金融机构数据安全专项审计浅谈

随着信息技术的高速发展，以及云计算、人工智能、大数据、区块链等新技术的深入应用，金融机构在业务运营过程中产生的信息逐步转化为数字资产大量流转在信息系统之中，数据的泄露、滥用、篡改等安全威胁的影响已逐渐从机构内向机构间以及行业间扩散，甚至影响国家安全、社会秩序、公众利益与金融市场稳定，数据安全已经上升到国家安全高度。国家及监管机构，对于违反数据安全法律法规行为的查处范围、频度、力度均日益增加，如何在满足金融业务需求的基础上，强化数据保护能力，防范数据安全风险，切实保障金融数据价值发挥，已成为当前亟待解决的问题。

2021年11月1日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）正式生效，这意味着我国对个人信息安全的保护进入了新的历史时期，我国公民的个人信息安全及隐私保护走上了新台阶。个人信息保护法中明确了六大场景下的个人信息处理规定（如图1所示）。对于金融机构来说，应重点关注在不同场景下如何具体落实“告知－同意”规则。

图1  主要场景个人信息处理规定

2022年9月1日，《中华人民共和国数据安全法》（以下简称《数据安全法》）正式生效。《数据安全法》明确了企业在保护数据安全方面的责任，对企业的数据安全提出了严格要求。金融机构需要对《数据安全法》深度学习（如图8所示），加强立法认识，提升企业和个人数据安全保护意识，全面落实《数据安全法》要求。 

图2  金融机构数据安全法学习框架

2020年9月23日，《金融数据安全 数据安全分级指南》（以下简称《数据安全分级指南》）正式生效。《数据安全分级指南》给出了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程（如图2所示）。可以用来指导金融业机构开展电子数据安全分级工作，也可以指导第三方评估机构等单位开展数据安全检查和评估工作。

图2  金融机构数据安全定级流程

2021年4月28日，《金融数据安全 数据生命周期安全规范》（以下简称《数据生命周期安全规范》）正式生效。《数据生命周期安全规范》构建了金融业机构覆盖数据全生命周期的数据安全框架，同时与各标准联系紧密，如数据安全能力成熟度模型、个人信息安全规范及金融行业的数据安全分级指南等。能够全面整体地指导金融业机构建设和完善自身的数据安全防护体系（如图3 所示），并有助于金融行业的数据安全保护和应用的标准化。

图3  金融机构数据生命周期安全框架

根据行业最佳实践及笔者多年的工作经验，从以下六个方面总结了常见的数据安全风险：

1. 未建立数据安全治理组织架构及职责，无法自上而下推动相关数据安全治理工作的有序开展。

2. 未建立组织级数据战略规划，无法有效覆盖网络安全法及等级保护等相关法规与标准的要求，无法指明数据整体的发展目标和规划，不利于数据长远发展。

3. 未制定数据安全相关管理制度及流程，导致数据安全管控要求无法有效落实。

4. 数据安全风险评估执行不到位，未识别出重要的数据安全风险，不利于数据安全治理体系的持续优化。

1. 数据安全组织架构及责任人缺失，导致数据安全管控要求无法落实。

2. 未定期开展数据安全意识宣贯，由于安全意识不足，导致数据不经意地泄露。

3. 元数据安全管控不到位，导致元数据血缘关系模糊、可追溯性不强，影响元数据与数据标准的结合。

4. 未部署数据管控平台，无法对数据标准、数据质量、元数据进行规范化管控和技术实现。

5. 数据服务接口与应用在其内部跨安全域间的接口调用未采用包括安全通道、加密传输等安全机制可能带来的风险。

6. 未建立数据供应链安全管理方针，无法落实上下游供应链间数据交换和使用的要求，不利于供应商之间的数据交换与共享。

1. 在数据生命周期管理期间，由于在人员、管理、技术三个层面没有建立适用的数据安全管理体系，使得数据安全管理的效率与效果低下。

2. 未实现数据分类分级管理或分级方法不合理，导致未按照不同类别建立不同的安全控制措施，导致保护过重或保护不当。

3. 数据在收集、传输、存储和恢复、处理和加工、使用与审计、归档与销毁等过程中，由于缺乏有效的数据加密和访问控制，容易导致数据泄露风险。

4. 数据在共享与流动，特别是跨边界和跨境流动时，由于未制定相应的安全规范制度和审批流程，容易产生违规风险。5.数据销毁机制不健全或执行不严格，导致销毁过程中敏感数据的泄露。

