刘瑜晓:聚焦数字新业态,搭建数据安全体系
2021年6月10日,《中华人民共和国数据安全法》(简称《数据安全法》)是中国数据安全领域的首部基础性法律规范,也是国家安全领域的又一重要立法。从全球视野看,在金融行业数据安全问题频出之时,各个国家均开始注重数据安全问题,我国出台《数据安全法》意义深远。
数据越来越成为企业竞争的核心资源。随着银行经营、管理、风控等方面数据的不断积累,数据量越来越大,对数据管理的要求也越来越高,如何进行海量数据的管理、治理,如何利用信息科技应对数字化转型中遇见的难题,是目前各大金融企业需要面对的核心问题。
科技是光大集团的重要板块和战略方向,光大集团提出建设“数字光大”,未来2年将初步建成数字光大体系,未来5年全面建成智慧光大。光大银行依托光大集团“三大一新”(大环保、大旅游、大健康和新科技)产业布局,发挥金融科技优势,全面提升银行的智能化、数字化转型速度。光大银行信用卡中心(以下简称光大信用卡)作为光大银行前台业务部门,依托集团和总行的资源赋能,积极拥抱信息技术和金融科技,精心搭建起了科学有效的数据安全管理体系,多管齐下,有效保护数据安全,为构建数字经济新业态赋能。
中国光大银行信用卡中心
总经理 刘瑜晓
中国光大银行信用卡中心
信息科技部总经理 郑明辉
数据管理难度加大,升级防护体系势在必行
大数据作为重要的战略资源,不仅关乎公民、企业利益,更关系到金融市场、社会乃至国家安全,远超传统安全范畴。金融是产生和积累数据量最大、数据类型最丰富的领域之一,海量数据的集中交互和开放共享,增大了网络安全和信息泄露风险。
具体到信用卡领域,随着数字化转型深入推进,信用卡中心在服务金融客户的同时,逐渐积累了大量金融数据,数据已经成为自身的核心生产力和竞争力。数据资产的潜在价值巨大,在现实中却面临诸多挑战,既要探索便利数据共享、激发数据资产价值的新模式,又要实现客户隐私保护、防止数据滥用。在此形势下,升级数据安全防护体系势在必行。
其一,业务融合创新增加了数据安全风险的危害程度。信用卡作为银行前台业务部门,数据的交互和流通成为主要的业务需求。随着金融服务公司的日渐兴起和开放API理念的不断升温,跨行业、跨机构、跨部门数据深度融合、业务交叉嵌套的趋势愈发明显,交互的数据类型与渠道也愈发复杂。一方面金融数据泄露风险呈现外溢效应,风险扩散更快、破坏范围更广;另一方面,不法分子获取信息后,也更容易对信息进行汇聚和关联分析,从而更加精准地实施金融违法犯罪活动。在此背景下,金融数据泄露风险已不再是孤立问题,而逐渐演变为系统性、全局性的数据安全问题。
其二,新兴技术的快速发展加大了安全防护难度。随着大数据、物联网、区块链、云平台等新技术、新场景的不断涌现,传统的边界防护体系已无法满足金融企业对不断变化的数据活动进行监控和审计。网络技术的飞速发展,钓鱼邮件、0day漏洞、社会工程学等新型网络攻击手段层出不穷,金融业对数据的防护难度显著增加。另一方面,近年来光大银行信用卡中心在实践数字化转型,新的数据采集渠道、新的数据应用场景、新的数据呈现形式不断衍生出来。来自外界和内部的双重压力与需求,使得我们需要理念创新,设计和构建更加可靠完善的数据安全防护体系。
