《北京金融科技产业联盟:2023金融业数据分类分级与保护应用研究报告(73页).pdf》由会员分享,可在线阅读,更多相关《北京金融科技产业联盟:2023金融业数据分类分级与保护应用研究报告(73页).pdf(73页珍藏版)》请在三个皮匠报告上搜索。
1、金融业数据分类分级与保护应用研究 北京金融科技产业联盟 2023 年 11 月 版权声明 本报告版权属于北京金融科技产业联盟,并受法律保护。转载、编摘或利用其他方式使用本报告文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。编制委员会 编委会成员:何 军 聂丽琴 高鸿升 编写组成员:沈蓓瑾 武利娟 华桊兴 项子林 赵 亮 冯德亮 韩 杰 王舒倩 梁骏峰 成 燕 张海燕 唐 辉 赵春华 高强裔 李子达 张 澍 郭丽颖 李建彬 钟 诚 肖 松 罗家铸 刘敬谦 郭瑞峰 李克鹏 陈 明 刘 妍 陈 聪 张艳君 杨 波 赵 莹 丁克凎 陈 豪 何颖琪 刘 弦 康和意 编 审:黄本涛 郭 栋
2、 刘宝龙 1 参编单位:北京金融科技产业联盟秘书处 中国工商银行股份有限公司 平安银行股份有限公司 中国银行股份有限公司 上海浦东发展银行股份有限公司 北京国家金融科技认证中心有限公司 北京天融信网络安全技术有限公司 蓝象智联(杭州)科技有限公司 腾讯云计算(北京)有限责任公司 国家金融科技测评中心 深圳壹账通智能科技有限公司 同盾科技有限公司 2 目 录 前言.1 一、背景情况.2(一)国家战略和顶层规划.2(二)立法及金融管理体系.5(三)标准规范.10 二、发展概况.14(一)数据分类分级发展概况.14(二)数据保护发展概况.16 三、挑战与对策.19(一)海量金融数据分类分级打标面临成
3、本与时效的挑战与措施.19(二)数据生命周期安全保护全覆盖和有效性存在的挑战与措施.20(三)数据分类分级结果准确性的挑战与措施.22(四)客户信息敏感数据使用的挑战与措施.23(五)个人信息敏感数据保护的挑战与措施.25 四、未来展望.27(一)技术趋势.27(二)应用趋势.29(三)策略联动.30(四)发展建议.31 附录 A:金融机构数据分类分级与保护实践案例.33 案例一:工商银行数据分类分级实践.33 案例二:中国银行数据分类分级实践.36 案例三:平安银行数据分类分级实践.41 案例四:浦发银行数据分级运用实践场景.47 附录 B:科技公司数据分类分级与保护实践案例.50 案例一:
4、腾讯数据分类分级实践.50 案例二:壹账通在某集团数据分类分级的实践.52 案例三:天融信在某银行基于敏感数据识别与分类分级技术的探索与实践.54 案例四:天融信在某消费金融开展数据分类分级与风险评估与实践.57 案例五:蓝象智联普惠金融联邦定制的风险评估方案.61 案例六:同盾在某大型国有银行数据安全项目的实践.65 1 前言前言 数据安全法1个人信息保护法2已正式实施一年多,各金融机构在数据安全体系建设中积累了丰富经验的同时也遇到了一些问题和挑战。通过该课题的研究,希望联盟各金融机构共同分享数据分类分级体系建设的经验,探索存在的问题和挑战,促进金融业数据安全发展。报告从金融业数据分类分级与
5、保护的发展概况、挑战与对策、未来展望、实践案例四个方面展开论述。其中,发展概况主要介绍了数据安全相关的国家战略、立法体系、规范标准、分类分级和保护的发展现状等,挑战与对策总结了各机构在数据分类分级和保护的工作开展过程中遇到的共性问题及应对策略,未来展望则对数据分类分级与保护的技术趋势和管理机制的发展做了展望,实践案例部分汇集了参编单位在金融领域开展数据分类分级与保护工作落地实践案例介绍。该课题选取数据分类分级与保护这一典型数据安全领域总结典型实践案例经验,对于推进金融机构完善数据分类分级保护机制、加强数据全生命周期管理闭环、促进数据要素流通和进一步释放数据价值具有重要意义。1 中华人民共和国数
6、据安全法已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于 2021 年 6 月 10 日通过,自 2021 年 9 月 1 日起施行。2 中华人民共和国个人信息保护法已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于 2021 年 8 月 20 日通过,自 2021 年 11 月 1 日起施行。2 一、一、背景情况背景情况(一)国家战略和顶层规划(一)国家战略和顶层规划 当前,数据已成为重要的生产要素,大数据产业作为以数据生成、采集、存储、加工、分析、服务为主的战略性新兴产业,是激活数据要素潜能的关键支撑,是加快经济社会发展质量变革、效率变革、动力变革的重要
7、引擎。数字技术的快速发展深刻改变了经济发展、社会治理和个人生活的方方面面,全球经济逐步由工业经济向数字经济转型,“十三五”以来,我国高度重视数字经济发展,先后出台了一系列政策文件,以促进传统经济与数字经济深度融合,实现数字化转型;“十四五”时期,我国数字经济转向深化应用、规范发展、普惠共享的新阶段。1.1.国家关于金融数据发展整体规划国家关于金融数据发展整体规划 国家关于金融数据发展的规划立足新发展阶段、贯彻新发展理念、构建新发展格局,统筹问题导向和目标导向,统筹短期目标和中长期目标,统筹全面规划和重点部署,聚焦突出问题和明显短板,充分激发数据要素价值潜能,夯实产业发展基础,构建稳定高效产业链
8、,统筹发展和安全,培育自主可控和开放合作的产业生态,打造数字经济发展新优势,为建设制造强国、网络强国、数字中国提供有力支撑。主要有以下几点:释放数据要素价值。释放数据要素价值。我国金融数据发展整体规划坚持数据要素观,以释放数据要素价值为导向,推动数据要素价值 3 的衡量、交换和分配,加快大数据容量大、类型多、速度快、精度准、价值高等特性优势转化,支撑数据要素市场培育,激发产业链各环节潜能,以价值链引领产业链、创新链,推动产业高质量发展。完善数字经济治理体系。完善数字经济治理体系。新业态、新模式的不断涌现,宏观政策重点需要主动顺应新形势、新规律和新要求,更加强调发展与规范并重,在鼓励继续发展壮大
9、的同时,系统排除隐患和风险,统筹发展与安全,确保数字经济行稳致远。筑牢数据安全保障防线。筑牢数据安全保障防线。加强数据安全管理能力。推动建立数据安全管理制度,制定相关配套管理办法和标准规范,组织开展数据分类分级管理,制定重要数据保护目录,对重要数据进行备案管理、定期评估与重点保护。建设数据安全监测系统,形成敏感数据监测发现、数据异常流动分析、数据安全事件追踪溯源等能力。科学制定实施数字化转型战略。科学制定实施数字化转型战略。加强顶层设计和统筹规划,围绕服务实体经济目标和国家重大战略部署,科学制定和实施数字化转型战略,将其纳入机构整体战略规划,明确分阶段实施目标,长期投入、持续推进。积极发展产业
10、数字金融。积极发展产业数字金融。积极支持国家重大区域战略、战略性新兴产业、先进制造业和新型基础设施建设,打造数字化的产业金融服务平台,围绕重大项目、重点企业和重要产业链,加强场景聚合、生态对接,实现“一站式”金融服务。4 2.国家关于数据金融相关举措国家关于数据金融相关举措“在十四五”时期,我国数字经济转向深化应用、规范发展、普惠共享的新阶段。为应对新形势新挑战,把握数字化发展新机遇,拓展经济发展新空间,推动我国数字经济健康发展,国家制定以下相关举措为建设制造强国、网络强国、数字中国提供有力支撑。加强数据“高质量”治理。加强数据“高质量”治理。围绕数据全生命周期,通过质量监控、诊断评估、清洗修
11、复、数据维护等方式,提高数据质量,确保数据可用、好用。完善数据管理能力评估体系,实施数据安全管理认证制度,持续提升企事业单位数据管理水平。强化数据分类分级管理,推动数据资源规划,打造分类科学、分级准确、管理有序的数据治理体系,促进数据真实可信。强调数据“多样性”处理。强调数据“多样性”处理。提升数值、文本、图形图像、音频视频等多类型数据的多样化处理能力。促进多维度异构数据关联,创新数据融合模式,提升多模态数据的综合处理水平,通过数据的完整性提升认知的全面性。建设行业数据资源目录,推动跨层级、跨地域、跨系统、跨部门、跨业务数据融合和开发利用。金融大数据“高质量”利用。金融大数据“高质量”利用。金
12、融大数据是通过大数据精算、统计和模型构建,助力完善现代金融管理体系,补齐监管制度短板,在审慎监管前提下有序推进金融创新。优化风险识别、授信评估等模型,提升基于数据驱动的风险管理能力。5 深化数字技术金融应用。深化数字技术金融应用。健全安全与效率并重的科技成果应用体制机制,不断壮大开放创新、合作共赢的产业生态,打通科技成果转化“最后一公里”。健全安全高效的金融科技创新体系。健全安全高效的金融科技创新体系。搭建业务、技术、数据融合联动的一体化运营中台,建立智能化风控机制,全面激活数字化经营新动能。(二)立法(二)立法及及金融金融管理管理体系体系 数据作为一种新型生产要素,其流动为科技产业、社会经济
13、发展带来了巨大的动能与创新。同时数据安全也面临着前所未有的挑战。近年来,全球数据泄露事件层出不穷,致使公众深受个人隐私曝光与骚扰诈骗的困扰,相关企业面临资产与声誉的重大损失,甚至危害到社会稳定与国家安全。数据保护成为世界各国的共同需求,各国对此高度重视,纷纷通过立法保障数据安全,开展数据治理,维护国家、社会与个人权益。1.国际数据保护相关立法国际数据保护相关立法 早在二十世纪,欧盟与美国就开启了个人隐私保护立法进程。进入到大数据时代,世界各国围绕数据安全与个人信息保护,相继发布了一系列相关法律。其中最具有代表性的是欧盟于 2016 年发布的通用数据保护条例3(以下简称 GDPR),其为个人数据
14、创造了一套具体的保护与监管制度,成为大数据监管新时代的标志。欧盟各成员国基于 GDPR,结合本国国情制定或修订本国的个 3 通用数据保护条例是在欧盟法律中对所有欧盟个人关于数据保护和隐私的规范,涉及了欧洲境外的个人数据出口。在 2018 年 5 月 25 日强制执行。6 人数据保护法,如德国联邦数据保护法、法国个人数据保护法等。美国联邦与各州立法各成体系,联邦立法如美国数据隐私和保护法案4(讨论稿)澄清境外数据的合法使用法(云法案)等,各州立法如加州消费者隐私法案科罗拉多州隐私法案等。英国早在 1998 年发布数据保护法,为加强数据经济时代的个人数据保护,2018 年发布了新的数据保护法201
15、8。2022 年英国通过了 数据保护和数字信息法案5(“143号法案”),是对英国现有多个法案的改革。日本于 2003年发布个人信息保护法,并在 2021 年 5 月发布修订案。韩国于 2020 年发布“数据三法”个人信息保护法信息通信网利用促进及信息保护法及信用信息的利用及保护法。印度于 2018 年发布个人数据保护法案据统计,全球已有一百多个国家出台了数据保护相关法律。2.我国数据保护立法体系我国数据保护立法体系 与国际上发达国家及地区相比,我国在数据保护立法方面起步较晚。近年来,随着数据要素市场化建设,我国数据保护立法取得突飞猛进的进展。在基础性法律方面,网络安全法6数据安全法 个人信息
