10月25日,由中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)組織編制的金融數(shù)據(jù)安全系列四項(xiàng)標(biāo)準(zhǔn)(下稱《標(biāo)準(zhǔn)》)正式發(fā)布����。
據(jù)悉���,《標(biāo)準(zhǔn)》包括《金融數(shù)據(jù)安全治理實(shí)施指南》《金融數(shù)據(jù)資產(chǎn)管理指南》《金融數(shù)據(jù)安全技術(shù)防護(hù)規(guī)范》《金融數(shù)據(jù)安全應(yīng)急響應(yīng)和處置指引》,主要覆蓋數(shù)據(jù)分類分級(jí)管理��、數(shù)據(jù)安全風(fēng)險(xiǎn)管理���、數(shù)據(jù)安全制度體系和數(shù)據(jù)安全技術(shù)體系等關(guān)鍵領(lǐng)域����,為金融數(shù)據(jù)安全治理提供全面的理論依據(jù)和實(shí)踐指導(dǎo)。
中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)黨委委員兼副秘書(shū)長(zhǎng)楊農(nóng)表示�����,《標(biāo)準(zhǔn)》的發(fā)布����,既是金融行業(yè)響應(yīng)國(guó)家數(shù)據(jù)安全法規(guī)、提升數(shù)據(jù)安全管理水平的重要舉措��,也體現(xiàn)了金融行業(yè)的自我完善和自我提升��������!稑(biāo)準(zhǔn)》將助力金融行業(yè)在數(shù)據(jù)質(zhì)量管控�、技術(shù)防護(hù)���、安全評(píng)估和應(yīng)急處置等方面查漏補(bǔ)缺�,強(qiáng)基固本���。
隨著《標(biāo)準(zhǔn)》的實(shí)施��,預(yù)計(jì)金融行業(yè)的數(shù)據(jù)安全治理將更加規(guī)范化和制度化���,顯著提升行業(yè)數(shù)據(jù)安全水平�,為構(gòu)建安全���、穩(wěn)定��、高效的金融生態(tài)環(huán)境貢獻(xiàn)力量����,為金融數(shù)字化轉(zhuǎn)型和加快建設(shè)金融強(qiáng)國(guó)提供堅(jiān)實(shí)的基礎(chǔ)�����。
業(yè)內(nèi):金融數(shù)據(jù)安全治理需要下苦功夫���、硬功夫
記者獲悉,最新公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》���,對(duì)金融行業(yè)提出更高的數(shù)據(jù)安全管理要求�。楊農(nóng)指出�,金融是典型的科技驅(qū)動(dòng)型和數(shù)據(jù)密集型行業(yè)�����,如何平衡好金融數(shù)據(jù)創(chuàng)新應(yīng)用與安全治理�����,充分發(fā)揮金融數(shù)據(jù)要素的經(jīng)濟(jì)社會(huì)價(jià)值���,已是金融行業(yè)的一項(xiàng)重要而緊迫課題。
記者獲悉����,今年金融管理部門(mén)陸續(xù)出臺(tái)個(gè)人金融信息保護(hù)、金融數(shù)據(jù)分類分級(jí)�、金融數(shù)據(jù)安全管理等標(biāo)準(zhǔn)規(guī)范,深入開(kāi)展金融數(shù)據(jù)綜合應(yīng)用試點(diǎn)�,引導(dǎo)和支持廣大從業(yè)機(jī)構(gòu)增強(qiáng)金融數(shù)據(jù)安全治理能力,建立全周期全鏈條數(shù)據(jù)資產(chǎn)管理體系�����,困擾金融行業(yè)數(shù)據(jù)“不能用����、不敢用�、不善用”等問(wèn)題得到較大程度緩解����。
“與此同時(shí),我們也要認(rèn)識(shí)到��,金融數(shù)據(jù)安全治理是一項(xiàng)涉及‘采數(shù)’‘傳數(shù)’‘存數(shù)’‘用數(shù)’等環(huán)節(jié)的系統(tǒng)性工程�����,是苦活��、累活����、基礎(chǔ)活���,需要下苦功夫����、硬功夫甚至‘笨功夫’�����。就行業(yè)實(shí)踐而言,很多金融機(jī)構(gòu)在數(shù)據(jù)質(zhì)量管控���、技術(shù)防護(hù)����、安全評(píng)估����、應(yīng)急處置等方面仍需要進(jìn)一步查漏補(bǔ)缺、強(qiáng)基固本�。”楊農(nóng)指出��。
