2020年4月9日,中共中央、國務院印發《關于構建更加完善的要素市場化配置體制機制的意見》,要求“加快培養數據要素”,將數據作為新型生產要素,正式與土地、勞動力、資本、技術等傳統生產要素并列為國家基礎戰略性資源和社會生產創新要素之一。
中國人民銀行副行長范一飛表示,金融業作為數據密集型行業要深刻認識數據重要意義、深化研究數據管理機制、深度挖掘數據內在價值,為金融裝上數據引擎,實現多向賦能。
同時,范一飛強調,目前部分消費者和金融機構數據保護意識相對不足,對數據泄露環節和危害認識不到位,而不法分子竊取數據的手段卻不斷翻新,從面對面誘騙到遠程網絡攻擊,從木馬病毒到短信嗅探,個人隱私泄露等安全事件頻頻發生,甚至危及人民群眾生命財產安全,數據安全保護刻不容緩。
此外,范一飛進一步指出數據及數據安全對于金融行業的重要意義,數據已經成為了金融行業發展的新引擎,在使用數據之前要做好數據安全保護。金融機構不僅僅要做好數據治理,更要做好數據安全治理。這對于金融機構來說不是簡單的事情。
以銀行為例,根據《中小銀行數據安全治理報告》顯示,雖然92.5%的銀行已經開展了數據安全治理工作,但是采用成熟的方法論幾乎是0%。
《報告》指出,目前中國中小銀行數據安全治理的總體態勢存在三大短板:數據安全體系建設成效參差不齊;未遵循科學的方法論;知識和能力不足。
采用科學的、正確的方法,才能少走彎路,更容易成功。那么什么是數據安全治理的方法論?數據安全治理該怎么做呢?
分級指南:數據安全治理的基礎
2020年9月23日,中國人民銀行正式發布《金融數據安全數據安全分級指南》(JR/T 0197-2020)(以下簡稱《指南》)。
《指南》給出了金融數據安全分級的目標、原則和范圍,以及數據安全定級的要素、規則和定級過程。值得注意的是,《指南》雖為推薦性行業標準,但數據分類分級是金融機構所必須進行的重要工作。
《網絡安全法》第二十一條規定網絡運營者應當采取數據分類、重要數據備份和加密等措施,以防止網絡數據泄露或者被竊取、篡改。
2020年4月9日,中共中央、國務院《關于構建更加完善的要素市場化配置體制機制的意見》明確提出“要推動完善適用于大數據環境下的數據分類分級安全保護制度”。
標準主要起草人、國家金融科技測評中心(銀行卡檢測中心)的陳聰博士表示,對數據資產進行梳理并開展數據安全分級是機構開展數據安全管理的起始點。對數據實施分級管理,能夠進一步明確數據保護對象,有助于金融機構合理分配數據保護資源和成本,是金融機構建立完善的數據生命周期保護框架的基礎,也是有的放矢地實施數據安全管理的前提條件。
有了分級的框架,后續才能夠對數據采集和使用等情形進行界定,例如何種金融服務能采集哪些數據、數據如何存儲及其留存期限、哪些數據必須加密或脫敏、機構內部和機構之間哪些數據在何種情況下能夠進行跨部門、跨機構、跨行業,甚至跨國境的數據共享和傳輸等等。
因此,《指南》是解決金融行業數據安全應用和數據價值發掘痛點的根本,主要作用是敲地基,是數據安全相關標準制定和實施的基礎和前提。換句話說,《指南》是數據安全治理方法論的基礎。
數據使用和數據安全的兩全之法
對數據的爭奪,就是對商機和客戶的爭奪,而是否能夠在這場爭奪戰中占據優勢地位,取決于金融機構自身的數據安全治理能力。
對金融數據的使用和安全,中國人民銀行科技司司長李偉曾表示,要制定數據分級標準,基于全局數據資產目錄將數據進行分級。針對不同等級數據采取差異化的控制措施,實現數據精細化管理。規范數據共享流程,確保數據使用方在依法合規、保障安全前提下,根據業務需要申請使用數據。
由此可以看出,金融數據不是不能共享,也不是不能使用,而是在依法合規、保障安全前提下有序進行。也就是數據使用和數據安全的兩全之法。
當前,數據安全能力已經成為金融機構核心競爭力的代表。金融機構自身數據資產安全梳理和數據安全分級作為數據安全管理的第一步,是切實保障金融數據安全應用、強化金融機構數據安全能力的有力保障。
相對體量龐大、業務復雜的機構,從厘清數據資產的難度角度,中小型金融機構落地指南的難度相對較低。
但是從數據安全管理工作一致性和完整性的角度,大型機構具備相對更為完善的組織、崗位和制度體系,以及更為豐富的資源和更加雄厚的資本,數據安全分級落地實施的過程中,能夠進行更為全面和有力的統籌和規劃,并能夠獲得更加專業、多樣的外部支援力量(如專業人才、外部專家、第三方機構等),能夠將數據安全分級與后續數據安全管理有機結合起來,在完成本階段金融數據安全分級的同時,更加規范、有效地部署和實現覆蓋數據生命周期全過程的金融數據安全管理體系。
因此,對于各類型金融機構,數據安全分級工作沒有例外、更沒有捷徑可走。
數據分級首先需要對數據資產進行安全梳理,包括數據資產全面梳理、數據合規資料整理、不同數據安全需求分析以及對數據安全影響情況的評估等工作,即便是對于中小型機構,特別是此前沒有將數據安全納入機構日常安全管理規劃中的機構來說,仍然是一項需要給予足夠重視和投入才能完成好的工作。
因此可以考慮借助工具、第三方測評機構的技術能力和實施經驗等,結合自身數據資產、機構特點、業務情況等,開展數據安全分級,以確保數據安全分級工作合法合規的同時,節約成本,提高效率。
國家金融科技測評中心在數據安全領域深耕多年,在密切關注當前時代數據安全保護價值的同時,深刻認識到數據安全能力對于金融機構核心競爭力提升的重要意義,認為金融機構應及早采取應對措施,通過進行技術交流、引進咨詢項目、開展數據安全評估等渠道,充分理解和掌握數據安全分級方法及其應用,并應盡早開展數據安全分級工作,在全面梳理自身數據資產的基礎上,完成好數據安全定級工作,為下一步開展覆蓋數據生命周期全過程的數據安全管理體系建設提供堅實的基礎,服務數據的安全應用和安全流動,為數據價值的全面、充分釋放提供安全保障。
責任編輯:王煊
免責聲明:
中國電子銀行網發布的專欄、投稿以及征文相關文章,其文字、圖片、視頻均來源于作者投稿或轉載自相關作品方;如涉及未經許可使用作品的問題,請您優先聯系我們(聯系郵箱:cebnet@cfca.com.cn,電話:400-880-9888),我們會第一時間核實,謝謝配合。