探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
![银行保险机构数据安全合规建设思路与实践 | 精华整理]( "银行保险机构数据安全合规建设思路与实践 | 精华整理")
点击 "合规社" > 点击右上角“···” > 设为星标⭐
![银行保险机构数据安全合规建设思路与实践 | 精华整理]( "银行保险机构数据安全合规建设思路与实践 | 精华整理")
活动 | 合规社社区分享会
嘉宾 | 翰纬科技 张兵
责编 | 合规社 Cherry
近年来,随着外部监管标准的不断提升,银行和保险机构在数据安全领域面临了前所未有的挑战。2024年3月22日,国家金融监督管理总局发布了《银行保险机构数据安全管理办法(公开征求意见稿)》。《办法》明确规定,“国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理,开展非现场监管、现场检查,将数据安全管理情况纳入监管评级评估体系,依法对银行保险机构数据安全事件进行处罚和处置,实施对数据安全管理的持续监管”。
银行和保险机构的业务运作依赖于对大量敏感数据的安全管理,这些数据一旦泄露或被非法篡改,可能会严重损害机构声誉和客户权益。建立一个与监管要求相匹配的数据安全合规体系显得尤为关键。就这一议题,合规社特别邀请翰纬科技数据安全咨询负责人张兵作为嘉宾参与直播,助力银行保险机构建立一个与监管要求相适应的数据安全合规体系。
翰纬科技数据安全咨询负责人,数据安全治理委员会专家、全国金融标准化技术委员会证券分技术委员会专家。
30年的信息安全、数据安全、个人信息保护、科技风险等咨询审计服务经验,获得CISA、CDPSE、CISP-DSG、ISO 27701等证书,熟悉银行业、保险业、证券业、电信互联网行业、医疗健康行业及大型央企的科技管理与风险应对措施,掌握专业的数据安全建设方法论,并具备丰富的项目实践经验。
主持编写《中小银行数据安全治理研究报告》《数据防泄漏产品选型指南》《数据安全管理认证建设指引》《2024 金融机构数据安全合规建设调查研究报告》等,参与编写《数据安全治理白皮书》3.0-6.0。
以下为依据张兵老师《银行保险机构数据安全合规建设思路与实践》直播,整理的精华回顾。
3月22日,国家金融监督管理总局正式发布了《银行保险机构数据安全管理办法(征求意见稿)》(以下简称《办法》。这是该办法第三次征求意见,与前两次在较小范围内征求意见不同,此次征求意见的范围更广,旨在收集更广泛的行业反馈。
鉴于国家金融监督管理总局在金融监管领域的重要地位,预计《办法》将成为未来多年内银行和保险机构数据安全合规建设的重要监管指引。该办法共分九章,其中第二章至第七章尤为关键,包含六章61条具体规定,详细阐述了数据安全建设的具体要求。
1.国家金融监督管理总局 2.中国人民银行 3.中国证券监督管理委员会
这三个监管机构各自承担着不同的监管职责。国家金融监督管理总局主要对银行和保险行业的监督管理。而证监会则专注于证券、期货和基金行业的监管工作。值得注意的是,这两个领域同时也受到中国人民银行的监管。
国家金融监督管理总局发布了《办法》,该办法对银行和保险行业的数据安全合规建设提出了监管要求,为相关机构的合规工作提供了明确的指导和依据。证监会监管的领域目前尚未出台相同力度的数据安全监管要求。
因此,本次分享的重点将聚焦于银行和保险机构的数据安全合规建设问题。
《办法》范围非常广泛,适用性是用于银行保险资产管理公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司等等很多的金融行业。
从我们经验来看,监管发布《办法》,首先是会对银行起非常重要的作用。按以往来看,紧跟着是保险,然后逐渐覆盖到其他细分的行业。
“国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理,开展非现场监管、现场检查,将数据安全管理情况纳入监管评级评估体系,依法对银行保险机构数据安全事件进行处罚和处置,实施对数据安全管理的持续监管。”