16、保护法共同构筑了我国数据安全与个人信息保护的 4 2022 年 6 月 3 日,美国众议院和参议院发布了美国数据隐私和保护法案讨论稿,这是首个获得两党两院支持的全面的联邦隐私立法草案,内容涉及国会近 20 年来隐私辩论的方方面面。5 2022 年 7 月 8 号,英国下议院提交数据保护和数字信息法案,法案对数据保护框架进行了更新,使其更利于保护国家利益,保护公民权益。6 中华人民共和国网络安全法已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于 2016 年 11 月 7 日通过,自 2017 年 6 月 1 日起施行。7 顶层设计框架。网络安全法对网络运营者收集、使用个人信
17、息作出了规范,并首次提出重要数据的概念。数据安全法要求建立一系列数据安全保护制度,如数据分级分类保护制度、数据安全审查制度等。个人信息保护法聚焦于可识别自然人的个人信息保护,建立了权责明确、保护有效、利用规范的个人信息保护机制。除此之外,未成年人保护法民法典等多项法律文件也对数据与个人信息保护进行了相关规定。如表 1 列举了我国主要的数据保护相关基础性法律文件。表 1 我国数据保护相关基础性法律 发布时间 文件名称 相关内容 1991 年首次发布 未成年人保护法 未成年人个人信息保护 2015 年 7 月 国家安全法 重要领域信息系统及数据保护 2016 年 11 月 网络安全法 网络数据安全
18、及个人信息保护 2020 年 5 月 民法典 个人信息、数据权益保护 2021 年 6 月 数据安全法 数据安全保护 2021 年 8 月 个人信息保护法 个人信息保护 在基本法律框架的基础上,网信办、工信部等各领域主管部门发布行政法规与部门规章,对基础性法律中建立的一系列数据保护制度,如数据分类分级保护、关键信息基础设施保护、数据安全审查等,进行落实、细化与补充,详见表2。表 2 我国数据保护相关法规规章 发布机构 发布时间 文件名称 相关内容 国务院 2018 年 3 月 科学数据管理办法 科学数据安全保护 2021 年 7 月 关键信息基础设施安全保护条例 关键信息基础设施安全保护 20
19、18 年 12 月 金融信息服务管金融信息安全、个人信息 8 国 家 互 联网 信 息 办公室 理规定 保护 2019 年 5 月 数据安全管理办法(征求意见稿)在境内利用网络开展数据处理活动以及数据安全的保护与监督管理 2020年4月首次发布,2021 年 12 月发布修订版 网络安全审查办法 网络平台运营者开展数据处理活动的安全审查 2021 年 8 月 汽车数据安全管理若干规定(试行)汽车数据安全保护与合理开发利用 2021 年 11 月 网络数据安全管理条例(征求意见稿)个人信息保护、重要数据安全、数据跨境安全 2022 年 7 月 数据出境安全评估办法 数据跨境安全保护、数据出境安全
20、评估 工 业 和 信息化部 2022 年 12 月 工业和信息化领域数据安全管理办法(试行)工业和信息化领域数据安全分类分级保护 证监会 2023 年 3 月 证券期货业网络和信息安全管理办法 证券期货业网络和信息安全管理 在区域性数据保护立法方面,贵州省最先发布了贵州省大数据发展应用促进条例 贵州省大数据安全保障条例等法规,之后深圳、上海、天津、重庆和浙江等二十多个省市的数据条例接连出台。其中,深圳经济特区数据条例比较具有代表性,该条例是我国数据领域首部基础性、综合性地方立法,其内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,依据上位法中的数据保护规则做出进一步的规范。数据安全法
21、个人信息保护法的实施标志着我国数据保护的基本法律框架已搭建完成。在此基础上,金融、互联网、工信、汽车等行业的数据政策接连发布。同时,各地区也在持续推进相关立法工作。我国数据保护立法体系日趋完善。9 3.金融数据安全金融数据安全管理管理体系体系 目前,我国尚未制定专门的金融数据管理相关法律法规,相关的保护规定散落在数据安全法个人信息保护法等前一小节所述的法律文件以及金融行业主管部门发布的相关政策中。表 3 列出了中国人民银行、原银保监会和证监会发布的金融数据安全相关的监管政策。表 3 我国金融数据安全管理政策 发布机构 发布时间 文件名称 相关内容 中国人民银行 2011年5月 中国人民银行关于
22、银行业金融机构做好个人金融信息保护工作的通知 做好个人金融信息收集、使用、对外提供等安全保护。2015年7月 关于促进互联网金融健康发展的指导意见 保护客户资料和交易信息安全,不得非法买卖、泄露客户个人信息。2020年9月 金融消费者权益保护实施办法 保障消费者信息安全权等权利,规制金融机构信息收集处理行为。2021年9月 征信业务管理办法 保护信息主体合法权益,保障信息安全,防范信息安全风险 2021年12 月 金 融 科 技 发 展 规 划(2022-2025 年)做好数据安全保护,严格落实数据安全法律法规、标准规范,建立健全数据全生命周期安全管理长效机制和防护措施。原银保监会 2018年
23、5月 银行业金融机构数据治理指引 加强数据治理,建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,完善数据安全技术,定期审计数据安全。2020年9月 关于规范保险公司健康管理服务的通知 尊重客户知情同意权、保护客户隐私权,确保相关数据和信息安全。2021年12 月 银行保险机构信息科技外包风险监管办法 保障信息科技外包时的信息安全,加强重要数据和个人信息保护。10 2022年12 月 银行保险机构消费者权益保护管理办法 建立消费者个人信息保护机制,对消费者个人信息实施全流程分级分类管控。证监会 2012年8月 证券期货业信息安全保障管理办法 开展信息安全工作,
24、保护投资者交易安全和数据安全。2022年4月 证券期货业网络安全管理办法(征求意见稿)按规定履行数据安全管理责任,采取技术手段保障数据安全,处理重要数据、核心数据应明确负责人并指定管理机构。2022年4月 关于加强在境外发行证券与上市相关保密和档案管理工作的规定修订 加强境内企业境外上市相关保密和档案管理工作,明确上市公司信息安全责任,维护国家信息安全,妥善管理涉密和敏感信息。随着我国数据安全与个人信息保护相关法律法规的出台以及行业主管部门各项金融数据政策的发布,金融数据安全管理体系初步形成。金融数字化转型程度不断加深,对金融机构的数据安全保护能力提出更高要求,同时也对金融数据安全管理体系的建
25、立健全提出迫切需求。行业主管部门将持续响应相关法律法规要求,制定更为具体和完善的监管措施,推动金融机构数据安全能力建设,实现数据要素在金融行业的有效保护和合法利用。(三)标准规范(三)标准规范 金融数据具有数据体量大、数据价值高的显著特征,需要对金融数据中的高价值、高敏感程度数据进行重点保护,因此金融领域十分重视金融数据的分类分级和安全保护。当前,全国信息安全标准化技术委员会与全国金融标准化技术委员会已发布多项数据分类分级与保护相关的标准,如信息安全技术 个人信息安全规范(GB/T 35273-2020)、信息 安 全 技 术 个 人 信 息 安 全 影 响 评 估 指 南 (GB/T 11
26、39335-2020)、个人金融信息保护技术规范(JR/T 0171-2020)、金融数据安全 数据安全分级指南(JR/T 0197-2020)以及金融数据安全 数据生命周期安全规范(JR/T 0223-2021)等,相关领域还有多项处于研制阶段的国家与行业标准,如信息安全技术 网络数据分类分级要求(征求意见稿)信息安全技术 重要数据识别指南(征求意见稿)以及金融数据安全 数据安全评估规范(征求意见稿)。表 4 列出了现有标准分别从全量个人信息、个人信息安全影响、个人金融信息、金融业数据、数据生命周期、网络数据、重要数据以及数据安全评估的维度对金融数据分类分级与保护做出的规定。表 4 国家、金
27、融行业数据安全相关标准 序号 标准名称 发布时间 发布机构 重点内容 1 信息安全技术 个人信息安全规范 2020 年 3月 国 家 市 场监 督 管 理总局;国家标 准 化 管理委员会 规范中要求各类处理个人信息的组织与个人信息控制者,在个人信息收集、储存、使用作出了明确规定,在各个信息处理环节明确了个人信息处理需权责一致、目的明确、选择同一、最小必要、公开透明、确保安全、主体参与的要求。2 信息安全技术 个人信息安全影响评估指南 2020年11 月 国 家 市 场监 督 管 理总局;国家标 准 化 管理委员会 指南给出了个人信息安全影响评估的价值、用途、责任主体、基本原理与实施要素,并从评
28、估必要性、评估准备工作、数据映射分析、风险源识别、个人权益影响分析、安全风险综合分析、报告编写、风险处置和持续改进、报告发布策略等维度提出评估实施的流程指导。3 个人金融信息保护技术规范 2020 年 2月 中 国 人 民银行 规范规定了个人金融信息在收集、传输、存储、使用、删除、销毁等全生命周期各环节的安全防护要求,从安全技术和安全管理两方面对个人金融信息保护提出规范性要求。4 金融数据安全 数据安全分级指2020 年 9月 中 国 人 民银行 指南从金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规 12 序号 标准名称 发布时间 发布机构 重点内容 南 则和定级过程指导金融机
29、构开展电子数据安全分级工作。5 金融数据安全 数据生命周期安全规范 2021 年 4月 中 国 人 民银行 规范规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求,建立覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架,并针对不同安全级别的数据,明确其在数据生命周期各个环节的安全防护要求,是金融业机构开展数据安全防护工作的基本依据。6 信息安全技术 网络数据分类分级要求(征求意见稿)2022 年 9月 国 家 市 场监 督 管 理总局;国家标 准 化 管理委员会 文件给出了网络数据分类分级的原则、框架和方法,并适用于指导数据处理者开展数据分类分级工作,也可为主