據(jù)國(guó)際貨幣基金組織發(fā)布的4月份金融穩(wěn)健性報(bào)告顯示�,針對(duì)金融公司的網(wǎng)絡(luò)攻擊事件增加500多起,占到所有攻擊總數(shù)的近1/5�,其中銀行風(fēng)險(xiǎn)最大。這背后���,是金融機(jī)構(gòu)日益處理大量個(gè)人敏感數(shù)據(jù)與交易�����,經(jīng)常成為犯罪分子竊取資金或?qū)嵤┢渌欠ㄐ袆?dòng)的目標(biāo)��。
奇富科技信息安全總監(jiān)吳業(yè)超向記者透露���,由于金融機(jī)構(gòu)處理的個(gè)人敏感數(shù)據(jù)與交易日益增加���,無(wú)論是業(yè)務(wù)執(zhí)行環(huán)境,還是業(yè)務(wù)落地環(huán)境���,都存在不同數(shù)據(jù)應(yīng)用保護(hù)的迫切需求�����。
吳業(yè)超指出����,“組織建設(shè)是數(shù)字安全的前提�。比如,數(shù)據(jù)全生命周期管理�,數(shù)據(jù)流轉(zhuǎn)每個(gè)環(huán)節(jié)都會(huì)涉及不同業(yè)務(wù)部門(mén)與不同組織架構(gòu)���,我們需要落實(shí)落地?cái)?shù)據(jù)安全治理����,各個(gè)部分要配合完善整個(gè)數(shù)據(jù)合規(guī)應(yīng)用與數(shù)據(jù)保護(hù)流程�����!
此外�,技術(shù)也成為金融數(shù)據(jù)安全治理的重要抓手——在不停地?cái)U(kuò)展技術(shù)能力同時(shí),金融機(jī)構(gòu)也在逐步深入分析數(shù)據(jù)安全和數(shù)據(jù)治理��,并找到相應(yīng)的實(shí)施路徑��。其中�,數(shù)據(jù)分類分級(jí)是一個(gè)重要的著眼點(diǎn),只有數(shù)據(jù)分類分級(jí)做得好�,金融機(jī)構(gòu)才能將所有數(shù)據(jù)按照想要的模式,在不同業(yè)務(wù)場(chǎng)景與使用場(chǎng)景進(jìn)行分級(jí)使用����,成為數(shù)據(jù)資產(chǎn)管理的“新舉措”。
在他看來(lái)�����,在金融數(shù)據(jù)安全治理方面���,制度體系(包括策略���、流程與制度建設(shè))����,技術(shù)體系(針對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)�����、數(shù)據(jù)流轉(zhuǎn)�����、數(shù)據(jù)全生命周期管理的合理可控管理)與風(fēng)險(xiǎn)管理(包括專項(xiàng)審計(jì)��、安全評(píng)審����、風(fēng)險(xiǎn)排查與應(yīng)急處理)也應(yīng)形成一個(gè)閉環(huán),通過(guò)相互引領(lǐng)與相互制約�,促使金融數(shù)據(jù)安全治理工作更好地推進(jìn)。
進(jìn)一步發(fā)揮數(shù)據(jù)要素在金融機(jī)構(gòu)降本增效中的積極作用
為了增強(qiáng)金融機(jī)構(gòu)在金融數(shù)據(jù)安全方面的各項(xiàng)能力建設(shè)���,此次中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)先后組織研制《金融數(shù)據(jù)安全治理實(shí)施指南》《金融數(shù)據(jù)資產(chǎn)管理指南》《金融數(shù)據(jù)安全技術(shù)防護(hù)規(guī)范》《金融數(shù)據(jù)安全應(yīng)急響應(yīng)和處置指引》等四項(xiàng)標(biāo)準(zhǔn)。
其中,《金融數(shù)據(jù)安全治理實(shí)施指南》由互金協(xié)會(huì)組織奇富科技�����、神州信息(000555)�����、平安銀行(000001)等編制�����,集聚金融數(shù)據(jù)安全治理框架實(shí)施流程及成果�����,明確數(shù)據(jù)安全治理實(shí)施的主要內(nèi)容和方法����,用于指導(dǎo)金融機(jī)構(gòu)有效地建立和實(shí)施數(shù)據(jù)安全治理體系,提升金融數(shù)據(jù)使用的合規(guī)性和安全性��,有利于金融機(jī)構(gòu)落實(shí)數(shù)據(jù)安全相關(guān)的法律法規(guī)�。