1. 未建立个人信息保护组织或缺乏相关负责人，不利于个人信息保护工作的推广和执行，也无法有效落实个人信息保护的责任。

2. 未建立规范化的个人信息保护制度和流程，可能造成个人信息的收集、存储、使用、变更、销毁等操作不合法的情况。

3. 组织在使用个人信息时，没有开展安全影响评估，无法判断个人信息使用与保护的程度，容易造成侵权与违规风险。

4. 在收集个人信息时，没有注意最小化要求，或者在没有得到允许的情况下公开披露个人信息，容易造成侵权与违规风险。

5. 组织在处理个人敏感信息时，个人信息的传输、处理、存储、销毁未采用加密、访问控制等安全措施，容易造成泄露个人敏感信息的风险。

1. 未建立重要数据保护工作机构或指定负责人，不利于重要数据的保护和管理，同时无法有效落实重要数据保护的责任。

2. 未实现重要数据分类分级管理，无法有效对重要数据建立针对性的保护措施，由于保护机制不到位，造成的重要数据泄露或非法访问。

3. 未建立规范化的重要数据保护制度和流程，可能造成重要数据的收集、存储、使用、变更、销毁等操作不合法的情况。

4. 组织在使用重要数据时，没有开展安全风险评估，无法判断重要数据的使用与保护的程度，容易造成侵权与违规风险。

5. 组织在处理重要数据时，数据的传输、处理、存储、销毁未采用加密、访问控制等安全措施，容易造成重要数据泄露的风险。

6. 未建立数据应急预案，无法有效制定数据丢失、数据泄露等重要场景的处置措施，不利于重要数据发生异常的处置和恢复。

1. 数据平台或系统安全保护措施部署不到位，导致数据泄露或非法访问。

2. 数据平台与其他平台交换数据未实施加密，导致数据外泄。

3. 未部署独立的数据库审计系统，无法对数据违规操作行为进行跟踪分析，不利于数据的规范化管理。

根据笔者对行业内数据安全案例的总结及多年实施IT审计的经验，我们认为应当常态化对以下数据安全领域开展IT审计工作：

数据安全风险涉及面较广，既体现在组织在治理层面的治理风险，还体现在数据在其生命周期和服务过程中的管理风险，以及伴随的个人信息和重要数据等敏感信息泄露和跨境流通风险。

1. 董事会的职责

   该控制项旨在从组织的治理层面，检查组织是否将数据的安全治理工作纳入组织治理工作范畴，建立健全包括风险管理和数据安全审计监督在内的架构体系，从而完善数据的安全合规管理。

2. 战略规划与价值实现

   该控制项旨在检查组织是否依据董事会所明确的数据安全治理目标制定相关的安全战略。

3. 数据安全合规管理

   该控制项旨在检查组织是否基于数据安全战略规划，建立健全数据安全管理制度体系，满足合规监管要求。

4. 数据风险管理

   该控制项旨在检查组织是否从数据、人员、产品与服务等方面，建立并完善数据安全风险管理体系，并将其纳入组织风险管理体系当中。

5. 数据安全审计监督

   该控制项旨在检查组织是否将数据的安全审计工作纳入组织的安全审计体系范畴内，建立并完善针对数据安全审计的专项工作。

数据安全管理是指保护数据免受威胁的影响，确保业务的连续性，降低业务可能面临的风险，为业务部门提供有力保障。

1. 数据安全组织管理

   该控制项旨在检查组织为落实数据安全治理工作及其战略规划，是否从组织层面设置跨部门的数据安全管理机构及负责人，明确安全管理职责。

2. 人员与意识管理

   该控制项旨在基于组织对数据安全管理的要求和需求，从人员安全管理、资源建设与技能培养、职责落实与考核等三方面进行检查，判断人员综合管理的落实情况。

3. 制度与规范管理

   该控制项旨在从制度层面检查组织是否制定并完善数据安全管理的制度体系及其落实情况。

4. 元数据安全管理

   该控制项旨在从元数据的安全管理角度，检查组织是否建立完善的元数据安全管理规范，并从技术层面予以安全保障。

5. 数据及平台（系统）管理

   该控制项旨在从数据平台（系统）管理角度，检查组织是否对平台（系统）及其管理之下的数据制定相应的安全规范与标准，实现统一管理，并与组织经营战略中的安全需求相一致。

6. 服务接口安全管理

   该控制项旨在从服务接口角度，检查组织是否完善接口安全管理的制度和规范，并用技术手段保障接口间数据传输的安全性。

7. 数据供应链安全管理

   该控制项旨在从供应链安全管理角度，检查组织在存在上下游数据交换的前提下，制定相关管理规范，满足合规监管要求。

8. 数据安全审计管理

   该控制项旨在从审计角度，检查组织是否落实数据 安全审计与监督的要求，对组织的数据服务开展安全审计，同时确保国家对于日志管理的安全合规要求。

数据生命周期管理是指在数据的采集、传输、存储、处理、交换（共享、应用）、销毁等阶段下对流动的数据进行综合管理。

1. 数据收集

   该控制项旨在针对数据收集过程，检查组织是否依据收集数据的敏感性对其进行数据标识，从而基于该标识进行后续数据操作处理的监控。

2. 数据传输

   该控制项旨在针对数据传输过程，检查组织是否根据传输过程的安全性划分安全域，并根据安全域的级别采取相应的安全控制措施，防范数据遭受窃听或泄露，确保数据的完整性。

3. 数据存储与恢复

   该控制项旨在针对数据存储，检查组织是否对所存储的数据采取安全措施，确保其安全性和完整性，同时，根据组织对于数据可用性的要求，检查组织是否采取备份措施。

4. 数据处理与加工

   该控制项旨在针对处理和加工过程，检查组织是否对可接触到数据的人员基于角色采取身份验证和访问控制，并对该过程采取加密和脱敏处置措施，防范数据非法访问或敏感信息遭到泄露。