30、管部门进行数据分 类分级管理提供参考。7 信息安全技术 重要数据识别指南(征 求 意 见稿)尚 未 发布 国 家 市 场监 督 管 理总局;国家标 准 化 管理委员会 指南为重要数据安全保护提供支撑,帮助数据处理者识别其掌握的重要数据,并对重要数据识别基本原则、识别因素,以及描述格式提出要求。8 金融数据安全 数据安全评估规范(征 求 意 见稿)尚 未 发布 中 国 人 民银行 规范规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法,明确了数据安全管理、保护、运维三个主要评估域及其安全评估主要内容和方法。各项技术标准中对金融数据分类分级与保护提出了较为相似的原则性要求,一是合法合规
31、性原则,金融机构需满足国家法律法规及行业主管部门有关规定,并充分考虑与衔接已有管理要求和行业特色;二是可执行性原则,金融机构开展数据分类分级与保护时应避免规则过于复杂,并明确本机构数据安全防护工作相关部门及其职责,确保落实相关措施,履行数据安全防护职责;三是选择同意原则,若涉及个人金融信息,应向个人金融信息主体明示数据采集和处理的目的、方式、范围、规则等,并制定完善的隐私政策,在进行数据采集和处理前征得其授权同意;四是最小必要原则,13 金融业机构应仅处理信息主体授权同意的金融数据,且处理的金融数据为业务所必需的最小金融数据类型和数量,目的达成后,应及时删除该信息;五是定量定性原则,以定量与定
32、性相结合的方式识别数据,并根据具体数据类型、特性不同采取定量或定性方法,确保数据保护情况可复核与检查。金融业机构在经营过程中产生和收集的金融数据主要包括个人数据、机构数据、经营管理数据、业务数据等,金融数据具备复杂多样、敏感级别高等特点,对金融数据进行分类分级、分层保护,不同安全级别的数据采取不同的保护措施,有助于金融业机构合理分配数据保护成本。同时大型金融业机构实行统一的数据分级管理制度,有利于促进金融数据的价值挖掘和有效利用,进一步提高金融业数据管理和安全防护水平,确保金融数据的安全应用。14 二、二、发展概况发展概况(一)数据分类分级发展概况(一)数据分类分级发展概况 1.1.数据分类分
33、级的起因数据分类分级的起因 随着信息技术的飞速发展,20 世纪 90 年代开始数据库技术日益成熟,各行各业凭借计算机技术的支撑,在日常经营运作的过程中产生了海量数据,包括政务数据、公共数据、金融数据、地理信息数据、刑事司法数据、企业数据等,数据已然成为新技术环境下的关键生产要素。量变引发质变,庞大体量的数据中蕴含的商业价值或可为企业带来可观的收益。然而其中隐藏的数据安全问题日益凸显,如何保护数据挖掘技术不被滥用,如何保护公众隐私不随意泄露等等问题求解成了当务之急。近年来,全球经济数字化发展力度持续加强,以大数据、人工智能等新技术为代表的数字经济规模持续扩大,企业数字化转型趋势逐步升温。金融数据
34、的安全应用关系到广大人民群众的切身利益,涉及大量个人信息,是黑产组织、电信诈骗团伙等不法分子密切关注的领域。由于不同类型的数据其价值和影响程度均不同,对其采取的管理保护措施和付出成本也不尽相同。数据分类分级管理是推动数据安全治理的重要前提,也是安全防护的基础,可有针对性地对数据采取保护措施。对数据进行分类分级有利于加强金融消费者个人信息保护、企业机构内部合理规划数据保护资源和成本、企业或行业之间共享数据资源以及提升国家数据安全保护能 15 力。国家层面对数据安全的高度重视,可以追溯到 1994 年颁布的计算机系统安全保护条例7,提出了信息安全保护的概念。随着信息实践操作的不断发展,逐渐产生了数
35、据分级保护的理念,2007 年公安部发布的信息安全等级保护管理办法将信息安全分为五个等级。2008 年我国建立了信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008),针对不同的等级提出了相应的技术要求。近几年颁布的网络安全法数据安全法个人信息保护法等明确要求建立数据分类分级制度,从立法的角度,建立起数据分级保护制度体系。2.2.数据分类分级的方法数据分类分级的方法 为落实数据分类分级保护的理念,政府、金融管理部门等发布了一系列数据分类分级方法指引指南,详见表 4。对于金融行业的数据分类分级,2011 年原中国银保监会发布了银行监管统计数据质量管理良好标准(试行),其中提
36、出了对监管统计信息合理分类的要求;2018 年进一步修订为银行业金融机构数据治理指引,并对数据加总内容进行了分类,表明了数据分类是提高数据加总能力的前提;2020 年 9 月中国人民银行发布了金融数据安全 数据安全分级指南,明确了数据分级管理的要求,为金融行业提供了数据分类分级的标准和参考。7 计算机信息系统安全保护条例是为了保护计算机系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行而制定的法规。16 3.3.数据分类分级的落地数据分类分级的落地 在数据自动分级工具出现前,企业确定数据分类分级标准后,会通过梳理资产数据,提炼重要数据字段,由人工为其进行敏感度打标,制定具体的
37、参考对照表。在数据使用规划的过程中,参照分级表开展工作。总体来说,过去依赖人工对标,工作量大,误差较高,效率较低。目前针对数据分类分级的实施,国内部分企业基于行业规范标准结合企业自身情况,制定有详细的分类分级策略,开发了数据分类分级平台,集合自动数据库扫描、模型匹配、数据统计、机器学习等技术,进行数据发现、数据含义识别、业务类型确认、数据分类分级、多维结果输出,以提升数据发现和分类分级的准确性、规范性和时效性。(二)数据保护发展概况(二)数据保护发展概况 1.1.传统安全保护的发展传统安全保护的发展 2000 年,数据安全主要放眼于本机数据的防护,如何避免本地数据泄露成为那时的技术焦点。200
38、5 年,数据安全关注于互联网环境企业内部数据的安全防护。2008 年,由于移动存储设备的趋于完善,数据安全保护逐渐着眼于移动存储设备带来的数据泄露风险。2012 年之后,随着 IT 发展带来的更多新兴技术,大数据、区块链、云计算等等,尤其是发展数字经济的当下,数据作为数字经济时代的一种核心生产要素,只有在广泛的使用中才能最大限度发挥数据资产的价值,然而这也为后续数 17 据安全带来新的安全风险。2.2.数字时代下的数据保护数字时代下的数据保护 随着以大数据、人工智能等为代表的数字技术的大规模应用,我们由信息时代进入数字时代。数字化的本质是以信息技术为驱动,通过对数据的采集、分析、应用,实现业务
39、模式和管理模式的提升或根本性变革,有效提高组织机构的价值创造能力和运行效率。但是,随着数据的快速流动、大规模应用,数据泄露、滥用、误用等风险也在大幅度增加。如何在利用数据创造价值的同时,对数据进行有效保护成为我们必须面对的问题。数字时代下的数据保护特点,可以概括为以下三个方面:一、从合规走向合法。近几年,国家密集出台了数据安全相关法律法规,从而在数据安全领域构建了完整的法律体系。在数字化与数据要素快速发展阶段,数据安全治理先行的要求,迫使数据安全工作亟须从合规走向合法。二、从静态保护走向动态保护。传统数据安全主要对存储数据的载体进行静态保护。但是,在数字时代,流动是数据的常态,需要关注数据从采
40、集、传输、存储、使用到最后删除销毁的全生命周期动态保护。三、数据融合技术创新。在统筹发展与安全的大背景下,既要数据流通释放价值,又要保护个人隐私、公众利益、企业合法权益、国家安全不受侵害,守住安全底线。以隐私计算为代表的创新数据融合技术应运而生,隐私计算的特点是“数据可用不可见,数据不动价值动”,在释放数据价值 18 的同时,保障各参与方的权益。19 三、三、挑战与对策挑战与对策(一)海量金融数据分类分级打标面临成本与时效的(一)海量金融数据分类分级打标面临成本与时效的挑挑战战与与措施措施 1.挑战挑战 数据安全分类分级的对象需要细化到字段级,才能够满足数据生命周期各阶段对数据进行分级管控和保
41、护的要求。金融行业的内外部数据历来都是海量的,这是由金融企业客户的普遍性、产品与服务的丰富性、业务与管理的线上化所决定的。面对百万级数据表和千万级的数据项,且每日都有惊人增量的背景下,如果采用传统的人工方法实施数据安全打标,势必长期投入大量人工,且无法在短期内完成。因此,海量的金融数据实施分类分级打标面临成本与时效的巨大挑战。要解决数据分类分级贯标困难的问题,就必须从源头制定对策。2.应对措施应对措施 在工具方面,可以借助工具提高打标效率,目前国内外厂商已研发出相对成熟的系统层面字段发现分级打标工具。Netwrix 数据分类平台是美国一家信息安全网络公司的数据发现和分类工具产品。平台能够结合自
42、定义的分类标准对结构化和非结构化数据识别分类,展示统计结果。平台采用机器学习、语义算法等自动分析数据内容,为其分类并计算分类规则的关联度,设置有精确度可调节的功能。与此同时,20 国内部分厂商也具备相关产品服务能力。主要围绕系统层面对接,发现数据资产,内嵌多种监管分级标准并结合企业自身分级要求,使用正则表达式、关键字等自动化分类分级,形成数据分类分级结果表,实现数据敏感度可视化及风险监测等后续应用。另外,部分金融机构借助自身研发能力,结合自身数据安全分类分级策略,研发数据分类分级打标和服务平台,充分利用本单位数据治理成果,采用正则表达式、模式匹配、机器学习算法等技术,实现海量数据的自动化分类分
43、级打标,并向数据生命周期安全保护提供打标结果服务。在打标模式上,可以采取自下而上和自上而下的双向打标模式。所谓自下而上打标是使用人工智能算法模型,采用机器扫描进行自动化打标,利用的是高效平台的能力。所谓自上而下打标是将打标融入系统开发设计过程,在数据模型设计阶段,由建模人员打标,利用的是建模人员对理解数据的专业能力。(二)数据生命周期安全保护全覆盖和有效性存(二)数据生命周期安全保护全覆盖和有效性存在在的的挑挑战战与与措施措施 1.挑战挑战 一个庞大的金融企业,有着大量的信息系统,数万甚至数十万的员工队伍,千万级甚至数亿级的客户群。如何在数据采集、传输、存储、加工、使用、退役销毁等众多环节及
44、21 成千上万的应用场景中,实现对数据保护的全覆盖,并保证有效性,绝对不是一件容易的事情。实现这一目标可能要采取全方位的、立体的多项措施,以下阐述的是一种可供参考的方式。2.应对措施应对措施 在落实数据分类分级保护策略时,首先应该建立完善的数据安全组织架构,明确在数据安全领域中的各方责任;其次通过开展分类分级,明确金融机构自身数据的类别和级别;再结合金融机构自身的保护要求和金融数据安全 数据生命周期安全规范对不同生命周期根据不同类别和级别的保护要求,制定不同的安全保护策略;接下来将安全保护策略通过部署的安全保护设备以及各类应用系统中实现真正落地。在这一过程中,不但需要多部门的协同配合,也需要在
