專家解讀來了JRT 0171-2020《個人金融資訊保護技術規範》

綠盟科技發表於2020-04-07

2月13日,中國人民銀行釋出《個人金融資訊保護技術規範》的行業標準,指導各相關機構規範處理個人金融資訊,最大程度保障個人金融資訊主體合法權益,維護金融市場穩定。標準規定了個人金融資訊在收集、傳輸、儲存、使用、刪除、銷燬等生命週期各環節的安全防護要求,從安全技術和安全管理兩個方面,對個人金融資訊保護提出了規範性要求。

本標準適用於提供金融產品和業務的金融業機構,併為安全評估機構開展安全檢查與評估工作提供參考。本標準起草單位包含國有銀行、金融公司、第三方支付、認證測評中心、保險公司,安全公司未參與。


術語解讀

本標準共提出25個術語其中大多屬於行業專用詞語。

專家解讀來了JRT 0171-2020《個人金融資訊保護技術規範》

其中“匿名化”和“去標識化”可以簡單理解為脫敏的兩種技術,對個人隱私保護起到重要的作用。

匿名化:指透過對個人金融資訊的技術處理,使得個人金融資訊主體無法被識別,且處理後的資訊不能被複原的過程

注1:個人金融資訊經匿名化處理所得的資訊不屬於個人金融資訊。

去標識化:指透過對個人金融資訊的技術處理,使其在不借助額外資訊的情況下,無法識別個人金融資訊主體的過程。

注1:去標識化仍建立在個體基礎之上,保留了個體顆粒度,採用假名、加密、加鹽的雜湊函式等技術手段替代對個人金融資訊的標識。

分析:匿名化與去標識化的區別指資訊處理後是否能被複原,資訊處理後是否屬於個人金融資訊。

另外本標準中還提到了資訊展示同樣需要用到脫敏的技術。

模糊化:指透過隱藏(或截詞)區域性資訊令該個人金融資訊無法完整顯示。

不可逆:指無法透過樣本資訊倒推真實資訊的方法。


個人金融資訊內容與分類分級

個人金融資訊包括賬戶資訊、鑑別資訊、金融交易資訊、個人身份資訊、財產資訊、借貸資訊和其他反映特定個人金融資訊主體某些情況的資訊。

根據資訊遭到未經授權的檢視和未經授權的變更後所產生的影響和危害,將個人金融資訊按敏感程度從高到低分為C3、C2、C1三個類別。

專家解讀來了JRT 0171-2020《個人金融資訊保護技術規範》

另外特別提出:兩種或兩鍾以上的低敏感度類別資訊經過組合、關聯和分析後可能產生高敏感程度的資訊,同一資訊在不同的服務場景中可能處於不同的類別,應依據服務場景以及該資訊在其中的作用對資訊的類別進行識別,並實施針對性的保護措施。 

解讀:兩個或多個資料進行組合、關聯和分析產生的資料,必須按新資料做分類分級


個人金融資訊生命週期

資料收集安全:對個人金融資訊主體各類資訊進行獲取和記錄的過程。

資料傳輸安全:個人金融資訊在終端裝置、資訊系統內或資訊系統間傳遞的過程。

資料儲存安全:個人金融資訊在終端裝置、資訊系統內儲存的過程。

資料使用安全:對個人金融資訊進行展示、共享和轉讓、公開披露、委託處理、加工處理等操作的過程。

資料刪除安全:使個人金融資訊不可被檢索、訪問的過程。

資料銷燬安全:對個人金融資訊進行清除,使其不可恢復的過程。

解讀:與國標資料安全成資料模型中的生命週期不同,行業特徵明顯,將資料處理安全和資料共享安全都歸集為資料使用安全,增加資料刪除安全,此階段可以看做是資料半銷燬的階段。


個人金融資訊生命週期各階段技術要求

1、收集:主要是對業務系統的,來源追溯,隱私明示,加密保護,密碼遮蔽,支付資訊保護餘留存;(可採用安全合規評估來落地監控)

2、傳輸:資料保密性、完整性校驗、鏈路可用性;(可採取鏈路加密、身份鑑別和認證、資料驗證的手段來實現防護)

3.、儲存:是加密,留存清除,去標識、匿名化;(可採用資料庫加密、脫敏、匿名化技術來落地保護)

4、使用:

• 資訊展示:遮蔽、授權;(可採用授權+脫敏技術實現業務資訊遮蔽)

• 共享與轉讓:業務需要最小授權;(可對共享前做安全評估,利用脫敏、加密、資料防洩漏、許可權等方式實現防護,利用資料流轉審計對資料進行溯源)

• 公開披露:準確性,安全評估;(對此過程進行安全評估,對風險進行監控)

• 委託處理:授權、脫敏;(對此過程進行安全評估,利用授權、脫敏、審計等技術監控風險)

• 加工處理:識別匿名化、去標識化的效果;(對處理後的資料做識別評估,識別效果是否合規,對日誌做到防洩漏,對資料處理全程進行審計)

• 匯聚融合:影響評估後定技術措施;(先做資料的合規風險評估,再根據實際情況進行響應的技術防護)

• 開發測試:隔離,去標識化,脫敏;(直接採用環境隔離、脫敏實現安全防護)

5、刪除:不可被檢索和訪問;(透過許可權和業務系統自身實現)

6、銷燬:不可被恢復 (對資料儲存介質、雲環境要做到銷燬,不可恢復)


個人金融資訊保安執行的技術要求落地解讀

•  網路安全要求:承載和處理按等保2.0,JR/T 0071的要求,儲存訪問控制(可利用資料庫防火牆實現防護)

•  Web應用安全要求:C2\C3,漏洞防護,系統及元件安全評估,阻止非法訪問;(可利用WAF實現WEB防篡改,WEB防攻擊,利用漏洞檢查、配置核查等 工具實現環境的檢查與評估)

•  客戶端應用軟體安全:按要求上線前評估;(終端及應用軟體、APP等座上線前的安全評估:漏洞、配置、使用者知情、許可等)

•  密碼技術與密碼產品要求:符合國家密碼管理部門和行業主管部門的要求


安全管理要求解讀

•  在資料收集、資料儲存、資料使用的環節提出了安全檢查準則。

•  在制度建設、人員建設、流程建設方面提出了安全策略的要求。

•  在個人金融資訊生命週期的各個環節提出了訪問控制的管理要求。

•  從行為審計、合規評估、事件處置的層面提出了安全檢測與風險評估的要求。


綠盟資料安全解決方案

綠盟資料安全解決方案,圍繞著資料安全合規性管理、個人資訊保安保護、重要資料安全保護來設計,針對《個人金融資訊保護技術規範》的要求提供全方位多角度的保護措施。

以綠盟資料安全管控平臺為總控中心,在展示層提供四種展示檢視展示,從資料資產、資料流轉、資料風險、資料事件的層面展示個人金融資訊的狀態與風險。從綠盟資料安全方法論的角度出發,在管理層將“知識控察行”進行管理整合,統一管控,集中分析,對個人金融資訊做到全面的監管。能力層,透過各種探針能力來解決個人金融資訊生命週期各階段的安全問題,同時為管理層輸送全面的分析資料。

專家解讀來了JRT 0171-2020《個人金融資訊保護技術規範》

相關文章