多跨协同的多层次数据安全防护体系建设.docx

9

多跨协同的多层次数据安全防护体系建设

摘要:近年来,数据安全相关法律、标准密集出台,社会面进入了数据安全强监管时代。金融业作为数据密集型产业,敏感数据积累速度和使用场景不断扩充,数据安全风险日趋严峻,而支付等银行核心业务高度依赖数据安全防护作为基础保障,建设数据安全防护体系刻不容缓。本文针对金融业数据安全防护体系建设中的若干痛点问题,提出了一种以数字化转型中的多跨协同理念为核心的指导思想,管理、技术、运营三位一体的多层次数据安全防护体系建设方案,并针对员工、外联、对客三大场景输出了落地实践,使得整个体系更加立体化、智能化,同时也更符合金融业特性。

关键词:多跨协同数据安全多层次防护

一、数据安全防护体系建设背景

(一)数据安全强监管时代来临

随着《数据安全法》《个人信息保护法》的正式实施以及配套法规、标准的相继落地,我国已初步形成了一整套指导各行业落实数据安全工作的顶层设计,数据安全法治时代随之到来。

金融业作为数据密集型产业,支付等各项银行核心业务高度依赖数据安全防护作为基础保障,因此行业监管部门对数据安全非常重视。人民银行起草了《中

?

10

国人民银行业务领域数据安全管理办法(征求意见稿)》,面向社会公开征求意见。国家金融监督管理总局也对《银行保险机构数据安全监管办法》开始征求意见,行业规范不断强化,数据安全强监管时代呼之欲出。

(二)金融业数据安全防护体系建设痛点

在这样的时代背景下,金融机构一直致力于加强数据安全防护体系建设,但仍面临诸多痛点与难点:一是由于金融业务的开放性,其数据供应链较长,数据产生、使用场景繁杂,数据流动快、泄露渠道众多,很难全面防护;二是金融机构往往从业人员较多,内部员工泄露数据的风险较大,难以提前防范;三是数据作为生产要素的价值释放要求数据更充分地流动和利用起来,而数据安全防护天然与这一诉求相矛盾,保护与利用的平衡点较难把握;四是当前产业界能供给的数据安全管控技术工具落后于监管要求,精准防护手段欠缺,防护有效性难以提升。

二、数据安全防护体系建设

为解决上述问题,浙商银行以数字化转型中的多跨协同理念为核心指导思想,结合金融行业相关行标与数据安全治理逻辑,构筑了管理、技术、运营三位一体的数据安全防护体系(见图1)。

图1多跨协同的多层次数据安全防护体系总体架构

11

数据安全

管理、技术、运营三大体系涵盖了组织、流程、人员、技术、运营等数据安全相关事务,并在设计之初就考虑多部门、多业务、多产品融合联动的情况,在宏观层面贯彻了多跨协同的思路。管理体系是统领,技术体系是基础,运营体系则将相关安全产品与服务能力综合体现出来,三者相辅相成,构建了一个完整的数据安全防护体系。

(一)数据安全防护管理体系

管理体系是数据安全防护工作的统领与基础保障,应在现有的网络安全管理制度和网络安全组织架构下深化推进数据安全管理工作落地,形成多部门协同、齐抓共管、责任到岗到人的管理形式。通过管理体系建设,在数据安全领域落实金融科技风险三道防线并形成领导、管理、执行、监督的四层架构,强化数据使用者、管理者等各方的相关责任;同时,不断补充完善方针、规定、手册、表单构成的制度规范集,明晰各层级人员具体工作。

(二)数据安全防护技术体系

技术体系是以技术和相关产品为手段,结合金融机构自身的数据安全防护核心场景,提升预防、识别、处置数据泄露风险的能力和效率,实现保障数据安全的目标(见图2)。

大数据平台

大数据平台数仓金融业分支机构

个数据安全原子化能力统输出

个数据安全相关数据统上报应用等相关数据共享

数据安全防护管理中心(一中心)

分析结果数据安全集中管控模块SOAR

分析结果

多源数据汇接数据清洗存储风险事件输出安全业务支撑事件数据汇集响应剧本编排策略部署下发

多源数据汇接

数据清洗存储

风险事件输出

安全业务支撑

事件数据汇集

响应剧本编排

策略部署下发

能力联动处置闭环

闭环情况

数据关联融合

场景化建模分析

指令下发数据汇聚能力共享