最重要的是要把数据安全管理的情况纳入监管评级的体系。银行的科技监管评级每年进行,数据安全的建设情况已被纳入评价体系,这对银行的影响极为重大。
自2009年银监会发布《商业银行信息科技风险管理指引》以来,该指引已历经十五年,至今仍对银行业的科技风险管理发挥着至关重要的指导作用。每年的监管检查和审计工作均依据该指引进行。
对于国家金融监督管理总局发布的《银办法》,相信在未来多年内将持续对银行和保险机构的数据安全建设产生深远影响。足以引起业界对《办法》内容的高度关注和重视。
图2:部分重要的“信息科技”和“数据安全”相关监管文件
国际数据管理协会在其出版的书籍中详细阐述了数据管理的范畴,涵盖了数据治理、数据质量、数据架构、元数据等多个方面,其中数据安全作为关键组成部分之一。
国内数据管理能力成熟度评估模型的国家标准,即国标GB/T 36073,众多金融机构依据此标准进行数据管理能力成熟度的认证,部分机构已获得最高级别的五级认证。从国家标准对数据管理的描述来看,数据安全是八大模块之一。
无论是国际理念还是国内实践,数据安全均被视为数据管理领域的重要组成部分。尽管当前数据安全成为热点议题,它仍是数据管理、数据治理中不可或缺的一环。
这种技术逻辑已在金融机构的组织架构中得到体现。过去,数据安全主要归属于科技部门管理。然而,近年来,众多金融机构已设立数据管理部门(或称为数据资产部门)。包括大型商业银行、股份制银行、领先保险公司以及主要城市商业银行在内的多家机构很多已建立数据管理部门,其地位与科技部门并列,均为一级部门。这种组织架构的变化已成为行业趋势。在此架构下,数据安全的职能通常归口至数据管理部门,而非传统科技部门。
金融行业中数据安全的归口管理部门主要有两种情况:一是隶属于大型的数据管理部门;二是继续由科技部门管理。这反映了机构在组织架构设计上对数据管理重视程度的提升和发展趋势。
针对银行而言,数据治理的实施相较于数据安全治理更为先行。这源于监管机构早期便已出台相关数据治理指导方针,促使银行业在数据治理领域进行了广泛实践。以下将对数据治理与数据安全治理进行对比分析。
1.制定统一的数据标准。2.完善数据质量。3.促进数据的应用。
数据治理的主要目标是保证数据的准确性和可靠性,以便有效利用数据。
1.敏感数据的识别。数据安全治理的核心理念是对数据实施差异化管理。这意味着将数据划分为敏感数据和非敏感数据两类。
2.安全风险的分析。安全风险分析,以确定这些数据面临的潜在安全风险。
显而易见,数据治理与数据安全治理的三项核心工作存在显著差异。然而,两者均需执行数据的分类分级工作,尽管执行的方法各有侧重。
数据治理在进行分类分级时,通常依据数据的金融主题进行。相较之下,数据安全治理的分类分级工作则受到较为严格的监管约束,因为监管机构已设定了明确的要求和框架。例如,总局发布的《办法》以及人行的分级指南,均对数据分类分级工作提供了具体的指导。对于银行和保险公司而言,必须遵循这些监管框架进行分类分级工作,虽允许进行细微调整,但整体结构不得变动。
银行和保险公司常提出疑问:是否能够将基于金融主题已进行的分类分级成果,用于支持数据安全治理的分类分级需求。实际上,这两者之间的底层架构是可以相互衔接的。简而言之,可以在统一的数据标准基础上进行分类分级,并将其反向映射至各个应用数据库中。通过这种方式,可以将数据治理的成果有效利用,以满足数据安全治理的分类分级要求。
多数的银行和保险公司在开展数据安全治理方面都会遇到一些问题,可以总结为八个难点:
目前尤为重要的是第二点,合规要求。对总局《办法》六章61条正确的、全面的理解是很重要的。而多数机构的数据安全的管理从业人员并不能非常准确地解读总局的要求。
开展数据安全治理之前,须深刻理解以下三大核心策略:
首先,是平衡策略。本策略要求在对数据安全管控的同时,必须考量安全控制措施对业务运营的影响,避免过度控制而妨碍业务的正常进行。目标是寻求数据安全与业务发展之间的最佳平衡点。
其次,是持续优化策略。鉴于数据安全治理是一项长期且持续的任务,不可能一蹴而就。因此,应采取分阶段、逐步推进的方法,例如采用PDCA循环,以保证工作的有序进行。
