近日,為落實(shí)《中華人民共和國(guó)數(shù)據(jù)安全法》有關(guān)要求,加強(qiáng)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理,中國(guó)人民銀行起草了《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》,現(xiàn)面向社會(huì)公開(kāi)征求意見(jiàn),意見(jiàn)反饋截止時(shí)間為2023年8月24日。
《辦法》分成總則、數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)安全保護(hù)總體要求、數(shù)據(jù)安全保護(hù)管理措施、數(shù)據(jù)安全保護(hù)技術(shù)措施、風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估審計(jì)與事件處置措施、法律責(zé)任、附則八章,共五十七條。這是銀行業(yè)數(shù)據(jù)安全規(guī)范問(wèn)題迎來(lái)的首個(gè)針對(duì)性重磅法規(guī),也填補(bǔ)了中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理制度保障空白。
近兩年,數(shù)據(jù)安全、個(gè)人信息保護(hù)成為金融領(lǐng)域關(guān)注的話(huà)題,也是監(jiān)管重點(diǎn)關(guān)注的領(lǐng)域。據(jù)有關(guān)報(bào)告中指出,2022年人民銀行、銀保監(jiān)會(huì)等機(jī)構(gòu)針對(duì)銀行業(yè)金融機(jī)構(gòu)及從業(yè)人員下發(fā)的罰單中,涉及“個(gè)人金融信息處理違規(guī)”的罰單共計(jì)160張,罰沒(méi)金額合計(jì)12139萬(wàn)元,由此可見(jiàn)金融領(lǐng)域數(shù)據(jù)泄露問(wèn)題日趨嚴(yán)重,泄密途徑難以管控,主體單位數(shù)據(jù)安全保障難度持續(xù)加大。
金融行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)
應(yīng)用系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn) 越來(lái)越多的金融企業(yè)把自己的業(yè)務(wù)網(wǎng)絡(luò)化,例如開(kāi)展網(wǎng)上銀行業(yè)務(wù)等,辦理相關(guān)業(yè)務(wù)會(huì)使用金融行業(yè)的專(zhuān)用應(yīng)用軟件。金融信息系統(tǒng)內(nèi)部采集、存儲(chǔ)、傳輸、處理的信息量大,應(yīng)用系統(tǒng)將原本分散于各終端計(jì)算機(jī)的零散數(shù)據(jù)文檔統(tǒng)一集中管理,雖然集中管理提升了效率,但一旦發(fā)生泄密,損失將比分散存儲(chǔ)要更加巨大。 終端數(shù)據(jù)安全風(fēng)險(xiǎn) 金融行業(yè)企業(yè)或銀行的核心數(shù)據(jù)以明文方式分散儲(chǔ)存在終端計(jì)算機(jī)中,數(shù)據(jù)沒(méi)有進(jìn)行加密保護(hù),終端計(jì)算機(jī)可以通過(guò)USB存儲(chǔ)設(shè)備、即時(shí)聊天工具等將涉密文檔輕易泄漏,核心數(shù)據(jù)的安全性將無(wú)法得到保障。 金融數(shù)據(jù)共享泄密風(fēng)險(xiǎn) 金融信息化使得金融行業(yè)的客戶(hù)資料轉(zhuǎn)儲(chǔ)為可被傳播、利用以及共享的電子信息,很多員工因業(yè)務(wù)需要將數(shù)據(jù)共享,導(dǎo)致金融企業(yè)頻繁發(fā)生客戶(hù)資料等數(shù)據(jù)泄密事件,嚴(yán)重影響金融企業(yè)的公眾形象以及公信力。 缺乏數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)警 金融企業(yè)內(nèi)部終端的軟、硬件信息系統(tǒng)復(fù)雜繁多,對(duì)員工的規(guī)范管理不夠嚴(yán)格,若員工通過(guò)移動(dòng)磁盤(pán)拷貝、刻錄、打印、郵件外發(fā)等途徑將內(nèi)部資料泄露,企業(yè)內(nèi)部沒(méi)有相關(guān)技術(shù)措施進(jìn)行泄密風(fēng)險(xiǎn)的預(yù)警,并阻攔和審計(jì)。 金融數(shù)據(jù)安全解決方案
