精细解读|金融数据安全之 数据生命周期安全防护(上篇)
2021年4月8日全国金融标准化技术委员会正式公布了由中国人民银行发布的JR/T 0223-2021 《金融数据安全 数据生命周期安全规范》标准(以下简称“数据安全规范”或“此规范”),并于即日实施。
扫描文末二维码查看数据安全规范更多详情~
安恒信息是此规范的起草单位之一,本文是此规范内容的系列解读之一,对第七章数据生命周期安全进行详细的解读和研析,由于第七章内容较多,分为上下两篇陆续发布。
数据生命周期过程域
此规范在制定过程中,结合金融行业实践,将金融数据生命周期的定义如下:
此规范将数据共享作为数据使用中的一个场景,而没有作为单独的过程域;又将GB/T 37988-2019中的数据销毁过程域拆分为数据删除和数据销毁,更加符合业务实践。数据使用被细分为10个场景,并对每个场景都提出具体的安全要求。
数据采集安全
定义:
指金融业机构在提供金融产品和服务、开展经营管理等活动中,直接或间接从个人金融信息主体,以及企业客户、外部数据供应方等外部机构获取数据的过程。按照采集模式,可分为从外部机构和从个人金融信息主体采集数据。
安全风险:
数据采集过程存在数据泄露、数据源伪造、特权账户滥用、数据篡改等安全风险。
数据采集要求:
根据数据采集来源的不同,对数据采集安全要求如下:
附录A 数据采集模式:
由于采集来源不同,采集的数据源和内容,采集方式会有所不同。
外部机构:
数据源:数据库、XML、CSV、Excel、结构化文本、非结构化文件等。
方式:与外部机构合作,通过使用特定系统接口等方式。
个人金融信息主体:
数据源:账户信息、鉴别信息、金融交易信息、个人身份 信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。
方式:通过金融业机构柜面、信息系统、自助设备、 受理终端、客户端软件等方式。
数据传输安全
定义:
数据传输是指金融业机构将数据从一个实体发送到另一个实体的过程。
安全风险:
数据传输过程存在数据传输中断、篡改、 伪造及窃取等安全风险。
数据传输要求:
此规范为数据传输安全提出基本要求,并对特殊的数据传输模式下,提出补充安全要求,具体内如如下:
附录B 数据传输模式:
内部数据传输:
同一数据中心节点内部:本地局域网方式;
同一分、子机构内部:本地局域网方式;
本机构与其分、子机构:VPN或基于专线技术的机构内骨干网方式;
分、子机构之间:VPN或基于专线技术的机构内骨干网方式;
本机构内部不同数据中心:VPN、城域网或基于专线技术的机构内骨干网方式;
外部数据传输:
与外部机构:专线或VPN的方式;
与金融客户:有线互联网、移动互联网、第三方互联网应用、无线互联网等方式;
数据存储安全
定义:
数据存储是指金融业机构在提供金融产品和服务、开展经营管理等活动中,将数据进行持久化保存的过程,包括但不限于采用磁盘、磁带、云存储服务、网络存储设备等载体存储数据。
安全分析:
数据存储过程,可能存在数据泄露、篡改、丢失、不可用等安全风险。
数据存储要求:
数据存储过程域的安全要求分为“存储安全”与“备份和恢复”两部分,如下:
数据生命周期安全防护(下篇)将对数据生命周期安全中数据使用、数据删除、数据销毁四个过程域的安全防护要求进行解读和研析,敬请期待。
安恒信息为金融客户提供包含数据安全咨询规划、数据安全防护体系建设、数据安全运营服务的数据安全治理体系建设方案;近期更发布了业内领先的CAPE数据安全能力框架,为数字经济保驾护航。
扫描二维码下载金融数据安全文档
👇👇👇
◆ ◆ ◆ ◆
往期精选
围观
热文
因势而动,共享共赢|安徽电信与安恒信息携手共建物联网安全创新中心
热文
CCTV报道:安恒信息提醒网络安全应防患于未然,向勒索病毒SAY NO!