金融业数据安全发展与实践报告(2024)
AI智能总结
版权声明 北京金融信息化研究所《金融业数据安全发展与实践报告(2024)》 本报告版权属于北京金融信息化研究所有限责任公司,并受法律保护。转载、编摘或利用其他方式使用本报告文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。 北京金融信息化研究所《金融业数据安全发展与实践报告(2024)》 编制委员会 专家顾问: 陈立吾吴永飞陈镔张放 主任:潘润红副主任: 黄程林庄文君 编委会成员(排名不分先后,按姓氏拼音排序): 车忠良陈梦霄胡敏华桊兴米伟施春江史巍威孙加光陶蓉王克俭王旭东王彦博温国梁吴士荣虞建锋苑博曾凯张建新张振山 编写组成员(排名不分先后,按姓氏拼音排序): 毕婷陈晨陈明畅邓岗范里耿贵宁郭恋胡俊冀磊贾蒴姜国通蒋斌蒋采玲蒋帅李达李红兵李娟李林涛李明军李月梁骏峰凌铁铖刘剑刘磊 潘星宇 郄军利 沈超 苏东明 孙榆杰 王爱玲 王宏 王旸 魏文术 吴金洲 伍巧云 肖飞龙 肖雪 谢金福 许莹莹 杨帆帆 杨立春 杨希 杨晓明 杨杨 曾孔喆 张玲岩 张羽 赵高磊 赵亮 郑慧 郑晓红 周雍恺 朱晨红 左银康 北京金融信息化研究所《金融业数据安全发展与实践报告(2024)》 参编单位: 北京金融信息化研究所有限责任公司中国银联股份有限公司 中国工商银行股份有限公司中国银行股份有限公司 中国邮政储蓄银行股份有限公司中信银行股份有限公司 华夏银行股份有限公司平安银行股份有限公司渤海银行股份有限公司江苏银行股份有限公司 浙江萧山农村商业银行股份有限公司浙江农村商业联合银行股份有限公司国泰君安证券股份有限公司 国信证券股份有限公司 泰康保险集团股份有限公司华为技术有限公司 深信服科技股份有限公司 三六零数字安全科技集团有限公司北京明朝万达科技股份有限公司 软通动力信息技术(集团)股份有限公司广州云新信息技术有限公司 北京金融信息化研究所《金融业数据安全发展与实践报告(2024)》 前言 中央金融工作会议提出的五篇大文章,对数字金融高质量发展提出了新要求,防范化解金融数据安全风险,筑牢安全屏障,成为金融业日益迫切的需求。在“三法两条例”的背景下,数据安全合规建设一直是主管部门与金融机构关注的重点。随着人民银行、金融监管总局、证监会发布相应的数据安全管理办法,金融业数据安全建设合规要求趋严,数据全生命周期建设压力增大。 在此背景下,北京金融信息化研究所开展金融业数据安全发展与实践专题研究,通过问卷与调研访谈等形式深入交流,编写《金融业数据安全发展与实践报告 (2024)》,尽量全面地展示金融机构数据安全建设的实践,包括数据治理体系建设、数据分类分级、数据全生命周期安全防护、风险管理等方面。针对业技协同、关键和重点环节缺乏落地指导、建设推进较难等数据安全管理与技术问题,报告从行业主管部门、金融机构、安全产业三个维度提出了对应的发展建议,并基于金融业数据安全政策要求以及行业实践经验,研究形成金融业数据安全重点工作,包括数据安全能力建设、数据分类分级、数据安全风险评估以及数据安全风险监测四个部分,以期为金融业 数据安全建设提供借鉴与参考。 北京金融信息化研究所《金融业数据安全发展与实践报告(2024)》 北京金融信息化研究所《金融业数据安全发展与实践报告(2024)》 目录 一、金融业数据安全建设背景9 二、金融业数据安全建设现状12 (一)数据安全治理体系持续优化12 (二)数据分类分级工作稳步开展16 (三)数据全生命周期安全保护重点工作逐步推进20 (四)安全风险防范手段日益丰富30 (五)金融数据安全生态逐步构建33 三、金融业数据安全保护问题与挑战34 (一)业务与技术协同程度有待进一步深化35 (二)分类分级与数据出境等标准缺乏落地指导35 (三)关键和重点环节建设推进较难36 (四)新技术迭代加剧数据安全风险37 四、金融业数据安全发展建议与重点工作37 (一)发展建议37 (二)重点工作40 五、应用案例集44 