《金融數(shù)據(jù)資產(chǎn)管理指南》提出,金融數(shù)據(jù)資產(chǎn)管理的框架���、原則���、對(duì)象�����、活動(dòng)���、運(yùn)營(yíng)支撐和保障,提供金融數(shù)據(jù)資產(chǎn)盤(pán)點(diǎn)和估值方法���,有利于深化金融業(yè)的數(shù)據(jù)治理����,促進(jìn)金融機(jī)構(gòu)的數(shù)字化轉(zhuǎn)型發(fā)展�,進(jìn)一步發(fā)揮金融數(shù)據(jù)要素在金融機(jī)構(gòu)降本增效中的積極作用。
《金融數(shù)據(jù)安全技術(shù)防護(hù)規(guī)范》規(guī)定�,金融數(shù)據(jù)安全技術(shù)的目標(biāo)和原則,技術(shù)框架�,安全管理制度,全生命周期安全����,安全監(jiān)管與運(yùn)維等方面的內(nèi)容����,既提出保障金融數(shù)據(jù)安全的通用技術(shù)要求�����,也提出針對(duì)金融數(shù)據(jù)生命周期各環(huán)節(jié)的流程特點(diǎn)和安全風(fēng)險(xiǎn)的特定技術(shù)要求�,有利于提升金融機(jī)構(gòu)在數(shù)據(jù)采集�、共享、使用過(guò)程的安全防范能力����,全面保障金融數(shù)據(jù)生命周期各環(huán)節(jié)的數(shù)據(jù)安全。
而《金融數(shù)據(jù)安全應(yīng)急響應(yīng)和處置指引》概括了金融數(shù)據(jù)安全應(yīng)急響應(yīng)和處置的整體框架���,為金融機(jī)構(gòu)在組織架構(gòu)�����、制度流程�����、基礎(chǔ)工具��、人員能力等方面加強(qiáng)應(yīng)急響應(yīng)處置能力與能力建設(shè)提供指導(dǎo)��。此外����,這項(xiàng)指引還規(guī)定金融數(shù)據(jù)安全事件分類分級(jí)的原則和應(yīng)急響應(yīng)流程等,可用于指導(dǎo)金融機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全應(yīng)急響應(yīng)和處置工作�����,減少數(shù)據(jù)安全突發(fā)事件造成的損失和影響���,促進(jìn)金融數(shù)據(jù)安全治理�����。
在業(yè)內(nèi)人士看來(lái)���,上述四項(xiàng)標(biāo)準(zhǔn)分別從金融數(shù)據(jù)安全的綜合治理、資產(chǎn)管理��、技術(shù)防護(hù)和應(yīng)急管理等不同角度�,為做好金融數(shù)據(jù)安全治理工作提供指導(dǎo),將在金融數(shù)據(jù)安全建設(shè)方面發(fā)揮積極作用���。
今年上半年數(shù)據(jù)泄露事件數(shù)量較去年下半年上漲59%
記者獲悉����,在《金融數(shù)據(jù)安全治理實(shí)施指南》相關(guān)標(biāo)準(zhǔn)研制過(guò)程,多家參與標(biāo)準(zhǔn)研制的金融科技機(jī)構(gòu)�����、銀行機(jī)構(gòu)已紛紛遵循上述監(jiān)管要求�,持續(xù)增加金融數(shù)據(jù)安全治理方面的能力建設(shè)����。
吳業(yè)超透露,在數(shù)據(jù)安全治理指南研制過(guò)程��,企業(yè)一方面積極踐行理論基礎(chǔ)��,以相關(guān)規(guī)定為基礎(chǔ)�����,研究了一整套金融數(shù)據(jù)安全治理指南體系����;另一方面��,企業(yè)結(jié)合以往日常經(jīng)營(yíng)過(guò)程的實(shí)踐經(jīng)驗(yàn)���,持續(xù)完善數(shù)據(jù)治理的技術(shù)規(guī)定,最終形成了一套完整的技術(shù)體系與治理體系���。
