據ENISA The cost of incidents affecting CIIs 2016報告，金融關鍵信息基礎設施是網絡犯罪的主要目標之一，其損失在所有行業中排名第一，而在受影響的資產中，數據首當其中。不僅如此，隨著大數據的廣泛應用，數據作為銀行業重要的資產之一，所面臨的安全形勢越來越嚴峻，銀行業如何保護其數據的安全是一個亟待解決的問題，應用“良好實踐（Good Practice，GP）”的思想是目前較為可行的思路之一。

　　“數據安全”是與“信息安全”存在區別的子領域

　　普遍認為，數據安全是廣義信息安全的一部分，或者一個子集，但是如果從“數據”和“信息”的定義來講，數據比信息的范圍更大，數據是用于荷載信息的物理符號，通俗的講，信息是有意義的數據。但是，在實際的應用中，由于“個人數據（personal data）”的重要性，又加上涉及到隱私管理等內容，因此，數據安全更多的強調數據本身的安全，信息安全關注的范圍則大得多，既包括信息本身的安全，也包括載體、處理設施直至處理者的安全。

　　換句話說，在應用中，數據安全用的是狹義的概念，信息安全用的則是廣義的概念。討論數據安全的時候，一般緊緊圍繞數據本身，主要關注數據整個生命周期的管理，而在討論信息安全的時候，則是以信息為核心，關注與安全相關的所有方面。這種不同的關注點，可能是由于詞匯變遷所造成的。通信安全、計算機安全、網絡安全（Network Security）和信息安全等是不同時期側重點不同所產生的同義詞匯，從產生就泛指廣義的與信息相關的安全。數據安全和網絡安全（Cybersecurity）等則是具有不同含義的詞匯，各有其專指的領域，詞匯含義本身就是聚焦的。

　　“良好實踐”在信息安全發展中起了基礎性的作用

　　信息安全所要解決的核心問題，就是如何保障信息的安全。在解決這個問題的過程中進行了各種各樣的嘗試。在第一階段，業界更多的關注技術手段，“以IT系統解決IT安全”，在這種認識下，防火墻、防病毒和入侵檢測（IDS）一度被合稱為“信息安全老三樣”。在第二階段，業界越來越意識到，“僅靠技術解決不了任何問題”，于是管理得到了重視。隨著認識的提高，自然而然的發展到第三階段，從業人員不再糾纏技術重要還是管理重要，總結出了各種各樣的“實踐集”，例如，ISF（Information Security Forum）發布了SoGP（Standard of Good Practice for Information Security，信息安全良好實踐標準），ISO/IEC JTC1/SC27發布了ISO/IEC 27002（信息安全管理實用規則）。

　　這個過程就應用了“良好實踐”的思想。良好實踐是一個重要的管理學概念，起源于全面質量管理（Total Quality Management，TQM）領域，在早期的文獻中，該詞匯一般被表述為“最佳實踐（Best Practice）”?！傲己脤嵺`”或“最佳實踐”在應用中并無本質區別，只是隨著認識的深入，換了一個更為客觀的說法。在近期發布的文檔中，更多的用“良好實踐”詞匯。事實上，“良好實踐”理論已經成為一種建立在歸納邏輯上的方法論，國際標準化組織（ISO）更是發布了A guide to good practice（良好實踐指引）。

　　一般而言，如何應對新事物或一種新現象，搞清楚其真實的原理需要一定的時間，在這個階段，總是需要采取一定的應對措施，這些措施需要“聽起來符合邏輯的因果關系解釋”?？v觀信息安全發展過程，每一個階段的實踐都被貼上“最佳實踐”的標簽，這些所謂的“最佳”隨著認識的提高也在不停的修正，例如，ISO/IEC 27002:2005有11個控制域，39個控制目標，133項控制；ISO/IEC 27002:2013中有14個控制域，35個控制目標，114項控制。

　　當然，良好實踐更不能在形式上證明是正確的，只是在實踐中被證明是有用的。在整個信息安全領域中，最具理論基礎，唯一能夠稱之為“學”的，只有密碼學。即便如此，除了“一次一密”能在理論上證明安全性，其他密碼算法也只能應用中證實其強度和實用性，嚴格意義上講，密碼算法也是“良好實踐”。

　　數據安全是銀行業最重視的領域之一

　　毫無疑問，數據安全，尤其是包括隱私在內的個人數據安全以及銀行機密數據安全，已經成為目前業界關注的熱點。和信息安全最初出現一樣，數據安全也沒有現成的經驗可以借鑒。在這種情況下，利用“良好實踐”開發新的方法是最可行的途徑之一。CFCA（中國金融認證中心）與國內諸多銀行成立聯合項目組，在現有經驗的基礎上重點從三個維度考慮銀行業的數據安全實踐：