案例1:中国银联隐私计算平台建设与应用实践44 案例2:中国银行数据分类分级实践46 案例3:邮储银行金融数据统一备份自主创新实践50 案例4:平安银行数据安全分类分级双向打标实践54 案例5:渤海银行基于零信任理念数据安全防护实践58 案例6:长安银行数据安全合规建设应用实践61 案例7:浙江农商联合银行数据安全管控技术体系建设实践66 北京金融信息化研究所《金融业数据安全发展与实践报告(2024)》 案例8:浙江萧山农商银行“一中心N平台”数据安全管控实践.71 案例9:国泰君安证券数据安全风险评估实践76 案例10:国信证券数据安全治理实践82 案例11:泰康保险集团基于隐私计算的客户数据交叉分析实践86 附录A:法律规范与标准清单(节选)93 一、金融业数据安全建设背景 金融数据安全风险形势日益严峻。在数字化转型背景下,金融机构生产过程中的数据以不同形式转化为数字资产,伴随数据的流动与开放,数据流转中间环节增多,加 之人员数据安全意识与风险防范能力参差不齐,数据风险暴露面持续拓宽。同时,传统网络攻击形势依然严峻,以窃取数据为目的的网络攻击规模与频次持续扩大。近年来以数据泄露、数据勒索为代表的安全事件频发、成本上升。IBM《2023年数据泄露成本报告》显示,2023年数据泄露的全球平均成本达到445万美元,相较于2020年增加15.3%; 其中金融领域数据泄露成本高达590万美元,居于第二位。天际友盟发布的《2024年上半年全球勒索软件报告》显示,2024年上半年勒索软件攻击事件高达2300余起,攻击者敲 诈金额高达4.59亿美元,远超其他类型的网络攻击赎金; 其中2024年6月中旬勒索赎金中位数已达150万美元,相 较于2023年第一周增长近7倍,金融机构面临外部威胁与内部建设双重压力。 合规要求驱动金融数据安全建设。政策要求方面,中 央金融工作会议提出数字金融要兼顾发展效能与安全要求,在创新的同时提升风险管理能力,守住金融业发展合规底 线。多项部门规章相继发布1,在“三法两条例”2的框架下, 《网络数据安全管理条例》将于2025年1月1日起施行,进一步规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用。国家网信办发布《促进和规范数据跨境流动规定》等系列制度规范,聚焦数据跨境、新技术应用、个人信息保护等环节,规范数据依法有序自由流动。人民银行、金融监管总局、证监会分别发布相应 数据安全管理办法,数据安全保障要求已上升至国家层面。执法检查方面,主管部门对数据安全监管力度逐渐加大,且有事前处罚的趋势。从2019至2023年人民银行和金融监 管总局官网行政处罚公示情况(如图1)来看,近几年罚单数量与罚没金额均呈上升趋势,且通常为事后处罚。但近期已有多家金融机构因数据安全管理不到位、未建立数据安全制度被处以高额罚款,表明行业主管部门的执法检查与处罚逐渐从事后转向事前,金融机构合规压力增大。 1金融业安全领域相关法律、行政法规、部门规章清单详见附录A 2“三法两条例”:《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《商用密码管理条例》 / / 罚没金额 万元 1200000 9000 罚单总 900000数 6000张 600000 3000 300000 0 0 20192020202120222023 罚没金额 罚单总数 数据来源:北京金融信息化研究所根据公开数据统计图1金融主管部门2019至2023年行政处罚情况 数据安全标准体系框架逐步构建3。国家标准层面, 《数据安全技术数据分类分级规则》(GB/T43697—2024)规定数据分类分级的原则、框架、方法和流程,明确数据的分类分级方法,为金融数据的分类分级提供重要指导。 