金融行业数据安全管理制度（数据安全保护法来了）

金融行业数据安全管理制度（数据安全保护法来了）三、检测(Detect)是关键数据安全治理的大部分落实工作在防护层面。主要包括组织架构建设、制度体系建设和技术工具建设。组织架构方面，金融机构需成立数据安全管理委员会，建立自上而下的覆盖决策、管理、执行、监督四个层面的数据安全管理体系，明确组织架构和岗位设置，保障数据生命周期安全防护要求的有效落实。制度体系方面，需建立统一的金融数据安全管理制度体系，明确各层级部门与相关岗位数据安全工作职责，数据安全的策略方针，管理办法和规范工作流程。技术工具方面，应重点关注数据分类分级、数据防泄漏、数据脱敏等工具的部署和落地。此外，金融机构应关注新技术在金融业务中的数据安全问题，如区块链技术中是否对账户数据、交易数据、配置数据以及账本元数据等，分别存储、分别管理、分别操作。一、识别（Identify）是基础金融机构应从需求和资产两方面对数据安全进行识别。其中监管合规和数据资产是数据安全识别的条件，作为强监

近年来，国内外银行、保险等金融数据泄露频发，2019年7月，美国第七大商业银行第一资本大约1亿美国人和600万加拿大人的个人信息遭到一名黑客窃取，2020年11月，瑞典最大的保险公司Folksa泄露了近100万客户的个人信息数据，等；根据中国银保传媒股份有限公司与亚信网络安全产业技术研究院发布的《金融行业网络安全白皮书（2020）》显示，发生的金融隐私泄露事件大约以每年35%的数据在增长，有公开报告或记录的2016年1093起，2017年1511起，2018年1967起，2019年2300余起。

国家对数据安全保护亦十分重视，陆续颁布了包括《中华人民共和国个人信息保护法（草案）》、《网络安全法》在内的多部重磅法律法规。近日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，2021年9月1日起实施。该法的出台，为规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全等提供了坚实可靠的法律依据。

在此背景下，金融行业如何构建数据安全体系，有效防止数据泄露，满足监管合规的要求。是其业务数字化转型过程中面临的重要挑战。

中国金融认证中心（CFCA）根据金融行业数据安全项目的实际经验，总结出了数据安全治理的“IPDR”模型，金融机构可作为参考。

一、识别（Identify）是基础

金融机构应从需求和资产两方面对数据安全进行识别。其中监管合规和数据资产是数据安全识别的条件，作为强监管的金融行业，应从法律法规、行业监管要求和部门规章以及标准规范三方面进行数据安全相关要求的识别。而数据资产是数据安全治理保护的对象，尤其是敏感数据，金融机构要梳理自己的数据资产有哪些，在哪里，谁负责，如何防护。数据资产识别后的分类分级是一个难点，目前大部分机构只在制度方面建立了相关的分类分级办法，但是在落地方面还比较欠缺，这部分需配合防护层面的数据分类分级工具落实。

二、防护(Protect)是核心

数据安全治理的大部分落实工作在防护层面。主要包括组织架构建设、制度体系建设和技术工具建设。组织架构方面，金融机构需成立数据安全管理委员会，建立自上而下的覆盖决策、管理、执行、监督四个层面的数据安全管理体系，明确组织架构和岗位设置，保障数据生命周期安全防护要求的有效落实。制度体系方面，需建立统一的金融数据安全管理制度体系，明确各层级部门与相关岗位数据安全工作职责，数据安全的策略方针，管理办法和规范工作流程。技术工具方面，应重点关注数据分类分级、数据防泄漏、数据脱敏等工具的部署和落地。此外，金融机构应关注新技术在金融业务中的数据安全问题，如区块链技术中是否对账户数据、交易数据、配置数据以及账本元数据等，分别存储、分别管理、分别操作。

三、检测(Detect)是关键

防护策略和技术工具部署后，关键问题就在如何有效的对数据泄露进行检测，包括账号、权限、接口等异常使用或调用，都会导致数据泄露事件的发生。目前金融机构常见的问题是数据防泄漏工具的告警太多，这就需要有专业人员对数据安全进行持续性的运营，通过自动化工具或人工结合的方式将告警处置为误报或安全事件。同时，金融机构要做好数据安全方面的定期审计工作，如数据导出、文档外发、业务操作等，监督数据的规范使用。

四、响应(Respond)是保障

金融机构应制定应急响应与事件处置规范，建立完善的应急响应流程机制，包括准备、检测、处置、恢复等。做好应急预案，组织应急演练，确保在紧急情况下重要信息资源的可用性。数据泄露事件发生后，应按照金融主管部门有关规定，上报数据安全事件及其处置情况。事件处置结束后，应分析和总结原因与存在的问题，在数据安全运营中不断的持续改进。

CFCA始终坚持以数字安全为基础，开展新型数字安全生态的建设与服务模式的创新，多年来在金融、电子政务、医疗等多个领域积累了丰富的数据安全保护实践经验，拥有成熟的应用解决方案，助力各行各业构建全面的数据安全保护体系，推动业务高效合规开展。