其三,多重概念属性加大了数据安全管理统筹复杂度。金融数据不仅包含隐私保密程度较高的个人金融信息,还包括企业法人和金融机构在开展金融业务及日常经营管理中产生的数据和金融监管部门维护金融稳定与安全履职中收集产生的数据。多重属性存在,导致金融数据安全的概念范畴远比一般的个人信息保护更为宽泛。与此同时,金融监管工作中,无论是微观层面反洗钱调查、犯罪调查工作,还是宏观层面的调控与审慎评估工作,都需要访问大量数据。所以金融数据私密性很强,公共性也很强。如何统筹平衡好监管要求与数据保护、用户同意与公共利益之间关系,是金融业在开展数据安全管理工作中需要面临的特有难题。
以上种种挑战,都给数据的安全管理工作带来了难度。作为金融央企国家队成员,光大信用卡积极思考和实践,既保障数据安全,又促进数据的分享和使用,助推“中国光大,让生活更美好”的愿景变为实景,带动业绩数据持续向好,核心竞争力、市场影响力、“懂你”品牌美誉度不断增强。
“三驾马车”协同发力,有效构建数据安全体系
光大信用卡在集团和总行的科技资源赋能下,从人员组织、策略流程、技术支撑构建数据安全体系取得实效。“三驾马车”并驾齐驱,光大信用卡组建起专业的数据安全团队,明确了安全治理政策和流程,设计并搭建了数据安全框架,形成了体系化的数据安全保障能力。
首先,搭建起健全的组织架构。为更好地明确数据安全管理过程中各部门的协作机制和分工,光大信用卡成立了自上而下的数据安全管理组织架构,组织结构和具体职责如下。
图1 光大银行信用卡中心数据安全管 理组织架构
其中,“决策层”为数据管理委员会,负责组织跨部门的数据管理协作,监督数据相关工作合规开展,组织制定信用卡中心数据战略、目标、体系规划,审议数据相关政策、制度和办法,审核工作计划、工作汇报,提出工作要求等。“管理层”为信息科技部,是数据安全工作牵头部门,负责制定数据安全领域工作计划,组织并落实数据安全领域的工作,实现数据安全技术手段等。“支持层”为其他各部门,属于数据安全工作执行部门,负责执行数据安全的各项制度要求,配合数据安全的审计自查工作等。
其次,搭建起完善的制度体系。为确保数据安全管理工作有序开展,光大信用卡制定了一套覆盖数据全生命周期的管理制度和操作规范,从制度上保障数据安全管理工作实现场景覆盖、可行可控、有据可依。
第三,搭建起多维的管控措施。在满足等保的基础上,采取相应的数据安全技术措施,部署必要的安全设备,进行数据安全防护。
在终端数据防泄密方面,部署了终端水印系统、办公环境数据加解密系统、文件外发审计系统、敏感文件扫描系统等,以辅助数据外发的审批、拦截、溯源等。这些建设方案成熟而完善,既能保证便捷实用,又能全方位防护终端数据的安全。
在网络安全防护方面,部署了Web应用防火墙、主机防护系统、数据库审计设备等。在网络层面有效监测、防护、阻断来自外界的恶意攻击。部署的漏洞扫描系统、蜜罐系统能够化被动为主动,实现漏洞的提前感知和攻击行为的预先告警。光大银行于2020年建设了安全运营与态势感知平台,所有服务器的日志汇总到数据湖中,实现了日志数据、安全威胁的统一管理、集中分析。长期持续开展安全运营工作,一方面通过数据安全态势感知,实现数据安全风险评估;另一方面通过日志对用户的行为进行分析,提前感知员工异常行为。
在打造自身防火墙的同时,光大信用卡也致力于帮助消费者提升安全防范意识,营造更加健康良好的市场生态。光大信用卡制作的三部信用卡安全用卡宣传动画片,被北京银监局推荐在全辖范围内宣传播放,吸引了业内众多同行学习借鉴。在北京银监局和秉正促进中心联合主办“金融知识进万家”授课案例大赛中,光大信用卡“认清电信诈骗”视频短片获得二等奖和个人风采奖,通过各种案例,普及金融知识,为消费者的用卡安全保驾护航。每年开展“普及金融知识,守住‘钱袋子’”活动,依托健全的线上、线下平台体系,开辟多元化金融教育阵地,工作人员还积极深入社区一线进行面对面宣讲,提升金融消费者金融素养和诚实守信意识。
