索信達(dá)控股:《個(gè)人信息保護(hù)法》實(shí)施 金融機(jī)構(gòu)如何做好數(shù)據(jù)安全?
摘要: 11月1日,《個(gè)人信息保護(hù)法》正式實(shí)施,數(shù)據(jù)安全問(wèn)題再次受到關(guān)注。索信達(dá)控股(股票代碼:03680.HK)數(shù)據(jù)治理專家表示,《個(gè)人信息保護(hù)法》實(shí)施使金融機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)從一般監(jiān)管要求上升到強(qiáng)制性法律
11月1日,《個(gè)人信息保護(hù)法》正式實(shí)施,數(shù)據(jù)安全問(wèn)題再次受到關(guān)注。索信達(dá)控股(股票代碼:03680.HK )數(shù)據(jù)治理專家表示,《個(gè)人信息保護(hù)法》實(shí)施使金融機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)從一般監(jiān)管要求上升到強(qiáng)制性法律要求,勢(shì)必將引起金融行業(yè)高度重視,促進(jìn)金融機(jī)構(gòu)進(jìn)一步強(qiáng)化個(gè)人信息保護(hù)力度,提升信息安全、數(shù)據(jù)安全,充分保障個(gè)人信息主體的各種權(quán)利。
新形勢(shì)下對(duì)金融數(shù)據(jù)安全提出更高要求
金融行業(yè)對(duì)個(gè)人信息保護(hù)一直比較重視,監(jiān)管也十分嚴(yán)格,相關(guān)保護(hù)措施也走在前列。索信達(dá)數(shù)據(jù)管理領(lǐng)域?qū)<疫€表示,對(duì)于金融機(jī)構(gòu)而言,落實(shí)立法規(guī)范,應(yīng)嚴(yán)格遵循個(gè)人信息保護(hù)法和行業(yè)標(biāo)準(zhǔn)要求,建立個(gè)人信息保護(hù)的制度體系,明確工作職責(zé),規(guī)范工作流程,完善IT系統(tǒng),需從敏感個(gè)人金融信息的收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等處理的整個(gè)過(guò)程采取措施進(jìn)行覆蓋個(gè)人信息全生命周期的保護(hù)策略。
數(shù)字化轉(zhuǎn)型大潮下,數(shù)據(jù)成為金融機(jī)構(gòu)繞不開(kāi)的主題。虛擬化經(jīng)濟(jì)、數(shù)字化趨勢(shì)帶來(lái)的數(shù)據(jù)隱私、數(shù)據(jù)安全問(wèn)題日益受到業(yè)界的重視。索信達(dá)數(shù)據(jù)管理領(lǐng)域?qū)<冶硎?,法律、法?guī)及監(jiān)管制度的日益嚴(yán)格,以及企業(yè)自身發(fā)展的內(nèi)在需求,都在促使金融行業(yè)將數(shù)據(jù)安全視為重中之中。一方面,國(guó)家和監(jiān)管層對(duì)數(shù)據(jù)安要求日益嚴(yán)格,出臺(tái)了一系列針對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息安全等的政策規(guī)范,另一方面,內(nèi)部的安全管理、風(fēng)險(xiǎn)管控、用戶個(gè)人信息隱私保護(hù)等也要求金融機(jī)構(gòu)必須建設(shè)構(gòu)建一套科學(xué)、完善的數(shù)據(jù)安全體系。
索信達(dá)專家表示,新形勢(shì)下的監(jiān)管要求、行業(yè)趨勢(shì)對(duì)金融機(jī)構(gòu)數(shù)據(jù)安全管理提出了更高要求。金融業(yè)數(shù)據(jù)安全仍面臨不小的挑戰(zhàn)和痛點(diǎn):主要體現(xiàn)在三個(gè)方面,一是要求管理內(nèi)容豐富度更高,二是對(duì)管理能力要求更高, 第三是要求管理技術(shù)更先進(jìn)。
數(shù)據(jù)安全必須依靠可靠、完整的安全體系與安全技術(shù)來(lái)實(shí)現(xiàn)。通常數(shù)據(jù)安全包括保密性、完整性、可用性、抗抵賴性、可追溯性五個(gè)層面。企業(yè)的數(shù)據(jù)安全管理能力體現(xiàn)在四個(gè)方面:一是防御能力,即抵御攻擊的能力;二是發(fā)現(xiàn)能力,即及時(shí)發(fā)現(xiàn)安全隱患,能以更好的保障業(yè)務(wù)持續(xù)運(yùn)轉(zhuǎn);三是對(duì)抗能力,即當(dāng)遇到外部攻擊,能與入侵者對(duì)抗;四是應(yīng)急能力,即當(dāng)企業(yè)內(nèi)部產(chǎn)生風(fēng)險(xiǎn),有應(yīng)急處置能力。
金融機(jī)構(gòu)如何有效構(gòu)建信息安全體系和數(shù)據(jù)安全體系?
