银行数据安全治理方案

2020-09-10 08:55刘永春王仰东
看世界·学术下半月 2020年12期
关键词:数据治理数据安全

刘永春 王仰东

摘要:数据安全治理方案架构以管理制度为纲领、立足于数据标准为基础,贯穿数据全生命周期为核心,运用主要的支撑技术,来构建面向应用场景的数据安全治理道路。落实数据治理指引,结合银行数据使用情况,摸清数据安全现状,按照规范的标准对数据资产进行梳理并进行分级分类。提出构建以数据全生命周期为核心、及时发现、主动防护、有效稽核的动态数据安全防护体系,完善数据安全管控体系建设,运用不同的技术手段与管理办法给予有效管控,最终实现数据安全治理。

关键词:数据安全;数据治理;治理方案;治理框架;数据标准;分级分类

背景

从数据安全的重要性来看,作为银行积累的数据,运用数据产生价值,使用数据过程中,保证数据安全至关重要!同时金融行业内,为提升数据治理水平,实现数据分类和安全定级,强化不同安全级别数据的有效管控,根据《银行业金融机构数据治理指引》(银保监发〔2018〕22号),也在逐步落实数据治理工作,同时对于数据安全也抓紧落实。

问题

为了更好地进行数据安全治理,首先梳理一下数据安全方面的问题[1]。

(一)因数据底账不清造成管理困难

银行的分支机构和数据库普遍较多,对保护这些数据库中的敏感信息造成管理上的困难;不清楚状况的运行并使用这些数据库以及其中的敏感数据,其风险可想而知。

(二)软件开发测试环境的数据脱敏

测试环境中使用到的客户银行卡号、姓名、金额、联系方式等大量未经脱敏的真实数据,数据容易外泄。

(三)特定场景下的数据库运维需求

由于银行的特殊性,在对众多数据库进行安全防护时需要做出差异化处理,例如:当银行临时需要进行审计工作或上级单位紧急需要一份数据时(相关数据平时是禁止访问的),现有数据安全产品不能針对这种随机时间、随机操作的需求执行有效的差异化防护策略。

数据安全治理框架

从银行经营战略的角度出发,提出六项基本原则:分级分类、确保安全、统一实施、目的明确、最少沟通、责任明确。

依据数据治理原则及体系[3],参考银行业数据指引数据治理架构[2],制定出数据安全治理框架:

立足于数据标准

数据标准是数据安全的基石。首先对数据标准的梳理,要从业务出发,进行数据标准制定,对数据进行分级分类管理。涉及业务主管部门要做如下事情:

建立数据分级分类,业务主管部门负责认、定两件事。

(一)认:对数据标准进行确认,识别是不是归属于本部门。

(二)定:对数据标准进行数据定级,需要结合参考人行提供的定级参考表,来确定自己的数据标准对应的数据等级,通过定级,形成资产。

以数据全生命周期为核心

为了构建涵盖“事前-事中-事后”全生命周期的数据安全防护体系,严格执行数据分级分类,然后进行全程监控数据安全状况。

Ø数据分级分类及安全级别设置

首先,进行数据环境安全级别策略管理维护。

策略提供方:一般由科技部或数据管理与应用部协助提供。

然后,策略配置完成后,可以自动生成数据环境安全策略方案。

Ø全程监控数据安全状况

根据数据标准分级分类,确定数据环境安全策略方案,通过方案中约定的操作。在不同环节进行权限控制、进行脱敏要求处理。

(一)在数据采集过程中,对新产生的敏感数据进行梳理;通过制定检核规则,可以对数据采集过程进行监控检测。

(二)在数据存储过程中,进行数据加密;要根据安全级别来确定是否需要进行加解密操作。

(三)在数据借用或数据提取时,前提条件就是必须符合配置的安全保护策略。在数据使用过程中,进行数据梳理、数据外发的安全检查及敏感检查等,确保能够对数据做到追根溯源。

面向应用场景

可对数据全生命周期归纳成三个应用场景阶段:数据采集、数据处理、数据服务。

●数据采集

运用数据质量监控体系,建立监控规则,用于检测数据采集过程中数据是否一致,数据是否正确,及数据的完整性。

●数据处理

数据流转处理中,通过数据库安全评估系统和数据资产梳理系统,实现事前安全巡检与敏感数据梳理,建立数据库安全使用环境。通过数据脱敏系统,防止数据泄露。

●数据服务

服务更多的是涉及数据使用安全。根据数据安全分级分类,需要加强从业务系统层面进行控制,防范非授权访问和下载打印客户数据信息;建立完善的数据安全管理体系,建立数据安全规范制度体系,组建数据安全管理组织机构,建立有效的数据安全审查机制;对于生产及研发测试过程中使用的各类敏感数据进行严密管理;严格与外单位合作中的个人客户信息安全管理等。

数据安全治理分阶段

保证数据安全,离不开数据治理。数据安全相关治理阶段如下:

Ø阶段一

推进元数据采集,通过数据标准梳理,实现数据的分级分类,数据标准、业务术语管理,落实系统功能。建立数据质量监控检测功能,发现问题。

Ø阶段二

建立元数据血统分析、影响分析。通过影响分析,可以分析得到数据库某一字段变化调整,可以得到影响的下游系统有哪些,让数据库运维工作有条理、有依据、更可靠地进行开展。

Ø阶段三

建立数据治理、数据质量等方面的考核机制,落实数据治理制度;支持考核方案和指标的定义,支持考核执行情况监控,定期发布数据治理考核结果;保障数据治理制度的落实和治理工作的有效开展。

总结愿景

数据安全要治理好,这并非一朝一夕的事。需要各部门明确数据安全管理职责:一方面,确保业务部门数据收集与数据使用工作的正常进行,依据数据安全管理制度与技术标准,推动相关部门建立针对数据全生命周期的安全管理操作流程;另一方面,需要各部门通力协作,分阶段实施,对数据使用过程中的安全状况及使用效果进行准确的检查、评估并督促整改,从而保障数据安全工作的有效落地。

参考文献:

[1]机房360.数据安全的5个问题和解决方案[EB/OL].http://security.qianjia.com/html/2020-03/11_362353.html,2020-03-11.

[2]DAMA中国分会翻译组.DAMA数据管理知识体系指南(原书第2版)[M].机械工业出版社:中国,2020-5-28

[3]中国银行保险监督管理委员会.发布《银行业金融机构数据治理指引》[EB/OL].http://www.gov.cn/xinwen/2018-05/23/content_5292938.htm,2018-05-23.

猜你喜欢
数据治理数据安全
部署推进2020年电信和互联网 行业网络数据安全管理工作
工信部:2021年初步建立网络数据安全标准体系
如何进一步做好网络与数据安全工作
数据安全政策与相关标准分享
高校数据融合路径及其治理框架的探讨
基于本体的企业运营数据治理
云端数据治理初探
大数据治理模型与治理成熟度评估研究
大数据时代城市治理:数据异化与数据治理