他透露����,在實(shí)踐過(guò)程中�����,奇富科技已借鑒數(shù)據(jù)安全治理指南��,落地一些數(shù)據(jù)安全保護(hù)工作��。比如���,在數(shù)據(jù)安全接口方面獲得DIM認(rèn)證��,此外他們著手搭建專門(mén)的平臺(tái)����,一面做好數(shù)據(jù)流轉(zhuǎn)過(guò)程的異常狀況管理,數(shù)據(jù)泄露監(jiān)控�,數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)控,數(shù)據(jù)泄露漏洞監(jiān)控排查等���,并在風(fēng)險(xiǎn)處置環(huán)節(jié)提供相應(yīng)的行業(yè)最佳實(shí)踐��,逐步將數(shù)據(jù)安全治理建成一個(gè)閉環(huán)并持續(xù)優(yōu)化��,進(jìn)一步強(qiáng)化金融數(shù)據(jù)安全治理能力���。
奇富科技CEO吳海生指出���,隨著中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)發(fā)布的金融數(shù)據(jù)安全系列標(biāo)準(zhǔn)落地實(shí)施���,金融行業(yè)的數(shù)據(jù)安全治理將更規(guī)范有效,金融行業(yè)未來(lái)發(fā)展將更安全可靠�����,在中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)的指導(dǎo)下��,奇富科技將繼續(xù)在金融安全領(lǐng)域總結(jié)出一套可參考可實(shí)施的理論框架,為金融行業(yè)健康發(fā)展貢獻(xiàn)力量�。
在金融數(shù)據(jù)安全應(yīng)急響應(yīng)和處置指引研制過(guò)程,眾多參與研制的金融機(jī)構(gòu)更側(cè)重解決當(dāng)前的實(shí)際操作痛點(diǎn)�����。數(shù)據(jù)顯示���,今年上半年�����,數(shù)據(jù)泄露事件數(shù)量較2023年下半年期間上漲59%���,竊取隱私數(shù)據(jù)的相關(guān)黑灰產(chǎn)團(tuán)伙增長(zhǎng)近1倍。金融機(jī)構(gòu)在快速定位與溯源數(shù)據(jù)泄露節(jié)點(diǎn)�、提升應(yīng)急響應(yīng)速度等方面面臨較大的挑戰(zhàn)。
一位參與《金融數(shù)據(jù)安全應(yīng)急響應(yīng)和處置指引》研制的金融科技平臺(tái)人士透露�,他們先在日志層面實(shí)現(xiàn)網(wǎng)絡(luò)架構(gòu)分析,業(yè)務(wù)范圍收斂��,以此提前收集溯源相關(guān)的數(shù)據(jù)�����,并接入溯源分析平臺(tái),在數(shù)據(jù)查詢方面通過(guò)優(yōu)化數(shù)據(jù)存儲(chǔ)方式與索引構(gòu)建方式等辦法��,完善數(shù)據(jù)查詢算法�����,能提升海量數(shù)據(jù)(603138)單次查詢速度�����,迅速找出數(shù)據(jù)泄露節(jié)點(diǎn)并快速做好數(shù)據(jù)泄露風(fēng)險(xiǎn)防范與封堵舉措���。
如今��,他們結(jié)合《金融數(shù)據(jù)安全應(yīng)急響應(yīng)和處置指引》相關(guān)內(nèi)容���,正增強(qiáng)情報(bào)能力建設(shè)——鑒于大量數(shù)據(jù)都是通過(guò)黑客買(mǎi)賣(mài)“流轉(zhuǎn)”��,金融科技平臺(tái)正高度關(guān)注黑客買(mǎi)賣(mài)數(shù)據(jù)的情報(bào)���。一方面�,針對(duì)某些數(shù)據(jù)買(mǎi)賣(mài)相對(duì)頻繁的黑客交易渠道開(kāi)展動(dòng)態(tài)跟蹤����,保障情報(bào)監(jiān)控足夠全面快速�����;另一方面�����,在情報(bào)識(shí)別方面結(jié)合AI算法能力�����,在主體識(shí)別���,相關(guān)性識(shí)別,發(fā)布人畫(huà)像補(bǔ)充完善等方面增加多語(yǔ)言的情報(bào)識(shí)別能力���,提升情報(bào)識(shí)別的準(zhǔn)確率���。
