中国互金协会发布金融数据安全系列四项标准 业内:金融数据安全治理需要下苦功夫、硬功夫
10月25日,由中国互联网金融协会组织编制的金融数据安全系列四项标准(下称《标准》)正式发布。
据悉,《标准》包括《金融数据安全治理实施指南》《金融数据资产管理指南》《金融数据安全技术防护规范》《金融数据安全应急响应和处置指引》,主要覆盖数据分类分级管理、数据安全风险管理、数据安全制度体系和数据安全技术体系等关键领域,为金融数据安全治理提供全面的理论依据和实践指导。
中国互联网金融协会党委委员兼副秘书长杨农表示,《标准》的发布,既是金融行业响应国家数据安全法规、提升数据安全管理水平的重要举措,也体现了金融行业的自我完善和自我提升。《标准》将助力金融行业在数据质量管控、技术防护、安全评估和应急处置等方面查漏补缺,强基固本。
随着《标准》的实施,预计金融行业的数据安全治理将更加规范化和制度化,显著提升行业数据安全水平,为构建安全、稳定、高效的金融生态环境贡献力量,为金融数字化转型和加快建设金融强国提供坚实的基础。
业内:金融数据安全治理需要下苦功夫、硬功夫
记者获悉,最新公布的《网络数据安全管理条例》,对金融行业提出更高的数据安全管理要求。杨农指出,金融是典型的科技驱动型和数据密集型行业,如何平衡好金融数据创新应用与安全治理,充分发挥金融数据要素的经济社会价值,已是金融行业的一项重要而紧迫课题。
记者获悉,今年金融管理部门陆续出台个人金融信息保护、金融数据分类分级、金融数据安全管理等标准规范,深入开展金融数据综合应用试点,引导和支持广大从业机构增强金融数据安全治理能力,建立全周期全链条数据资产管理体系,困扰金融行业数据“不能用、不敢用、不善用”等问题得到较大程度缓解。
“与此同时,我们也要认识到,金融数据安全治理是一项涉及‘采数’‘传数’‘存数’‘用数’等环节的系统性工程,是苦活、累活、基础活,需要下苦功夫、硬功夫甚至‘笨功夫’。就行业实践而言,很多金融机构在数据质量管控、技术防护、安全评估、应急处置等方面仍需要进一步查漏补缺、强基固本。”杨农指出。
据国际货币基金组织发布的4月份金融稳健性报告显示,针对金融公司的网络攻击事件增加500多起,占到所有攻击总数的近1/5,其中银行风险最大。这背后,是金融机构日益处理大量个人敏感数据与交易,经常成为犯罪分子窃取资金或实施其他非法行动的目标。
奇富科技信息安全总监吴业超向记者透露,由于金融机构处理的个人敏感数据与交易日益增加,无论是业务执行环境,还是业务落地环境,都存在不同数据应用保护的迫切需求。
吴业超指出,“组织建设是数字安全的前提。比如,数据全生命周期管理,数据流转每个环节都会涉及不同业务部门与不同组织架构,我们需要落实落地数据安全治理,各个部分要配合完善整个数据合规应用与数据保护流程。”
此外,技术也成为金融数据安全治理的重要抓手——在不停地扩展技术能力同时,金融机构也在逐步深入分析数据安全和数据治理,并找到相应的实施路径。其中,数据分类分级是一个重要的着眼点,只有数据分类分级做得好,金融机构才能将所有数据按照想要的模式,在不同业务场景与使用场景进行分级使用,成为数据资产管理的“新举措”。
在他看来,在金融数据安全治理方面,制度体系(包括策略、流程与制度建设),技术体系(针对数据泄露风险、数据流转、数据全生命周期管理的合理可控管理)与风险管理(包括专项审计、安全评审、风险排查与应急处理)也应形成一个闭环,通过相互引领与相互制约,促使金融数据安全治理工作更好地推进。
进一步发挥数据要素在金融机构降本增效中的积极作用
为了增强金融机构在金融数据安全方面的各项能力建设,此次中国互联网金融协会先后组织研制《金融数据安全治理实施指南》《金融数据资产管理指南》《金融数据安全技术防护规范》《金融数据安全应急响应和处置指引》等四项标准。
其中,《金融数据安全治理实施指南》由互金协会组织奇富科技、神州信息、平安银行等编制,集聚金融数据安全治理框架实施流程及成果,明确数据安全治理实施的主要内容和方法,用于指导金融机构有效地建立和实施数据安全治理体系,提升金融数据使用的合规性和安全性,有利于金融机构落实数据安全相关的法律法规。
《金融数据资产管理指南》提出,金融数据资产管理的框架、原则、对象、活动、运营支撑和保障,提供金融数据资产盘点和估值方法,有利于深化金融业的数据治理,促进金融机构的数字化转型发展,进一步发挥金融数据要素在金融机构降本增效中的积极作用。
《金融数据安全技术防护规范》规定,金融数据安全技术的目标和原则,技术框架,安全管理制度,全生命周期安全,安全监管与运维等方面的内容,既提出保障金融数据安全的通用技术要求,也提出针对金融数据生命周期各环节的流程特点和安全风险的特定技术要求,有利于提升金融机构在数据采集、共享、使用过程的安全防范能力,全面保障金融数据生命周期各环节的数据安全。