45、不断地安全保护过程中,对发现的问题加以改进,不断进行 PDCA8地循环,来保证数据分类分级保护策略持续有效且能够真正落地执行。为落实企业级数据集中统一安全保护策略,对数据的全生命周期实施安全保护,可以构造一个“数据安全分类分级保护矩阵”。矩阵的每一行是一个数据安全标签,每一个标签具有标签名称、业务含义、数据分类等分类信息,有敏感等级、数据安全等级等分级信息,有全生命周期各阶段保护措施的描述,以及版本号、生效时间、管理人员等管理信息。“数据安全分类分级保护矩阵”为企业提供一套统一的数据 8 PDCA:Plan(计划)、Do(执行)、Check(检查)和 Action(处理)的第一个字母,PDCA
46、 循环就是按照这样的顺序进行质量管理,并且循环不止地进行下去的科学程序。22 安全保护标准,包括全套的数据安全标签、与安全标签匹配的分类分级信息,以及与安全标签匹配的全生命周期各阶段保护措施。矩阵信息被存储和维护在企业级的管理平台,企业所有数据分类分级保护场景统一调用平台提供的服务,从而确保企业数据安全保护措施的一致性和有效性。(三)数据分类分级结果准确性的挑战(三)数据分类分级结果准确性的挑战与与措施措施 1.挑战挑战 近些年来,伴随着全球数字经济的高速发展,金融行业的业务领域不断扩大,网络系统规模不断增加,资产分布越来越广。因此,容易导致存在扫描死角,敏感数据潜藏在众多脏数据、非结构化数据
47、的包围之中。从而导致资产探测周期长、效率低的问题,进而导致数据字段识别不完整,数据打标不全面的情况。同时,在对数据进行分类分级时,有些数据可能同时属于多个类别,如果在进行数据分类时维度不清晰,可能会导致分类分级结果出错,影响后续基于分类分级结果的管控措施。2.应对措施应对措施 首先,通过人工+技术工具的形式开展数据资产梳理工作,将散落在各个异构系统中,数据结构、数据类型、存储形式、敏感级别、重要程度各不相同的数据进行梳理,利用技术工具消除人工方式容易出错的风险,降低人工分类分级的成本。同时,由于业务的不断变化,数据也随之变化。因此,分类分级目录是动态的,还需要利用技术工具支持分类 23 分级的
48、持续性。再次,通过采用主被动结合的多样化信息采集方式,全面获取网络资产各类信息,构建全网网络资产基础信息库。主动探测是通过目标网络内的一个节点进行探测数据包的收发和响应分析实现,相比于传统人工统计方法便捷且高效;被动探测通过采集目标网络的流量,对流量中应用层HTTP、FTP、SMTP 等协议数据包中的特殊字段进行分析,从而实现对网络资产信息的被动探测。为了达到对信息系统中全部资产探测识别,可以通过分布式部署对信息系统中全部网络资产进行探测识别,从而提高资产探测效率,实现信息系统的目标网络资产主被动高效探测发现能力。针对数据分类维度不清晰问题,可以在对数据进行分类时,除了参照金融行业金融数据安全
49、 数据安全分级指南中对数据分类的建议外,充分梳理、摸清数据使用场景等。在标准分类建议的基础上,细化出适合自身的数据类别。(四)客户信息敏感数据使用的(四)客户信息敏感数据使用的挑战与措挑战与措施施 1.挑战挑战 客户信息包括用户身份和鉴别信息、用户数据及服务内容信息、用户服务相关信息等三大类。而在这三类信息中,又包含了身份标识、基本资料、鉴别信息、使用数据、消费信息等诸多不同类型的数据。这就导致在实际工作落地中,金融融合业务往往很难进行全量的识别,致使对这些客户信息进行管理时,无法进行全部监控,因而不能在第一时间发现风险。当前网络中都应用了加密等先进技术,一定程度上 24 加强了客户敏感信息的
50、管理,但这种单一的方式,往往还存在一些漏洞,使敏感信息依然存在安全隐患。2.应对措施应对措施 随着数据安全法个人信息保护法等法规的颁布,各行业对于个人信息的隐私保护要求逐渐严格。隐私计算技术已成为数据脱敏、数据保护的一道关键防线和合规化落地应用的实践,同时也是一项可以调和个人隐私泄露的高风险与数据价值的充分挖掘之间的矛盾的技术。隐私计算是面向隐私信息全生命周期保护的计算理论和方法,是隐私信息的持有权、加工使用权、运营权分离时隐私度量、隐私泄漏代价、隐私保护与隐私分析复杂性的可计算模型与公理化系统。隐私计算本质上是一种由两个或多个参与方联合计算的技术和系统,参与方在不泄露各自数据的前提下通过协作
51、对他们的数据进行联合机器学习和建模,安全地实现多源数据的跨域合作,破解数据保护与融合应用的难题。隐私计算不是单一的技术,而是综合应用了大数据、人工智能、区块链、密码学等多领域技术,达到信息隐私保护的目的。基于密码学的隐私计算方法能够实现金融业数据要素流通“可用不可见”。“可用”体现在数据要素计算价值的无损性方面,即具有与原始明文数据相同的计算价值和效果;“不可见”体现在其具有严格的密码学安全证明,保证原始数据不被泄露和复制。隐私计算通过数据持有权和加工使用权分离,即数据是可用不可见的,解决了数据隐私保护和安 25 全流动问题。(五)个人信息敏感数据保护的挑战与措施(五)个人信息敏感数据保护的挑
52、战与措施 1.挑战挑战 在数据安全被国家政府、金融管理部门、行业组织频繁提及的背景下,金融业已成为社会的重点关注对象。在我国经济市场中,金融行业与全国人民的日常生活息息相关。大量的金融活动也产生了大量的个人信息数据,主要包括个人客户信息、对公客户的员工信息等等。这些数据真实度高,覆盖面广,实时性强,价值高。这也导致境内外不法分子想要利用金融企业数据安全保护漏洞,非法获取这些数据。因此,金融业个人信息数据的保护是每一家金融企业的重中之重。如何满足监管要求,如何在共享使用个人数据的同时做好保护工作,如何在企业内部冗长的数据加工链路中落实法律法规要求,是所有金融企业面临的重要挑战。2.2.应对措施应
53、对措施 首先,需要设置相应的组织架构,成立相应的领导团队,推动企业个人信息安全保护工作。可以组织建立个人信息保护委员会,委员包括安全、业务、开发、运维、财务、合规、人力、审计等部门相关人员,共同推进个人信息安全保护工作。其次,需要制定相应的规章制度,建立健全多阶个人信息保护相关规范、章程。针对个人信息,制定保护原则、牵头部门、敏感信息处理要求等等。明确各部门职责,做到权 26 责清晰,各司其职。再次,搭建个人数据安全保护平台,提供个人信息授权、分类分级、使用权限申请、数据脱敏处理、数据使用行为审计等服务。在分类分级的前提下,实现数据全生命周期精准保护,例如,数据采集时,建立用户知情书条款模板,
54、清楚透明地告知用户数据采集的内容,采取场景及将会采取的保护措施等;数据使用时,进行与密级相对应的权限控制,包括脱敏处理、监控审计等。再次,建立应急响应措施,制定相应的多级应急事件处置流程规范。对于数据泄漏情况,评估影响程度,启动对应事件级别的应急策略。针对个人信息的应急处理,应做到“高级别、高效率、高质量”的三高要求。定期对出现的问题进行复盘,情况较严重的问题成立专项检查组,由专人推进整改,定期反馈整改进度,整改完成后委派专人验收整改效果。最后,鼓励数据安全保护创新文化。对员工定期开展数据安全宣导,鼓励数据安全保护机制、手段、技术的创新,建立企业内部个人数据安全保护文化。例如,建立“吹哨人奖励
55、机制”,给予发现内部个人信息保护方面重大漏洞并及时上报者,进行企业内部奖励。27 四、四、未来展望未来展望(一一)技术趋势)技术趋势 1.1.数据安全标签数据安全标签 数据标签是一种用数据内容来描述数据的手段,随着近年大数据和数据挖掘等应用的发展,数据标签的使用也在不断扩展。利用数据标签可提供基于业务规则的数据集划分方式,配合机器学习,自动适应业务逻辑和管理需求,实现辅助建立数据治理体系;可使数据与业务紧密联系,方便反映数据的分布流转情况,增进数据的理解与应用;有效支撑数据供需对接,帮助非法共享数据增加可追溯性,加强数据共享安全;有助于快速识别提取数据,作为分析维度帮助数据挖掘建模。数据标签依
56、赖数据标注师对原始采集的数据进行分类标注,这也是人工智能、机器学习的基础工作。随着数据呈指数式暴增,仅靠人工标注的方式已难以满足需求,机器协助或代替人工已成发展趋势。以图像标注为例,“流体标注”作为一种自动根据类别进行识别打标的技术,可辅助标注者大大提高效率,是近年来标注自动化的一个探索性信号。标注模型会生成多个类别标签和置信度分数的图像片段,将置信度最高的片段交给人工做进一步标记。未来,在流体标注的基础上通过优化边界和扩展类别,可实现更高效的自动化标注。28 2.2.自动化分类分级工具平台自动化分类分级工具平台 虽然当前无论从国家层面还是金融行业自身层面都提出了分类分级相关指导建议,但是在金
57、融行业开展分类分级工作时,仍存在不少难点。其中,最突出的一个问题是来自当前金融行业业务发展迅速所带来的系统众多,数据量庞大,单纯依靠人工去进行数据资产的梳理以及分类、定级,不但需要耗费相当大的人工成本,而且在准确度上也面临挑战。因此,通过专业的数据安全治理人员与智能化、轻量化的自动分类分级工具相结合的方式开展分类分级的落地,是未来重点的发展方向。然而,目前的技术手段较多的是对单个数据项进行分类分级,分级的匹配精确度尚待优化。匹配过程依赖人工对数据库中字段的语义转化,规则库也需要定期人为更新。此外,不同场景下,相同数据的级别不尽相同,组合数据的敏感度如何判定等问题都亟须解决。目前的技术手段未实现
58、全流程自动化,大多属于半人工半智能的分级模式。如何让工具在匹配时自动对数据开展语义分析、根据数据在不同场景下判定级别,以及后续业务自适应应用等,将是未来自动化分类分级的重点研究方向。因此,未来自动化分类分级工具平台将有望向数据库自动嗅探识别技术发展。根据实际业务环境,对多种类型数据库中的静态数据、动态数据、结构化数据、非结构化数据进行主动探测发现,识别数据资产的位置以及数据内容。通过自动分类分级工具内置的数据域,灵活配置不同的数据识别 29 规则,结合金融行业的数据特征库,以主动扫描为主、人工手动配置为辅的方式,实现数据的自动化分类分级。同时,利用机器学习建立知识算法,对业务进行识别、分析,并
59、通过不断学习来调整模型参数,通过往复地循环,解决在业务开展过程中持续产生、流转、加工的数据,实现自动化的数据分类分级。(二二)应)应用趋势用趋势 不同类型不同安全级别的数据,其价值和影响程度完全不同,对其采取的管理保护措施和付出成本也不尽相同。数据分级有助于企业开展数据治理工作,是管理数据的重要基础支撑。就金融业而言,海量客户信息既是企业的关键生产要素,为企业带来经济效益,也赋予了企业严峻的管理保护责任。数据安全分级可以使数据管理者有的放矢地制定对应措施,将足够的资源投入到高价值高敏感的数据中,使合规管理的效能最大化。除了企业自身数据管理、数据合规保护的应用外,数据的分类分级将有助于机构间数据
