安全牛联合发布《中小银行数据安全治理研究报告》
作者:星期五, 七月 31, 20200

随着金融科技和数据驱动的银行业务数字化转型因疫情而提速,同时由于自身科技能力、数据安全治理策略、方法和成熟度存在严重滞后,我国中小银行数据安全风险已经进入“深水雷区”,危机四伏,一触即发。近日,由谷安研究院和安全牛联合编写的《中小银行数据安全治理报告》(以下简称《报告》)显示,虽然92.5%的银行已经开展了数据安全治理工作,但是,采用成熟的国际方法论(业内最佳实践:GartnerDSG)的居然是0%。

此外,《报告》还发现,60%的银行没有全行层面的数据安全保护策略,25%的银行对数据进行了全面的梳理,12.5%的银行全面识别了数据安全的风险点。

随着《中华人民共和国网络安全法》、《银行业金融机构数据治理指引》、《个人金融信息保护技术规范》等法律法规的发布,银行的数据安全面临着重大的法律风险,同时,数据价值驱使银行越来越广泛的使用数据来支持甚至引领业务的发展,安全用数的需求十分强烈。

《报告》指出,目前中国中小银行数据安全治理的总体态势存在三大短板:数据安全体系建设成效参差不齐;未遵循科学的方法论;知识和能力不足。

报告通过收集整理中小银行数据安全治理的现状,分享专业数据安全技术公司在数据安全治理体系建设和技术工具应用的知识与经验,为银行开展和完善数据安全风险管控提出十点建议。以下为报告内容摘要:

报告研究和分析的范围

1、中小银行的数据安全治理环境:
1) 银行领导层对数据安全的重视程度;
2) 银行的数据安全管理面临的挑战;
3) 银行在数据安全保护方面的痛点;
4) 数据安全治理的组织架构;
5) 数据安全治理相关法律法规及监管要求;
6) 数据安全治理的开展方式;
7) 数据安全治理的牵头部门;
8) 数据安全治理人员的专业能力。

2、中小银行的数据安全治理的方法:
1) 数据安全治理的方法论;
2) 数据安全策略(或管理办法);
3) 数据分类分级标准;
4) 敏感数据的全面梳理;
5) 数据生命周期的安全风险评估。

3、中小银行的数据安全治理的运维:
1) 数据安全管理的监控;
2) 数据安全事件的响应机制;
3) 数据安全意识教育。

4、中小银行的数据安全保护技术和工具的应用:
1) 数据加密存储;
2) 数据加密传输;
3) 数据库审计;
4) 数据脱敏;
5) 数据防泄漏;
6) 用户行为分析。

中小银行数据安全治理的总体态势:三大短板

1、对数据安全治理的重视程度高,但是数据安全体系建设的成效参差不齐;

1) 高达97.5%的银行领导对数据安全给与了较高的重视,对数据安全主管人员产生了积极的影响。
2) 60%的银行没有全行层面的数据安全保护策略,25%的银行对数据进行了全面的梳理,12.5%的银行全面识别了数据安全的风险点。

统计数字表明,中小银行的数据安全治理建设刚刚起步,任重而道远。

2、银行纷纷开展数据安全治理,但是未遵循科学的方法论;

采用科学的、正确的方法,才能少走弯路,更容易成功。通过调研发现,92.5%的银行已经开展了数据安全治理工作,但是,采用成熟的国际方法论(业内最佳实践:GartnerDSG)的居然是0%。尽管银行可以自由地采用适合本行的方法,但是这一惊人的数字也一定程度地表明了大部分银行对数据安全治理领域的方法论是不了解的。这些银行很可能在错误的方向上越走越远,重复投资。

3、知识和能力的不足,是数据安全治理和管理的最大隐患。

数据安全治理是一项管理和技术相结合的工作,而且需要公司治理、风险管理、外包管理、业务连续性等综合知识。中小银行在数据安全治理岗位设置上通常存在人员数量不足的情况,而缺少数据安全治理专业技能的培训,则更为常见。中小银行必须格外重视对专业团队的培养,才能形成数据安全风险管控的长效机制。

中小银行数据安全治理的四大问题:

01、认为数据安全治理是科技部门工作

数据安全治理的核心工作是数据梳理,包括对数据库和电子文件的整理、设计和实施安全防控的时候会部署数据安全保护工具,从这些工作内容来看,数据安全治理的确带有“科技”属性,很多银行的数据安全治理由科技部门牵头也是合理的。但是,数据安全级别的认定、数据安全风险的识别、数据泄露渠道的防护等等,都是与业务部门和管理部门密切相关的,简言之,数据安全治理是一项全行性的活动,必须在银行领导的指导下,全行一致行动,才能取得成功。

02、未采用正确的工作方法

不少的银行紧跟监管指引,在人行和银保监会的指导下开展工作,这是正确的。但是,基于目前监管部门并未发布明确的、完整的、成体系的数据安全治理方法,有些银行的行动表现出片面性和盲目性。有限的数据梳理、基于经验的风险识别、未能有效使用的防护工具、缺失的运营管理等等,将导致银行既无法对当前的数据安全风险有效防控,而且在将来的体系建设中重复投资,造成浪费。

