腾讯安全与60家金融机构讨论了这三个热门话题

4月 10 日，由腾讯云与中国信息通信研究院云计算与大数据研究所（简称中国信通院云大所）主办的银行保险业数据安全风险评估与治理专题研讨会召开。来自中国信通院云大所、腾讯以及平安保险集团、太平洋保险集团、平安人寿、太平人寿、平安养老险、平安健康险、国华人寿等六十余家金融机构领导、专家出席活动。

在活动中，腾讯云安全总经理李滨围绕《金融行业数据安全风险评估与治理体系实践》发表主旨演讲。中国信通院云大所大数据与智能化部主任姜春宇出席研讨会并发表致辞，中国信通院云大所大数据与智能化部副主任李雪妮、高级业务主管李天阳分别演讲。近六十位与会嘉宾就数据跨境安全风险、风险管理体系建设、合作方数据安全管理三项热门话题进行了深入讨论与交流。

腾讯云安全总经理李滨表示，从 2021年数据元年至今，国家密集出台了一系列政策法规，各行业也有了积极的数据安全建设实践。从整个金融行业来看，尤其是银行业和保险业的监管体系、政策法规、行业标准等各个层面的上层建设都已经趋于完善。下一阶段，《数据安全管理办法》正式施行、与之相配套的政策标准随之完善，整个行业的数据安全发展将进入新的阶段。由于数据安全建设要受到风险驱动、合规驱动、数据价值与数据流通驱动三个核心驱动力的影响，因此数据安全建设必须基于两个关键维度展开。一是做好数据风险评估这项基础工作，二是要建立完善数据安全治理体系。

对于金融行业来说，数据安全建设的关键痛点不在于技术本身，而在于过程中延展出的问题。首先，金融行业要面临的监管是非常严格的。由于不同机构在不同时间提出的监管要求本身存在着差异，如何保证基准和兼容性就是一个比较大的挑战。其次，金融行业的业务形态丰富，数据的跨域流动、分级分类产生的管控要求差异性很大，因此数据安全建设落地会比较困难。第三，金融类企业往往拥有大量存量系统和存量数据，当新的安全技术管控措施需要落地的时候 ，也会遇到难题。

因此，腾讯安全在与主管机构、全行业密集交流的过程中，提出用场景化思路做数据安全建设的方法论。

首先，是区分通用场景和生产场景、研发运营场景几个大类，去做好数据的大的形态拆分。这关系到具体技术落地过程中，基于数据分类实现响应的效率和实时性。

在办公环境中，数据往往以大量文件、离散信息、非结构化的数据为主，呈现出非中心化和高频变化的特点。

在生产环境中，既包括传统的实物数据库、大数据和人工智能基础数据，也包括企业的容灾、归档、备份数据。这些数据以大量结构化数据为线索与主体，和办公环境数据有非常大的差异。

在研发运营环境中的数据安全治理体系常常被大家忽略，它的特点是拥有小量但是高敏感性、高权限数据。这部分数据在传统意义上不会被作为数据安全防护的内容纳入，但如果缺失很有可能会引发二次风险。

依据数据的分布场景、数据的形态、接触的主体、使用方式以及危险性，我们可以建立一个数据安全面临主要威胁的矩阵，作为整个数据安全风险评估的重要输入。

例如，在办公环境下的用户无意识泄露、钓鱼邮件等风险；生产环境的API或数据访问端口暴露及缺乏认证和防护的风险；以及在研发运营环境将大量敏感账号和凭证放在源代码或配置文件中造成数据二次泄露的风险事件等等。基于以上对企业数据环境的分级分类，就可以明确出数据安全治理体系建设中的关键挑战。

• 第一，是如何建立同时满足合规要求和业务发展的合适数据安全治理框架。

• 第二，是如何识别数据资产，定位数据安全风险。

• 第三，第三，是需要依托治理框架，建立一套无缝兼容海量历史数据、在线数据的数据安全治理体系。

• 第四，是建立一个持续的风险监控和持续运营的数据安全防护体系。也就是监管中明确提出的，让分类分级和风险评估实现常态化运营，同时实现人力成本、时间成本和资源成本的有效控制。