60、共享及不同行业间数据互通,在提高转化效率的同时保障数据安全。另外,人工智能、机器学习、数据挖掘等新兴技术的迅猛发展,能够帮助开发分类分级自动化工具,为分类分级落地提供技术支持。当前金融业数据的分类分级范围大多集中在网络数据,包括且不限于文本数据、图片数据、声音数据、视频数据等。但是对机构中现有的非结构化数据和动态数据,及融合后的数据特别是机构内外部融合后新产生的数据在分类分级开 30 展中仍需更多地关注。(三三)策略联动)策略联动 数据分类分级是数据安全治理体系建设的重要前提。数据分类分级最大的意义也是为了实现后续的精细化、差异化安全防护策略的落地。就金融行业而言,在已分类分级的基础上,目前数
61、据的保护策略主要按照数据的全生命周期开展,在采集、传输、存储、使用、销毁等环节上从数据类别和敏感级别的角度制定相应的保护措施和安全规范。中国人民银行近年发布了金融数据安全 数据生命周期安全规范和个人金融信息保护技术规范,其中数据保护策略是基于金融数据安全 数据安全分级指南的分类分级标准和个人金融信息类别,为数据安全保护提供了基于分类分级的策略基础。随着信息技术的日新月异,数据保护策略的范围有着极大的扩充空间。此外,除生命周期维度,业务场景维度也是近期企业数字化转型的新方向。结合场景分析,数据分类分级能够更贴近真实生产条件下的情形,帮助企业细化管理,优化技术策略。无论分级维度如何更新,离不开两个
62、层面的双管齐下管理和技术。管理层面根据分级结果制定策略;技术层面参照要求实现策略,开展自动库表扫描、分级标准匹配、语义识别、业务自适应、机器学习等自动化技术,保持分类分级和策略的强联动。策略的联动不只是与其他数据安全防护设备之间的联动,也要考虑与这些安全防护设备之上的安全管理平台之间 31 的联动。通过统一的安全管理平台实现对全部安全防护设备的统一管控,利用统一的策略配置、统一的策略下发、统一的策略执行、统一的执行反馈,实现分类分级保护策略的多方联动和闭环管理,从而实现数据分类分级的真正价值。(四)(四)发展发展建议建议 1.1.建立健全数据治理体系建立健全数据治理体系 随着数据安全领域法律体
63、系的逐渐完善,金融机构作为数据拥有方,在数据保护方面面临全方位的挑战应建立健全治理体系。一是从组织架构层面,金融机构需要设置数据保护负责人和管理机构,并在资金投入方面提供充足的支撑。同时二是,机构内部需要建立数据保护与合规管理制度保障数据保护活动顺利和有效执行。三是配合管理制度的制定与落地,机构还应制定数据保护培训教育制度以及数据保护监测制度等事前防范保障。四是数据保护在机构中的执行效果应通过数据保护风险评估制度、数据合规审计制度的编制和定期执行,持续保证数据保护活动执行的优化和提升。2.2.分场景开展分场景开展数据保护数据保护 金融业数据的运用场景纷繁复杂,包括业务场景、开发测试场景、运维场
64、景、内部分析场景等。在不同场景下,数据具有不同的业务价值,将面临不同的安全问题,数据安全保障需要配置相应的安全策略和技术措施。无论何种场景,访问数据的必要性和安全性是首要面临的问题,根据角色授权的权限管控是必不可少的手段。在此基础上的角色分配管理依据,则需要企业机构在数据治理和运用中找出解决场景 32 化数据安全保护的体系化措施,从而兼顾成本安全和效能。3.3.加强数据溯源加强数据溯源 对于数据保护而言,除了做好事前分析、预防和事中的安全防护以外,在未来,还应构建一个完善的、覆盖完整的数据处理过程的动态数据溯源技术机制。通过对数据处理过程的数据流转路径进行还原、对数据流转各阶段数据处理行为进行
65、溯源以及数据血缘分析技术能力,实现数据流动全路径的监测,并将数据溯源能力逐步覆盖金融机构主流业务场景,同时以可视化的方式呈现数据流动全路径和操作行为。通过动态数据溯源能力与数据资产发现、数据安全检测验证等能力相结合,全面地增强金融机构对抗数据安全风险的能力,保障金融机构数据全生命周期安全。33 附录附录 A:金融:金融机构机构数据分类分级与保护实践案例数据分类分级与保护实践案例 案例一:工商银行数据分类分级实践案例一:工商银行数据分类分级实践 1.背景与目标背景与目标 随着数据安全法个人信息保护法的正式发布及施行,对数据安全与个人信息保护的要求已经从合规层面走向了合法。数据安全法第二十一条明确
66、提出数据分类分级保护的要求,同时人行发布的金融数据安全 数据安全分级指南,也明确了金融数据安全分类分级的目标、原则、范围、流程等,为金融行业数据分类分级提供了指导。我行积极响应国家及金融行业要求,开展数据安全分类分级工作,建立统一的数据安全分级管理机制,促进数据共享,服务数据价值最大化。2.实践内容及路径实践内容及路径 2.1 2.1 标准先行,明确分类分级的标尺标准先行,明确分类分级的标尺 工商银行参考金融数据安全 数据安全分级指南和个人金融信息保护技术规范,制定全行统一的数据分级分类规范和针对客户信息的敏感分级分类规范,为行内数据安全分类分级治理提供了依据。在数据分类方面在数据分类方面,遵
67、循系统性、规范性、稳定性、适用性、扩展性五大原则,并结合自身数据标准分类框架,将数据安全分类依次分为四层:一级子类、二级子类、三级子类、四级子类。其中,一级子类与工行基础数据标准分类框架的主题域基本保持一致,二级子类参考工行基础数据标准分类框架的标准大类,三级子类、34 四级子类是基于上级子类的数据进行细分。在数据分级方在数据分级方面面,遵循合法合规性、可执行性、时效性、差异性、客观性五项原则,根据数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为 5 级、4 级、3 级、2 级、1 级。其中,对于个人金融信息相关数据,在数据安全定级过程中从高考虑。2.2 2.2
68、厘清流程,有序推进分类分级工作厘清流程,有序推进分类分级工作 为保障分类分级制度规范有效落地,有序推进数据安全分类分级工作,工行优化现有敏感信息识别标记流程,形成“标准统一”“科技业务双复核”“三阶段协同”的实施流程,实现对数据资产安全等级的完整、准确识别。一是统一。一是统一标准标准,将工行“分类分级模板”和“数据特征模板”内置进数据分级自动标识服务,实现分类分级统一线上标准。二二是是科技业务双复核科技业务双复核,形成科技人员复核、业务人员最终核准的识别标记机制。三是三阶段协同三是三阶段协同,优化现有流程,在原敏感信息识别标记流程的基础上,新增需求阶段及生产运行阶段的分类分级推荐与确认流程,如
69、图 1 所示。35 图 1 数据安全分类分级实施流程 2.3 2.3 技术支撑,实现自动化数据分类分级技术支撑,实现自动化数据分类分级 “君欲善其事,必先利其器”,数据安全分类分级也是如此。数据分类分级工作,可以从自动化、一体化两个方面打造数据分类分级管理工具。一是借助自动化识别工具,提一是借助自动化识别工具,提高数据打标效率高数据打标效率。通过工具对数据库实体表抽样扫描,自动完成打标,大幅降低人工打标成本,提升敏感数据识别质量,有效支撑数据资产的分类分级工作。二是依托企业级数据治二是依托企业级数据治理平台,实现分类分级发起、审核、变更流程线上一体化管理平台,实现分类分级发起、审核、变更流程线
70、上一体化管理理,并从数据安全分级分类维护、数据安全级别打标、权限审批管理、共享知识库四个方面全面提升数据安全治理水平,从安全管理制度的制定、实施、管理、共享四个角度指导行内数据安全防护工作。36 3.实践效果和价值实践效果和价值 当前已完成数据湖内部分应用的打标试点工作。在实际分类分级的过程中,持续完善数据安全分级分类相关制度,明确数据分类分级的日常管理流程和操作规程,以及分级分类结果的确定、评审、批准、发布和变更机制。案例二:案例二:中国银行中国银行数据分类分级实践数据分类分级实践 1.1.背景与目标背景与目标 1.11.1 分类分级背景分类分级背景 随着信息技术的发展,众多金融基础业务、核
71、心流程、行业间往来等事务和活动均已运行在信息化支撑载体之上。金融业机构生产运行过程中产生的信息也逐步以不同形式转化为数字资产,在不同信息网络与系统之间流转。随着大数据、人工智能、云计算等新技术在金融业的深入应用,数据逐步实现了从信息化资产到生产要素的转变,其重要性日益凸显。金融业机构数据安全威胁的影响范围逐步从机构内扩大至行业间,甚至影响国家安全、社会秩序、公众利益与金融市场稳定。银行的业务数据复杂多样,对数据实施分级管理,能够进一步明确数据保护对象,有助于合理分配数据保护资源和成本,是建立完善的金融数据生命周期保护框架的基础,也是有的放矢地实施数据安全管理的前提条件。同时,统一的数据分级管理
72、标准,能够促进数据在同业间安全共享,有利于数据价值的挖掘与实现。在此背景下,中国银行对数据进行安全分类分级,并实施与数据安全级别相匹配的安全管理 37 机制和技术措施,保障数据的保密性、完整性和可用性,避免数据被未授权访问、破坏、篡改、泄漏或丢失等。1.21.2 分类分级目标分类分级目标 建立统一、完善的数据安全分级体系,对数字资产确立适当的数据安全级别,为建立数据安全管理措施提供基础,以符合法律要求、满足行业标准规范。依托数据字典的安全分类级别,明确数据保护对象,并对数据保护对象确立适当的数据安全级别,更精细地控制数据访问的过程。2.2.实践内容及路径实践内容及路径 2.12.1 方案实践内
73、容方案实践内容 (1)(1)组组织建设织建设 1)成立总行数字资产管理部,负责组织开展数据安全分级管理工作,牵头制定数据安全分级管理制度,牵头审议、及时发布数据安全分级结果,牵头组织对全行数据安全分级管理的落实情况进行监督检查与考核评价,负责指导总行各部门、各机构开展数据安全分级管理工作。2)总行各业务部门作为数据业务主管方,依据数字资产管理部关于数据安全分级的管理要求,对本部门主管数据进行安全分级,配合相关部门进行安全分级确认,按照“高级别为优”原则进行定级,并在本条线业务系统、所辖数据中及时落实数据安全分级的相关要求;对数据安全分级的落实执行情况开展自查、重检和监督、评价。3)总行信息科技
74、部门负责制定数据安全分级的相关技术实施规范,落实全行数据安全分级管理要求,为数据安全 38 分级管理的各个环节提供技术支持;负责为数据安全分级管理策略实施、数据安全分级管理工具建设等提供技术支持。(2)(2)保障体系建设保障体系建设 制定中国银行股份有限公司数据安全管理办法,加强数据安全管理工作,明确数据安全管理责任,完善数据安全管理机制;根据中国银行股份有限公司数据安全管理办法等规定,制定中国银行股份有限公司数据安全分级管理指引,规范数据安全分级工作,完善数据安全分级体系,推动数据安全分级工作持续有效地运行。(3)(3)分类分级策略及原则分类分级策略及原则 1)合法合规性原则。数据安全分级应
75、满足国家法律法规及行业主管部门有关规定。2)可执行性原则。数据安全分级规则避免过于复杂,以确保数据定级工作的可行性。3)时效性原则。数据安全级别具有一定的有效期限,应按照级别变更策略对数据级别及时进行调整。4)自主性原则。各部门应结合自身数据管理需要(如战略需要、业务需要、对风险的接受程度等),在本指引框架下自主确定数据安全级别。5)差异性原则。各部门应根据所辖数据的类型、敏感程度等差异,划分不同的数据安全级别,并将数据分散至不同的级别中,不宜将所有数据集中划分到其中若干个级别中。6)客观性原则。数据定级规则应是客观且可校验的,39 即通过数据自身的属性和定级规则即可判定其级别,并且数据的定级