图2 基于“三驾马车”搭建的数据安全体系
实施精细化管理运营,构筑数据安全护城河
金融数据安全护城河的打造,其核心在于管理机制,精细化运营是重中之重。光大信用卡不断提升管理的标准化、规范化水平,提供更好的信息安全服务。光大信用卡以国际标准严格自律,率先在国内同行中引入ISO管理思想。2006年9月,光大信用卡正式通过ISO9001质量管理体系国际认证,并连续多年通过审核,以质量管理体系为基准,持续提升服务质量。2007年,光大信用卡正式通过ISO27001信息安全管理体系国际认证,成为国内第一家通过此项认证的信用卡中心,并连续10多年通过认证。
精细化实施内部流程管控的过程中,光大信用卡从国家、行业和自身多个维度出发,搭建起符合“基础法律规范、行业通用标准、企业最佳实践”的精细化管理架构,建立了数据分类保护机制和多维数据安全评估体系,注重对数据使用环境进行严格的安全检查和治理,将数据安全无缝深入到工作细节中,让安全无处不在,无时不在。
在数据分类分级保护方面,制定重要数据目录,加强对重要数据保护机制。光大信用卡针对不同类别、不同级别的数据,制定了差异化的管控措施,实现对数据的精细化管理。在确保数据流动安全可控的前提下,扩大数据领域的开放、共享和应用,遵循公正、公平、便民原则,提高金融数据的科学性、准确性、时效性。
在多维数据安全评估方面,建立全面、多维度的数据安全风险评估,与评估报告、信息共享、检测预警形成有效数据安全防护机制,加强风险信息的获取、分析、研判、预警工作。一是建立数据安全应急处置机制。积极应对数据安全事件、防止危害扩大,消除安全隐患。定期开展个人金融信息应急演练,检验各部门在应急状态下的联动效率和处置能力。二是建立数据安全审查机制。对可能影响我行数据安全的数据处理活动定期进行安全审查。信用卡业务涉及制卡、账单、催收、营销、审批和第三方活动等多个数据处理环节,定期对上述场景数据外发的字段、数量、频率等,比对合同或业务需求单等进行复核,检验是否满足数据最小化授权、最小扩散的要求。
在保障数据使用环境方面,加强安全检查和安全治理,保障数据安全,为数据发挥价值保驾护航。一是对办公、开发、测试环境进行数据安全检查,每季度执行一次全体员工的办公环境数据安全检查。二是对非驻场IT外包商的数据安全进行检查,每年执行至少两次,对外包商进行飞行检查评估,尤其是对于数据规范使用、数据及时销毁等方面重点检查。
近年来,光大信用卡持续开展数据安全管理工作,已初步搭建起完善的数据安全体系。接下来,将以赋能信用卡业高质量发展为目标,持续不断地加强并深化数据安全管理的组织保障、制度保障和技术保障,有效保护好数据安全这一品牌生命线,激活数据的生产要素潜能,以数字化转型驱动提升核心竞争力,铸就“光大”数字名品,为积极推进数字经济新业态发展贡献光大力量。
(栏目编辑:郑岩)
推荐阅读
(点击图片查看精彩内容)
精彩内容回顾
(点击查看精彩内容)
■ 实战 | 探索网络虚拟世界的“藏宝图”——网络空间地图技术与市场分析
■ 发布 | 数篷科技发布SASE解决方案DACS AnyCloud®️
■ 观点 | 护航券商数字化转型,Testin云测试深耕自动化测试蓝海
■ 匠心筑梦 | 鼎新革故,超越自我——温建波创新工作室树立工行创新引领标杆
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