金融数据生命周期安全规范发布,参编单位解读如何落地
2021年4月8日,天融信全程参编的《JR/T 0223-2021 金融数据安全 数据安全生命周期规范》由中国人民银行正式发布。此规范指导金融业机构合理制定和有效落实金融数据生命周期管理策略,进一步提高金融业机构的数据管理和安全防护水平,确保金融数据安全应用。
本文件在《JR/T0171-2020个人金融信息保护技术规范》、《JR/T 0197-2020 金融数据安全 数据安全分级指南》的基础上,明确了金融数据生命周期安全框架将会遵循数据安全原则,以数据安全分级为基础,建立覆盖数据生命周期全过程的安全防护体系,并希望在现有金融单位的组织架构中进一步建立健全的数据安全组织架构以及明确信息系统运维环节中的数据安全需求,进而全面加强金融业机构数据安全保护能力。
本文件中首次明确定义了数据安全的原则,例如合法正当原则、目的明确原则、选择同意原则、最小够用原则、全程可控原则、动态控制原则、权责一致原则,为以后金融单位在进行数据安全建设过程中提供了参考意见。在多个原则中,不再进行单个数据定义,而是综合考虑数据所处的业务逻辑,以业务为核心建立数据安全防护,从而构建涵盖数据采集、传输、存储、使用、销毁全生命周期的数据安全治理体系。
金融业机构提供金融产品和服务、开展经营管理等活动中,直接或间接从个人金融信息主体,以及企业客户、外部数据供应方等外部机构获取数据的过程称为数据采集。采集模式分为从外部机构采集数据和个人金融信息主体处采集数据,在采集过程中需要采取分级原则、管理约束等手段来降低数据风险。
金融业机构将数据从一个实体发送到另一个实体的过程称为数据传输。传输模式分为内部传输和与外部机构、用户两种。在传输过程中,应遵循金融等保安全传输相关的规范,并按照金融数据的级别厘定传输的范围及目的,考虑传输过程的不同,分别对数据传输、内部无线网络传输、运营商网络传输、物理介质传输等多个途径进行差异性要求。
金融业机构在提供金融产品和服务、开展经营管理等活动中,将数据进行持久化保存的过程称为数据存储,存储涵盖载体不仅包含磁盘、磁带,还包含云存储服务以及网络存储等。依据于金融数据的级别不同,对于存储数据进行相应的措施,包括但不限于完整性、脱敏、加密等,并明确数据存储要适用于最小够用原则进行存储,原则上2级以上数据均要采用相关措施,此外对于数据的备份与恢复也在原有的金融等保基础上进行了细化。
金融业机构在提供金融产品和服务、开展经营管理等活动中,进行数据的访问、导出、加工、展示、开发测试、汇聚融合、公开披露、数据转让、委托代理、数据共享等活动称为数据使用。这个阶段在金融业是最难梳理的环节,所以在本次规范中,对数据使用进行了拆分,并要求每种数据使用过程均需要按照数据级别进行细粒度的管理,通过技术、管理、组织等手段,提升相应过程中的数据安全。本阶段中,依然是2级以上数据均要进行相应的安全措施。
金融产品和服务所涉及的系统及设备中去除数据的过程称为数据删除。本阶段中要求3级以上数据提供相应的有效性复合机制,并且与金融等保的相关删除要求一致。
金融业机构在停止业务服务、数据使用以及存储空间释放再分配等场景下,对数据库、服务器和终端中的剩余数据以及硬件存储介质等采用数据擦除或物理销毁的方式确保数据无法复原的过程称为数据销毁。本阶段中要求数据销毁也需要建立相应的评估机制,销毁过程采用双人制等方式,而3级以上的数据存储介质不应移做他用,需进行物理销毁方式。
本规范除了对数据生命周期进行描述外,还提出了数据安全组织保障的要求,从决策、管理、执行、监督四个层面建立完善的数据安全管理体系,按照金融业机构的业务流程形成统一的金融数据安全管理制度体系,并可进行执行落地,明确人员管理职责以及对第三方机构管理内容等。最后规范还确定了信息系统运维保障的边界及范围,包含边界管控、访问控制、安全监测、安全审计、检查评估等内容。
天融信作为国内数据安全领域的领先企业,从率先提出“以数据为中心的安全技术架构”到“以数据安全治理为基础、数据安全生命周期为核心、数据安全防护为手段、数据安全运营为支撑”的方法论,一直致力于为用户的数据安全提供全面、专业的安全能力,目前已形成完备的数据安全产品族,可以随时为金融业机构提供全面的数据安全解决方案。未来,天融信将持续关注数据安全能力建设,加速金融行业规范切实落地,全力助推数字金融高速发展。
相·关·阅·读·
1
天融信助力海关自贸区安全防护体系建设
2
3
4
5
热点推荐