最后,是风险策略。除了关注与数据安全直接相关的法律合规风险和安全风险外,《办法》,特别强调将数据安全纳入企业全面风险管理体系。在金融领域,通常强调三道防线的概念,即第一道防线的直接控制、第二道防线的风险管理和第三道防线的审计监督。因此,数据安全管理不仅要在第一道防线上有所作为,还要与第二道和第三道防线的风险管理和审计监督相结合,实现三道防线的整合。
明确理解推动因素,对于我们在开展数据安全建设工作时能够明确目标至关重要。
驱动因素一:合规驱动。最主要的推动因素是法律法规的要求,通常被称为合规驱动。对于金融机构而言,合规驱动无疑是最强大的推动力。
驱动因素二:安全攻击。安全攻击包括外部黑客攻击、勒索病毒以及内部员工数据泄露等安全事件,这些统称为事件驱动。事件驱动不仅包括本机构发生的安全事件,也包括其他同行业机构的事件,它们都能促进行业内数据安全建设的发展。
驱动因素三:数据安全管理滞后性。随着新的IT架构和云服务的广泛应用,数据量迅速增长,但全面的数据安全管理却严重滞后。
驱动因素四:安全防护产品失效。很多银行保险公司,诸如数据脱敏、加密、DLP、统一身份认证等数据安全防护产品早已购置并投入使用。然而,这些技术产品和技术工具并未得到有效利用。
原因何在?并未依据科学的方法开展数据安全治理工作!例如,最基本的数据分类分级工作尚未完成。在未能识别敏感数据的情况下,无法有效配置和使用数据脱敏、加密、DLP等工具。
近期,数据安全领域的违规事件有所增加。例如交通银行、湖北银行、山西农商行等均遭受了监管机构的通报及处罚。在这些处罚案例中,监管机构指出了金融机构在数据安全管理方面存在的不足,包括管理粗放、不足、不到位以及缺失等问题。然而,这些描述对于金融机构而言,难以明确整改的具体方向和措施以满足监管要求。
图8:典型的数据安全处罚案例和安全事件
现在,随着总局发布的《办法》,银行保险机构若能依据《办法》进行细致的数据安全建设,上述导致处罚的问题将得到有效解决。
在开展数据安全治理工作时,必须遵循科学的方法论,而非仅凭直觉或临时决策。许多金融机构的数据安全管理人员往往过分关注眼前的局部问题,并急于解决这些问题,而忽视了从系统化的角度出发来构建数据安全体系。
我个人认为,被广泛认可的科学方法论主要有两个:微软的DGPC框架和Gartner的DSG框架。其中,Gartner的DSG框架以流程为导向,更易于理解和实施。
行业普遍认同数据安全更多地涉及管理工作,而非单纯依赖技术工具的采购来解决问题。Gartner特别指出,在开展数据安全建设时,不应从部署数据安全技术产品入手。
鉴于数据安全与网络安全的本质区别,传统的网络安全措施,如购置防火墙,可以解决许多边界防护问题。然而,数据安全以数据为中心,不可能仅依赖单一技术产品来全面解决。因此,Gartner强调应从顶层设计着手,开始数据安全建设工作。
我个人特别推崇Gartner的数据安全知识体系理论,建议对数据安全感兴趣的从业者投入时间深入研究Gartner的理论体系。
在银行和保险行业进行数据安全建设时,必须参考和遵循一系列指引和文件。
首先,应遵守国家层面的法律法规和条例。任何机构在进行数据安全建设时,都必须满足国家法律法规的要求。然而,国家法律法规是普遍适用的,并不针对特定行业,因此对金融机构而言,其针对性相对较弱。
针对银行和保险公司的数据安全建设,行业特定的指引显得尤为重要。这些指引和要求是必须理解并掌握的关键文件。
1.总局发布的《办法》,为银行保险机构提供了具体的数据安全管理指导。
2.人行发布的《个人金融信息保护技术规范》、《数据生命周期安全规范》和《数据安全分析指南》。这些金融标准具有较高的可操作性,指导机构如何将监管要求具体落实到管理措施和技术手段中。
3.《金融数据安全 数据安全评估规范》,尽管该规范一直处于征求意见稿阶段,但指导性强。
4.《业务领域数据安全管理办法》,目前也处于征求意见稿阶段,该办法内容较为详尽。
这些文件在金融行业内,尤其是对银行和保险机构而言,是必须深入了解和遵循的。除此之外,还有一些国家标准可以在具体实施层面提供参考。
1.首先,银行和保险机构在开展数据安全治理时,必须制定一个总体框架设计,并依据全景图来指导具体的工作。这意味着在具体工作开展之前,必须先有一个总体框架和设计全景图作为指导。
