2020年2月13日,中國(guó)人民銀行發(fā)布實(shí)施金融行業(yè)標(biāo)準(zhǔn)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(JR/T 0171—2020)���,在《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273—2017)等國(guó)家標(biāo)準(zhǔn)基礎(chǔ)上�����,就個(gè)人金融信息的保護(hù)作出的細(xì)化規(guī)定�����,就個(gè)人金融信息全生命周期提出安全技術(shù)和安全管理方面的要求。
適用主體范圍:
《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(JR/T 0171—2020)適用于提供金融產(chǎn)品和服務(wù)的金融業(yè)機(jī)構(gòu)����,具體指由國(guó)家金融管理部門(mén)監(jiān)督管理的持牌金融機(jī)構(gòu),以及涉及個(gè)人金融信息處理的相關(guān)機(jī)構(gòu)���。
哪些個(gè)人金融信息受到規(guī)范:
根據(jù)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(JR/T 0171—2020)�����,個(gè)人金融信息是指通過(guò)提供金融產(chǎn)品和服務(wù)或者其他渠道獲取�����、加工和保存的個(gè)人信息�,包括賬戶信息�、鑒別信息���、金融交易信息�����、個(gè)人身份信息���、財(cái)產(chǎn)信息����、借貸信息和其他反映特定個(gè)人某些情況的信息�。
個(gè)人金融信息按照其敏感程度從高到低分為C3、C2�����、C1三個(gè)類(lèi)別����,以下為簡(jiǎn)要整理的類(lèi)別、范圍和以上行業(yè)標(biāo)準(zhǔn)針對(duì)不同類(lèi)別設(shè)定的要求:
在金融業(yè)由于企業(yè)應(yīng)用系統(tǒng)連接內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)���,應(yīng)用系統(tǒng)數(shù)據(jù)的使用者既有來(lái)自互聯(lián)網(wǎng)的用戶����、合作伙伴����,也有來(lái)自企業(yè)內(nèi)部的員工�,因此涉及個(gè)人信息和敏感數(shù)據(jù)的信息在處理����、共享和使用過(guò)程中,面臨違規(guī)越權(quán)使用或被用于非法用途等數(shù)據(jù)泄漏的安全風(fēng)險(xiǎn)�����。然而��,數(shù)據(jù)的治理與保護(hù)也面臨著諸多困難����,當(dāng)前金融機(jī)構(gòu)數(shù)據(jù)多采用分散存儲(chǔ),對(duì)數(shù)據(jù)控制的有效性面臨挑戰(zhàn)����,主要有:
1、內(nèi)部人員通過(guò)客情系統(tǒng)(crm)違規(guī)竊取公民金融信息���、個(gè)人信息等���;
2、內(nèi)部人員對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的越權(quán)訪問(wèn)�、數(shù)據(jù)濫用,導(dǎo)致數(shù)據(jù)外泄事件發(fā)生;
3�、企業(yè)重要敏感信息,被員工或第三方合作公司濫用�����、外泄��,給企業(yè)造成巨大的經(jīng)濟(jì)和聲譽(yù)損失����;
4、員工對(duì)于應(yīng)用系統(tǒng)的訪問(wèn)不透明��,無(wú)法了解數(shù)據(jù)的流動(dòng)方向���;
5��、企業(yè)應(yīng)用系統(tǒng)敏感接口管理混亂�����,無(wú)法有效的識(shí)別和管理;