03、数据安全治理人才极度匮乏

调研结果显示,拥有数据安全治理专业资格认证的人员只占15%。绝大部分银行的数据安全治理岗是由科技安全岗位转岗或兼岗,这些人员的技术性强于管理性,对数据安全治理的知识储备不足,没有掌握建设数据安全风险评估、体系建立、体系运营的能力,无法保障数据安全治理的成效。

04、数据安全防护技术和工具不适合

数据安全治理的成果落地,一部分体现在数据安全保护技术和工具的实施上。数据安全保护技术和工具至少包括IAM、数据脱敏、数据防泄漏、数据加密、数据库审计、数据库防火墙、数据库运维管理、用户行为分析、数据资产梳理等,不同厂商的工具在功能上和性能上也有较大的差异,银行在工具选型上确实面临较大的困难,选择了并不适合本行需求的工具,导致数据安全防护的效果不佳。

中小银行数据安全治理的十点建议

本报告的建议是基于调研结果、课题组专家对中小银行的了解、对数据安全治理的了解、对数据安全防护产品的了解给出的。由于银行的数据安全治理情况各异,建议不可能适用于所有银行,所以,仅供银行参考。

1、缺少银行领导的直接指导,数据安全治理难以成功。强烈建议银行领导在项目方案阶段、项目启动阶段、重大项目里程碑阶段、项目完成阶段,听取汇报并给出指导意见。尤其是在项目启动阶段,银行领导必须要求所有部门支持和配合数据安全治理工作。

2、数据安全治理团队拥有清晰和足够的权限,才能够开展相应的工作。银行应该在项目启动会上宣布对团队基本的授权,在项目开展的过程中完善数据安全治理的组织架构和职责。

3、为数据安全治理人员提供充分的专业培训,使之掌握必要的知识和技能。银行数据安全治理人员需要了解相关的法律法规、数据安全治理方法论、数据安全防护技术和工具等,参加专业培训机构的课程是直接有效的方法,收集、整理、学习相关的资料也是一种提升途径。

4、在本行人员和经验不足的情况下,借助外部专业资源协助开展数据安全治理工作。在诸如风险管理、审计管理、反洗钱管理、业务连续性管理等比较专业的领域,银行多采用引入外部专业机构的方式开展工作,数据安全治理也具有较强的专业特性,外部资源能够快速有效地帮助银行搭建管理体系,节省管理成本。

5、结合数据安全治理最佳实践和行业监管指引,采用科学的方法论,逐步开展治理工作。Gartner的DSG架构、人行的《个人信息保护技术规范》、《金融数据安全 数据安全分级指南(征求意见稿)》、银保监会的《银行业金融机构数据治理指引》是中小银行需要重点关注的最佳实践和行业监管指引,对银行的数据安全治理有很大帮助。

6、以重点数据为突破口,建立完善的数据安全治理体系。全面的数据梳理是银行的总体目标,但是需要投入较长的时间和较多的人力,影响数据安全体系建设的速度。所以,选取最重要的数据为突破口,以此为数据基础,搭建数据安全治理的整体框架,是行之有效的方法。

7、全面识别数据安全风险,防止木桶效应。数据安全风险的识别是基于数据的生命周期来分析和判断的,科技人员凭借经验就能够指出明显的安全风险点,但是,没有识别出全面的数据风险,就可能导致敏感数据通过其他渠道泄露,如同木桶效应。

8、整体评估数据安全防护技术和工具的需求,按照优先级逐步完善。银行都需求哪些数据安全防护技术和工具?对这些技术和工具的功能和性能的要求是什么?哪些需求立刻部署哪些可以暂缓?银行在获得这些问题的答案之后,才能够制定出合理的方案。

9、制定数据安全管理运维体系,循环优化。数据安全防护的控制体系由阻止、探测、响应、预测四个部分组成,并不断的优化,以达到持续有效的防护效果。建立数据安全管理运维体系可以保障四部分的持续优化,形成数据安全保护的长效机制。

10、加强数据安全意识教育,形成银行的数据安全保护文化。数据安全的文化建设是一个长期的过程,数据安全意识教育是文化建设的关键手段,形式多样、内容丰富的意识教育能够加速员工对数据安全的深入理解,起到很好的效果。

本次报告,还对安华金和、美创科技、明朝万达、联软科技、大乘智能、通付盾、宁盾、安御道合等数据安全领域代表性技术公司进行了调研,将安全厂商关于数据安全建设和发展的观点和建议进行梳理收录,并对其近年来成功实施的代表性行业案例进行了分析研究。报告现已在安全牛商城上架销售,前100名预定用户可享受4折优惠价购买,更多报告信息请扫描或长按识别下方二维码。

 

相关阅读

【牛人访谈】中小企业数据安全建设之路

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章