AG公司(中国区)·有限公司官网

AG公司

AG公司科技

  • 安全产品与方案

    安全产品与方案

  • 基础设施安全

    基础设施安全

  • 数据安全

    数据安全

  • 云计算安全

    云计算安全

  • 工业互联网安全

    工业互联网安全

  • 物联网安全

    物联网安全

  • 信息技术应用创新

    信息技术应用创新

  • 全部产品

    全部产品

  • 全部解决方案

    全部解决方案

基础设施安全

  • 政府

    政府

  • 运营商

    运营商

  • 金融

    金融

  • 能源

    能源

  • 交通

    交通

  • 企业

    企业

  • 科教文卫

    科教文卫

返回列表

北京金融科技产业联盟第十期监管科技分享汇:《数据安全法》下金融数据安全风险评估研究与实践

2021-10-01

9月16日,由北京金融科技产业联盟秘书处与主任委员单位国家金融科技测评中心联合主办的线上直播栏目《监管科技分享汇》第十期开播。在本期直播中,AG公司科技集团股份有限公司数据安全解决方案架构师施岭为大家带来《数据安全法》下金融数据安全风险评估研究与实践的相关分享。

 

数据安全现状分析

 

近年来,金融领域的数据安全事件频发。2021年1月29日,银保监会开出今年第一张罚单,某银行因数据安全、网络安全被罚,涉及发生重要信息系统突发事件未报告、互联网门户网站泄露敏感信息等六项问题,罚款金额420万元人民币。3月19日,某银行因“未经客户本人授权查询并向第三方提供其个人银行帐户交易信息”被罚450万元人民币。

 

在《数据安全法》体系之下,2019年至2021年金融行业发生多起事件,相关部门对数据安全下达多项指导意见和方针,金融机构应在可见的法律和规范内进行合规化建设,避免因某些无意识的操作而造成数据泄露,从而遭到处罚。

金融行业数据存在四方面特性,一是存在形式多样式,包括结构化数据、半结构化数据、非结构化数据,二是动态流转复杂性,包括全生命周期动态流转、实际业务驱动数据动态流转,三是数据主体多样式,包括基础设备、数据中心、部门间和第三方机构,四是数据价值模糊性,包括数据确权问题、数据归属认责、数据价值准确评估。

 

应对上述特性,很多企业都在做数据咨询服务。全行业可以把数据咨询服务分为数据分类分级、个人信息安全影响评估、数据安全评估、数据安全管理体系建设、数据安全培训等。

 

数据安全数据安全第一步:分类分级

 

《数据安全法》第三章第二十一条明确提出,国家建立数据分类分级保护制度,依据危害程度,对数据实行分类分级保护。各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。

 

在进行数据分类分级之前,首先要明确所有数据的属性,做数据资产的识别。识别数据资产、建立数据资产清单、掌握数据重要程度是风险评估的基础,也是数据分类分级管理的基础。

 

数据分类分级需要一定原则性,其中数据分类基于系统性、规范性、稳定性、扩展性、明确性等,数据分级基于依从性、可执行性、时效性、自主性、合理性、客观性等。《数据安全法》基于敏感赋值,将数据的类别分为一般数据、重要数据、核心数据。数据分类分级的目的是将数据以标签化的模式进行管理。

 

在进行分类分级时,可以利用扫描工具最大化提升效率。目前,市面上已经推出一些数据扫描工具,IDR产品设计融入了实施需求,是数据分类分级的绝佳搭档。

数据的分类分级需要前期准备工作、数据资产调研、数据分类分级、制定分级管理办法、汇报与总结等必不可少的流程,每一个流程都有其相对应的服务成果,比如过程文档-项目实施计划、数据资产调研记录、《数据分类分级表》和《数据资产清单》《数据分级管理办法》《数据分类分级服务报告》等。

 

以个人金融信息数据分类分级为例,按敏感程度从高到低分为C3、C2、C1三个类别,即高敏感、中敏感、低敏感三类。两种或两钟以上的低敏感度类别信息经过组合、关联和分析后可能产生高敏感程度的信息,同一信息在不同的服务场景中可能处于不同的类别,这些应依据服务场景以及该信息在其中的作用,对信息的类别进行识别,并实施针对性的保护措施。

 

数据分类分级需要明确数据安全的组织责任,将《数据分级安全管理办法》结合数据分级管控策略,结合数据生命周期的每个阶段,把数据安全的访问控制落到实处。

数据安全风险评估实践

 

《数据安全法》第四章第三十条明确提出,重要数据的处理者应定期开展风险评估,并向有关主管部门报送风险评估报告。数据安全风险评估能够帮助组织发现自身数据安全问题和短板,明确数据安全保护需求,为建设数据安全管理和技术手段指明方向,给出解决方案。

 

数据应用场景与数据生命周期息息相关,包括数据收集/产生、传输、存储、调取、加工分析、外发等数据行为。每个数据类型都对应着多个数据应用场景,每个应用场景背后都有潜在的安全风险和合规风险。

对于个人信息而言,需要分析其中是否存在对个人权益的影响,以及影响程度。典型的个人权益影响类型包括影响个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、个人财产受损等。

 

安全事件的可能性分析需要从网络环境与技术措施、处理流程规范性、参与人员与第三方、安全态势及处理的规模等四个方面入手。

 

风险分析的各项活动在识别出的具体数据应用场景中展开,从场景中识别数据威胁、脆弱性、已有安全措施、数据资产,进而判断数据威胁发生可能性、脆弱性和可利用性、脆弱性对数据影响严重程度、数据重要程度,进而得出安全事件可能性、安全事件后果,然后将其赋值,变成一种风险值,最终形成风险分析报告。

 

当数据安全发生风险时,需要采取适当方式进行处置,一是控制风险,即及时发现风险,降低损失,二是转嫁风险,即可利用安全公司、保险公司等第三方机构进行风险转嫁,三是避免风险,即做好日常监测,培养相关人员的安全意识,四是接受风险,即在无法避免风险的前提下,及时溯源处置。风险处置措施的涉及风险描述、风险值、风险处置措施、风险处置步骤、相关责任人、预计时间、风险级别等。

 

根据数据安全风险评估结果,针对每一个数据的安全风险,结合被影响的数据资产重要程度,应选择恰当的数据安全控制措施,实现数据分级分类管理与保护。

数据安全治理全景介绍

 

依据方法论,AG公司科技通过五个阶段对数据安全进行治理。一是“知”,即制定规范与定义敏感数据,二是“识”,即数据分类分级与风险评估,三是“控”,即安全策略与控制敏感数据,四是“察”,即安全监察与行为追踪溯源,五是“行”,即安全事件处置与持续运营。

 

更多精彩内容欢迎扫码进入课程回看:

本文来源:监管科技专委会、会员服务部

投稿邮箱:News@bfia.org.cn

 

<<上一篇

携手云网融合 共筑安全可信|AG公司科技受邀出席移动云Tea Talk技术沙龙

>>下一篇

“天府杯”超级网安大赛集结|攻防实战七大看点全爆料

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入AG公司科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
AG公司科技社区
AG公司科技社区
资料下载|在线问答|技术交流

© 2024 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证68191074号

网站首页
AG公司