金融机构如何保证数据安全及正当使用

近些年来，随着金融行业虚拟化和网络化程度不断提升，以及个人金融信息数据的高商业价值，金融数据安全面临着前所未有的挑战。金融数据泄漏要么因黑客攻击，要么来自内部人员违规操作。行业岗位人员，违规查询和使用客户个人信息的事件更是频繁曝光。

当前，监管部门对个人隐私信息日益重视，强监管态势下，金融行业如何保障数据安全及合规使用，已成为当前亟需解决的问题。对此，美创科技基于金融行业数据安全建设经验，提出以下建议：

1、加强制度规范

首先，建立整体的数据权限管理制度，基于国家、区域和行业的法规要求，结合组织前期的数据安全治理、数据分类分级，建立不同类别、不同级别的数据访问授权规则和授权流程，明确谁申请、谁授权、谁审批、谁使用、谁监管的责任要求，确保所有的数据使用过程都是经过授权和审批的。

其次，建立数据使用者的安全责任制度，确保数据使用者在申请和声明的范围内进行数据开发和数据使用。出现问题后，明确到责任人，明确违规处罚措施。

2、加强组织意识

谈到组织意识，首先要讲组织建设。无论是金融机构或者社会企业，涉及数据使用的单位，首先应当建立本单位的数据安全组织架构，设立相关的岗位或人员，负责数据正当使用的管理、评估和风险控制。

完成组织建设后，应加强组织数据安全意识，通过开展数据正当使用的培训和宣贯，从正反两个角度宣传数据安全及数据正当使用的必要性，让相关人员充分理解，安全意识扎根于心，保障操作规范。

3、加强权限管控

权限管控方面，组织可以通过统一的身份及访问管理平台，实现对数据访问人员的身份管理、认证、授权、审计，确保上文所提的数据权限管理制度能够有效落地。

尤其对于各种信贷数据、征信查询等业务数据存储的载体——数据库做全方位的防护，运用访问控制、数据脱敏、全流程审计等技术手段，避免在业务开发测试环节个人敏感信息泄漏。而在数据合理使用这个专题，或者可以简单理解为“字段级”“表单级”授权。美创技术专家曾在参与某数据共享平台建设项目中看到：外包厂商十几个人共用一个超级管理员账号，试想一旦出现问题，基本就无法追责。

关于权限管控的最后一点，可以借鉴“零信任模型”， 默认情况下不信任网络内部和外部的任何人、设备、系统和应用，从资产防护角度、根据安全风险评估，进行身份及授权。

4、加强监管审计

传统意义上的监管审计，一方面是偏向事后，有点类似亡羊补牢，另一方面则是侧重发现问题。

那么，在大数据时代下，如何保障数据的正当使用？首先组织应建立“全流程监管”，建立包括从数据的采集、归集、存储、交换、应用到销毁的全生命周期监控，确保每一条数据来龙去脉清晰，流向合规，相关人员能够严格履行安全责任和义务，发现异常情况实施阻断并告警，保障数据资产安全。

另一方面监管工作本身，应当具备数据综合分析能力，结合各类监管的业务日志或系统数据，提炼业务的数据交叉关系，进而促进业务发展。在之前某金融机构的数据库审计项目中，美创技术团队就是通过发现审计日志的异常，进而发现业务SQL缺陷，最终协助用户改进。

5、业务流程升级转型

做好以上四点，可以极大的促进金融行业数据安全及数据合规使用，此外，进行合理的业务流程升级转型也至关重要。

金融行业数字化转型始终走在其他行业前列，而保障数据安全及正当使用，是金融数据发展利用的前提和底线，也是金融科技健康发展的必经之路。

加强制度规范、加强组织数据安全意识、加强权限管理，加强业务系统改造、加强监管审计，数据安全和数据正当使用永远无止境。

文章来源：美创科技，已经为数百家金融机构提供数据脱敏、数据库安全审计、数据库防火墙、EAST数据质量校验平台、容灾备份等产品和服务。 

转载请注明来自网盾网络安全培训，本文标题：《金融机构如何保证数据安全及正当使用》

标签：数据安全金融行业数据安全