金融行业是产生和积累数据量最大、数据类型最丰富的行业之一,同时,金融行业的业务系统多,关联复杂。自2011年104号文以来,商业银行等金融机构多年持续业务连续性和灾备建设。
2021年《数据安全法》等相关法律法规的发布,将对金融行业的数据保护合规性带来进一步挑战。爱数灾备体系解决方案,以灾备体系为中心,助力金融行业完成数据安全合规。
从一个处罚公告说起
2021年1月,银保监会对某国有银行的处罚引起关注,公告中提及 “发生重要信息系统突发事件未报告;数据安全管理较粗放,存在数据泄露风险”。这是银保监会明确定性为 “数据安全管理” 方面合规的问题。
我们相信国有银行在关于网络安全和数据安全的建设、运营、制度等方面的管理和监管已经比较成熟。但是,此次公告说明大型金融机构在数据安全方面仍然面临巨大挑战,更遑论更小规模的金融机构。
根据2021年8月20日 中国银保监会在官网更新的银行业金融机构的法人名单,截至2021年6月30日,全国共有4608家银行业金融机构,其中国有大型商业银行6家、股份制商业银行12家 、城市商业银行130家、农村商业银行1569家,以及其它各类银行业金融机构。
面对数量如此之多的金融机构,国家和监管单位对数据安全的要求势必更加严厉,金融业将面临严肃、全面、系统化的数据安全合规建设挑战。
数据安全挑战分析
1.数据安全与网络安全的不同
2011年12月,中国银行业监督管理委员会发布了《商业银行业务连续性监管指引》(银监发〔2011〕104 号),从而引导中国银行业开始了体系化的业务连续性和灾备建设。
2016年11月,《中华人民共和国网络安全法》(“网安法”)正式颁布,并于2017年6月1日起正式施行,此后,网络安全等级保护(“等保 2.0”)相关的国家标准体系于2019年陆续发布。以及,由中国人民银行和全国金融标准化技术委员会主导发布了金融行业网络安全等级保护相关标准。
金融机构在网络安全上的建设和运营经验已经比较充足,但是在数据安全方面仍在探索。
《网络安全法》主要强调对网络空间的安全,而《数据安全法》关注的是数据安全和数据利用。它们既有交集也有很大的不同。具体分析如下:
数据定义不同:《网络安全法》中将数据定义为 “是指通过网络收集、存储、传输、处理和产生的各种电子数据“,即网络中的数据。而《数据安全法》中的数据定义为 ”是指任何以电子或者其他方式对信息的记录“,即所有数据,包括以电子或其它形式存在的数据。
关注主题不同:《网络安全法》主要关注系统安全和边界防护,《数据安全法》关注于数据整体性的处理、安全、和利用。
重要结合点:《网络安全法》、《数据安全法》和《个人信息保护法》整体上已经构筑起云计算、大数据、人工智能为主体的时代的信息和数据安全法律框架。
2.金融行业的数据分析
2015 年波士顿咨询公司(BCG)发布的《互联网金融生态系统2020系列报告之大数据篇》报告中提供的数据显示:银行业的数据强度高于其他行业,即每100万美元收入产生820GB的数据。
金融行业的数据主要分为业务数据、经营管理数据、和客户数据。业务数据包括交易信息、合约协议、金融监管、账号信息等,经营管理数据包括营销服务、技术管理、运营管理、风险管理信息等;客户信息主要包括个人、法人的各类信息和数据。
从数据的存在形态而言,金融行业的数据包括结构化数据、非结构化数据,以及各种类型半结构化数据。主要的特征是结构化数据巨量化,非结构化数据海量化,以及大数据平台、容器平台等新型数据的存储和处理系统规模急速增大,即它们共同的趋势是数据增长量快。
3.金融行业的数据安全挑战
2020年9月23日,中国人民银行正式发布《金融数据安全 数据安全分级指南》(JR/T 0197-2020)金融行业标准。
2021年4月8日,《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021)正式发布实施。
