金融机构数据安全专项审计

金融机构数据安全专项审计

随着信息技术的高速发展，以及云计算、人工智能、大数据、区块链等新技术的深入应用，金融机构在业务运营过程中产生的信息逐步转化为数字资产大量流转在信息系统之中，数据的泄露、滥用、篡改等安全威胁的影响已逐渐从机构内向机构间以及行业间扩散，甚至影响国家安全、社会秩序、公众利益与金融市场稳定，数据安全已经上升到国家安全高度。国家及监管机构，对于违反数据安全法律法规行为的查处范围、频度、力度均日益增加，如何在满足金融业务需求的基础上，强化数据保护能力，防范数据安全风险，切实保障金融数据价值发挥，已成为当前亟待解决的问题。

金融行业数据安全监管要点

个人信息保护法要点解读

2021年11月1日，《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式生效，这意味着我国对个人信息安全的保护进入了新的历史时期，我国公民的个人信息安全及隐私保护走上了新台阶。个人信息保护法中明确了六大场景下的个人信息处理规定(如图1所示)。对于金融机构来说，应重点关注在不同场景下如何具体落实“告知-同意”规则。

数据安全法要点解读

2022年9月1日，《中华人民共和国数据安全法》(以下简称《数据安全法》)正式生效。《数据安全法》明确了企业在保护数据安全方面的责任，对企业的数据安全提出了严格要求。金融机构需要对《数据安全法》深度学习(如图2所示)，加强立法认识，提升企业和个人数据安全保护意识，全面落实《数据安全法》要求。

数据安全分级指南要点解读

2020年9月23日，《金融数据安全数据安全分级指南》(以下简称《数据安全分级指南》)正式生效。《数据安全分级指南》给出了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程(如图3所示)。可以用来指导金融业机构开展电子数据安全分级工作，也可以指导第三方评估机构等单位开展数据安全检查和评估工作。

数据生命周期安全规范要点解读

2021年4月28日，《金融数据安全 数据生命周期安全规范》(以下简称《数据生命周期安全规范》)正式生效。《数据生命周期安全规范》构建了金融业机构覆盖数据全生命周期的数据安全框架，同时与各标准联系紧密，如数据安全能力成熟度模型、个人信息安全规范及金融行业的数据安全分级指南等。能够全面整体地指导金融业机构建设和完善自身的数据安全防护体系(如图4所示)，并有助于金融行业的数据安全保护和应用的标准化。

金融行业数据安全常见风险

根据行业最佳实践及笔者多年的工作经验，从以下六个方面总结了常见的数据安
全风险:

数据安全理常见风险

• 未建立数据安全治理组织架构及职责，无法自上而下推动相关数据安全治理工作的有序开展。

• 未建立组织级数据战略规划，无法有效覆盖网络安全法及等级保护等相关法规与标准的要求，无法指明数据整体的发展目标和规划，不利于数据长远发展。

• 未制定数据安全相关管理制度及流程，导致数据安全管控要求无法有效落实。

• 数据安全风险评估执行不到位，未识别出重要的数据安全风险，不利于数据安全治理体系的持续优化。

数据安管理常见险

• 数据安全组织架构及责任人缺失，导致数据安全管控要求无法落实。
• 未定期开展数据安全意识宣贯，由于安全意识不足，导致数据不经意地泄露。
• 元数据安全管控不到位，导致元数据血缘关系模糊、可追澜性不强，影响元数据与数据标准的结合。
• 未部署数据管控平台，无法对数据标准、数据质量、元数据进行规范化管控和技术实现。
• 数据服务接口与应用在其内部跨安全域间的接口调用未采用包括安全通道，加密传输等安全机制可能带来的风险。
• 未建立数据供应链安全管理方针，无法落实上下游供应链间数据交换和使用的要求，不利于供应商之间的数据交换与共享。

数据生命用期安管理常见风险

• 在数据生命周期管理期间，由于在人员、管理、技术三个层面没有建立适用的数据安全管理体系，使得数据安全管理的效率与效果低下。
• 未实现数据分类分级管理或分级方法不合理，导致未按照不同类别建立不同的安全控制措施，导致保护过重或保护不当。
• 数据在收集、传输、存储和恢复、处理和加工、使用与审计、归档与销毁等过程中，由于缺乏有效的数据加密和访问控制，容易导致数据泄露风险，
• 数据在共享与流动，特别是跨边界和跨境流动时，由于未制定相应的安全规范制度和审批流程，容易产生违规风险。
• 数据销毁机制不健全或执行不严格，导致销毁过程中敏感数据的泄露。

