尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
點擊藍字關註我們
隨著金融科技和數據驅動的銀行業務數字化轉型因疫情而提速,同時由於自身科技能力、數據安全治理策略、方法和成熟度存在嚴重滯後,我國中小銀行數據安全風險已經進入「深水雷區」,危機四伏,一觸即發。最近,由谷安研究院和安全牛聯合編寫的《中小銀行數據安全治理報告》(以下簡稱《報告》)顯示,雖然92.5%的銀行已經開展了數據安全治理工作,但是,採用成熟的國際方法論(業內最佳實踐:GartnerDSG)的居然是0%。
此外,《報告》還發現,60%的銀行沒有全行層面的數據安全保護策略,25%的銀行對數據進行了全面的梳理,12.5%的銀行全面識別了數據安全的風險點。
隨著《中華人民共和國網路安全法》、《銀行業金融機構數據治理指引》、《個人金融資訊保護技術規范》等法律法規的發布,銀行的數據安全面臨著重大的法律風險,同時,數據價值驅使銀行越來越廣泛的使用數據來支持甚至引領業務的發展,安全用數的需求十分強烈。
《報告》指出,目前中國中小銀行數據安全治理的總體態勢存在三大短板:數據安全體系建設成效參差不齊;未遵循科學的方法論;知識和能力不足。
報告通過收集整理中小銀行數據安全治理的現狀,分享專業數據安全技術公司在數據安全治理體系建設和技術工具應用的知識與經驗,為銀行開展和完善數據安全風險管控提出十點建議。以下為報告內容摘要:
報告研究和分析的範圍
1、中小銀行的數據安全治理環境:
1)銀行領導層對數據安全的重視程度;
2)銀行的數據安全管理面臨的挑戰;
3)銀行在數據安全保護方面的痛點;
4)數據安全治理的組織架構;
5)數據安全治理相幹法律法規及監管要求;
6)數據安全治理的開展方式;
7)數據安全治理的牽頭部門;
8)數據安全治理人員的專業能力。
2、中小銀行的數據安全治理的方法:
1)數據安全治理的方法論;
2)數據安全策略(或管理辦法);
3)數據分類分級標準;
4)敏感數據的全面梳理;
5)數據生命周期的安全風險評估。
3、中小銀行的數據安全治理的運維:
1)數據安全管理的監控;
2)數據安全事件的響應機制;
3)數據安全意識教育。
4、中小銀行的數據安全保護技術和工具的應用:
1)數據加密存儲;
2)數據加密傳輸;
3)資料庫審計;
4)數據脫敏;
5)數據防泄漏;
6)用戶行為分析。
中小銀行數據安全治理的總體態勢:三大短板
1、對數據安全治理的重視程度高,但是數據安全體系建設的成效參差不齊;
1)高達97.5%的銀行領導對數據安全給與了較高的重視,對數據安全主管人員產生了積極的影響。
2) 60%的銀行沒有全行層面的數據安全保護策略,25%的銀行對數據進行了全面的梳理,12.5%的銀行全面識別了數據安全的風險點。
統計數字表明,中小銀行的數據安全治理建設剛剛起步,任重而道遠。
2、銀行紛紛開展數據安全治理,但是未遵循科學的方法論;
採用科學的、正確的方法,才能少走彎路,更容易成功。通過調研發現,92.5%的銀行已經開展了數據安全治理工作,但是,採用成熟的國際方法論(業內最佳實踐:GartnerDSG)的居然是0%。盡管銀行可以自由地採用適合本行的方法,但是這一驚人的數字也一定程度地表明了大部分銀行對數據安全治理領域的方法論是不了解的。這些銀行很可能在錯誤的方向上越走越遠,重復投資。
3、知識和能力的不足,是數據安全治理和管理的最大隱患。
數據安全治理是一項管理和技術相結合的工作,而且需要公司治理、風險管理、外包管理、業務延續性等綜合知識。中小銀行在數據安全治理崗位設置上通常存在人員數量不足的情況,而缺少數據安全治理專業技能的培訓,則更為常見。中小銀行必須格外重視對專業團隊的培養,才能形成數據安全風險管控的長效機制。
中小銀行數據安全治理的四大問題:
01
認為數據安全治理是科技部門工作
數據安全治理的核心工作是數據梳理,包括對資料庫和電子文件的整理、設計和實施安全防控的時候會部署數據安全保護工具,從這些工作內容來看,數據安全治理的確帶有「科技」屬性,很多銀行的數據安全治理由科技部門牽頭也是合理的。但是,數據安全級別的認定、數據安全風險的識別、數據泄露渠道的防護等等,都是與業務部門和管理部門密切相幹的,簡言之,數據安全治理是一項全行性的活動,必須在銀行領導的指導下,全行一致行動,才能取得成功。
02
未採用正確的工作方法
不少的銀行緊跟監管指引,在人行和銀保監會的指導下開展工作,這是正確的。但是,基於目前監管部門並未發布明確的、完整的、成體系的數據安全治理方法,有些銀行的行動表現出片面性和盲目性。有限的數據梳理、基於經驗的風險識別、未能有效使用的防護工具、缺失的運營管理等等,將導致銀行既無法對當前的數據安全風險有效防控,而且在將來的體系建設中重復投資,造成浪費。