而《金融数据安全应急响应和处置指引》概括了金融数据安全应急响应和处置的整体框架,为金融机构在组织架构、制度流程、基础工具、人员能力等方面加强应急响应处置能力与能力建设提供指导。此外,这项指引还规定金融数据安全事件分类分级的原则和应急响应流程等,可用于指导金融机构开展数据安全应急响应和处置工作,减少数据安全突发事件造成的损失和影响,促进金融数据安全治理。
在业内人士看来,上述四项标准分别从金融数据安全的综合治理、资产管理、技术防护和应急管理等不同角度,为做好金融数据安全治理工作提供指导,将在金融数据安全建设方面发挥积极作用。
今年上半年数据泄露事件数量较去年下半年上涨59%
记者获悉,在《金融数据安全治理实施指南》相关标准研制过程,多家参与标准研制的金融科技机构、银行机构已纷纷遵循上述监管要求,持续增加金融数据安全治理方面的能力建设。
吴业超透露,在数据安全治理指南研制过程,企业一方面积极践行理论基础,以相关规定为基础,研究了一整套金融数据安全治理指南体系;另一方面,企业结合以往日常经营过程的实践经验,持续完善数据治理的技术规定,最终形成了一套完整的技术体系与治理体系。
他透露,在实践过程中,奇富科技已借鉴数据安全治理指南,落地一些数据安全保护工作。比如,在数据安全接口方面获得DIM认证,此外他们着手搭建专门的平台,一面做好数据流转过程的异常状况管理,数据泄露监控,数据安全风险监控,数据泄露漏洞监控排查等,并在风险处置环节提供相应的行业最佳实践,逐步将数据安全治理建成一个闭环并持续优化,进一步强化金融数据安全治理能力。
奇富科技CEO吴海生指出,随着中国互联网金融协会发布的金融数据安全系列标准落地实施,金融行业的数据安全治理将更规范有效,金融行业未来发展将更安全可靠,在中国互联网金融协会的指导下,奇富科技将继续在金融安全领域总结出一套可参考可实施的理论框架,为金融行业健康发展贡献力量。
在金融数据安全应急响应和处置指引研制过程,众多参与研制的金融机构更侧重解决当前的实际操作痛点。数据显示,今年上半年,数据泄露事件数量较2023年下半年期间上涨59%,窃取隐私数据的相关黑灰产团伙增长近1倍。金融机构在快速定位与溯源数据泄露节点、提升应急响应速度等方面面临较大的挑战。
一位参与《金融数据安全应急响应和处置指引》研制的金融科技平台人士透露,他们先在日志层面实现网络架构分析,业务范围收敛,以此提前收集溯源相关的数据,并接入溯源分析平台,在数据查询方面通过优化数据存储方式与索引构建方式等办法,完善数据查询算法,能提升海量数据单次查询速度,迅速找出数据泄露节点并快速做好数据泄露风险防范与封堵举措。
如今,他们结合《金融数据安全应急响应和处置指引》相关内容,正增强情报能力建设——鉴于大量数据都是通过黑客买卖“流转”,金融科技平台正高度关注黑客买卖数据的情报。一方面,针对某些数据买卖相对频繁的黑客交易渠道开展动态跟踪,保障情报监控足够全面快速;另一方面,在情报识别方面结合AI算法能力,在主体识别,相关性识别,发布人画像补充完善等方面增加多语言的情报识别能力,提升情报识别的准确率。
针对《金融数据安全技术防护规范》的实践,一位金融科技平台人士向记者透露,在金融机构内部,网络安全与数据安全有着较大区别。比如,银行网络安全负责部门发现一个漏洞或黑客攻击,迅速打补丁或调整防火墙策略就行,无须协同银行其他部门协同处理。但数据安全无论是分类分级,还是安全保护监测,都需要数据安全主管部门与各个业务部门的充分交流沟通与相互配合,导致后者工作是一个闭环,工作模式不一样。
“此外,两者保护的对象也不一样,网络安全重点关注的是漏洞和危险,数据安全则关注数据生命周期。因此,网络安全产品是攻防视角,令网络安全产品更侧重过程,还原整个攻击线路与事件并进行监测与阻断,但数据安全产品则是业务视角,令数据安全是直接看结果,包括数据有没有异常访问,有没有流转异常,有没有异常变化等。”他指出。针对数据生命周期的安全防护要求,金融机构需要增强数字化系统数据流转视角的安全能力要求,比如从终端、到汇聚不同类型数据的数据库,再到对外的数据分享与规范使用,都需要建立相应的金融数据安全技术防护规范与操作举措。
这位金融科技平台人士向记者透露,针对金融数据生命周期里的数据交换环节安全性,他们结合《金融数据安全技术防护规范》,提供API安全分析系统,有API端安全监测系统,安全保护系统,形成小闭环,着手做好API端资产管理、API端风险监测、API端数据泄露风险的防范。
吴业超指出,未来围绕金融数据安全治理,金融行业还会迎来诸多挑战。尤其是随着人工智能技术持续发展,各类金融数据将拥有更多使用场景,令数据安全治理将更注重AI技术应用,由此持续探索新的安全策略并适应未来新技术的应用与挑战。这需要金融机构之间加强合作,在金融数据安全治理层面提供更多的最佳实践经验与技术输出。