美创科技联合发布《中小银行数据安全治理研究

近日，由安全牛、谷安研究院联合美创科技、明朝万达等多家数据安全厂商编写的?《中小银行数据安全治理研究报告》（以下简称：研究报告）发布?。该报告旨在通过收集整理中小银行数据安全治理的现状，分享专业公司在银行数据安全治理体系建设和技术工具应用的知识与经验，为中小银行开展和完善数据安全风险管控提供支持和帮助。

此次研究报告主体架构包括：概述、数据安全治理环境、数据安全治理方法、数据安全治理运维、数据安全防护技术及案例研究等，每章之中对细分的领域进行描述，力求覆盖到数据安全治理的主要方面。?美创科技重点参与的调研领域为数据脱敏和数据库安全审计。

中小银行相比于大型银行，数据安全的重视程度并不低，但整个数据安全治理体系建设的成效有比较大差距，部分中小银行数据安全治理尚处在刚刚起步阶段。根据研究报告对中小银行数据安全治理的建议，中小银行需要从管理、制度、流程、人员、工具等多个维度进行体系化建设。

其中，中小银行数据管理、制度、流程、人员层面问题可以引入专业的咨询机构辅助体系化开展，数据安全内外部攻击及数据安全防护工具的有效使用层面，美创科技结合十数年为银行、保险、证券等金融机构提供数据安全整体方案的经验给出如下建议：

全面梳理，明确保护对象

一直以来，金融数据是所有行业质量最高的个人识别信息（PII）和最为完备的个人财物信息（PFI），处于数据价值链的顶端。随着中小银行数字化转型及业务增加，数据量剧增，包括客户身份信息、家庭住址、电话、信贷情况等大量的敏感数据分布在不同的业务系统之中。

而要保护这些敏感数据，首先需要明确哪些是敏感数据？敏感数据在哪里？敏感程度又是怎么样的？只有在明确数据含义、完成敏感数据发现的基础上，才能开展相应的数据安全防护措施。

因此，需要全面梳理、准确识别敏感信息，根据敏感程度进行分类、分级，从而采取针对性安全防护策略。

美创暗数据发现产品能够对多种数据源进行接入，全面捕获元数据信息、智能解析数据类型和含义、自动发现数据内部关系，并按照业务模板对数据进行分析，帮助中小银行用户将不可理解的数据自动化、智能化的转化为可认知的、分类有序的数据，并以可视化的方式呈现，最终帮助用户明确敏感数据保护对象。

内外部数据安全风险分析

根据《JRT0171-2020个人金融信息保护技术规范》中数据的范围为个人金融信息，数据生命周期定义为收集、传输、存储、使用、删除、销毁等环节，其中每个环节都存在数据安全风险。如：内部人员违法访问业务系统获取用户信息；开发测试环境中敏感数据外泄；数据传输过程被窃取等。

风险评估是数据安全管理的中轴线，承接组织战略和目标，并指导安全如何进行保护、检测、响应和恢复。因此在第一步明确了数据保护对象之后，银行需要从内部和外部多维度全面开展具备针对性的数据安全风险分析工作，了解当下数据生命周期各阶段的敏感数据安全保护工作都做了哪些？做到了什么样的程度？是否还存在风险点？等等。

美创科技基于数字风险管理CARTA模型，制定具备持续自适应风险与信任评估过程的数据安全风险评估方案。方案从以数据为中心的控制措施组合以及场景的控制措施等维度出发，进行差距分析，全面评估组织的数据安全能力，旨在准确指导数据安全建设工作，满足商业经营和安全运营的双重诉求。

金融数据安全合规性指引

金融行业一直以来都是强监管行业，金融数据安全工作更是重中之重，《中华人民共和国网络安全法》、《网络安全等级保护》、《关键信息基础设施保护》、《金融行业信息系统信息安全等级保护实施指引》、《数据安全管理办法》、《金融机构计算机信息系统安全保护工作暂行规定》、《中国人民银行计算机安全管理暂行规定（试行）》等一系列的法规制度均对中小银行的数据安全工作提出明确要求。

美创科技研究参考了大量金融数据相关法律法规与国内外标准，吸取了一些标准的基本思路和主要方法，并结合多年的数据安全工作经验，梳理出一整套金融数据安全合规性指引指南，旨在帮助中小银行更好地开展数据安全合规性建设工作。

文章来源：《治理研究》 网址: http://www.zlyjzz.cn/zonghexinwen/2020/0808/368.html