索信達(dá)數(shù)據(jù)治理專家認(rèn)為,數(shù)據(jù)安全不是一個(gè)孤立的部分,它是信息安全體系的一部分。要想構(gòu)建數(shù)據(jù)安全體系,首先要將其置于整體的信息安全體系中來(lái)看。金融機(jī)構(gòu)構(gòu)建信息安全體系要從三個(gè)層面進(jìn)行:依次是安全策略、安全運(yùn)維、技術(shù)安全。安全策略即安全治理、風(fēng)險(xiǎn)管理合規(guī),包括戰(zhàn)略和治理框架、風(fēng)險(xiǎn)管理框架、合規(guī)和策略遵從;安全運(yùn)維包括安全事件監(jiān)控、安全策略管理、安全事件響應(yīng)、安全績(jī)效管理、安全事件審計(jì)、安全外包管理等;技術(shù)安全包括:物理安全、身份/訪問(wèn)安全、應(yīng)用安全、數(shù)據(jù)安全、基礎(chǔ)架構(gòu)安全??梢钥闯觯瑪?shù)據(jù)安全是信息安全的重要部分,具體包括數(shù)據(jù)安全分級(jí)、數(shù)據(jù)加密、安全監(jiān)控、數(shù)據(jù)泄露保護(hù)、數(shù)據(jù)歸檔、數(shù)據(jù)災(zāi)備等。
數(shù)據(jù)安全體系也包括三個(gè)層面:數(shù)據(jù)安全管理、數(shù)據(jù)安全服務(wù)、數(shù)據(jù)技術(shù)安全。數(shù)據(jù)安全管理包括組織架構(gòu)、制度規(guī)范和管理流程;數(shù)據(jù)安全服務(wù)包括:數(shù)據(jù)安全分級(jí)、數(shù)據(jù)安全監(jiān)控、數(shù)據(jù)泄密保護(hù)、數(shù)據(jù)歸檔、數(shù)據(jù)加密、數(shù)據(jù)災(zāi)備。數(shù)據(jù)技術(shù)安全又包括:數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)、歷史數(shù)據(jù)歸檔系統(tǒng)、災(zāi)備系統(tǒng)。
在金融機(jī)構(gòu)構(gòu)建數(shù)據(jù)安全體系的具體實(shí)踐中,索信達(dá)數(shù)據(jù)治理專家提出了一些建議和看法:一是數(shù)據(jù)安全管理的工作是貫穿于整個(gè)數(shù)據(jù)管理體系之中的,關(guān)系到整個(gè)數(shù)據(jù)管理體系的搭建。從整個(gè)數(shù)據(jù)管理角度看,數(shù)據(jù)安全管理工作包括數(shù)據(jù)安全管理標(biāo)準(zhǔn)、數(shù)據(jù)安全事故處理、數(shù)據(jù)安全分級(jí)、數(shù)據(jù)安全審計(jì)。數(shù)據(jù)安全分級(jí)是數(shù)據(jù)安全管理體系構(gòu)建的重點(diǎn)核心,數(shù)據(jù)分類又是數(shù)據(jù)安全分級(jí)的基礎(chǔ)和依據(jù)。在系統(tǒng)技術(shù)支撐上,可以將數(shù)據(jù)安全分級(jí)管理體系嵌入到類似元數(shù)據(jù)平臺(tái)、數(shù)據(jù)資產(chǎn)管理平臺(tái)上去做。
索信達(dá)數(shù)據(jù)治理專家還認(rèn)為,金融機(jī)構(gòu)可設(shè)立從決策到業(yè)務(wù)到技術(shù)的體系化的數(shù)據(jù)安全管理組織,建立從制定計(jì)劃、評(píng)估安全、執(zhí)行解決方案、到總結(jié)經(jīng)驗(yàn)的數(shù)據(jù)安全管理流程。在數(shù)據(jù)安全管理系統(tǒng)層面需貫穿數(shù)據(jù)管理部門、業(yè)務(wù)部門和技術(shù)部門,數(shù)據(jù)安全管理系統(tǒng)包括數(shù)據(jù)安全管理分析、數(shù)據(jù)安全分級(jí)管理、系統(tǒng)安全分級(jí)管理和系統(tǒng)管理;數(shù)據(jù)安全監(jiān)控系統(tǒng)建設(shè)同樣重要,數(shù)據(jù)安全監(jiān)控系統(tǒng)目的在于:遵守監(jiān)管對(duì)金融數(shù)據(jù)的保護(hù)要求,建立常態(tài)化數(shù)據(jù)安全審計(jì)工作的有效工具和機(jī)制,數(shù)據(jù)庫(kù)及應(yīng)用系統(tǒng)多樣,實(shí)現(xiàn)集中統(tǒng)一的監(jiān)控管理與報(bào)警, 實(shí)時(shí)監(jiān)測(cè)內(nèi)部用戶訪問(wèn)敏感數(shù)據(jù),及時(shí)發(fā)現(xiàn)數(shù)據(jù)泄露事件,防范數(shù)據(jù)庫(kù)后臺(tái)授權(quán)用戶操作風(fēng)險(xiǎn),向管理層提供準(zhǔn)確的數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)狀況報(bào)表等。
總之,金融AI的每一步,大數(shù)據(jù)紅利在左,數(shù)據(jù)隱私安全在右。數(shù)據(jù)安全是企業(yè)持續(xù)發(fā)展的需要,需引起業(yè)界重視。索信達(dá)將持續(xù)深耕金融數(shù)據(jù)治理方案,為金融機(jī)構(gòu)數(shù)據(jù)安全提供支持。
金融機(jī)構(gòu),個(gè)人信息