为了助力金融客户解决以上痛点，腾讯安全提出并与信通院共同发布了《企业数据安全治理框架实践白皮书》，能够完全匹配银行、保险业数据安全保护要求。

这套数据安全治理框架分为几个层面：在合规层，识别企业的业务及业务领域内有哪些适用的法律法规及要求，如何映射到组织内部，需要制定何种应对措施和管理规定。在组织层，建立相应的数据安全防护责任人制度，包括建立对应的决策机构、全员参与及相应的监督机制等。在风险治理的流程体系建设方面，包括分级分类、风险评估、内部宣传、技术策略映射和最终事件的响应以及督查检查，形成一整套完善和闭环的流程体系。

• 在评估与规划阶段，要做好数据分类分级、数据风险评估和依据风险评估结果做好技术体系建设、流程体系建设工作。这一阶段的难点在于极效的风险发现和快捷处置，不追求尽善尽美，而是关注核心风险、关键风险，优先解决重要问题。

• 在防护体系建设阶段，要从整个组织文化层面、业务应用和集成改造层面、基础架构层面、运维安全层面怎么全面落实数据安全各项管控要求和技术措施。这一阶段的难点是海量异构数据和历史系统的无缝衔接，在尽量降低历史系统改造成本的同时保证安全措施有效上线。

• 在风险监控和运营阶段，要通过持续分类分级、风险评估、风险监控识别整个数据安全风险态势，并且对发生的风险进行闭环和处置。这一部分的难点在于，必须坚持常态化持续运营，所有问题都必须有闭环处理的对应机制。

  ‍

  ‍

在会上，多位嘉宾围绕“数据安全风险评估与治理”这一主题作了分享。

中国信通院云大所姜春宇主任在致辞中指出，国家正在大力推动数据要素产业发展，金融是典型的数据密集型行业，数据规模大，使用场景多，数据的采集利用与共享随处可见。由于数据容易复制、处理环节多，金融业数据泄露、滥用、窃取等安全风险无处不在，因此亟需构建体系性的数据安全管理能力。监管高度重视银行保险业数据安全能力建设，2024年3月，国家金融监督管理总局起草并发布了《银行保险机构数据安全管理办法（征求意见稿）》（以下简称《征求意见稿》），对银行保险机构建设数据安全能力提出了全面要求。姜春宇主任指出，过去五年中，中国信通院云大所高度关注金融数据安全工作，依托“数据安全推进计划”成立金融工作组，开展数据安全治理、数据分类分级、数据安全风险评估与治理等方向的研究工作，制定多项标准，并为多家大型金融机构提供咨询与评估服务。

中国信通院云大所副主任李雪妮发表《银行保险业数据安全风险评估与治理实务观察》主题演讲，介绍了企业数据安全风险评估与治理的整体背景，从评估依据、思路、方法、流程以及治理体系建设等方面提出了银行保险业机构开展数据安全风险评估与治理的五项实务观察，并进一步介绍了中国信通院云大所在数据安全风险领域的诸多研究成果以及在数据安全生态建设上的最新进展，呼吁更多企业积极参与其中。

中国信通院云大所高级业务主管李天阳发表《银行保险机构数据安全管理办法（征求意见稿）实践思路》主题演讲，介绍了《征求意见稿》的七项要点内容，进一步提炼了建立数据安全治理架构、大力推进数据分类分级、建立“场景化”安全管理思路、开展数据安全风险治理、加强数据合作方管理的五大关键词，为银行保险机构响应监管要求，完善数据安全管理体系提供了实践参考。

- END -

原文始发于微信公众号（腾讯安全）：腾讯安全与60家金融机构讨论了这三个热门话题