因此����,建立數(shù)據(jù)安全及風(fēng)險(xiǎn)治理體系,對(duì)應(yīng)用系統(tǒng)中敏感數(shù)據(jù)訪問(wèn)情況進(jìn)行審計(jì)和監(jiān)控�,對(duì)異常數(shù)據(jù)訪問(wèn)行為進(jìn)行識(shí)別和告警,讓敏感數(shù)據(jù)訪問(wèn)現(xiàn)狀全部展現(xiàn)在“燈光”之下�����,避免敏感數(shù)據(jù)接口未知造成的安全隱患長(zhǎng)期存在�,同時(shí)建立快速有效的數(shù)據(jù)泄漏事后溯源機(jī)制,是金融機(jī)構(gòu)自身發(fā)展的客觀要求��。
解決方案
我們建議金融業(yè)機(jī)構(gòu)對(duì)照該行業(yè)標(biāo)準(zhǔn)����,對(duì)業(yè)務(wù)中涉及的個(gè)人金融信息分級(jí)分類(lèi),參照該行業(yè)標(biāo)準(zhǔn)執(zhí)行收集����、處理、委托處理等個(gè)人金融信息全生命周期的安全要求����。同時(shí)還應(yīng)根據(jù)具體服務(wù)場(chǎng)景以及該信息在其中的作用對(duì)信息的類(lèi)別進(jìn)行識(shí)別,并實(shí)施針對(duì)性的保護(hù)��。
針對(duì)金融行業(yè)業(yè)務(wù)特點(diǎn),我們提供以下兩種解決方案:
方案一:應(yīng)用數(shù)據(jù)風(fēng)險(xiǎn)分析和審計(jì)
此方案主要是面向應(yīng)用業(yè)務(wù)系統(tǒng)的安全管理覆蓋���,通過(guò)應(yīng)用數(shù)據(jù)安全網(wǎng)關(guān)與數(shù)據(jù)風(fēng)險(xiǎn)分析審計(jì)系統(tǒng)來(lái)完成��,實(shí)現(xiàn)敏感數(shù)據(jù)接口識(shí)別、數(shù)據(jù)行為審計(jì)����、數(shù)據(jù)流向識(shí)別、異常風(fēng)險(xiǎn)分析以及安全事件的溯源����,解決方案邏輯拓?fù)淙缦拢?/span>
應(yīng)用數(shù)據(jù)風(fēng)險(xiǎn)分析和審計(jì)方案主要提供了三個(gè)層次的功能:
1、應(yīng)用數(shù)據(jù)掃描
通過(guò)對(duì)應(yīng)用網(wǎng)絡(luò)全流量的分析�����,可以對(duì)企業(yè)內(nèi)部應(yīng)用層面的數(shù)據(jù)進(jìn)行掃描���,從而使安全運(yùn)維人員第一次具備了從全局了解所有系統(tǒng)數(shù)據(jù)流向的能力�。利用系統(tǒng)的數(shù)據(jù)掃描及敏感接口發(fā)現(xiàn)功能���,安全運(yùn)維人員能夠知道系統(tǒng)對(duì)內(nèi)外的數(shù)據(jù)流出渠道�,哪些類(lèi)型的數(shù)據(jù)通過(guò)什么渠道在流出,流出的數(shù)量是多少����。
2、數(shù)據(jù)流動(dòng)審計(jì)
系統(tǒng)對(duì)應(yīng)用數(shù)據(jù)進(jìn)行掃描之后���,對(duì)于其中的敏感接口之上的數(shù)據(jù)流動(dòng)需要進(jìn)行進(jìn)一步的精準(zhǔn)監(jiān)控��,將對(duì)敏感數(shù)據(jù)的訪問(wèn)行為定位至用戶賬戶����,安全運(yùn)維人員能夠?qū)υL問(wèn)這些接口的賬戶及其行為進(jìn)行記錄����,從而實(shí)現(xiàn)對(duì)這些敏感數(shù)據(jù)的訪問(wèn)行為進(jìn)行審計(jì)。系統(tǒng)能夠?qū)γ舾薪涌诘乃性L問(wèn)都進(jìn)行記錄���,并且從賬戶/IP/接口多個(gè)維度進(jìn)行行為畫(huà)像�,從而使安全運(yùn)維人員對(duì)系統(tǒng)的敏感數(shù)據(jù)流動(dòng)有更為精準(zhǔn)的把握�����。
3���、風(fēng)險(xiǎn)感知及泄露溯源
在對(duì)所有已經(jīng)配置接口數(shù)據(jù)進(jìn)行監(jiān)控的基礎(chǔ)上���,系統(tǒng)能夠通過(guò)主動(dòng)的風(fēng)險(xiǎn)發(fā)現(xiàn)及被動(dòng)的線索溯源功能��,實(shí)現(xiàn)整個(gè)應(yīng)用數(shù)據(jù)的風(fēng)險(xiǎn)預(yù)警及可追溯�����。
核心價(jià)值
