北京金融科技產業聯盟第十期監管科技分享匯：《資料安全法》下金融資料安全風險評估研究與實踐

9月16日，由北京金融科技產業聯盟秘書處與主任委員單位國家金融科技測評中心聯合主辦的線上直播欄目《監管科技分享匯》第十期開播。在本期直播中，綠盟科技集團股份有限公司資料安全解決方案架構師施嶺為大家帶來《資料安全法》下金融資料安全風險評估研究與實踐的相關分享。

資料安全現狀分析

近年來，金融領域的資料安全事件頻發。2021年1月29日，銀保監會開出今年第一張罰單，某銀行因資料安全、網路安全被罰，涉及發生重要資訊系統突發事件未報告、網際網路入口網站洩露敏感資訊等六項問題，罰款金額420萬元人民幣。3月19日，某銀行因“未經客戶本人授權查詢並向第三方提供其個人銀行帳戶交易資訊”被罰450萬元人民幣。

在《資料安全法》體系之下，2019年至2021年金融行業發生多起事件，相關部門對資料安全下達多項指導意見和方針，金融機構應在可見的法律和規範內進行合規化建設，避免因某些無意識的操作而造成資料洩露，從而遭到處罰。

金融行業資料存在四方面特性，一是存在形式多樣式，包括結構化資料、半結構化資料、非結構化資料，二是動態流轉複雜性，包括全生命週期動態流轉、實際業務驅動資料動態流轉，三是資料主體多樣式，包括基礎裝置、資料中心、部門間和第三方機構，四是資料價值模糊性，包括資料確權問題、資料歸屬認責、資料價值準確評估。

應對上述特性，很多企業都在做資料諮詢服務。全行業可以把資料諮詢服務分為資料分類分級、個人資訊保安影響評估、資料安全評估、資料安全管理體系建設、資料安全培訓等。

資料安全資料安全第一步：分類分級

《資料安全法》第三章第二十一條明確提出，國家建立資料分類分級保護制度，依據危害程度，對資料實行分類分級保護。各地區、各部門應當按照國家有關規定，確定本地區、本部門、本行業重要資料保護目錄，對列入目錄的資料進行重點保護。

在進行資料分類分級之前，首先要明確所有資料的屬性，做資料資產的識別。識別資料資產、建立資料資產清單、掌握資料重要程度是風險評估的基礎，也是資料分類分級管理的基礎。

資料分類分級需要一定原則性，其中資料分類基於系統性、規範性、穩定性、擴充套件性、明確性等，資料分級基於依從性、可執行性、時效性、自主性、合理性、客觀性等。《資料安全法》基於敏感賦值，將資料的類別分為一般資料、重要資料、核心資料。資料分類分級的目的是將資料以標籤化的模式進行管理。

在進行分類分級時，可以利用掃描工具最大化提升效率。目前，市面上已經推出一些資料掃描工具，IDR產品設計融入了實施需求，是資料分類分級的絕佳搭檔。

資料的分類分級需要前期準備工作、資料資產調研、資料分類分級、制定分級管理辦法、彙報與總結等必不可少的流程，每一個流程都有其相對應的服務成果，比如過程文件-專案實施計劃、資料資產調研記錄、《資料分類分級表》和《資料資產清單》《資料分級管理辦法》《資料分類分級服務報告》等。

以個人金融資訊資料分類分級為例，按敏感程度從高到低分為C3、C2、C1三個類別，即高敏感、中敏感、低敏感三類。兩種或兩鍾以上的低敏感度類別資訊經過組合、關聯和分析後可能產生高敏感程度的資訊，同一資訊在不同的服務場景中可能處於不同的類別，這些應依據服務場景以及該資訊在其中的作用，對資訊的類別進行識別，並實施針對性的保護措施。

資料分類分級需要明確資料安全的組織責任，將《資料分級安全管理辦法》結合資料分級管控策略，結合資料生命週期的每個階段，把資料安全的訪問控制落到實處。

資料安全風險評估實踐

《資料安全法》第四章第三十條明確提出，重要資料的處理者應定期開展風險評估，並向有關主管部門報送風險評估報告。資料安全風險評估能夠幫助組織發現自身資料安全問題和短板，明確資料安全保護需求，為建設資料安全管理和技術手段指明方向，給出解決方案。

資料應用場景與資料生命週期息息相關，包括資料收集/產生、傳輸、儲存、調取、加工分析、外發等資料行為。每個資料型別都對應著多個資料應用場景，每個應用場景背後都有潛在的安全風險和合規風險。

對於個人資訊而言，需要分析其中是否存在對個人權益的影響，以及影響程度。典型的個人權益影響型別包括影響個人自主決定權、引發差別性待遇、個人名譽受損或遭受精神壓力、個人財產受損等。

安全事件的可能性分析需要從網路環境與技術措施、處理流程規範性、參與人員與第三方、安全態勢及處理的規模等四個方面入手。

風險分析的各項活動在識別出的具體資料應用場景中展開，從場景中識別資料威脅、脆弱性、已有安全措施、資料資產，進而判斷資料威脅發生可能性、脆弱性和可利用性、脆弱性對資料影響嚴重程度、資料重要程度，進而得出安全事件可能性、安全事件後果，然後將其賦值，變成一種風險值，最終形成風險分析報告。

當資料安全發生風險時，需要採取適當方式進行處置，一是控制風險，即及時發現風險，降低損失，二是轉嫁風險，即可利用安全公司、保險公司等第三方機構進行風險轉嫁，三是避免風險，即做好日常監測，培養相關人員的安全意識，四是接受風險，即在無法避免風險的前提下，及時溯源處置。風險處置措施的涉及風險描述、風險值、風險處置措施、風險處置步驟、相關責任人、預計時間、風險級別等。

根據資料安全風險評估結果，針對每一個資料的安全風險，結合被影響的資料資產重要程度，應選擇恰當的資料安全控制措施，實現資料分級分類管理與保護。

資料安全治理全景介紹

依據方法論，綠盟科技透過五個階段對資料安全進行治理。一是“知”，即制定規範與定義敏感資料，二是“識”，即資料分類分級與風險評估，三是“控”，即安全策略與控制敏感資料，四是“察”，即安全監察與行為追蹤溯源，五是“行”，即安全事件處置與持續運營。

更多精彩內容歡迎掃碼進入課程回看：

本文來源：監管科技專委會、會員服務部

投稿郵箱：News@bfia.org.cn