2-3.数据安全风险评估和分类分级优化可以同时或分先后顺序进行。数据安全风险评估的主要目的是识别当前管理状况与监管要求之间的差距,为后续整改提供依据。而分类分级优化则是因为新的监管要求的出现,需要对金融机构近年来已经开展的分类分级工作进行优化和完善,以满足当前监管的要求。
4.进行访问控制矩阵的梳理。进行访问控制矩阵的梳理。在识别出敏感数据后,需要对应用前端和后端的访问权限进行重新梳理。通常,应用系统会设计有访问控制矩阵,明确哪些用户组和角色具有访问权限。但这些设计以往是基于系统功能而非敏感数据因素。因此,现在需要重新整理访问控制矩阵。
5.进行安全管控建设。进行安全管控建设。安全管控建设是基于数据应用场景,结合管理治理机制、岗位职责、流程制度以及技术工具的综合管控。
6.进行安全运营建设。管控措施建立后,进入安全运营阶段。安全运营主要包括风险监测、应急响应、事件处置等。
六个步骤体现了一种技术逻辑,是数据安全治理的技术路线图的核心内容。
1.解读:首先,需要对相关法规进行准确解读,确定对“规”的理解是正确的。
2.评估:要对当前的建设状况与最新的合规要求之间的差异进行评估。通常,解读工作会与评估工作合并进行,因为仅通过阅读监管要求的文字来理解可能不够深入。在评估过程中,对监管要求的理解会更加深刻。
3.规划:评估之后,会发现存在多项不合规的情况,这些情况数量众多且分散在不同部门。尽管数据安全有归口管理部门,但根据总局的六章61条要求,涉及的部门非常广泛,包括科技部门、数据部门、风险部门、审计部门等。如何在其他部门的支持下共同进行整改,需要一个详细的规划。作为数据安全归口管理部门,与其他职能部门是平级关系,实际上很难将建设任务直接分配给其他部门,并要求他们按照归口部门的想法进行工作完善。因此,实际的做法是规划好之后,获得上级领导的支持,以便将工作有效分配到各个部门,共同推进建设工作。
4.建设:规划完成后,接下来进行具体的数据安全合规建设工作。
在进行数据安全建设时,银行和保险公司毫无疑问应选择遵循总局发布的《办法》作为总体框架。《办法》的要求主要涵盖六个核心方面:数据安全治理、数据分类分级、个人信息保护、数据安全管理、数据安全技术保护以及数据安全风险监测与处置。
个人而言,我非常推崇总局发布的《办法》。该办法内容全面,逻辑性强,且将个人信息保护纳入其中。从技术角度来看,个人信息作为数据的一种,其保护措施的纳入是合理且必要的。尽管在组织架构上,个人信息保护往往形成独立的管理体系,通常由专门的部门负责管理,而非数据安全的归口管理部门。因此,如何将已有的个人信息保护体系有效地整合进数据安全合规建设中,成为各银行和保险公司内部协调的一项重要任务。
在数据安全管理方面,《办法》详细列举了多种管理场景,明确了数据安全管理的具体范围,并指导在这些场景下设计相应的管理与技术措施。《办法》中对数据安全技术保护的阐述尤为全面,不仅包括了传统数据生命周期各环节的安全保护,还扩展到了更广泛的领域。它超越了数据安全生命周期的保护,进一步涵盖了信息系统生命周期的数据安全、数据安全与网络安全的关联、数据安全测试、数据开发中的安全考量(安全左移),并结合了大数据平台安全以及模型算法与人工智能等前沿领域,特别强调了外部交互数据的安全重要性。
第一,对标识别监管要求的适用性。监管要求的六章61条,并非所有条款均适用于各银行和保险公司。例如,某些条款涉及数据出境要求、大型模型算法等,可能与特定机构的业务不相关。因此,评估的首要任务是识别并梳理出适用于各机构自身的监管要求。
第二,识别各领域的主责部门或岗位。这一点在实际操作中极为关键,因为它直接关系到后续整改工作的实施。在评估之前,往往不明确哪些部门应承担哪些监管要求的责任。通过评估,可以明确61条要求分别归属于哪些部门管理。
具体评估的时候,主要通过设计有效性和执行有效性两个维度来进行:
设计有效性:评估是否有相应的管理制度、流程和管理措施。
执行有效性:评估即使存在制度,是否真正按照制度执行。
这样的评估,可以发现不合规的问题,并对此进行风险量化,为后续整改工作提供依据。这是风险评估的基本方法。评估结果可通过脑图形式展示,每个条款的风险状况用不同颜色标识,并采用量化评分方式,以百分制进行打分。实际上,会对六个领域分别进行评分,得出总体的平均分。对管理层而言,百分制评分更直观易懂。