行业标准层面,金融业制定《个人金融信息保护技术规范》 (JR/T0171—2020)、《金融数据安全数据安全分级指南》 (JR/T0197—2020)、《金融数据安全数据生命周期安全规范》(JR/T0223—2021)以及《金融数据中心容灾建设指引》(JRT0264—2024),从细分领域逐步过渡,形成覆盖数据全生命周期的安全要求,为金融机构数据安全建设提供标准支撑。 3金融业安全领域标准清单详见附录A 二、金融业数据安全建设现状 为深入了解金融机构数据安全建设情况,报告编写组于2024年6月开展金融业数据安全专题调研,调研对象覆 盖银行、证券、保险等20家代表性金融机构,机构类别如 图2所示。 11% 5% 21% 16% 5% 26% 16% 国有大型商业银行 证券公司清算机构 股份制商业银行 保险公司 农村商业银行 交易所 数据来源:北京金融信息化研究所图2参与调研的机构类型分布情况 (一)数据安全治理体系持续优化 数据安全治理组织架构方面,65%的调研对象形成了决策层、管理层、执行层、监督层的体系。决策层上,金融 机构成立数据安全领导小组或专业委员会,并由党委主要负责人作为数据安全第一责任人,负责机构数据安全战略 以及重大事项的决策,统筹领导数据安全工作;管理层上, 组建数据信息部或数据管理部等数据安全管理团队,推动本机构的数据安全管理工作;执行层上,由信息科技部或 金融科技部等技术团队构成,负责建立数据安全技术保护体系等工作;监督层上,通常由审计或内控部门组成,负责对数据安全的战略、制度、策略、流程等工作的贯彻落 决策层(高管、数据安全官) 管理层(数据安全管理团队) 实情况进行审查考核,发现问题和风险并向决策层汇报。35%的调研对象则采用主责部门(通常为科技部门)牵头、其他部门(业务、审计、合规等)配合的跨部门协作方式,由主责部门统一协调数据安全建设工作。 执行层(数据安全运营、技术团队) 监督层 (审计) 图3金融数据安全治理组织架构图 表1数据安全组织架构 组织架构 数据安全责任 决策层 管理层 执行层 监督层 数据安全领导小组或专业委员会 数据信息部或数据管理部等管理团队 信息科技部或金融科技部等技术团队 审计或内控部门 安全策略规划 牵头负责 落实执行 遵照执行 落实监督 安全工作管理 / 牵头负责 安全能力建设 / 安全制度建设 / 安全落地执行 / 日常监督 牵头负责 安全运营管理 / 牵头负责 遵照执行 安全教育培训 / 数据安全制度建设方面,金融机构对标数据安全相关法律法规、标准规范,梳理数据全生命周期安全保护要点, 依托总分结构的制度框架,基于机构自身组织架构,制定或修订数据安全战略规划、管理办法等,明确数据安全相关部门、角色和人员的职责分工,制定覆盖数据全生命周期各个环节的策略,逐步构建并完善数据安全制度体系。调研对象均已制定了数据安全相关的管理规范,以指导数据安全建设实践,报告根据调研结果梳理形成金融机构数据安全制度规范框架。 战略 管理制度、管理办法 一级文件 外部数据引入管理实施细则 个人信息保护应急预案 数据安全影响性评估细则 信息系统生产数据管理实施细则 数据全生命周期安全管理细则 个人金融信息安全影响评估规范 数据安全事件应急预案 数据安全管理实施细则 信息安全管理规范 数据分类分级实施细则 数据安全分级管控实施细则 数据合作共享管理细则 个人信息保护技术规范 数据脱敏实施细则 数据存储介质消耗实施细则 个人信息保护管理细则 数据安全战略规划 数据安全管理办法 信息系统数据安全管理办法数据安全事件应急管理办法 数据出境安全评估管理办法信息安全事件管理办法 客户信息保护管理办法 数据防泄漏管理办法 个人金融信息保护工作办法 二级文件 操作流程、规范、 指南、模板等 三级文件 图4金融机构数据安全制度规范框架 数据安全团队能力提升方面,金融机构逐步重视数据 培训效果不可持续 75% 缺少专家、课程等资源渠道 45% 需要投入的成本过高 20% 安全文化建设,扩大数据安全培训范围与频次,筑牢人防屏障。据调研,培训频次较2023年增加20%,培训形式采用线上与线下、培训与考试、定期或不定期结合等,培训内容包括内外部数据安