　　· 應做（should）什么？基于銀行業的法律法規要求，滿足組織的內外合規問題。獲取合法性是組織能夠正常運營的基礎之一；

　　· 可做（may）什么？基于銀行的自身業務發展考慮，例如，銀行的組織戰略規劃，以及相應的IT規劃等，此處強調的是可能性與市場機會；

　　· 能做（can）什么？基于銀行自身的業務現狀，數據安全現狀以及財務狀況等因素考慮，與上述相比較，這里考慮更多的是現狀。

　　以銀行業的內外合規為例，國內銀行在數據安全方面不但要遵守《中國人民共和國網絡安全法》等強制性的法律法規，網絡安全等級保護等強制性標準，還要遵守中國人民銀行和中國銀行保險監督管理委員會等監管機構的要求，例如，表1所示的規范性文件。

表1：金融行業數據安全方面規范性文件示例

　　數據安全CPA（分級-處理-審計）的模型設計

　　對于所有的“良好實踐”而言，一般都要包括兩個部分：1）實踐集；2）方法論。

　　以目前常見的良好實踐為例，例如，全面質量管理、信息安全管理體系和聯邦企業架構等，都可以按照上述兩個要素去考慮，對應關系如圖1所示。

圖1：良好實踐的兩個基本要素

　　綜上所述，設計數據安全的基本模型，并根據其中所包含的過程命名。

　　CPA模型是根據其中最重要的三個步驟命名，包括：數據分級（classification）、數據處理（processing）和數據審計（audit）。具體如圖2所示。

圖2：數據安全CPA模型

　　在數據安全CPA模型中，數據安全模型沿用了NIST SP800-39（管理信息安全風險：組織、任務與信息系統視角）的縱向分層：治理層、管理層和控制層。

　　治理層主要關注組織整體層面的問題，例如，管理架構和保證資源提供等內容，在公司治理中，治理主體主要涉及的人員是董事會和高層管理。在CPA模型中，將數據的分類分級列入治理層，因為定義數據的級別是一個戰略問題，這主要取決于數據對組織主營業務的重要程度。分級（classification）詞匯主要來源于ISO/IEC 27002:2013中信息分級的概念，數據分級是數據保護的起點，只有在此基礎上，人員的角色才有效。

　　管理層主要關注業務過程層面的問題。在CPA模型中，數據全生命周期管理就在這個層面中，在管理層，將其統稱為處理（processing），該詞匯主要來源于《歐盟通用數據保護法規》（General Data Protection Regulation，GDPR）。處理是GDPR中的一個重要的概念，覆蓋了針對個人數據的各類操作，例如，收集、記錄、組織、建構、存儲、適應或修改、檢索、咨詢、使用、披露、傳播或以其他方式應用，排列或組合、限制、抹除或銷毀等。用于數據處理的技術是中性的，可以是手工的，也可以是自動的。

　　控制層主要關注具體可落地的策略或信息系統層面的問題。在CPA模型中，無論是技術手段還是管理手段的落地，都在控制層實現。審計（audit）之所以被單獨拿出來，是由于審計是值得特別強調的活動。Audit是一個比較通用的詞匯，可以翻譯為“審計”，在管理體系標準族中也被翻譯為“審核”。

　　數據安全CPA模型如何在銀行業中應用

　　數據安全CPA模型在方法論層次按照治理、管理和控制分別定義了主要活動，在實際應用中，需要根據應用領域的不同輸入具體的要求，確保三個層面的一致性，達到數據安全目標。

　　個人信息保護方面：網絡安全法和GDPR等涉及個人信息保護法律法規的實施，標志著從國家層面對個人信息的重視程度逐步提升。組織從管理層保障個人信息保護的人、財、物等需求，明確個人信息分類分級標準，達到組織各個層面對不同個人信息的認知的統一，再按照數據生命周期完善相應的技術和管理措施，最終滿足個人信息保護的合規要求。如果組織按照GB/T 35273-2017完善個人信息保護管理和技術措施，則應該分解具體的條款要求后，加入CPA模型。以數據收集為例，如圖3所示。

圖3：滿足GB/T 35273-2017的數據安全CPA模型（部分）

　　CPA模型可以廣泛的應用到各類商業組織。商業組織之間的競爭在某種程度上是核心數據的競爭，如何有效保護商業組織敏感數據，使商業組織在競爭中保持領先優勢，成為商業組織關注的重點。商業組織建立有效的敏感數據防護體系，需要按照CPA模型要求，結合組織實際，按照治理、管理、控制三個層面自上而下的開展敏感數據保護，確保整體商業組織對敏感數據認知和防護措施的一致性。

　　以數據分級為例，組織可以按照商業敏感數據進行分級，例如，可以分為機密、內部使用和公開三個級別。如圖4所示：

圖4：商業敏感數據分級

　　數據安全CPA模型的延伸應用

　　CPA模型在數據安全領域有著廣泛的實踐，任何涉及大量處理個人隱私數據的行業，如金融、政府、醫療衛生、教育等；或者保有大量交易、商品、訂單、技術秘密等商業秘密的行業，如電子商務、能源、制造業、航空航天等，都對數據安全有著天然的敏感與依賴，利用CPA框架有效建立和完善數據安全治理、管理、控制縱向分層安全機制，并通過分級、處理、審計體系，從事前、事中、事后對數據進行全生命周期的安全保障，才能保證組織核心命脈數據的安全、可控。

　　作者：季小杰 謝宗曉（中國金融認證中心CFCA）

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