定技術要求,有利於提升金融機構在數據採集、共享、使用過程的安全防範能力,全面保障金融數據生命週期各環節的數據安全。
而《金融數據安全應急響應和處置指引》概括了金融數據安全應急響應和處置的整體框架,爲金融機構在組織架構、制度流程、基礎工具、人員能力等方面加強應急響應處置能力與能力建設提供指導。此外,這項指引還規定金融數據安全事件分類分級的原則和應急響應流程等,可用於指導金融機構開展數據安全應急響應和處置工作,減少數據安全突發事件造成的損失和影響,促進金融數據安全治理。
在業內人士看來,上述四項標準分別從金融數據安全的綜合治理、資產管理、技術防護和應急管理等不同角度,爲做好金融數據安全治理工作提供指導,將在金融數據安全建設方面發揮積極作用。
今年上半年數據泄露事件數量較去年下半年上漲59%
記者獲悉,在《金融數據安全治理實施指南》相關標準研製過程,多家參與標準研製的金融科技機構、銀行機構已紛紛遵循上述監管要求,持續增加金融數據安全治理方面的能力建設。
吳業超透露,在數據安全治理指南研製過程,企業一方面積極踐行理論基礎,以相關規定爲基礎,研究了一整套金融數據安全治理指南體系;另一方面,企業結合以往日常經營過程的實踐經驗,持續完善數據治理的技術規定,最終形成了一套完整的技術體系與治理體系。
他透露,在實踐過程中,奇富科技已借鑑數據安全治理指南,落地一些數據安全保護工作。比如,在數據安全接口方面獲得DIM認證,此外他們着手搭建專門的平臺,一面做好數據流轉過程的異常狀況管理,數據泄露監控,數據安全風險監控,數據泄露漏洞監控排查等,並在風險處置環節提供相應的行業最佳實踐,逐步將數據安全治理建成一個閉環並持續優化,進一步強化金融數據安全治理能力。
奇富科技CEO吳海生指出,隨着中國互聯網金融協會發布的金融數據安全系列標準落地實施,金融行業的數據安全治理將更規範有效,金融行業未來發展將更安全可靠,在中國互聯網金融協會的指導下,奇富科技將繼續在金融安全領域總結出一套可參考可實施的理論框架,爲金融行業健康發展貢獻力量。
在金融數據安全應急響應和處置指引研製過程,衆多參與研製的金融機構更側重解決當前的實際操作痛點。數據顯示,今年上半年,數據泄露事件數量較2023年下半年期間上漲59%,竊取隱私數據的相關黑灰產團伙增長近1倍。金融機構在快速定位與溯源數據泄露節點、提升應急響應速度等方面面臨較大的挑戰。
一位參與《金融數據安全應急響應和處置指引》研製的金融科技平臺人士透露,他們先在日誌層面實現網絡架構分析,業務範圍收斂,以此提前收集溯源相關的數據,並接入溯源分析平臺,在數據查詢方面通過優化數據存儲方式與索引構建方式等辦法,完善數據查詢算法,能提升海量數據單次查詢速度,迅速找出數據泄露節點並快速做好數據泄露風險防範與封堵舉措。
如今,他們結合《金融數據安全應急響應和處置指引》相關內容,正增強情報能力建設——鑑於大量數據都是通過黑客買賣“流轉”,金融科技平臺正高度關注黑客買賣數據的情報。一方面,針對某些數據買賣相對頻繁的黑客交易渠道開展動態跟蹤,保障情報監控足夠全面快速;另一方面,在情報識別方面結合AI算法能力,在主體識別,相關性識別,發佈人畫像補充完善等方面增加多語言的情報識別能力,提升情報識別的準確率。
針對《金融數據安全技術防護規範》的實踐,一位金融科技平臺人士向記者透露,在金融機構內部,網絡安全與數據安全有着較大區別。比如,銀行網絡安全負責部門發現一個漏洞或黑客攻擊,迅速打補丁或調整防火牆策略就行,無須協同銀行其他部門協同處理。但數據安全無論是分類分級,還是安全保護監測,都需要數據安全主管部門與各個業務部門的充分交流溝通與相互配合,導致後者工作是一個閉環,工作模式不一樣。
“此外,兩者保護的對象也不一樣,網絡安全重點關注的是漏洞和危險,數據安全則關注數據生命週期。因此,網絡安全產品是攻防視角,令網絡安全產品更側重過程,還原整個攻擊線路與事件並進行監測與阻斷,但數據安全產品則是業務視角,令數據安全是直接看結果,包括數據有沒有異常訪問,有沒有流轉異常,有沒有異常變化等。”他指出。針對數據生命週期的安全防護要求,金融機構需要增強數字化系統數據流轉視角的安全能力要求,比如從終端、到匯聚不同類型數據的數據庫,再到對外的數據分享與規範使用,都需要建立相應的金融數據安全技術防護規範與操作舉措。
這位金融科技平臺人士向記者透露,針對金融數據生命週期裡的數據交換環節安全性,他們結合《金融數據安全技術防護規範》,提供API安全分析系統,有API端安全監測系統,安全保護系統,形成小閉環,着手做好API端資產管理、API端風險監測、API端數據泄露風險的防範。
吳業超指出,未來圍繞金融數據安全治理,金融行業還會迎來諸多挑戰。尤其是隨着人工智能技術持續發展,各類金融數據將擁有更多使用場景,令數據安全治理將更注重AI技術應用,由此持續探索新的安全策略並適應未來新技術的應用與挑戰。這需要金融機構之間加強合作,在金融數據安全治理層面提供更多的最佳實踐經驗與技術輸出。