Part.1 應(yīng)用系統(tǒng)數(shù)據(jù)保護(hù) ? 數(shù)據(jù)上傳自動(dòng)解密 員工將加密數(shù)據(jù)文件上傳到金融業(yè)務(wù)系統(tǒng)時(shí),自動(dòng)解密該文件,保障業(yè)務(wù)系統(tǒng)中存儲(chǔ)的是明文,不影響應(yīng)用系統(tǒng)的正常工作。 ? 數(shù)據(jù)下載強(qiáng)制加密 員工通過(guò)應(yīng)用系統(tǒng)下載數(shù)據(jù)時(shí),對(duì)下載的數(shù)據(jù)文件進(jìn)行強(qiáng)制加密,這些數(shù)據(jù)文件只能在安裝有加密環(huán)境的終端內(nèi)使用。 ? 應(yīng)用系統(tǒng)訪問(wèn)控制 對(duì)請(qǐng)求訪問(wèn)的終端進(jìn)行篩查,非授信的終端無(wú)法訪問(wèn)應(yīng)用系統(tǒng),從根源上解決賬號(hào)被盜的安全風(fēng)險(xiǎn)。 Part.2 終端數(shù)據(jù)安全保護(hù) ? 數(shù)據(jù)加密 通過(guò)終端安裝敏捷科技數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS,可對(duì)核心部門(mén)設(shè)置強(qiáng)制加密模式,普通部門(mén)設(shè)置智能加密模式,普通數(shù)據(jù)文件內(nèi)部可自由流通,核心數(shù)據(jù)文件指定人員使用,所有加密文件通過(guò)U盤(pán)、郵件、QQ發(fā)送等方式離開(kāi)內(nèi)部環(huán)境后,均無(wú)法打開(kāi)。 ? 設(shè)置水印 在屏幕、紙張等文件的特定位置,添加水印標(biāo)識(shí),水印內(nèi)容可以由管理人員自定義,當(dāng)拍照信息、打印紙張有意或無(wú)意外泄時(shí),水印為信息產(chǎn)品的歸屬提供完全和可靠的證據(jù)。 Part.3 外發(fā)共享數(shù)據(jù)安全 ? 外發(fā)審批流程 文件需要向外發(fā)送共享時(shí),必須提出申請(qǐng),進(jìn)行審批。審批人員需要確認(rèn)外發(fā)共享的文件是否符合外發(fā)的實(shí)際需求,如符合,則審批通過(guò)。審批支持委托審批和移動(dòng)端審批。 ? 共享數(shù)據(jù)權(quán)限控制 外發(fā)共享模塊的審批流程可生成帶權(quán)限的外發(fā)數(shù)據(jù)文件,權(quán)限包括:共享文件的打開(kāi)次數(shù)控制、時(shí)間控制、編輯權(quán)限控制、打印權(quán)限控制等。 ? 外發(fā)共享行為審計(jì) 通過(guò)外發(fā)共享解密的文件,服務(wù)器上會(huì)記錄所有申請(qǐng)、審批記錄,包括申請(qǐng)人、審批人、申請(qǐng)時(shí)間、審批時(shí)間、申請(qǐng)理由、審批意見(jiàn)、接收單位、申請(qǐng)文件權(quán)限等所有相關(guān)信息。 ? 電子標(biāo)簽溯源 通過(guò)對(duì)每一份解密外發(fā)的文件打上專(zhuān)屬的電子標(biāo)簽,記錄內(nèi)部接觸人員的信息和時(shí)間節(jié)點(diǎn),審計(jì)部門(mén)捕獲到文件后,第一時(shí)間定位責(zé)任人,保障所有者權(quán)益。 Part.4 金融數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)警 ? 用戶(hù)行為監(jiān)管 通過(guò)數(shù)據(jù)防泄漏模塊,以監(jiān)控用戶(hù)操作為主,審計(jì)為輔的方式,防止員工泄露企業(yè)信息,給企業(yè)帶來(lái)?yè)p失。若員工操作存在泄密隱患,系統(tǒng)會(huì)對(duì)風(fēng)險(xiǎn)操作進(jìn)行檢測(cè)并向管理員發(fā)送預(yù)警信息,以達(dá)到企業(yè)終端的有效管理。 金融用戶(hù)收益 ? 在金融行業(yè)實(shí)施系統(tǒng)和數(shù)據(jù)大集中的同時(shí),實(shí)現(xiàn)安全可靠管理,其核心關(guān)鍵數(shù)據(jù)得到有效管控,加快推動(dòng)銀行及電子政務(wù)行業(yè)轉(zhuǎn)型發(fā)展,全面提升了其服務(wù)水平。 ? 部署的數(shù)據(jù)加密系統(tǒng)與金融行業(yè)業(yè)務(wù)系統(tǒng)良好集成,對(duì)客戶(hù)端、移動(dòng)端、介質(zhì)的數(shù)據(jù)實(shí)行安全管控,不改變工作人員的正常操作模式。在確保數(shù)據(jù)安全的同時(shí),提高了內(nèi)部文檔協(xié)同效率。 ? 客戶(hù)數(shù)據(jù)備份網(wǎng)絡(luò)得到有效提高,實(shí)現(xiàn)了更快的、可升級(jí)性更好的更穩(wěn)定的備份和恢復(fù)解決方案,保證了業(yè)務(wù)的連續(xù)性。 ? 通過(guò)對(duì)每一份電子文件實(shí)行限制操作行為、跟蹤流轉(zhuǎn)過(guò)程、阻斷非法拷貝等設(shè)置,確保內(nèi)部電子文件按照管理規(guī)范使用,并對(duì)該文件全生命周期的追根溯源,最終實(shí)現(xiàn)電子文件可控、可查、可溯、可審。 ? 風(fēng)險(xiǎn)評(píng)估方案有效地避免黑客的攻擊行為,提高了系統(tǒng)的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急響應(yīng)能力。