03
數據安全治理人才極度匱乏
調研結果顯示,擁有數據安全治理專業資格認證的人員隻占15%。絕大部分銀行的數據安全治理崗是由科技安全崗位轉崗或兼崗,這些人員的技術性強於管理性,對數據安全治理的知識儲備不足,沒有掌握建設數據安全風險評估、體系建立、體系運營的能力,無法保障數據安全治理的成效。
04
數據安全防護技術和工具不適合
數據安全治理的成果落地,一部分體現在數據安全保護技術和工具的實施上。數據安全保護技術和工具至少包括IAM、數據脫敏、數據防泄漏、數據加密、資料庫審計、資料庫防火牆、資料庫運維管理、用戶行為分析、數據資產梳理等,不同廠商的工具在功能上和性能上也有較大的差異,銀行在工具選型上確實面臨較大的困難,選擇了並不適合本行需求的工具,導致數據安全防護的效果不佳。
中小銀行數據安全治理的十點建議
本報告的建議是基於調研結果、課題組專家對中小銀行的了解、對數據安全治理的了解、對數據安全防護產品的了解給出的。由於銀行的數據安全治理情況各異,建議不可能適用於所有銀行,所以,僅供銀行參考。
1、缺少銀行領導的直接指導,數據安全治理難以成功。強烈建議銀行領導在項目方案階段、項目啟動階段、重大項目里程碑階段、項目完成階段,聽取匯報並給出指導意見。尤其是在項目啟動階段,銀行領導必須要求所有部門支持和配合數據安全治理工作。
2、數據安全治理團隊擁有清晰和足夠的權限,才能夠開展相應的工作。銀行應該在項目啟動會上宣布對團隊基本的授權,在項目開展的過程中完善數據安全治理的組織架構和職責。
3、為數據安全治理人員提供充分的專業培訓,使之掌握必要的知識和技能。銀行數據安全治理人員需要了解相幹的法律法規、數據安全治理方法論、數據安全防護技術和工具等,參加專業培訓機構的課程是直接有效的方法,收集、整理、學習相幹的資料也是一種提升門路。
4、在本行人員和經驗不足的情況下,借助外部專業資源協助開展數據安全治理工作。在諸如風險管理、審計管理、反洗錢管理、業務延續性管理等比較專業的領域,銀行多採用引入外部專業機構的方式開展工作,數據安全治理也具有較強的專業特性,外部資源能夠快速有效地幫助銀行搭建管理體系,節省管理成本。
5、結合數據安全治理最佳實踐和行業監管指引,採用科學的方法論,逐步開展治理工作。Gartner的DSG架構、人行的《個人資訊保護技術規范》、《金融數據安全 數據安全分級指南(征求意見稿)》、銀保監會的《銀行業金融機構數據治理指引》是中小銀行需要重點關註的最佳實踐和行業監管指引,對銀行的數據安全治理有很大幫助。
6、以重點數據為突破口,建立完善的數據安全治理體系。全面的數據梳理是銀行的總體目標,但是需要投入較長的時間和較多的人力,影響數據安全體系建設的速度。所以,選取最重要的數據為突破口,以此為數據基礎,搭建數據安全治理的整體框架,是行之有效的方法。
7、全面識別數據安全風險,防止木桶效應。數據安全風險的識別是基於數據的生命周期來分析和判斷的,科技人員憑借經驗就能夠指出明顯的安全風險點,但是,沒有識別出全面的數據風險,就可能導致敏感數據通過其他渠道泄露,如同木桶效應。
8、整體評估數據安全防護技術和工具的需求,按照優先級逐步完善。銀行都需求哪些數據安全防護技術和工具?對這些技術和工具的功能和性能的要求是什麼?哪些需求立刻部署哪些可以暫緩?銀行在獲得這些問題的答案之後,才能夠制定出合理的方案。
9、制定數據安全管理運維體系,循環優化。數據安全防護的控制體系由阻止、探測、響應、預測四個部分組成,並不斷的優化,以達到持續有效的防護效果。建立數據安全管理運維體系可以保障四部分的持續優化,形成數據安全保護的長效機制。
10、加強數據安全意識教育,形成銀行的數據安全保護文化。數據安全的文化建設是一個長期的過程,數據安全意識教育是文化建設的關鍵手段,形式多樣、內容豐富的意識教育能夠加速員工對數據安全的深入理解,起到很好的效果。
本次報告,還對安華金和、美創科技、明朝萬達、聯軟科技、大乘智能、通付盾、寧盾、安禦道合等數據安全領域代表性技術公司進行了調研,將安全廠商關於數據安全建設和發展的觀點和建議進行梳理收錄,並對其近年來成功實施的代表性行業案例進行了分析研究。報告現已在安全牛商城上架銷售,前100名預定用戶可享受4折優惠價購買,更多報告資訊請掃描或長按識別下方QRCode。
相幹閱讀 中小企業數據安全建設之路 大數據解讀中國網路安全人才市場現狀 雲安全調查:過去一年半80%的企業遭受雲數據泄露 合作電話:18311333376合作微信:aqniu001投稿信箱:[email protected]
預覽時標簽不可點