个人息安全管理常见风险

• 未建立个人信息保护组织或缺乏相关负责人，不利于个人信息保护工作的推广和执行，也无法有效落实个人信息保护的责任。
• 未建立规范化的个人信息保护制度和流程，可能造成个人信息的收集、存储、使用、变更、销毁等操作不合法的情况。
• 组织在使用个人信息时，没有开展安全影响评估，无法判断个人信息使用与保护的程度，容易造成侵权与违规风险。
• 在收集个人信息时，没有注意最小化要求，或者在没有得到允许的情况下公开披露个人信息，容易造成侵权与违规风险。
• 组织在处理个人敏感信息时，个人信息的传输、处理、存储、销毁未采用加密、访问控制等安全措施，容易造成泄露个人敏感信息的风险。

重要数据安管理常见风险

• 未建立重要数据保护工作机构或指定负责人，不利于重要数据的保护和管理，同时无法有效落实重要数据保护的责任。
• 未实现重要数据分类分级管理，无法有效对重要数据建立针对性的保护措施。由于保护机制不到位，造成的重要数据泄露或非法访问。
• 未建立规范化的重要数据保护制度和流程，可能造成重要数据的收集、存储、使用、变更、销毁等操作不合法的情况。
• 组织在使用重要数据时，没有开展安全风险评估，无法判断重要数据的使用与保护的程度，容易造成侵权与违规风险。
• 组织在处理重要数据时，数据的传输、处理、存储、销毁未采用加密、访问控制等安全措施，容易造成重要数据泄露的风险。
• 未建立数据应急预案，无法有效制定数据丢失、数据泄露等重要场景的处置措施，不利于重要数据发生异常的处置和恢复。

数据平台与技术安管理常见风险

• 数据平台或系统安全保护措施部署不到位，导致数据泄露或非法访问。
• 数据平台与其他平台交换数据未实施加密，导致数据外泄。
• 未部署独立的数据库审计系统，无法对数据违规操作行为进行跟踪分析，不利 于数据的规范化管理。

金融行业数据安全审计关注重点

数据安治理审计

数据安全风险涉及面较广，既体现在组织在治理层面的治理风险，还体现在数据在其生命周期和服务过程中的管理风险，以及伴随的个人信息和重要数据等敏感信息泄露和跨境流通风险，重点涉及:

• 董事会的职责
• 战略规划与价值实现
• 数据安全合规管理
• 数据风险管理
• 数据安全审计监督

数据安全管理审计

数据安全管理是指保护数据免受威胁的影响，确保业务的连续性，降低业务可能面临的风险，为业务部门提供有力保障，具体涉及如下几点:

• 数据安全组织管理
• 人员与意识管理
• 制度与规范管理
• 元数据安全管理
• 数据及平台(系统)管理
• 服务接口安全管理
• 数据供应链安全管理
• 数据安全审计管理

数据生命期安全管理审计

数据生命周期管理是指在数据的采集、传输、存储、处理、交换(共享、应用)，销毁等阶段下对流动的数据进行综合管理，重点涉及:

• 数据收集
• 数据传输
• 数据存储与恢复
• 数据处理与加工
• 数据使用与安全审计
• 数据共享与流动
• 数据归档与销毁

个信息安管理审计

规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遇制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益，重点涉及:

• 通用管理
• 个人信息的收集
• 个人信息的传输与存储
• 个人信息的处理
• 个人信息的使用
• 个人信息的变更与销毁

重要数据安管理审计

规范重要数据在收集、保存、使用、传输、共享等信息处理环节中的相关行为。 旨在遇制数据非授权收集、滥用、泄露等乱象，最大程度地保障重要数据的安全 ，重点涉及:

• 通用管理
• 重要数据识别与分类分级
• 跨境传输与存储前安 全风险评估
• 应急管理

数据平台技安全管理审计

数据平台是指为数据应用提供资源和服务的支撑集成环境，包括基础设施层，数据平台层和计算分析层，重点关注数据平台基础设施安全、网络与通信安全、应用安全及安全审计工具使用等内容。重点涉及:

• 平台基础设施安全
• 网络与通信安全
• 应用安全
• 安全审计