近日,北京金融科技产业联盟围绕中国人民银行印发的《金融科技发展规划(2022—2025年)》(以下简称《规划》),开展了第三期解读专题研讨活动。在《规划》第三期解读专题 “交流研讨”环节中,天融信科技集团就金融数据安全建设的难点、痛点以及体系化建设思路与经验等,同参会单位进行了交流与分享。
本次活动以“充分释放数据要素潜能”为专题,由北京金融信息化研究所承办,北京国家金融科技认证中心协办。金融信息化研究所负责人习辉博士主持本期活动并致辞,人民银行科技司《规划》编制组专家解读《规划》内容,联盟数据专委会主任委员单位成方金融信息技术服务有限公司、区块链专委会主任委员单位中国人民银行数字货币研究所介绍落实《规划》相关工作情况。
天融信数据安全专家钟诚围绕规划中提出的“数据安全治理”和“数据安全防护”两方面的能力要求,阐述了天融信以数据为核心的安全体系框架,以及“六步走”的建设思路,并结合在实际项目中碰到的难点、痛点等问题,对数据安全建设提出了参考经验分享。
天融信以数据为核心的安全体系框架以及“六步走”的建设思路,紧紧围绕数据安全治理评估、数据安全组织建设、数据安全管理制度规范建设、数据安全技术保护体系建设、数据安全运营管控建设、数据安全监管建设等进行有序、全方位展开。
金融行业数据安全建设不是单一的数据安全产品能力建设,而是应该建立一套完善的数据安全体系,包含数据安全治理和数据安全防护两个方面。通过数据安全体系化建设,实现管理与技术的融合、多方协作的融合、业务与安全的融合,建立起符合数据安全监管要求的保障体系。从数据安全治理出发,建设管理组织和制度,为数据安全防护技术落地提供依据,通过不断的数据安全运营,持续对数据安全建设进行审计、分析,完成pdca闭环化的数据安全建设,最终完成建立合规、有效的数据安全防护体系。
钟诚还针对项目实践过程中遇到的难题,对数据安全建设提出了如下参考经验。
q:金融机构在向监管单位进行数据采集报送时,如何保证既要考虑数据的真实、准确、有效,又要考虑敏感数据信息不会被泄露?
a:这需要对数据资产进行准确分类分级,并对不同类别、级别的数据资产进行合理的安全防护。钟诚认为,在实际项目中更倾向于细化不同的场景需求,结合数据字段本身以及该字段会应用的不同场景,综合判断其级别,并对不同场景进行分类分级规范和策略的设计,从而更好地解决类似问题。
此外,开展数据资产梳理是落实数据分类分级的基础,根据数据资产的不同类别和级别制定不同的安全防护策略,在数据安全治理过程中,通过对机构现状的全面的摸底,掌握机构当前的数据安全现状,再结合《gbt 37988-2019 信息安全技术 数据安全能力成熟度模型》,开展差距性分析,根据差距评估结果来建立针对性的改进建议。
q:数据只有流动才能使数据价值和数据要素潜能得到全面释放,伴随着数据的流动,如何对数据全生命周期过程的安全风险进行识别、防护、检测、响应?
a:钟诚认为,当前基于数据全生命周期进行识别、防护、检测、响应,不是单一的安全防护产品就可以实现的,需要对多个安全防护手段进行统一、协同管理,并将数据安全治理融入到数据生命周期各个过程中。比较现实可落地的措施是建立起支撑数据安全治理的集中运营管控,在完成数据全生命周期定义和风险定义后,通过建设数据安全智能管控平台,纳管所有数据安全组件,完成全生命周期的风险全面管控,并从数据资产管理、分类分级管理、风险识别、风险处置、安全审计等多个方面建立一套完善的运营体系,为金融机构提供长期的安全运营能力。
数据安全智能管控技术架构
目前,天融信已参与国标《gb/t 37988-2019 信息安全技术 数据安全能力成熟度模型》、金融行标《jr/t 0223-2021金融数据安全 数据生命周期安全规范》以及《jr/t 0071—2020金融行业网络安全等级保护实施指引》等金融等保2.0系列标准的制定。天融信作为国内数据安全领域的先导者,将在金融行业主管单位相关政策要求的引领下, 积极参与金融行业数据安全咨询、建设、运营维护、培训等工作。此外,天融信还积极支撑中国信息安全测评中心进行cisp-dsg和cisp-dpo数据安全专项人才培养课程的开发,深化数据安全专业人才培养。
topsec
天融信作为国内数据安全领域的先导者,从率先提出“以数据为中心的安全技术架构”,到“以数据安全治理为基础、数据全生命周期为核心、数据安全防护为手段、数据安全运营为支撑”的方法论,一直致力于数据安全建设。未来,天融信将持续深耕数据安全领域,助力我国金融数据全生命周期管理体系建设,推动数字化转型高质量发展。
- 关键词标签:
- 天融信 数据安全 金融数据全生命周期管理体系