一、数据治理背景
数据是现代金融的命脉及核心资产,数据以及基于数据而产生的信息对于目前日常业务运作及科学的管理决策起着至关重要的作用。科学、高质的数据是金融机构未来业务创新、运营模式转型的关键基础。随着行业对数据的高度采用,数据安全问题在金融行业亦频繁出现,引发的信息科技乃至业务风险逐年增高。
2018年3月16日,银监会起草发布了《银行业金融机构数据治理指引(征求意见稿)》,《指引》共包括七章五十五条,旨在引导银行业金融机构加强数据治理,充分发挥数据价值。银监会有关部门负责人在答记者问中强调:“明确数据管理和数据质量控制的要求。明确银行业金融机构数据管理方面的要求,覆盖数据战略、
数据管理制度、数据标准、信息系统、数据共享、数据安全、应急预案、问责机制和自我评估机制等。要求建立数据质量控制机制,明确将监管数据纳入数据治理范畴,要求全面强化数据质量,保证数据的真实性、准确性、连续性、完整性和及时性。强化银行业金融机构对数据质量的责任,明确由董事会承担数据治理最终责任,建立和实施上至高管层的数据治理问责机制。”。目前数据治理存在的较多问题,其中也包括大家比较关心的数据安全意识、数据共享安全、以及客户隐私保护等风险。
本文就《指引》要求以及数据治理安全需求出发,分析金融行业在数据治理中存在的信息安全问题,以及对应的安全措施建议。
二、数据治理关注的安全问题
目前大多数金融行业数据治理存在的安全问题主要有如下几个方面:
1、 缺乏数据治理或数据管理组织,数据管理职责不够清晰,存在边界模糊地带,未建立数据安全管理制度或规范不够全面深入;
2、 数据收集管理平台更关注于业务创新分析等数据使用成果,对于使用过程中产生的安全问题缺乏关注,数据安全意识较薄弱,客户隐私保护停于表面,数据泄露事件层出不穷;
3、 金融数据分布在不同的业务和信息系统,存在数据冗余及不一致现象,而大多数金融机构都是基于业务需求获取相对应的数据,对于机构内部的数据未进行全面深入的挖掘、梳理、管理,存在数据监管盲区;
4、 金融数据范围广,数据量巨大,现有措施均为一刀切管理,未对数据进行精细化分级分类,缺乏数据规范性的建设,影响业务价值的体现,同时也影响数据安全保护;
5、 数据安全保护措施较薄弱,现有防护系统未关注数据威胁警示,未采取措施主动发现和管理数据生命周期中存在的安全风险;
三、数据安全治理建议
基于数据治理中普遍存在的安全风险,建议金融机构在进行数据治理活动中从以下几个方面关注安全问题:
1、数据治理架构:
建立合理的组织架构是确保数据治理目标能够达到的重要保障,良好的组织架构可以理顺各部门间的数据管理协作关系,保障管理机制顺利执行,保障数据管理制度、规范能顺利落地实施。根据《指引》合规要求,各银行业金融机构必须设立首席数据官,且明确业务及支撑部门的数据管理职责,绿盟科技建议将数据治理架构与现有信息科技管理体系相结合,信息科技部门作为数据重要支撑管理部门,在不改变现有组织架构的前提下,明确数据角色,将数据治理及数据安全职责融合到现有岗位要求中,以确保数据管控政策的顺利落地执行
2、数据管理制度:
监管要求银行业金融机构应当制定全面科学有效的数据管理制度,其中包括机构各个环节和责任人的组织管理职能,符合监管要求的数据指标,数据技术要求规范等方面,确保制定的制度体系清晰明了,且能得到有效的贯彻和落实。而我们建议数据管理制度还应体现数据安全要求,借鉴国内同业和国外相关领域的领先实践,制定数据保密制度,数据安全标准规范,数据安全评估要求,以及可供各金融机构落地实施的数据安全评估流程及方法,同时应将数据安全风险管控要求纳入到金融机构现有风险管理体系,约束和规范数据安全管理工作。
3、应急预案:
谈到业务连续性和应急预案,以往各金融机构更关注于业务系统的可用性,其实业务可用即包含了数据可用,而目前大家更注重于基于某个业务或信息系统制定专项应急预案,出于数据安全考虑,须在现有应急预案增加数据方面考虑,必要时制定数据专项应急预案,结合《商业银行信息科技风险管理指引》业务连续性要求以及《商业银行业务连续性监管指引》要求,预案应包含组织体系、不同应急场景下的预警、应急响应与报告、恢复和处置以及应急联系方式等。目前数据安全主要存在的应急场景包括数据丢失、数据篡改和数据泄露等,在设计数据专项应急预案时,可从机房物理环境、存储设备、内外部攻击、数据窃取及泄露等方面进行展开,并结合安全态势及行业发展进行修订更新。
在流程设计完善且预案通过的情况下,须组织金融机构业务部门、技术支撑部门、风险管理等相关内部部门,以及第三方厂商、外部监管机构进行应急演练,在演练的过程中及时发现并调整预案,建议金融机构每年至少组织一次数据安全相关应急演练,以保障应急预案的时效性,并提高演练熟练程度,最大限度降低数据安全带来的业务风险。
4、数据全生命周期管理:
数据安全治理可以从多个维度进行梳理,传统的信息安全主要从数据的完整性、保密性和可用性即CIA三个方面进行控制,但随着信息系统的使用以及行业数据量的巨幅增长,目前采用的比较多的数据安全梳理方法主要是全生命周期管理法,生命周期管理是一种信息管理模式,包含对数据的产生、使用、迁移、清理、销毁的全生命周期管理。通过对数据进行整体生命周期梳理,可以发现数据在各个阶段的脆弱性以及受到的威胁,有效降低数据安全风险。
国内关于数据生命周期安全要求多以行业最佳实践为主,至2017年,全国信息安全标准化技术委员会发布国家标准《信息安全技术大数据安全管理指南》、《大数据服务安全能力要求》、《大数据安全能力成熟度模型标准》等一系列大数据安全标准,因此,金融机构在进行数据治理及安全管理活动中,需参考以上数据安全要求进行数据管理体系建设,下图为标准中涉及到的数据生命周期安全关键指标项:
5、数据评估审计及考核:
根据《指引》要求,各金融机构需定期进行数据治理评估及审计,我们建议在数据评估的过程中包含数据安全专项指标,从数据采集、传输、存储等重点隐患环节进行风险识别,形成本机构数据安全风险地图,并进行长期监控以降低整体数据安全风险。
《指引》要求在绩效考核以及安全意识教育方面,均需要采取管控措施,我们建议审计稽核部门在现有在各金融机构定期组织的信息安全意识课题中,增加数据安全专项培训,强化客户隐私保护要求,以提高全员数据安全风险意识;建立数据质量及安全考核评价体系指标,并将考核结果纳入各机构整体考核体系。
本文作者:绿盟科技金融事业部 《浅谈金融行业数据治理之信息安全考虑》 陈爱珍
