7月24日,中国人民银行发布关于《中国人民银行业务领域数据安全管理办法(征求意见稿)》(简称:《办法》)公开征求意见的通知。《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章,共五十七条。
奇安信军团CBG金融行业安全专家王昱菲表示,可以看出,这份《办法》依据相关的网络安全和数据安全法律法规制定,其目的在于规范中国人民银行业务领域的数据安全管理。《办法》明确了其适用范围是我国境内开展的中国人民银行业务领域数据相关的处理活动,提出了“谁管业务,谁管业务数据,谁管数据安全”的基本原则,要求数据处理者采取有效措施保护数据安全,同时压实了数据处理活动全流程安全合规责任和底线。
推动分级分类,压实合规责任
首先是分级分类,动态管理。《办法》在总则之后第二章“数据分类分级”中,提出“中国人民银行负责组织制定数据分类分级相关行业标准,指导数据处理者开展数据分类分级各项工作,统筹确定重要数据具体目录并实施动态管理。”同时《办法》强调数据处理者应建立数据分类分级制度规程,梳理数据资源目录、标识分类信息,根据中国人民银行制定的重要数据识别标准,统一对数据实施分级,严格落实网络安全等级保护和风险评估等义务,并在此基础上推动各数据处理者进一步做好数据敏感性、可用性层级划分,以便在全流程数据安全管理中更好采取精细化、差异化的安全保护管理和技术措施。
其次是压实责任,坚守底线。《办法》提出数据安全保护总体要求。强调数据处理者应当压实数据安全责任,建立数据安全问责处罚制度和数据处理活动全流程安全管理制度,制定数据安全培训计划。针对收集、存储、使用、加工、传输、提供、公开和删除各环节,向数据处理者明确采取哪些安全保护管理和技术措施后,可视为总体满足尽职尽责的合规底线要求。
《办法》围绕风险监测、评估审计、事件处置等细化了合规要求。强调数据处理者应当建立数据处理活动安全风险监测和告警机制,加强数据安全风险情报监测、核查、处置与行业共享,制定数据安全事件定级判定标准和应急预案,规范应急演练、事件处置、风险评估和审计等工作。
第三是制度衔接,监管协同。《办法》注重与现有制度标准的衔接。其中包括注重与业务管理制度的衔接,与个人信息保护管理制度的衔接,与非网络数据管理制度的衔接,与涉密数据管理制度的衔接,与现行数据相关标准的衔接等等。
而在监督管理协同方面,《办法》严格落实加强跨部门综合监管的有关指导意见的要求,进一步强调央行及其分支机构积极支持其他有关部门依据职责开展数据安全监督管理工作,必要时可以与其他有关主管部门签署合作协议,进一步约定数据安全监督管理协作模式,并可以与其他有关主管部门联合组织中国人民银行业务领域数据安全现场检查,有助于强化条块结合、区域联动的协同监督管理机制,并有效避免重复检查问题,提高监督管理效能。
强合规进入全面落地期
不久前,国家金融监督管理总局发布的行政处罚信息显示,浙江农商联合银行因存在数据安全管理缺失等11项主要违法违规行为,被银保监会浙江监管局罚款380万。而就在2023年1月30日,中国人民银行安阳市中心支行发布的行政处罚信息显示,中行安阳分行存在“违反安全管理规定”“未按照规定履行客户身份识别义务等8项违法行为,被警告,并被罚40.3万元。
王昱菲认为,由于金融行业是产生和积累数据量最大、数据类型最丰富的领域之一,尤其是随着金融行业的数字化转型和深化,金融数据有着广泛的应用场景、应用范围,具备极高价值,是关乎企业核心竞争力的重要资产。守护好数据安全是金融行业的生命线。因此,金融行业客户亟需“红线意识”,守好合规底线。
金融客户如何做好数据安全合规建设?王昱菲认为,这需要从“管理、技术、运营”三方面来开展数据安全的全生命周期保护工作。
首先,从管理层面,企业可以在组织制度和流程上进行优化。由于数据在各业务系统之间流转,需要设立高级管理层参与决策的数据安全管理部门,统筹和规划多部门之间的工作;需要设立跨组织的数据管理协调部门,以确保制度、流程、技术等方面的落地。
其次,在技术层面,需要分段实施、体系规划、有序建设。初期需要先理后治,梳理业务,识别重要数据资产,同时补短固底,做好基础安全防护,如数据资产隔离保护,特权账号、PAM、堡垒机、数据审计,终端DLP等。在具备基础之后,在做好分类分级、数据流转,做分级管控和安全防护,包括不限于:数据流转的细粒度访问控制,API安全监测与防护,高敏数据的加密、脱敏、防泄漏等、数据审计等,态势感知,以及场景化方案(如个人信息保护,办公安全、运维安全、数据跨境安全,数据开放安全等)。
最后,在运营层面,需要构建长期、有序、常态的运营体系。通过构建流程+平台”的运营体系,根据业务数据及风险情况调整安全策略,实现多源数据汇聚、数据流动监测、监测与分析、安全事件及时发现、审计溯源等做整体态势感知。
当前,金融行业数据安全处罚事件频发,意味着数据安全在我国仍面临较大的挑战,数据处理者应当加强数据安全保护力度,落实总体国家安全观,切实履行数据安全保护义务,构建数据安全管理制度,维护国家安全和社会稳定。奇安信安全专家建议,除了企业和监管单位的努力之外,还需要充分借助外部专业力量,依托专业数据安全公司,以及第三方法律机构的参与和支持,对合规制度流程不断完善,对人员技术能力不断提升,对各类安全风险持续跟踪及修复,才能从长远角度提升企业的数据安全水平,确保“安全合规不踩线”,保障数字化行稳致远。