5. 数据使用与安全审计

   该控制项旨在针对数据使用过程，检查组织是否采取身份验证和访问控制措施，防止人员对于数据的非法访问，并采取加密和脱敏等技术手段，防止在使用环节造成信息泄露并对使用环节进行安全审计。

6. 数据共享与流动

   该控制项旨在针对组织存在数据共享与流动，特别是跨境流动时，是否制定相应的规范制度和审批流程，满足国家合规监管要求。

7. 数据归档与销毁

   该控制项旨在检查组织是否针对数据归档与销毁过程，并基于数据敏感程度制定完善的管理制度与规范流程，防范在该过程中出现数据泄露。

规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为。旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。

1. 通用管理

   该控制项旨在检查组织是否针对个人信息，建立健全个人信息保护的管理体系和风险管理体系，并提供个人信息泄露或非法使用的申诉管理机制和举报渠道。

2. 个人信息的收集

   该控制项旨在检查组织在个人信息收集环节，是否制定完善的安全策略和规范，满足《网络安全法》中关于个人信息保护的合规要求。

3. 个人信息的传输与存储

   该控制项旨在检查组织在个人信息传输与存储环节，是否采取管理与技术手段，确保个人信息境内存储和离境前安全与风险评估的合规要求，以及个人敏感信息不被泄露。

4. 个人信息的处理

   该控制项旨在检查组织在个人信息处理环节，是否采取技术手段防范个人信息主体被识别和还原。

5. 个人信息的使用

   该控制项旨在检查组织是否在个人信息使用环节，采取访问控制措施防范对其非法访问，并在个人信息控制权发生转移时对接收方进行安全评估，并获得其安全使用的承诺。

6. 个人信息的变更与销毁

   该控制项旨在检查组织在个人信息变更和销毁环节，是否为个人信息主体提供合法变更的渠道，或在完成所收集个人信息使用目的后，规范个人信息的删除流程和途径。

规范重要数据在收集、保存、使用、传输、共享等信息处理环节中的相关行为。旨在遏制数据非授权收集、滥用、泄漏等乱象，最大程度地保障重要数据的安全。

1. 通用管理

   该控制项旨在检查组织针对其重要数据是否建立健全完善的管理体系，包括制度体系、组织与人员体系、应急管理体系，并提供重要数据安全事件的申诉渠道。

2. 重要数据识别与分类分级

   该控制项旨在检查组织是否就所属行业和经营业务制定重要数据识别及分类分级的制度规范、标准以及变更和审批流程，从而为后续重要数据操作和处理提供依据。

3. 跨境传输与存储前安全风险评估

   该控制项旨在检查组织在其存在重要数据跨境传输与境外存储的背景下，是否建立完善的安全风险评估与审批流程，满足国家合规监管要求。

4. 应急管理

   该控制项旨在检查组织依据建立的重要数据安全事件应急管理体系，制定并完善应急管理制度并定期开展应急演练，在满足合规要求的同时，确保安全事件发生时得到有效、迅速的遏制，防范事件蔓延。

数据平台是指为数据应用提供资源和服务的支撑集成环境，包括基础设施层、数据平台层和计算分析层。重点关注数据平台基础设施安全、网络与通信安全、应用安全及安全审计工具使用等内容。

1. 平台基础设施安全

   该控制项旨在检查组织为确保数据平台基础设施安全，除对其所处的物理环境进行安全检查外，还应检查是否采取技术措施与工具，监控并防范平台受到恶意代码等非法攻击。

2. 网络与通信安全

   该控制项旨在检查组织为确保数据平台的网络与通信安全，是否制定访问控制策略并在网络隔离设备上部署、实施，同时，检查为确保通信链路的安全是否采取相应的安全监控与链路加密手段。

3. 应用安全

   该控制项旨在检查组织在应用层面针对应用接口、平台服务和平台资源是否采取相应的安全控制措施。

4. 安全审计

   该控制项旨在检查组织针对数据平台的日常服务和运维是否开展安全审计，并验证安全审计是否具有自动分析和报警的功能。

数据已成为金融机构赖以生存的重要核心资产，数据安全管理能力亦将成为金融机构必须具备核心管理能力。开展数据安全专项审计工作，具有以下积极意义：

一是能够推动金融机构落实金融业数据安全管理要求，提升金融业数据安全保护工作的规范化和标准化程度；

二是有助于金融机构及时全面掌握本机构数据安全管理水平，预测并确认所面临的数据安全威胁和风险，为金融机构制定防范措施及应对安全事件提供科学依据和指导，可有效防控数据安全事件风险和危害，为金融数据的应用和流动提供有力保障；

三是持续的促进金融机构数据环境改善和整体数据安全管理能力的提升，加快科技创新步伐，为金融机构未来发展带来巨大价值。