评估完成后,建议制定更为细致的规划。规划过程遵循特定方法论,涵盖业务发展规划、数据安全规划、安全技术趋势等多个输入因素,通过这些因素提炼出具体的整改任务设计。
通过这样的分析,可以详尽列出所有后期建设任务的具体内容、责任部门、实施时间、工作重点,并分析任务间的先后次序关系。这种方法有助于使后期的整改工作更加有序和高效。
在组织架构设计方面,监管机构已经提出了明确要求,涉及归口管理部门、高级管理层、技术部门以及风险和审计部门的职责。
对于银行保险机构而言,按照监管要求进行落实制度是首要任务。在制度层面,必须确保与监管要求保持一致性。在业务部门职责的落实上存在一定难度,因为从监管的角度来看,业务部门在数据安全方面将承担更多责任。在企业内部落实这一要求可能较为复杂,因此需要在流程设计上进行创新。
具体而言,需要在分类分级、数据提取以及数据使用共享等流程层面纳入业务部门的职责,以确保业务部门在数据安全管理任务中的重要作用得到体现。此外,风险合规和审计部门以往介入较少,但根据监管要求,风险合规作为第二道防线和审计作为第三道防线的角色都需要逐步纳入组织架构中,以强化数据安全的整体管理。
数据分类分级是多数银行保险公司机构面临的难题。银行和保险公司的处理数据分类分级的依据主要有三个:
《金融数据安全 数据安全分级指南(JR/T 0197-2020)》、《个人金融信息保护技术规范(JR/T0171-2020)》、《银行保险机构数据安全管理办法》(征求意见稿)。
参考依据1:《金融数据安全 数据安全分级指南(JR/T 0197-2020)》。0197将数据分类为四大类别:客户数据、业务数据、经营管理数据和监管数据。每个大类下进一步细分为二级、三级、四级分类。这一架构具有较强的操作性,前几年银行和保险公司的数据分类分级工作主要参照此指南进行。
参考依据2:《个人金融信息保护技术规范(JR/T 0171-2020)》。0171规范对数据进行了大类划分,主要分为C1、C2、C3三个等级。但在当前的数据分类分级工作中,可以不再单独考虑0171的要求。因为0171中的C1、C2、C3个人金融信息分类分级已在0197发布后被完全纳入其中。遵循人行的0197指南进行分类分级,已经能够覆盖0171个人金融信息的分类要求。
参考依据3:总局的《银行保险机构数据安全管理办法》征求意见稿。《办法》将数据分类划分为四大类别:客户数据、业务经营管理数据、系统运行管理数据以及安全数据。在数据分级方面,《办法》规定数据分为核心数据、重要数据和一般数据三个等级,其中一般数据进一步细分为敏感数据和其他一般数据。数据分类仅限于这四项主要类别。如何将这些类别与数据库中的数据表相对应,是一个极具挑战性的问题,几乎是一项不可能完成的任务,按照总局的要求,实际上很难具体实施。因此,这是目前金融机构面临的主要问题。
对于金融机构而言,其数据分类分级工作不仅要满足金融监督管理总局的分类分级要求,还要符合中国人民银行的分类分级标准。如何同时满足这两个监管机构的标准,并实现数据分类分级的有效落地,是当前银行和保险公司所面临的难题。
针对银行保险机构在数据分类分级方面所面临的挑战,我们建议的方法是将两个分类分级体系进行整合,形成一套统一的标准以实现落地执行,从而同时满足总局和人行的分类分级要求。
在选择分类分级工具时关注的关键点包括:工具对信创环境的支持,这在当前尤为重要;以及工具对云环境的支持。
市场上各头部厂商提供的分类分级工具功能大致相似。这些工具在未经调优的情况下,自动化识别的准确率通常不超过30%。因此,使用这些工具时需要进行调整,以逐步提高准确率,我们也不能过分依赖自动化的分类分级工具。
分类分级工具的应用思路有两种:一是在已有良好的数据治理基础的情况下,可以利用数据治理的成果,即数据标准,进行反向映射的分类分级,这样就无需依赖自动化分类工具。另一种思路是,在缺乏数据治理基础的情况下,必须依赖人工识别或机器识别进行分类分级,这时就必须使用自动化分类分析工具,否则面对庞大的数据量,如上百个系统或数千个数据库,以及数百万个字段,仅依靠人工进行分类分级几乎是不可行的。