76、是可复核和检查的。(4)(4)开展分类分级开展分类分级 第一步对我行的业务数据进行盘点、梳理与分类,形成统一的数据资产清单企业级数据字典,并进行数据安全定级合规性相关准备工作。第二步,依托我行的企业级数据字典开展数据安全分级:1)基础数据字典项安全级别以业务主管方的分级结果为依据;2)指标数据字典项、数据产品(含标签、报表、数据集、数据分析结果、微服务、算法模型等)的安全级别,综合考虑涉及基础数据的业务主管方与指标数据、数据产品业务主管方的分级结果确定,按照“高级别为优”原则进行定级;3)外部数据字典项以采购需求提出部门的分级结果为依据;4)技术数据字典项的业务主管方为信息科技部门,其安全级别
77、以信息科技部门的分级结果为依据。数据安全级别按照数据安全性遭受破坏后的影响对象和所造成的影响程度进行划分,从高到低分为 5 级、4 级、3级、2 级、1 级。数据业务主管方须结合外部监管要求和业务发展需要,及时开展安全分级结果的重检和更新,并将重检情况及更新内容提交至总行数字资产管理部。由总行数字 40 资产管理部牵头组织,各部门配合,定期对数据安全级别进行全面检查,依据检查情况开展安全级别的重检与更新。(5)(5)技术支撑技术支撑 建设全集团一套的数据字典平台,提供数据字典管理和数据安全管理相关功能,依托数据字典平台对各类数据字典进行数据安全的分类分级;建立全行统一的数据资产目录和数据访问授
78、权机制,为数据的分级分类提供安全保障。2.22.2 实施路径实施路径 我行数据安全分级工作以企业级数据字典为对象开展,安全级别作为数字资产的重要属性,在企业级数据字典中记录。数据安全分级过程包括分级确定、分级发布、分级更新:(1)(1)分级确定分级确定 新增数据(含对已有数据进行分级变更时,下同)由业务主管方评估数据对应的影响对象、影响程度,结合数据安全定级规则 确定数据的安全级别,通过数据需求管理流程实现。存量数据由数字资产管理部进行安全级别的初始化,各业务主管方结合业务实际对安全级别进行确认。(2)(2)分级发布分级发布 由数字资产管理部通过数据字典平台对数据的安全级别进行发布。(3)(3
79、)分级更新分级更新 数据安全级别的变更可由数据业务主管方或数字资产管理部发起。在出现下列情形之一时,应及时对相关数据的安全级别进行更新:41 1)数据内容发生变化,导致原有数据的安全级别不适用。2)数据内容未发生变化,但因数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化,导致原定的数据安全级别不再适用。3)因数据汇聚融合,使得原有的数据安全级别不适用,应重新进行安全级别判定。4)因国家或行业主管部门要求,导致原定的数据安全级别不再适用。3.3.实践效果和价值实践效果和价值 (1)符合国家相关法律法规和行业监管要求,遵循行业主管部门数据安全相关制度规范及数据安全分类分级的管理要求。
80、(2)初步实现了数据安全分级分类的目标,为下一步数据的安全使用和更精细的数据控制奠定基础。案例三:案例三:平安银行数据分类分级实践平安银行数据分类分级实践 1.背景与目标背景与目标 数据安全分类分级是数据安全的一项基础性工作,是对数据实施保护与充分应用的前提条件。鉴于金融行业数据量迅速增长,必须对数据本身进行分类,并在分类基础上分级,按照不同级别落实不同管控策略,在安全可靠与方便应用之间,以及安全成本与数据价值之间得到最佳平衡。平安银行作为一家成立多年的股份制商业银行,银行产品和服务全面而丰富,所有业务实现了全面线上化。在多年的发展运营中,积累了大量数据。系统数量上千,数据库表 42 几百万张
81、,数据字段几千万项。与此同时,随着新业务、新产品日新月异,新增业务系统和存量业务系统功能不断扩张,内部数据快速增长。除了前述业务系统产生的基础数据,近年来随着风险管控、客户营销等场景对外部数据的引入和应用,以及各类数据分析和数据挖掘的发展,又产生大量外部数据和分析数据,使得银行数据总量直线上升,给数据保护带来巨大挑战。面对国家和监管对银行数据安全的严格要求,面对银行自身发展对数据安全必须承担的义务和责任,面对银行复杂多样的业务和海量的数据,如何做好数据分类分级这个数据安全最基础的工作,成为一道必答题。经过充分学习和领会国家及行业数据安全法律和标准,调研业界先进实践经验,经过不断探索和实践,我们
82、认为必须回答好如下几个问题:(1)数据分类怎么分,依据什么原则分,谁来分?(2)安全等级如何定,有没有参考依据,准确性怎么保证?(3)面对海量数据,如何在成本可控的前提下完成分类分级?2.内容与路径内容与路径 2.12.1 数据安全分类分数据安全分类分级保护矩阵级保护矩阵 首先是制定标准,一套细化到数据项(字段级)的分类分级标签,以及与之对应的全生命周期各环节的保护措施。数据安全分类分级保护工作首先需要制定数据安全分类分级的判断标准和指导原则。参考金融数据安全 数据安全 43 分级指南和个人金融信息保护技术规范,结合我行数据内容,梳理形成数据项+安全级别+保护措施的全方位数据安全分类分级保护矩
83、阵,指导全行数据安全分类分级保护体系落地。矩阵内容如图 2 所示。图 2 数据安全分类分级保护矩阵 2.22.2 自上而下与自下而上双向打自上而下与自下而上双向打标标 平安银行数据分类分级采用自上而下和自下而上相结合的打标方式,具体架构图见图 3。自上而下:数据库模型设计阶段,从逻辑模型进行打标,对应物理表继承安全标签。自下而上:扫描物理表数据,对物理表字段进行分类分级打标。44 图 3 数据安全双向打标架构图 2.32.3 自下而上打标自下而上打标 平安银行的数据安全分类分级按照五步走的路径开展:首先是制定标准,一套细化到数据项(字段级)的分类分级标签,并明确与之对应的全生命周期各环节的保护
84、措施。其次是对全量数据的自动采集与汇聚,以及全量数据元数据的完善和补充。第三步是训练一个强大的数据安全标签 AI 分类模型,通过机器扫描实现对海量数据项的高效识别并打标。第四步加上人工复核,这是鉴于机器扫描的结果虽然已经达到 80%准确率,但确实存在一些偏差,通过熟悉数据的开发人员或者业务人员进行人工复核纠正。第五步是把复核后的数据安全标签打标结果在数据资产管理平台上架,向各类用数场景提供数据安全分类分级服务。上述五步不是单向的,我们通过信息反馈机制不断完善前面环节的质量,比如,把复核确认后的打标结果反馈到 AI模型进行补充训练,持续提升模型准确率;通过不断检视全 45 量数据项打标结果,发现
85、一些新的数据分类分级标签,反馈到第一步持续补充完善标准。2.42.4 自上而下自上而下数据安全打标数据安全打标 自上而下的数据安全打标方案是管控增量数据库表进行数据安全打标的重要手段。在各系统进行数据库建模阶段,由该库表的设计人员进行数据安全打标。因为设计人员对该库表即将存储的数据最为清楚,也是数据库表产生的“第一站”。自上而下打标既保证了数据安全标签的准确性,又保证了数据安全保护措施在整个数据全生命周期的可落地性。2.2.5 5 鹰眼智能打标平台鹰眼智能打标平台 面对行内大量数据字段需要进行数据安全分类分级的现状,人工打标成本高昂,费时费力。为此,数据治理团队联合安全团队及模型实验室团队联合
86、上线自主研发智能化数据安全分类分级“鹰眼”打标平台,支撑数据安全精细化管控,完成 272 个数据安全标签的自动化打标全覆盖,打标准确率由人工打标 80%提高至 90%,满足合规要求的同时,大幅减少人工打标、复核工作量,如图 4 所示。46 图 4 平安银行数据安全分类分级鹰眼打标系统 3.实践效果和价值实践效果和价值(1)覆盖全打标范围全面覆盖。双向打标方案不分数据库类型,无论是关系型数据库还是大数据平台,该打标策略可覆盖全行所有系统,实现“存在即打标”的目标。(2)时效快打标时效与资产上架同步。双向打标的措施具备时效快的特点,自上而下打标:数据库表落地即实现资产上架,资产上架即意味着数据安全
87、标签的正式生效。自下而上打标:机器自动扫描,每天实现跑批任务,T+1可实现数据安全标签上架和服务的提供。(3)成本低打标成本低廉可控。自上而下打标方案中,由设计人员在库表设计之初进行数据安全打标,继承到整个数据全生命周期安全保护流程中,避免后续返工。自下而上的数据安全打标策略由 AI 智能模型进行打标,只需部署跑批任务即可实现打标,极少人工介入成本。47 (4)质量高打标质量满足要求。自上而下打标中数据库表设计人员打标,保证数据安全准确率。自下而上由智能打标模型进行打标后,人工复核,实现高质量打标。(5)可持续模型优化良性循环。双向打标后的打标成果,在实现全覆盖和高质量的情况下,将打标结果反哺
88、给 AI 智能打标模型,实现良性循环,数据安全管理可持续。同时,自上而下打标模式融入开发设计之中,实现开发治理一体化。案例四:案例四:浦发银行数据分级运用实践场景浦发银行数据分级运用实践场景 1.背景与背景与目标目标 数据分类分级是数据治理的关键基础支撑工作。随着国家监管对个人信息的保护日益重视,金融机构对个人金融信息的保护也在不断加强。浦发银行内大量系统都涉及个人信息,系统层面的数据分类分级极其必要。针对系统涉及的字段实施征集汇总,系统负责团队和业务团队提供字段语义,明确业务场景。依托数据标准落地,在字段梳理和语义场景都具备的基础上,按照分类框架和分级标准为每一个字段做好分类并打上安全等级。
89、在日常工作中,涉及客户敏感信息的场景很大一部分集中在系统前端的展示、下载、导入导出等系统层面的功能。除了对各业务人员的访问权限设置了管控措施,员工的操作风险和异常行为也急需甄别的技术手段,以达到及时发现及时阻断的告警管控目标。48 2.内容与路径内容与路径 开展企业数据分级。通过企业级数据标准的推进实施,按照人行分级指南要求,以系统为维度,对数据库字段进行分类分级,在数据标准分类框架中增加数据安全属性。在数据全生命周期过程中,不同敏感级别的数据有着各类规范要求,加强对系统建设过程中合规要求的把握。做好菜单级敏感数据操作识别。为了使业务部门全面了解个人金融信息保护的情况,及时识别并处理相关的权限
90、、做好行为异常事件处置、实现管理需求,根据个人金融信息保护技术规范中个人金融信息类别,对各系统页面中的字段进行关键字识别,匹配对应的级别,如页面涉及敏感个人金融信息,则将其标记为涉敏页面。针对离岗调岗、岗权不匹配等权限异常的账号,涉敏页面如发生展示和查询等情况,做好日志审计记录,进一步开展事件调查、权限关闭等措施。同时,针对权限正常,但非办公时间高频查询、下载、导出等异常行为,也将被日志记录,并流转至相关部门进行排查核实,如图 5、图 6 所示。图 5 权限异常示意图 图 6 行为异常示意图 3.实践效果和价值实践效果和价值(1)通过梳理系统字段,形成初步定级。打标后的字段集存放在企业数据的管