針對(duì)《金融數(shù)據(jù)安全技術(shù)防護(hù)規(guī)范》的實(shí)踐,一位金融科技平臺(tái)人士向記者透露��,在金融機(jī)構(gòu)內(nèi)部��,網(wǎng)絡(luò)安全與數(shù)據(jù)安全有著較大區(qū)別。比如���,銀行網(wǎng)絡(luò)安全負(fù)責(zé)部門(mén)發(fā)現(xiàn)一個(gè)漏洞或黑客攻擊�,迅速打補(bǔ)丁或調(diào)整防火墻策略就行����,無(wú)須協(xié)同銀行其他部門(mén)協(xié)同處理。但數(shù)據(jù)安全無(wú)論是分類分級(jí)��,還是安全保護(hù)監(jiān)測(cè)��,都需要數(shù)據(jù)安全主管部門(mén)與各個(gè)業(yè)務(wù)部門(mén)的充分交流溝通與相互配合���,導(dǎo)致后者工作是一個(gè)閉環(huán)����,工作模式不一樣����。
“此外����,兩者保護(hù)的對(duì)象也不一樣���,網(wǎng)絡(luò)安全重點(diǎn)關(guān)注的是漏洞和危險(xiǎn),數(shù)據(jù)安全則關(guān)注數(shù)據(jù)生命周期��。因此����,網(wǎng)絡(luò)安全產(chǎn)品是攻防視角,令網(wǎng)絡(luò)安全產(chǎn)品更側(cè)重過(guò)程���,還原整個(gè)攻擊線路與事件并進(jìn)行監(jiān)測(cè)與阻斷��,但數(shù)據(jù)安全產(chǎn)品則是業(yè)務(wù)視角�����,令數(shù)據(jù)安全是直接看結(jié)果�,包括數(shù)據(jù)有沒(méi)有異常訪問(wèn)�����,有沒(méi)有流轉(zhuǎn)異常��,有沒(méi)有異常變化等�����!彼赋����。針對(duì)數(shù)據(jù)生命周期的安全防護(hù)要求,金融機(jī)構(gòu)需要增強(qiáng)數(shù)字化系統(tǒng)數(shù)據(jù)流轉(zhuǎn)視角的安全能力要求�,比如從終端、到匯聚不同類型數(shù)據(jù)的數(shù)據(jù)庫(kù)���,再到對(duì)外的數(shù)據(jù)分享與規(guī)范使用����,都需要建立相應(yīng)的金融數(shù)據(jù)安全技術(shù)防護(hù)規(guī)范與操作舉措�����。
這位金融科技平臺(tái)人士向記者透露�,針對(duì)金融數(shù)據(jù)生命周期里的數(shù)據(jù)交換環(huán)節(jié)安全性,他們結(jié)合《金融數(shù)據(jù)安全技術(shù)防護(hù)規(guī)范》���,提供API安全分析系統(tǒng)�,有API端安全監(jiān)測(cè)系統(tǒng),安全保護(hù)系統(tǒng)���,形成小閉環(huán),著手做好API端資產(chǎn)管理��、API端風(fēng)險(xiǎn)監(jiān)測(cè)����、API端數(shù)據(jù)泄露風(fēng)險(xiǎn)的防范。
吳業(yè)超指出��,未來(lái)圍繞金融數(shù)據(jù)安全治理�,金融行業(yè)還會(huì)迎來(lái)諸多挑戰(zhàn)。尤其是隨著人工智能技術(shù)持續(xù)發(fā)展�,各類金融數(shù)據(jù)將擁有更多使用場(chǎng)景,令數(shù)據(jù)安全治理將更注重AI技術(shù)應(yīng)用����,由此持續(xù)探索新的安全策略并適應(yīng)未來(lái)新技術(shù)的應(yīng)用與挑戰(zhàn)。這需要金融機(jī)構(gòu)之間加強(qiáng)合作���,在金融數(shù)據(jù)安全治理層面提供更多的最佳實(shí)踐經(jīng)驗(yàn)與技術(shù)輸出�。
(責(zé)任編輯:王曉雨 )
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn)�,與和訊網(wǎng)無(wú)關(guān)。和訊網(wǎng)站對(duì)文中陳述���、觀點(diǎn)判斷保持中立�����,不對(duì)所包含內(nèi)容的準(zhǔn)確性�����、可靠性或完整性提供任何明示或暗示的保證���。請(qǐng)讀者僅作參考����,并請(qǐng)自行承擔(dān)全部責(zé)任�。郵箱:news_center@staff.hexun.com
最新評(píng)論