《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 平安銀行個(gè)人信息保護(hù)實(shí)踐分享

平安銀行個(gè)人信息保護(hù)實(shí)踐分享

2022-11-09
來(lái)源:安全419
關(guān)鍵詞: 平安銀行 個(gè)人信息

  近期,,一張某大型銀行因信息安全等問(wèn)題被罰50萬(wàn),、責(zé)任人被禁業(yè)10年的罰單引發(fā)行業(yè)關(guān)注,金融數(shù)據(jù)安全問(wèn)題再次被推向風(fēng)口浪尖,。眾所周知,,金融數(shù)據(jù)不僅具備數(shù)據(jù)的一般特性,,更是包含了國(guó)民個(gè)人信息、企業(yè)資金流轉(zhuǎn),、社會(huì)經(jīng)濟(jì)活動(dòng)等重要內(nèi)容,,因此其安全重要性不僅得到行業(yè)廣泛認(rèn)同和大眾關(guān)切,更是在各行業(yè)的法律監(jiān)管中一騎絕塵,。

  安全419關(guān)注到,,在日前召開(kāi)的BCS 2022大灣區(qū)網(wǎng)絡(luò)安全峰會(huì)數(shù)據(jù)安全治理論壇上,來(lái)自平安銀行股份有限公司的安全專(zhuān)家立足真實(shí)的甲方視角和需求,,分享了平安銀行在個(gè)人信息保護(hù)上的思考和實(shí)踐,。我們?cè)诖耸崂砜偨Y(jié)相關(guān)精華內(nèi)容,以期為同業(yè)者開(kāi)展數(shù)據(jù)安全建設(shè)提供一定的借鑒參考,。

  金融數(shù)據(jù)安全重要性

  站在數(shù)據(jù)安全及個(gè)人信息保護(hù)的角度,,中央網(wǎng)信辦、國(guó)家網(wǎng)信辦、銀保監(jiān)會(huì),、公安部,、市場(chǎng)監(jiān)管局、密碼管理局,、工信部,、人民銀行、消保協(xié)會(huì)等部門(mén)都有相應(yīng)的法規(guī)政策支撐,,對(duì)金融機(jī)構(gòu)進(jìn)行監(jiān)督管理,。目前呈現(xiàn)三階立法態(tài)勢(shì),在網(wǎng)安法,、數(shù)安法,、個(gè)保法等近10個(gè)國(guó)家法律及司法解釋的頂層規(guī)劃下,細(xì)化出了《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等10余個(gè)部門(mén)規(guī)章及行業(yè)監(jiān)管要求,,此外還有近50項(xiàng)相關(guān)的國(guó)家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn),。

  在密集出臺(tái)、要求趨嚴(yán)的政策之下,,金融業(yè)面臨從刑事處罰,、民事處罰、到行政處罰的三重法律責(zé)任,,違規(guī)將可能帶來(lái)業(yè)務(wù)暫緩,、資金流失、聲譽(yù)受損及銷(xiāo)售銳減等惡劣影響,。多方聯(lián)動(dòng)監(jiān)管的局面導(dǎo)致近年來(lái)我們能看到的大額罰單越來(lái)越多,,這是高標(biāo)準(zhǔn)、嚴(yán)法律,、強(qiáng)監(jiān)管帶來(lái)的高要求,。因此,保護(hù)好客戶數(shù)據(jù)是金融業(yè)義不容辭的使命,。

  個(gè)人信息保護(hù)實(shí)踐

  參照DSMM成熟度模型,,從組織能力、管理機(jī)制,、技術(shù)工具三個(gè)層面構(gòu)建個(gè)人信息保護(hù)體系,。

  微信圖片_20221109110052.png

  組織能力

  由于數(shù)據(jù)是持續(xù)流動(dòng)變化的,并不存在一鍵合規(guī),、一勞永逸的方案,,建立一套有效的組織保障體系就顯得尤為重要。為了避免科技或安全單方面主導(dǎo),,必須建立與關(guān)鍵業(yè)務(wù)的協(xié)同管理機(jī)制,,并且建立高級(jí)管理層的報(bào)告決策機(jī)制。

