近年來，國內外銀行、保險等金融數據泄露頻發，2019年7月，美國第七大商業銀行第一資本大約1億美國人和600萬加拿大人的個人信息遭到一名黑客竊取，2020年11月，瑞典最大的保險公司Folksa泄露了近100萬客戶的個人信息數據，等；根據中國銀保傳媒股份有限公司與亞信網絡安全產業技術研究院發布的《金融行業網絡安全白皮書（2020）》顯示，發生的金融隱私泄露事件大約以每年35%的數據在增長，有公開報告或記錄的2016年1093起，2017年1511起，2018年1967起，2019年2300余起。

國家對數據安全保護亦十分重視，陸續頒布了包括《中華人民共和國個人信息保護法（草案）》、《網絡安全法》在內的多部重磅法律法規。近日，第十三屆全國人民代表大會常務委員會第二十九次會議通過《中華人民共和國數據安全法》，2021年9月1日起實施。該法的出臺，為規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全等提供了堅實可靠的法律依據。

在此背景下，金融行業如何構建數據安全體系，有效防止數據泄露，滿足監管合規的要求。是其業務數字化轉型過程中面臨的重要挑戰。

中國金融認證中心（CFCA）根據金融行業數據安全項目的實際經驗，總結出了數據安全治理的“IPDR”模型，金融機構可作為參考。

一、識別（Identify）是基礎

金融機構應從需求和資產兩方面對數據安全進行識別。其中監管合規和數據資產是數據安全識別的條件，作為強監管的金融行業，應從法律法規、行業監管要求和部門規章以及標準規范三方面進行數據安全相關要求的識別。而數據資產是數據安全治理保護的對象，尤其是敏感數據，金融機構要梳理自己的數據資產有哪些，在哪里，誰負責，如何防護。數據資產識別后的分類分級是一個難點，目前大部分機構只在制度方面建立了相關的分類分級辦法，但是在落地方面還比較欠缺，這部分需配合防護層面的數據分類分級工具落實。

二、防護(Protect)是核心

數據安全治理的大部分落實工作在防護層面。主要包括組織架構建設、制度體系建設和技術工具建設。組織架構方面，金融機構需成立數據安全管理委員會，建立自上而下的覆蓋決策、管理、執行、監督四個層面的數據安全管理體系，明確組織架構和崗位設置，保障數據生命周期安全防護要求的有效落實。制度體系方面，需建立統一的金融數據安全管理制度體系，明確各層級部門與相關崗位數據安全工作職責，數據安全的策略方針，管理辦法和規范工作流程。技術工具方面，應重點關注數據分類分級、數據防泄漏、數據脫敏等工具的部署和落地。此外，金融機構應關注新技術在金融業務中的數據安全問題，如區塊鏈技術中是否對賬戶數據、交易數據、配置數據以及賬本元數據等，分別存儲、分別管理、分別操作。

三、檢測(Detect)是關鍵

防護策略和技術工具部署后，關鍵問題就在如何有效的對數據泄露進行檢測，包括賬號、權限、接口等異常使用或調用，都會導致數據泄露事件的發生。目前金融機構常見的問題是數據防泄漏工具的告警太多，這就需要有專業人員對數據安全進行持續性的運營，通過自動化工具或人工結合的方式將告警處置為誤報或安全事件。同時，金融機構要做好數據安全方面的定期審計工作，如數據導出、文檔外發、業務操作等，監督數據的規范使用。

四、響應(Respond)是保障

金融機構應制定應急響應與事件處置規范，建立完善的應急響應流程機制，包括準備、檢測、處置、恢復等。做好應急預案，組織應急演練，確保在緊急情況下重要信息資源的可用性。數據泄露事件發生后，應按照金融主管部門有關規定，上報數據安全事件及其處置情況。事件處置結束后，應分析和總結原因與存在的問題，在數據安全運營中不斷的持續改進。

CFCA始終堅持以數字安全為基礎，開展新型數字安全生態的建設與服務模式的創新，多年來在金融、電子政務、醫療等多個領域積累了豐富的數據安全保護實踐經驗，擁有成熟的應用解決方案，助力各行各業構建全面的數據安全保護體系，推動業務高效合規開展。

責任編輯：韓希宇