91、理平台中,字段打标结果可供系统 49 开发测试人员参考,加强对系统建设过程中合规要求的把握。(2)通过个人金融信息管理平台,对已产生的异常访问及时告警并开展处置,进一步加强个人金融信息的风险管理。50 附录附录 B:科技科技公司公司数据分类分级与保护实践案例数据分类分级与保护实践案例 案例一:案例一:腾讯数据分类分级实践腾讯数据分类分级实践 1.背景与目标背景与目标 数据安全已成为国家安全领域的热门话题,国家颁布的数据安全法为规范数据处理活动、保障数据安全指明了方向。针对金融行业,中国人民银行先后发布了金融数据安全 数据安全分级指南金融数据安全 数据生命周期安全规范 等行业标准,对金融机构的数
92、据安全管理进行规范。数据分类分级工作旨在安全合规的基础上更便捷、高效地实现数据共享、价值挖掘并释放数据潜能,更好地服务用户。2.实践内容及路径实践内容及路径 腾讯的数据分类分级在元数据管理平台基础上展开,整体分为两个阶段:完成对数据表字段的分类,结合规范要求维护字段分类和表分级的匹配策略,最终完成分级结果的初始化和审批。具体执行过程中,增量数据由“人工主导、模型辅助”完成字段分类,存量数据分类由“模型主导+高等级人工审核”来完成。腾讯的数据分类分级方案的整体思路,如图 7 所示。51 图 7 数据分类分级整体方案 在数据表建模过程中,首先提供安全分类选择入口,由建表负责人填写具体字段所属的分类
93、信息。然后,结合规则和模型来实现字段分类,字段内容有显著特征的类别采用正则表达式识别,其余的分类结合实验数据表现,选择不同的信息输入和分类方法。分类结果判定后,基于字段血缘关系做一个验证和纠正,结合已标注的测试集数据,对分类结果做类别覆盖度和准确率的量化,辅助持续迭代。再基于行业标准规范等要求,梳理字段分类到表分集的映射关系,沉淀在平台上。最后,将数据表安全分级的结果落地存储,并展示在数据安全平台中。由数据责任人在分级确认页面查看与确认、更新,数据安全负责人审批后在元数据管理页面中呈现结果。3.实践效果和价实践效果和价值值 基于数据分类分级,可以实现如下的价值:(1)数据权限审计:可以实现对高
94、敏感等级数据表的 52 例行化权限审计,识别非必要授权、高风险授权,基于数据安全等级的差异化权限审批流程、权限时间周期、权限续期回收策略设定等。(2)数据下载控制:基于数据安全分级,能够落实数据下载事先限制、事后审计工作,收敛数据泄露风险。(3)个人信息保护:基于数据安全分类识别的个人信息相关字段,对数据表实现相关合规保护策略。(4)数据安全监测:基于数据安全分级,实现对于高敏感等级数据表、高敏感等级数据报表的数据访问监测、数据更新监测、数据删除监测、数据跨主体访问、反常访问识别等策略。案例二:案例二:壹账通在某集团数据分壹账通在某集团数据分类分级的实践类分级的实践 1.1.背景与目标背景与目
95、标 数据是数字经济发展的核心生产要素,是国家的重要资产和基础战略资源,也是企业关注的重要资产。因此,数据的安全性越来越受到重视,而数据分类分级工作在数据安全战略中具有极其重要的地位,国家、行业和企业层面都对数据分类分级管理提出要求。以下将介绍壹账通对某集团数据进行分类分级的实践。2.2.实践内容及路径实践内容及路径 某集团从制度、流程、工具三方面着手,开展数据分类分级落地探索,构建了完善的数据分级分类管理体系。在制度上,建立协调一致的标准规范,充分吸收行业数据分类分级的相关标准规范,并结合其业务特点,形成方法和思路统一 53 的规范指引;在流程上划分为三个阶段,定义各阶段关键节点,保证分类分级
96、工作有序开展。在技术上,构建以敏感数据管理平台、数据分类分级系统、数据资产管理平台为核心的工具平台,实现数据的自动化采集、分类分级和统一的企业数据资产目录的资产全生命周期管控。同时参考金融数据安全 数据安全分级指南和个人金融信息保护技术规范中数据分级的相关规定,总结了数据分类分级工作开展的关键步骤,主要包括建立组织、数据资产梳理、标准模板制定、识别策略开发、分类分级打标、结果复核、识别策略优化、分类分级清单输出等步骤,如图8 所示。图 8 数据分类分级流程 3.3.实践效果和价值实践效果和价值 通过对本次数据分类分级工作的阶段性总结,认为目前已取得如下实践效果:54 (1)已形成一套包含制度、
97、流程、工具相对完善的数据分类分级管理体系,并总结形成数据分类分级工作方法论,可在集团内部推广。(2)构建了数据分类分级系统,为数据分类分级自动化打标,提升工作效率奠定了基础。(3)选择两家专业公司进行试点,完成 7000 余张表、20余万个字段的数据分类分级。案例三:案例三:天融信在某银行基于敏感数据识别与分类分级天融信在某银行基于敏感数据识别与分类分级技术的探索与技术的探索与实践实践 1.背景与目标背景与目标 随着信息化的不断发展,数据已经日益成为金融机构的重要资产。为落实相关法律法规、行业监管对个人信息保护及重要数据保护的要求,需要做好某银行重要数据安全保护工作,完善数据安全技术防护体系设
98、计,掌握数据资产分布情况,做好数据安全分级,全面掌握数据流向及安全防护情况,落实数据安全技术防护策略,加强数据安全防护。2.实践内容及路径实践内容及路径 本项目根据金融管理部门要求和某银行自身发展的需要,采用科学的方法论为某银行开展数据安全治理咨询服务,内容包括敏感数据识别、制定数据安全管理制度及数据分类分级标准、完成对业务数据的分类分级、识别敏感数据面临的风险、优化数据安全策略并完善数据安全控制措施等。基于系统重要性和敏感数据分布,本项目选取包含产品 55 服务、管理分析、基础管理、渠道外联等不同类型的共计十套系统作为试点。前期调研前期调研 通过信息的收集整理、人员访谈、问卷调查、现场调研等
99、手段,对数据进行完整地梳理、分析,了解数据的特性及依存关系,掌握数据安全保护措施及不足,进行风险分析和安全成熟度评估,形成相关成果报告。数据安全治理体系设计数据安全治理体系设计 按相关标准和行业最佳实践,提供完善的数据安全治理方案,提供具有可执行性的、合理的、合规的改进建议。在调研的基础上,协助某银行制定数据安全治理体系,主要内容包含:建立管理组织结构、梳理完善数据安全保护管理制度框架,明确数据的分类分级原则,通过全面的数据梳理及安全评估,确定重要、敏感数据的分布、使用情况;查找现有数据安全保护措施的差距;对网络及数据安全的保护措施、策略进行统一规划;制定数据采集、传输、存储、处理、交换、销毁
100、等全生命周期的数据保护实施方案。数据资产梳理数据资产梳理 对某银行应用系统的结构化数据、非结构化数据进行梳理,明确数据所有部门、维护部门、使用部门,了解数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等状态信息,实现格式识别、内容识别、元数据抽取。数据流向梳理及敏感数据梳理数据流向梳理及敏感数据梳理 在对十套系统进行敏感数据发现时,制定科学的数据梳 56 理方案。方案的维度要包含合规要求,安全要求等,方案的维度与范围要合理(包括十套系统的全部数据库),确保能真实反映某银行的敏感数据分布,确保不出现遗漏或评估不足现象。采用有效的方法识别敏感数据在已选定的十套系统内的静态分布和动态流转。
101、数据分类分级数据分类分级 制定某银行数据分类分级标准,完成对数据的分类分级。数据类型包括但不限于:生产运行数据、业务数据、客户敏感数据、决策指标类数据和行内员工数据等,采用有效的方法识别敏感数据在已选定的十套系统内的静态分布和动态流转,并且保证方法适于推广使用。数据安全审计数据安全审计 设计和完善信息科技部门数据安全审计能力,协助某银行根据历史的整改建议与要求进行问题整改;协助某银行梳理数据安全审计制度、数据安全审计方法和流程、数据安全审计培训资料。数据安全风险评估数据安全风险评估 根据自查梳理得到的资产清单,按照资产安全级别由高到低的优先顺序,基于数据全生命周期进行风险分析排查工作。数据安全
102、管控措施数据安全管控措施 识别十套系统的数据安全保护技术和工具的需求,明确对技术和工具在功能上和性能上的具体要求,包括但不限于数据传输平台的访问控制需求、数据库审计系统的访问控制 57 需求、终端数据防泄漏系统的访问控制需求;结合数据流向、分类分级试点,形成数据安全管控流程框架,规范数据的使用与管理。策略调整策略调整 完成敏感客户数据在数据防泄漏系统的配置。完善敏感客户数据脱敏工具的方案。制定某银行的新建应用系统关于数据安全保护方面的防护策略。3.实践效果和价值实践效果和价值 通过项目的建设,提高了某银行数据安全防护能力,重点是对敏感数据识别和监测保护;协助某银行建立数据安全策略与标准,依法合
103、规采集、应用数据,依法保护客户隐私,定期审计数据安全;协助某银行落实信息安全专项规划并做好日常信息安全服务工作,持续降低信息安全风险隐患,为某银行业务和信息化发展提供有力支持。案例四:天融信在某消费金融案例四:天融信在某消费金融开展数据分类分级与风险开展数据分类分级与风险评估评估与实践与实践 1.背景与目标背景与目标 随着金融创新的快速发展,金融机构积累的数据量呈现几何倍数增长,同时由于金融行业自身业务的价值,金融数据正在成为不法分子紧盯的重点对象,数据安全问题正日益凸显。在此形势之下数据安全法个人金融信息保护技术规范金融数据安全 数据安全分级指南等数据安全相关法律法规标准规范陆续出台,随着对
104、数据安全相关标准 58 的不断完善,加强数据安全建设已是法律所要求的责任和义务。当前,该消费金融搭建了运用分布式技术建设的高容量、可扩展的大数据服务平台,实现海量数据存储,提供存储全、质量准、采集快、使用易的企业级大数据能力。但是,对于数据安全还未形成一套成熟的保护体系。2.实践内容及路径实践内容及路径 2.1 2.1 痛点痛点分析分析 (1)顶层规划有待加强 随着数据安全法个人信息保护法等数据安全相关法律法规的陆续出台以及数据安全相关标准的不断完善,加强数据保护等数据安全建设已是法律所要求的责任和义务;同时,在数据安全业务层面,缺乏统一的顶层设计和统筹规划,对于敏感数据的分类分级、数据全生命
105、周期的安全管控、数据安全风险预警及应急处置等缺乏统一的规范和指导,尚未形成一套有效的数据安全体系化的建设。(2)管理体系不够健全 当前,该消费金融公司存在管理组织架构不明确、数据安全管理权责边界不清晰的问题。同时,在管理制度方面,缺乏完整的安全管理机制、制度和标准规范。数据安全各项管理制度不健全,安全策略、管理制度和操作规程等未能落实到数据生命周期的各个管控环节。从而导致在实际业务中,数据安全管理过程缺少管理规范和相关审批流程,具体工作落实无规可依。59 (3)技术保障覆盖不全 现阶段,该消费金融公司数据中心数据安全防护技术主要依赖传统网络安全技术体系,针对数据的采集、传输、存储、处理、交换、