  基于事前事中事后整個(gè)數(shù)據(jù)生命周期內(nèi)需要進(jìn)行的安全相關(guān)工作事項(xiàng),并結(jié)合行內(nèi)的部門(mén)職責(zé)與組織架構(gòu),,分三類(lèi)職責(zé)來(lái)建立組織保障體系,,橫向聯(lián)動(dòng),以保證數(shù)據(jù)安全責(zé)任予以落實(shí)落地,。

  1.個(gè)人信息保護(hù)委員會(huì),,負(fù)責(zé)業(yè)務(wù)過(guò)程中對(duì)客戶敏感信息和消費(fèi)權(quán)益的保護(hù)。該組織由業(yè)務(wù)部門(mén)(風(fēng)險(xiǎn)管理部)牽頭,,需要在業(yè)務(wù)層面達(dá)成涉及客戶的數(shù)據(jù)收集,、?,?授權(quán),、告知等義務(wù),以及落實(shí)與第三方業(yè)務(wù)合作過(guò)程中的數(shù)據(jù)安全合規(guī)責(zé)任,。

  2.數(shù)據(jù)治理工作組,,負(fù)責(zé)數(shù)據(jù)質(zhì)量和服務(wù)。數(shù)據(jù)保護(hù)的起點(diǎn)是數(shù)據(jù)的盤(pán)點(diǎn)和分類(lèi)分級(jí),,本質(zhì)上,,所有接觸數(shù)據(jù)的部門(mén)并不是數(shù)據(jù)的所有者,需要數(shù)據(jù)治理工作組在組織內(nèi)部去梳理清楚數(shù)據(jù)的位置,、形態(tài),、如何打標(biāo)、安全責(zé)任歸屬等,。

  3.網(wǎng)絡(luò)與信息安全管理委員會(huì),,負(fù)責(zé)數(shù)據(jù)安全管理。,??在數(shù)據(jù)全生命周期內(nèi),,為了達(dá)成,??不同等級(jí)和類(lèi)型數(shù)據(jù)的安全保護(hù)要求,,需要該組織出臺(tái)相應(yīng)的標(biāo)準(zhǔn),,從技術(shù)層面推進(jìn)各部門(mén)嚴(yán)格遵從技術(shù)規(guī)范。

  管理機(jī)制

  數(shù)據(jù)安全管理落地,,配套的業(yè)務(wù)管理流程必不可少,,需要在業(yè)務(wù)、產(chǎn)品的規(guī)劃和設(shè)計(jì)中,,充分考慮數(shù)據(jù)安全的要求和能力構(gòu)建,。

  值得注意的是,制度體系不僅局限于技術(shù)層面,而是組織架構(gòu),、制度體系和控制流程的相互結(jié)合,。為了落實(shí)業(yè)務(wù)合規(guī)的規(guī)則、保證數(shù)據(jù)合規(guī)的運(yùn)營(yíng),,建立數(shù)據(jù)從采集,、傳輸、存儲(chǔ),、使用到銷(xiāo)毀全生命周期的授權(quán)制度流程,,即擬定業(yè)務(wù)處理與業(yè)務(wù)合作過(guò)程中相應(yīng)的合規(guī)要求,并采用配套的技術(shù)工具予以支撐,。

  技術(shù)工具

  ● 落地?cái)?shù)據(jù)分級(jí)分類(lèi)

  建立數(shù)據(jù)安全技術(shù)保障能力,,首先是落地?cái)?shù)據(jù)分級(jí)分類(lèi)。以自動(dòng)化的手段,,通過(guò)對(duì)基礎(chǔ)數(shù)據(jù)的采集和分析,,實(shí)現(xiàn)數(shù)據(jù)的梳理和打標(biāo)?;A(chǔ)數(shù)據(jù)來(lái)源應(yīng)包括所有數(shù)據(jù)庫(kù)的庫(kù),、表、字段信息及變化信息,,所有生產(chǎn),、測(cè)試及辦公的網(wǎng)絡(luò)出口流量,所有應(yīng)用間的調(diào)用鏈路信息及屬主信息,,所有辦公終端上的數(shù)據(jù)文件及操作行為,。

