银行业务数据安全治理的咨询与验证丨案例解析 – 作者:华途信息007

银行客户个人信息保护问题近期引起广泛关注。8月5日，上海银保监局披露的两张罚单显示，交通银行和招商银行某中心分别被罚100万元，违规案由涉及客户个人信息保护、催收、资信调查等。今年上半年曾发生多宗银行客户个人信息外泄问题，包括今年4月疑似百万条银行保险机构相关数据被售卖，尽管各家均已澄清，但仍引发了极大关注。

银行业金融机构作为网络服务提供者和关键信息基础设施运营者，应遵照法律法规，对重要数据和个人信息采取有效保护。与此同时，《银行业金融机构数据治理指引》、《个人金融信息保护技术规范》、《金融数据安全 数据安全分级指南》（送审稿）等与数据安全相关的行业规范和标准相继公布，进一步明确和规范银行业金融机构的数据安全要求，提升银行业金融机构的数据安全保障能力。

———————————————————————————————————————-

【行业背景】

某银行由于其在行业内的特殊属性，业务数据更具较高的敏感性。一旦数据被泄漏、滥用可能导致的风险和损失难以估量。随着数字经济战略和金融科技的发展，前端产生的数据集中整合到大数据平台，下游大数据创新应用进一步挖掘和处理数据平台的集中数据。数据已经离开原始产生的系统，在数据传输、存储、交换、加工、使用和销毁的各个环节流动，涉及到的场景复杂、角色繁多，泄漏的风险增加，给数据保护带来新的挑战。

此外，传统的信息安全防护体系侧重“保护罩”逻辑，但对于内部人员使用数据缺乏敏感内容的细粒度评估、授权和监管审计。因此，为提升该行的数据安全治理能力，亟需全面盘点数据资产并开展敏感度评估和分级管理，建立覆盖数据全生命周期的安全管理和技术防护体系，开展业务数据安全治理的咨询和试点验证项目。

【项目需求】

①全面盘点业务数据资产：对该行的业务资产进行盘点，形成以为业务属性为主线的业务数据资产清单。

②开展业务数据敏感度分类分级：依据法律法规，结合该行的业务实际，对该行的业务数据进行敏感度分类分级，明确业务数据全生命周期的权属和访问权限，与涉及业务部门对敏感数据的分类分级、角色、权限进行访谈确认，最终形成审批通过的分类分级、角色、权限的定义、映射矩阵等技术方案。

③安全管理制度和管理流程：基于业务数据敏感度的分类分级，结合资产清单中的数据全生命周期中的流转所涉及场景和风险，对数据资产的安全应用进行管理制度和管理流程的梳理定义，明确数据主体权力、使用者角色和权限、审批管理办法等相应管理措施，形成审批通过的管理制度和流程。

④设计搭建验证平台，开展试点验证：

针对咨询工作的积累和成果，设计和搭建验证平台，对上述成果从技术措施角度选择应用系统开展验证，评估验证咨询成果的技术可行性。通过业务数据安全治理咨询和试点验证工作，聚焦数据内容，结合应用场景，开展业务数据敏感度分类分级，实现敏感数据的精细化管理。重点解决大数据平台及下游BI类系统在数据被统计、分析、挖掘过程中安全风险，做到“访问内容可定义、访问过程可监控、访问记录可审计”。 解决业界尚未形成完整、统一、成熟管理体系和技术实践难题，奠定该行在数据内容安全管理的行业领先地位。

【实施方案】

华途信息根据对项目需求的理解，结合与客户的项目要求，从组织范围、业务范围、系统范围、数据范围等方面开展工作，分为项目启动、现状评估、咨询设计、工具搭建与试点验证、知识转移五个阶段，每个阶段再进行WBS分解，逐步满足项目需求，达到项目目标。整体项目的开展方案如下：

【验证方案】

根据咨询阶段形成的管理制度、定义、流程和数据资产，选择其中1-2个BI系统开展咨询成果的验证。验证平台的功能逻辑如下图：

通过在数据仓库和大数据平台、BI应用系统之间逻辑串接数据内容安全管控平台，实现对分类分级好的数据内容打标签、应用系统用户的角色权限、权限与数据内容映射定义、审批流程设置管理、脱敏规则等技术管控措施，实现咨询成果的技术手段验证，评估数据安全内容管控的技术管理效果。

【客户收益】

通过本次业务数据安全治理的咨询和验证项目，可以使客户实现理清业务数据的现状，明确业务的类型和等级，确定业务系统的属性和权限及数据内容之间的权限映射关系。解决当前业务数据离开原始生产系统后的无法管理难题，降低数据泄漏的风险。实现“访问内容可定义、访问过程可监控、访问记录可审计”。 在满足合规则性的同时，更是对业界尚未形成完整、统一、成熟管理体系和技术实践难题的有效落地推进，奠定该行在数据内容安全管理的行业领先地位。同时，本次该行的业务数据安全治理工作，也促进华途信息在银行业金融机构的数据仓库和大数据平台的数据安全治理和方案落地方面实现行业突破。

来源：freebuf.com 2020-10-13 16:30:39 by: 华途信息007