在数据安全管理领域,制度体系的构建是核心体现。通过对《办法》六章61条的评估,我们发现众多制度分散于不同部门,且制度的细致程度存在差异。
在数据安全技术保护体系建设方面,《数据安全治理白皮书6.0》提供了重要参考。该白皮书依据数据生命周期中所需的数据安全保护功能,结合市场上现有的工具,为具体实施层面提供了对应工具产品。同时,我们也参考了总局和人行的数据生命周期安全规范,分析并整合了所需的工具产品。
在个人信息保护方面,保险公司和银行已取得显著建设成果。然而,自动化决策和个人信息风险报告方面的缺失较为明显。随着国家人工智能安全管理系列标准的逐步推出,这一领域预计将得到完善。
在数据安全风险监测与处置方面,我们特别关注风险监测、应急响应和处置。近期,总局的《办法》和人行的《业务领域数据办法》中首次明确提出了具体的风险监测内容。总局提出了八个领域的风险监测要求,包括科技领域可直接实现的监测内容,以及其他需要特定部门处理的领域。将这八个方面整合为一套完整的数据安全风险监测管理体系,是当前银行和保险机构需要解决的问题。
对于数据安全风险监测与处置的应急预案,我们考虑了两种管理思路。一种是将数据安全事件的处置管理与信息安全事件管理团队合并,因为银行和保险机构通常已有一套信息安全事件管理机制。如果两者合并管理,建议将数据安全纳入信息安全管理机制中,以降低管理成本。另一种情况是数据安全事件与信息安全事件分开管理,此时需要单独建立数据安全事件管理机制。
数据安全风险监测与处置的应急预案,其实是一套应急响应的机制。应急响应的机制目前是两个思路,一个是机构里边数据安全的事件的处置管理是和信息安全处置管理的管理团队是一个团队。因为银行保险机构是有信息安全、事件管理的一套机制。如果这两个都是归一套来管理,我们会建议是在原来信息安全事项管理机制里边把数据安全纳入进去。根据总局《办法》里面对数据安全事件的要求,纳入到信息安全事件管理里去统一来管理,这样的话管理成本会比较低。
在数据安全合规建设方面,我们通过研究和实践发现了一些难点:
1.数据分类分级落地效果:目前,数据分类分级的实施效果普遍不佳,这成为数据安全合规建设的一个主要难点。
2.数据地图的线上化:实现如果缺乏有效的工具或平台支持,这一过程可能会变得复杂和低效,从而影响数据安全的整体管理和合规性。
3.数据安全评估:数据安全评估的准确性受限于数据分类分级的基础工作是否完善,这是进行有效数据安全评估的前提条件。
4.数据安全管理的全面性:总局要求的数据安全管理场景众多,全面满足这些要求存在一定困难。
5.数据安全技术防护的体系化:在前期,数据安全技术防护主要基于数据生命周期的关键环节,缺乏体系化的方法。
6.人工智能技术的安全管理:目前,对人工智能技术产品的安全管理尚未到位,这是一个需要关注和改进的领域。
7.与外部交互数据的安全技术防护:需要梳理与外部交互数据的场景,包括业务场景、交互渠道等,以缩小暴露面并实现集中化、统一管理。特别是API安全,这是一个新兴领域,许多厂商正在开发相关安全产品,其安全能力正在逐步提升。
8.数据安全风险监测:数据安全风险监测的自动化程度不高,导致实时性和全面性难以满足监管要求。
![银行保险机构数据安全合规建设思路与实践 | 精华整理]( "银行保险机构数据安全合规建设思路与实践 | 精华整理")
对于中小银行保险公司而言,快速满足众多监管要求是一项挑战。因此,我们提出了“1+10”的理念,即一个全面的数据安全管理办法加上十个重点领域的规范建设,作为一种在特定环境下解决紧要问题的方法,虽然这不是一个完善的解决方案。
DCMM金融行业社区技术委员会作为中国电子信息行业联合会的分支机构,由翰纬科技联合其他18家金融机构及相关企业共同发起,希望积极推动DCMM在金融行业的推广和实施工作。如果您想进一步了解“银行保险机构数据安全合规建设”相关内容,或者加入DCMM金融行业社区,欢迎扫描下方二维码添加张兵老师微信,期待与您的交流!
📖 推荐阅读:直播精华整理合作
「 一键加入数据安全及个人信息保护领域的知识宝库」
原文始发于微信公众号(合规社):银行保险机构数据安全合规建设思路与实践 | 精华整理
点击 "合规社" > 点击右上角“···” > 设为星标⭐
评论