  通過(guò)對(duì)敏感數(shù)據(jù)的動(dòng)態(tài)識(shí)別與風(fēng)險(xiǎn)跟蹤,可以創(chuàng)建敏感數(shù)據(jù)資產(chǎn)分布地圖,,基于可視化的管理來(lái)優(yōu)化數(shù)據(jù)的采集,、存儲(chǔ)和使用;可以在數(shù)據(jù)外發(fā)和內(nèi)部使用時(shí)對(duì)數(shù)據(jù)進(jìn)行分級(jí)管控,,如未經(jīng)授權(quán)審批就發(fā)送數(shù)據(jù)至外部,、違規(guī)超量或超字段發(fā)送數(shù)據(jù)至外部、不安全的內(nèi)部敏感數(shù)據(jù)調(diào)用及訪問(wèn)請(qǐng)求等,。

  ● 技術(shù)組合實(shí)現(xiàn)數(shù)據(jù)安全分級(jí)管控

  在數(shù)據(jù)分級(jí)分類(lèi)識(shí)別基礎(chǔ)之上,,基于數(shù)據(jù)本身的密級(jí)(如:S1非保密、S2秘密,、S3機(jī)密,、S4絕密),在開(kāi)發(fā)測(cè)試,、數(shù)據(jù)運(yùn)維,、數(shù)據(jù)分析,、應(yīng)用訪問(wèn)、特權(quán)訪問(wèn),、通用技術(shù)工具等所有不同場(chǎng)景下,??做到真正意義上的以數(shù)據(jù)為單元的分級(jí)管控,。

  具體而言,,對(duì)于任何一次主體(人員或應(yīng)用)訪問(wèn)客體(數(shù)據(jù))的行為,需要基于主體訪問(wèn)的網(wǎng)絡(luò)環(huán)境,、終端環(huán)境,、應(yīng)用環(huán)境,比如是在行內(nèi)通過(guò)標(biāo)準(zhǔn)終端,、在外網(wǎng)通過(guò)BYOD,、在辦公網(wǎng)絡(luò)或在生產(chǎn)網(wǎng),通過(guò)研發(fā)運(yùn)維工具,、郵件系統(tǒng)或大數(shù)據(jù)分析系統(tǒng)等通道,,綜合評(píng)定主體訪問(wèn)的風(fēng)險(xiǎn),并基于客體數(shù)據(jù)的密級(jí)和所在的環(huán)境,,進(jìn)行動(dòng)態(tài)的訪問(wèn)控制和安全防護(hù),。

  ● 統(tǒng)一用戶授權(quán)平臺(tái)

  開(kāi)戶辦卡、存錢(qián)匯款,、理財(cái)貸款……銀行不同的業(yè)務(wù)場(chǎng)景對(duì)客戶的數(shù)據(jù)需求不盡相同,,為了保證最小必要、明示同意的要求,,構(gòu)建統(tǒng)一用戶授權(quán)平臺(tái),,以客戶為中心?,?建立其在本行不同業(yè)務(wù)產(chǎn)品及業(yè)務(wù)渠道上的數(shù)據(jù),??授權(quán)范圍,、授權(quán)期限,、分級(jí)授權(quán)及變更通知等。

  在用戶統(tǒng)一授權(quán)平臺(tái)上,,?,?所有的前端業(yè)務(wù)及渠道,,其產(chǎn)品協(xié)議中對(duì)于客戶信息的采集告知將在后臺(tái)進(jìn)行統(tǒng)一管理?,?,,并實(shí)時(shí)響應(yīng)客戶隨時(shí)隨地取消授權(quán)的要求,。?,?未來(lái),,還需要能夠響應(yīng)消保委等監(jiān)管部門(mén)的合規(guī)檢查要求,通過(guò)該平臺(tái)將清晰地呈現(xiàn)如何對(duì)客戶的數(shù)據(jù)進(jìn)行授權(quán)管理和安全保護(hù),。

  ● 數(shù)據(jù)第三方交互評(píng)估機(jī)制

  第三方交互是數(shù)據(jù)安全管理中非常重要的一個(gè)環(huán)節(jié),,從提出與第三方合作的需求、到研發(fā)的實(shí)現(xiàn),、再到相關(guān)系統(tǒng)運(yùn)行的變更,,需要建立一套閉環(huán)的管理機(jī)制。