以及,中国人民银行发布的《金融业数据能力建设指引》,规定了数据战略、数据治理、数据架构、数据规范、数据保护、数据质量、数据应用、数据生存周期管理能力域划分,对每个能力项提出了建设目标和思路,为金融机构开展金融数据能力建设提供指导。
但是,具体到针对数据安全的战略规划、技术方案,以及实际落地运营还存在诸多挑战。
数据安全的管理职责难以界定:传统的信息安全、业务连续性管理等一般是由信息技术部门和风险管理部门负责,但是数据安全涉及到数据生产部门、数据使用部门、数据管理部门、安全管理部门等,与之前最大的不同在于业务部门将作为主导部门参与到数据安全的落实。这带来职责边界,管理模式、人员安全意识等多方面的挑战。
数据安全缺乏体系化的保护手段:现有的网络安全保护手段主要关注风险防范,而数据安全涉及到数据的安全保护、流转控制等多环节,以及,新型IT基础设施需要缺乏有效的数据保护方案,数据安全合规管理难度更大。
数据安全与现有网络安全融合:金融行业在网络安全后信息安全的投入巨大,对于以数据为核心的安全合规需求,如何在整体规划、技术方案、和运营管理等多层次融合是一个必须要解决的问题。
爱数灾备体系解决方案
支撑金融业数据安全合规
《网络安全法》、《数据安全法》、和《个人信息保护法》三位一体,对数据保护、数据分类分级、数据出境、和个人信息保护等方面做了归档,结合金融行业法规、合规要求、标准体系等规范文件,已经形成了比较全面的数据安全保护体系。
数据安全相关的法律法规的重要结合点就是数据本身的安全保护,包括数据保护、数据容灾、和数据服务,即以传统业务连续性和灾备建设转换为以数据安全为核心的规划、设计、建设、和运营方案。
爱数灾备体系解决方案,包括灾备规划&设计、灾备建设以及灾备运营的全套端到端解决方案,最终实现针对金融行业业务特征的数据保护、数据容灾、数据服务、数据资产、自主可控、智能运维、体系建设、和应急处置等方面的落地。
落实爱数灾备体系解决方案的关键动作
面对数据安全的工作,金融机构既要考虑体系化的规划,也要考虑快速落地策略,既要考虑已有的设备和投资,也考虑采取新的技术手段以应对金融科技带来新的技术挑战。
爱数灾备体系解决方案从传统的灾备技术方案升级为端到端的数据保护、数据容灾、数据服务等多个层面的从规划到落地运营的全套解决方案,协助金融机构逐步完善数据安全的技术、管理、和合规体系。
为了落实爱数灾备体系解决方案,建议采取如下关键动作:
完善数据分类分级保护制度:结合《数据安全法》和金融行业要求,以及本单位业务场景需求,更新和完善现有数据分类分级规范,建立以数据安全为核心的数据模型及规范体系,包括数据标准规范、管理制度、和整体规划等。
采取以数据安全为中心的技术方案:以数据安全为中心视角,审视当前已建、待建和规划中的数据保护、数据容灾、和数据服务等场景的规划、方案、和落地计划。在考虑传统IT基础设施的基础上,充分考虑新型IT环境的的技术方案,包括混合云场景下数据安全,大数据平台的数据安全、容器平台的数据安全、防勒索病毒、海量数据场景下的数据安全,以及自主可控环境的可靠性保障。
建立数据安全应急处置机制:结合已有的业务连续性管理体系,扩展和融合以数据安全为核心的应急处置所需的流程、规范、技术步骤等机制。建立贯通业务部门、风险管理部门、信息技术部门等与数据生命周期管理相关的部门的协作机制。
将数据安全纳入运维管理体系和灾难恢复演练:围绕数据安全梳理当前的运维管理体系,更新相关运维管理流程和规范。同时,重要的是逐步建立起以数据安全为核心的灾难恢复演练机制,模拟不同场景下的数据安全事件,检查数据安全的技术方案、运营流程、管理机制等工作中存在的缺陷,并尽快补足。
金融行业客户成功案例
多年来,爱数灾备体系解决方案已经服务了400多家金融机构,包括国有银行和股份制银行总行和头部保险公司等大型金融机构。迎接数据安全等新的挑战,金融行业更加需要有行业针对性的体系方案、稳定可靠的产品,以及专业化的交付和运营,这正是爱数灾备体系解决方案的定位。
点击 阅读原文,下载《爱数灾备体系解决方案》
都到这儿了,还不点个“在看”