106、销毁的全生命周期尚未具备体系的数据安全技术保障措施,缺乏金融数据各个场景下应用以及开放共享的安全保障方案。2.2 2.2 建设过程建设过程 以金融数据为核心,建立健全数据安全治理体系、构建数据安全技术保障能力和智能可视的数据安全运营能力,使该消费金融公司形成“基础强、管理严、技术优、制度全、责任清、情况明、处置快”的数据安全保护工作机制,持续保障业务系统的数据安全,并能指导公司各部门有序开展数据安全建设工作。开展数据安全治理咨询服务是建立该消费金融公司数据安全保障工作的首要环节。通过开展数据安全资产现状梳理、数据安全能力成熟度评估、数据安全分类分级建设、数据安全保障体系建设等工作,建立该消费金
107、融公司的数据安全管理组织架构,健全数据安全相关标准及指南,明确金融数据安全保护措施体系,指导公司各部门开展数据安全建设工作。3.实实践效果和价值践效果和价值(1)规范金融数据安全工作制度流程 从金融数据全生命周期安全保障需求、数据安全风险控制需要及法律法规合规性要求等几个方面进行梳理,确定数 60 据安全防护的目标、管理策略及具体的标准、规范、程序等。进一步完善金融数据分类分级制度、金融数据安全风险评估、金融数据全生命周期安全保护制度、金融数据安全监督检查等方面制度要求,实现数据安全各项工作实施过程有制 可循、有据可依,如图 9 所示。图 9 数据安全治理咨询实施阶段(2)落实金融数据安全分类
108、分级制度 数据安全分类分级是开展数据安全建设的基础,通过数据安全分类分级的实施,确定各类型金融数据的类别以及重要程度,从而对数据采取更有针对性、更有效的保护措施,保证金融数据开放共享同时兼顾安全与效率。(3)覆盖金融数据全生命周期、全场景的数据安全保障 本次项目的安全管理规范,围绕金融数据采集、传输、存储、处理、共享、销毁的全生命周期。覆盖金融数据在开放共享、开发测试、存储分析、应用访问等各业务场景下安全,为后续建设全场景的数据安全防护技术能力提供依据。61 案例五:蓝象智联普惠金融联邦定制的风险评估方案案例五:蓝象智联普惠金融联邦定制的风险评估方案 1.1.背景与目标背景与目标 随着数字化的
109、发展,金融服务线上化占比逐渐加大。银行业传统以线下服务为主模式下的经验转到线上化后普遍面临用户数据不足,无法支持精准的风险评估及授信。当前,线上金融服务主要集中在个人客户,对公业务仍是短板,最为突出的如小微企业融资难问题。用户风险评估的核心是数据。当前信用风险评估普遍以征信数据以及行内数据为主,对于用户他行交易、生活消费、产品持有、日常偏好、收入、水电、税务等数据维度存在缺失,用户风险刻画维度缺失导致行方在评判用户风险准确度上存在不足。为了提升信用风控的精准度,金融行业通常都会使用联合建模的方式将多方数据联合分析,传统的联合建模在执行过程中有很大制约。在建模过程中数据源和数据使用方双方数据要见
110、面,需要一方在线下带着数据到另一方,有数据泄露风险。在某些场景中,数据使用方也担心自己的模型部署到数据源时有模型信息泄露风险。另外,由于联合建模需要双方在线下进行,涉及差旅等问题,成本较高。银行等金融机构在客户全生命周期的数据化运营的过程中,比如精准营销、风险控制、合规管理等环节,经常需要使用外部数据进行内部应用。但由于数据安全的问题,金融机构的数据无法出本地、外部数据无法开放更多的纬度,导致建模性能差、效率低且不安全。62 2.2.实践内容及路径实践内容及路径 (1)依托隐私计算,打破信息互通壁垒,确保外部数据使用合规安全。本方案应用业界前沿的隐私计算技术,通过联邦学习平台,在数据不出行、保
111、障信息安全的情况下,打破了信息互通壁垒,实现“银行+银联”数据融合,有效解决隐私保护与大数据运用之间的矛盾,开创了与外部机构信息交互合作的先河。(2)实现数据融合,充分利用银联信息,构建全新场景模型及风控体系。本方案通过结合银联支付交易特征信息,以及行内已有的征信、流水等信息,进一步丰富风险画像,构建全新场景风控体系。在入口端,优化商户违约预测模型,风险识别效果提升 20%;深入分析商户收单特征,打造“刷单套现”精准识别模型,有效防范欺诈风险。在闸口端,基于知识图谱技术,补充借款人同名跨行及关联交易的资金流向分析,打造全新的资金流向违规领域探测模型,提升贷后监测覆盖面及精准度。(3)创新业务模
112、式,打造开放式融资服务方案,实现全线上智能运维管理。本方案基于模型风险评估,结合业务经验,制定了综合化授信、差异化定价等精细化应用策略,实现全线上智能运维管理。同时,以业务发展为导向,创新打造面向小微商户的开放式融资服务新模式,将服务群体拓展至数千万银联收单商户,进一步扩大服务面,提升金融普惠性。客户可在线主动申请业务,由系统开展自动审批,实现最快“三分钟申请、一分钟放款”,大幅提高业务办理效 63 率和客户体验。联邦学习的方案及效果如图 10、图 11 所示。图10 联邦学习方案 图 11 联邦学习效果 3.3.实践效果和价值实践效果和价值 联邦学习技术能够有效解决各方数据都不用出本地便可进
113、行信息交互,在数据“可用不可见”的前提下联合分析双方数据,既不用担心数据泄露,又可以充分挖掘数据的价值。64 在实际小微企业的风险模型刻画过程中,会涉及营销响应模型、贷前风险模型、贷中风险模型、全链路风险模型等四大域、十一小域的模型体系,这部分模型的建模建立会由行方完成,但到了瓶颈之后只能通过外部数据的引入来进一步提升性能,如图 12 所示。图 12 小微企业风险模型 联邦定制分产品针对金融行业不同场景(从营销获客、反欺诈、贷前准入评估、授信额度和贷中贷后预警等),对接丰富、深度且高质量的外部数据源,如三大运营商(中国移动、中国联通、中国电信)和中国银联,覆盖全国 14 亿+用户,20 亿+设
114、备,上千维深度特征。且基于金融级隐私计算平台,全流程确保“数据不出库、数据不落库”的情况下联合多数据源深度建模得到联邦定制分。该评分分值在0,1之间,该评分越高,风险越高;评分越低,风险越低。该联邦定制分产品可用于金融机构信用卡、小微企业普惠金融、消费金融等场景的营销获客、反欺诈、贷前准入评估、授信额度和贷中贷后预警等环节。目前已经在金融、运营商等多个行业有商业应用落地,如某四大行基于联邦定制分的小微商户普惠金融服务,KS提升13%,实现户均授信提高30%;65 某农商行基于联邦定制分的个人信用贷服务,KS 提升 20%。案例六:同盾在某大型国有银行数据安全项目的实践案例六:同盾在某大型国有银
115、行数据安全项目的实践 1.1.背景与目标背景与目标 2019 年党在十九届四中全会上,中共中央将“数据”定义成为一项生产要素,预计到 2025 年,大数据产业测算规模将突破 3 万亿元,数据安全作为大数据产业的重要保障,在支撑大数据要素价值实现中举足轻重。工信部发布的 “十四五”大数据产业发展规划中提出,要筑牢数据安全保障防线,开展数据安全铸盾行动,号召加强数据安全管理能力,推动建立数据安全管理制度,制定相关配套管理办法和标准规范,组织开展数据分类分级管理,制定重要数据保护目录,对重要数据进行备案管理、定期评估与重点保护。为贯彻落实国家数据安全管理政策,某大型国有银行积极开展数据安全管理领域建
116、设,特设立数据安全管理系统建设项目,维护宣贯数据安全管理制度、管理办法和标准规范,开展数据分级分类落地管理工作。从数据分级分类标准分类、安全分类分级标识实施落地、数据使用分级安全管理保障、数据安全智能工具、数据安全文化指导等五个方面提升行内数据安全管理能力,为该行数据要素价值的发挥提供安全保障。2.2.实践内容及路径实践内容及路径 结合项目背景和客户当前的痛点,按照以下步骤进行数据分级分类实施:(1)现状分析与评估:通过解读现状政策,结合行内的数据安全现状调研,分析行内数据资产和数据湖数据分布情 66 况,总结现状差异及评估结果。(2)建立关键要素设计/管理机制:全面梳理关键要素及敏感信息识别
117、规则,设计数据安全分级分类和个人敏感信息分级分类,梳理形成信息映射规则;优化数据安全分类分级管理办法,设计制定敏感信息管理办法和策略。(3)落地迭代实施:将信息映射规则落地形成 AI 数据分类分级规则库,迭代实现对 5 个重点系统的数据安全分级分类和敏感信息双达标。(4)策略建议发布及推广:发布数据分类分级信息管理机制和敏感信息管理机制,并针对相关平台及工具提出优化建议。(5)应用联邦学习平台新工具新方法,解决集团信息共享中信息安全管理问题。随着国内外监管机构对客户数据安全要求趋严,集团与子公司之间如何实现业务合规,达到数据共享要求,需要通过引入新工具(如联邦学习、多方安全计算等)来实现数据可
118、用不可见,在数据共享应用的同时,行内客户信息又不直接流转到行外。3.3.实践效果和价值实践效果和价值 通过对本次数据分类分级工作的阶段性总结,认为目前已取得如下实践效果:(1)构建了全面的数据安全治理体系,形成了全行级数据分类分级和敏感信息管控机制和流程。金融数据复杂多样,对数据实施分级管理,能够进一步明确数据保护对象,有助于金融业机构合理分配数据保护资源和成本,是金融业 67 机构建立完善的金融数据生命周期保护框架的基础,也是有的放矢地实施数据安全管理的前提条件。同时,统一的数据分级管理制度,能够促进数据在机构间、行业间的安全共享,有利于金融行业数据价值的挖掘与实现。该项目数据安全整体方案,
119、构建起端到端的数据安全分类分级体系、敏感信息管理体系,和与之对应的分级保护策略。在充分满足外部监管和内部合规要求的前提下,设计行内个性化的、可落地一系列框架体系。(2)沉淀了自动化数据分类分级打标规则,且规则的识别率和准确率都达到较高水平。项目实施过程中沉淀了接近5000+条金融数据分类分级规则,包括金融场景下的当事人信息、产品信息、协议信息、事件信息、账户信息、渠道信息、资源项信息、介质信息、通用信息等九大类通用规则和个性化的业务规则。有效地实现了自动化数据分类分级在各系统中的落地打标,让数据安全的管控力度能够涉及每个系统、每张表以及每个字段。此次,数据分类分级落地打标,为后续全面开展数据安全分级管控提供了基础且关键的保障。(3)利用隐私计算技术,在数据安全保护的前提下,实践多个数据使用的场景。当今互联网时代出现了两种普遍的现象,一个是数据孤岛现象,一个是隐私换便利现象。而随着数据安全合规的监管日益严格,突破这两种现象造成的壁垒必然需要技术的创新。客户方在寻求数据的“管”和“用”的平衡点时,利用联邦学习平台,尝试构建多种场景。例如:68 跨法人的信息验证场景、联合建模的场景等,并通过这些场景的建设、运行和反馈,探索出在数据分级管控下,数据使用和数据价值释放的渠道、方式、方法和效果,具有重要的指导意义。