  基于個(gè)人信息委員會(huì)和網(wǎng)絡(luò)與信息安全管理委員會(huì),,在每一次與第三方開(kāi)展合作前進(jìn)行安全評(píng)估,,了解合作內(nèi)容中對(duì)于客戶信息的要求、數(shù)據(jù)交互的要求,,反推是否需要修改相關(guān)的隱私政策和業(yè)務(wù)協(xié)議,,并對(duì)客戶做單次的告知和授權(quán),嚴(yán)格履行個(gè)人信息保護(hù)義務(wù),。

  當(dāng)合作需求固化之后,,需要確保在未來(lái)的持續(xù)運(yùn)營(yíng)過(guò)程中,實(shí)時(shí)監(jiān)測(cè)實(shí)網(wǎng)傳輸?shù)臄?shù)據(jù)內(nèi)容不會(huì)發(fā)生越權(quán),、超量等變化,。在技術(shù)實(shí)現(xiàn)上,需要把個(gè)人信息保護(hù)要求以及數(shù)據(jù)安全管控要求,?,?嵌入到了SDL或DevOps的每個(gè)環(huán)節(jié)中(比如在需求設(shè)計(jì)階段,如果應(yīng)用涉及到需要,?,?展示客戶敏感信息,那就必須進(jìn)行安全評(píng)審,,用安全的方式做屏蔽展示),,以保證所有的安全策略在應(yīng)用的全生命周期中得以落實(shí)。

  關(guān)于未來(lái)數(shù)據(jù)安全管理能力的暢想

  基于以上從組織到管理到技術(shù)的體系構(gòu)建,,數(shù)據(jù)安全動(dòng)態(tài)風(fēng)險(xiǎn)管控體系將形成三大中心,。畫(huà)像中心將對(duì)人和數(shù)據(jù)分別畫(huà)像,一是依據(jù)崗位,、終端操作行為,、應(yīng)用系統(tǒng)訪問(wèn)行為等日常監(jiān)控等,實(shí)時(shí)智能識(shí)別“風(fēng)險(xiǎn)”人員,;二是運(yùn)用敏感信息自動(dòng)識(shí)別技術(shù),,對(duì)數(shù)據(jù)進(jìn)行自動(dòng)化識(shí)別,、分級(jí)分類(lèi)、標(biāo)記,,識(shí)別“敏感”數(shù)據(jù),。

  控制中心是基于場(chǎng)景的安全防護(hù)策略與工具。結(jié)合數(shù)據(jù)生命周期安全技術(shù)框架,,對(duì)不同階段數(shù)據(jù)提供更完善和優(yōu)化的安全防護(hù)工具,;充分運(yùn)用大數(shù)據(jù)、機(jī)器學(xué)習(xí),、人工智能及云計(jì)算等新興前沿技術(shù),,融合監(jiān)管要求、安全管控方案,、知識(shí)庫(kù),,構(gòu)建實(shí)時(shí)智能快捷的安全訪問(wèn)控制策略。

  監(jiān)控中心則需要結(jié)合應(yīng)用系統(tǒng)交易全鏈路監(jiān)控,、網(wǎng)絡(luò)流量監(jiān)控,、數(shù)據(jù)水印、數(shù)據(jù)染色等手段,,實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)流轉(zhuǎn)的全鏈路跟蹤,。

  總而言之,未來(lái)的數(shù)據(jù)安全發(fā)展方向應(yīng)該是低門(mén)檻,、強(qiáng)監(jiān)控的,,即,在數(shù)據(jù)成為生產(chǎn)資料的現(xiàn)在,,依靠管控準(zhǔn)入已經(jīng)不能完全達(dá)到業(yè)務(wù)創(chuàng)新的要求,,因此必須在準(zhǔn)入之后加強(qiáng)監(jiān)控,能夠?qū)崟r(shí)發(fā)現(xiàn)數(shù)據(jù)運(yùn)營(yíng)過(guò)程的異常,,對(duì)種種不合規(guī)的行為予以干預(yù)和控制,,滿足個(gè)人信息保護(hù)的合規(guī)義務(wù),同步保障發(fā)展與安全,。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]