自動(dòng)梳理涉敏應(yīng)用和接口、及時(shí)發(fā)現(xiàn)新的涉敏應(yīng)用和接口��;
智能監(jiān)測(cè)失活接口�、低頻高敏接口、未脫敏接口等����;
宏觀掌握不同信任域之間的數(shù)據(jù)流向鏈路;
方案二�����、數(shù)據(jù)地圖
數(shù)據(jù)地圖是一款針對(duì)數(shù)據(jù)存儲(chǔ)的隱私合規(guī)與數(shù)據(jù)治理的產(chǎn)品���。采用數(shù)據(jù)掃描技術(shù)��、數(shù)據(jù)打標(biāo)技術(shù)�、熱詞分析技術(shù)、數(shù)據(jù)歸類(lèi)技術(shù)構(gòu)建數(shù)據(jù)圖譜,幫助企業(yè)識(shí)別有哪些數(shù)據(jù)�、存儲(chǔ)在哪里、誰(shuí)可以使用,進(jìn)而對(duì)數(shù)據(jù)結(jié)構(gòu)變動(dòng)進(jìn)行監(jiān)測(cè),進(jìn)行有針對(duì)性的治理�����。同時(shí)采用隱私數(shù)據(jù)發(fā)現(xiàn)與識(shí)別技術(shù)����、數(shù)據(jù)主體聚合技術(shù),幫助識(shí)別企業(yè)有哪些隱私數(shù)據(jù)、存儲(chǔ)在哪里��、如何被使用,進(jìn)而滿足GDPR或《個(gè)人信息安全規(guī)范》的要求�����。
數(shù)據(jù)地圖提供的的主要功能:
1��、數(shù)據(jù)資產(chǎn)梳理
通過(guò)對(duì)數(shù)據(jù)存儲(chǔ)中的數(shù)據(jù)進(jìn)行采樣分析���,依據(jù)數(shù)據(jù)內(nèi)容進(jìn)行數(shù)據(jù)特征識(shí)別,為數(shù)據(jù)進(jìn)行打標(biāo)���。根據(jù)業(yè)務(wù)特點(diǎn)制定數(shù)據(jù)集規(guī)則���,并結(jié)合熱詞分析等技術(shù)對(duì)數(shù)據(jù)進(jìn)行分類(lèi),幫助企業(yè)了解自己有什么數(shù)據(jù)存儲(chǔ)在哪����、是否保護(hù)得當(dāng)。
2����、數(shù)據(jù)主體分析
系統(tǒng)通過(guò)數(shù)據(jù)主體定義,識(shí)別企業(yè)已經(jīng)采集的數(shù)據(jù)主體信息����,并結(jié)合隱私政策與用戶同意記錄�,分析隱私數(shù)據(jù)的采集合法性。通過(guò)數(shù)據(jù)主體關(guān)聯(lián)聚合技術(shù),以數(shù)據(jù)主體視角展示數(shù)據(jù)分析���。幫助企業(yè)了解有哪些主體數(shù)據(jù),采集是否合規(guī),同時(shí)具備響應(yīng)數(shù)據(jù)主體權(quán)利的能力����。
3���、數(shù)據(jù)流圖繪制
系統(tǒng)提供智能化數(shù)據(jù)流圖繪制功能����,通過(guò)以數(shù)據(jù)主體為中,以數(shù)據(jù)存儲(chǔ)為起點(diǎn)�,快速構(gòu)建上下游數(shù)據(jù)流動(dòng)關(guān)系。幫助企業(yè)快速梳理數(shù)據(jù)被用在哪些場(chǎng)景���,誰(shuí)在使用數(shù)據(jù)����,實(shí)際使用目的與對(duì)外聲明的是否一致����。
4、數(shù)據(jù)質(zhì)量監(jiān)測(cè)
通過(guò)建立數(shù)據(jù)質(zhì)量模型�,然后在實(shí)際數(shù)據(jù)中進(jìn)行比對(duì)分析,監(jiān)測(cè)數(shù)據(jù)表和字段的變化����,及時(shí)發(fā)現(xiàn)不合規(guī)的數(shù)據(jù),幫助企業(yè)落地?cái)?shù)據(jù)治理規(guī)范����,提升數(shù)據(jù)質(zhì)量。
核心價(jià)值:
自動(dòng)化校驗(yàn)隱私數(shù)據(jù)采集合法性����;
低成本滿足數(shù)據(jù)主體權(quán)利要求���;
可視化記錄數(shù)據(jù)處理活動(dòng);