隨著信息技術(shù)的高速發(fā)展，以及云計算、人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的深入應(yīng)用，金融機構(gòu)在業(yè)務(wù)運營過程中產(chǎn)生的信息逐步轉(zhuǎn)化為數(shù)字資產(chǎn)大量流轉(zhuǎn)在信息系統(tǒng)之中，數(shù)據(jù)的泄露、濫用、篡改等安全威脅的影響已逐漸從機構(gòu)內(nèi)向機構(gòu)間以及行業(yè)間擴散，甚至影響國家安全、社會秩序、公眾利益與金融市場穩(wěn)定，數(shù)據(jù)安全已經(jīng)上升到國家安全高度。國家及監(jiān)管機構(gòu)，對于違反數(shù)據(jù)安全法律法規(guī)行為的查處范圍、頻度、力度均日益增加，如何在滿足金融業(yè)務(wù)需求的基礎(chǔ)上，強化數(shù)據(jù)保護能力，防范數(shù)據(jù)安全風(fēng)險，切實保障金融數(shù)據(jù)價值發(fā)揮，已成為當(dāng)前亟待解決的問題。

　　2021年11月1日，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）正式生效，這意味著我國對個人信息安全的保護進(jìn)入了新的歷史時期，我國公民的個人信息安全及隱私保護走上了新臺階。個人信息保護法中明確了六大場景下的個人信息處理規(guī)定（如圖1所示）。對于金融機構(gòu)來說，應(yīng)重點關(guān)注在不同場景下如何具體落實“告知－同意”規(guī)則。

　　2022年9月1日，《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）正式生效。《數(shù)據(jù)安全法》明確了企業(yè)在保護數(shù)據(jù)安全方面的責(zé)任，對企業(yè)的數(shù)據(jù)安全提出了嚴(yán)格要求。金融機構(gòu)需要對《數(shù)據(jù)安全法》深度學(xué)習(xí)（如圖8所示），加強立法認(rèn)識，提升企業(yè)和個人數(shù)據(jù)安全保護意識，全面落實《數(shù)據(jù)安全法》要求。

　　2020年9月23日，《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》（以下簡稱《數(shù)據(jù)安全分級指南》）正式生效?！稊?shù)據(jù)安全分級指南》給出了金融數(shù)據(jù)安全分級的目標(biāo)、原則和范圍，以及數(shù)據(jù)安全定級的要素、規(guī)則和定級過程（如圖2所示）?？梢杂脕碇笇?dǎo)金融業(yè)機構(gòu)開展電子數(shù)據(jù)安全分級工作，也可以指導(dǎo)第三方評估機構(gòu)等單位開展數(shù)據(jù)安全檢查和評估工作。

　　2021年4月28日，《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》（以下簡稱《數(shù)據(jù)生命周期安全規(guī)范》）正式生效?！稊?shù)據(jù)生命周期安全規(guī)范》構(gòu)建了金融業(yè)機構(gòu)覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全框架，同時與各標(biāo)準(zhǔn)聯(lián)系緊密，如數(shù)據(jù)安全能力成熟度模型、個人信息安全規(guī)范及金融行業(yè)的數(shù)據(jù)安全分級指南等。能夠全面整體地指導(dǎo)金融業(yè)機構(gòu)建設(shè)和完善自身的數(shù)據(jù)安全防護體系（如圖3 所示），并有助于金融行業(yè)的數(shù)據(jù)安全保護和應(yīng)用的標(biāo)準(zhǔn)化。

　　根據(jù)行業(yè)最佳實踐及筆者多年的工作經(jīng)驗，從以下六個方面總結(jié)了常見的數(shù)據(jù)安全風(fēng)險：

　　未建立數(shù)據(jù)安全治理組織架構(gòu)及職責(zé)，無法自上而下推動相關(guān)數(shù)據(jù)安全治理工作的有序開展。

　　未建立組織級數(shù)據(jù)戰(zhàn)略規(guī)劃，無法有效覆蓋網(wǎng)絡(luò)安全法及等級保護等相關(guān)法規(guī)與標(biāo)準(zhǔn)的要求，無法指明數(shù)據(jù)整體的發(fā)展目標(biāo)和規(guī)劃，不利于數(shù)據(jù)長遠(yuǎn)發(fā)展。

　　數(shù)據(jù)安全風(fēng)險評估執(zhí)行不到位，未識別出重要的數(shù)據(jù)安全風(fēng)險，不利于數(shù)據(jù)安全治理體系的持續(xù)優(yōu)化。

　　元數(shù)據(jù)安全管控不到位，導(dǎo)致元數(shù)據(jù)血緣關(guān)系模糊、可追溯性不強，影響元數(shù)據(jù)與數(shù)據(jù)標(biāo)準(zhǔn)的結(jié)合。

　　未部署數(shù)據(jù)管控平臺，無法對數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、元數(shù)據(jù)進(jìn)行規(guī)范化管控和技術(shù)實現(xiàn)。

　　數(shù)據(jù)服務(wù)接口與應(yīng)用在其內(nèi)部跨安全域間的接口調(diào)用未采用包括安全通道、加密傳輸?shù)劝踩珯C制可能帶來的風(fēng)險。

　　未建立數(shù)據(jù)供應(yīng)鏈安全管理方針，無法落實上下游供應(yīng)鏈間數(shù)據(jù)交換和使用的要求，不利于供應(yīng)商之間的數(shù)據(jù)交換與共享。

　　在數(shù)據(jù)生命周期管理期間，由于在人員、管理、技術(shù)三個層面沒有建立適用的數(shù)據(jù)安全管理體系，使得數(shù)據(jù)安全管理的效率與效果低下。

　　未實現(xiàn)數(shù)據(jù)分類分級管理或分級方法不合理，導(dǎo)致未按照不同類別建立不同的安全控制措施，導(dǎo)致保護過重或保護不當(dāng)。

　　數(shù)據(jù)在收集、傳輸、存儲和恢復(fù)、處理和加工、使用與審計、歸檔與銷毀等過程中，由于缺乏有效的數(shù)據(jù)加密和訪問控制，容易導(dǎo)致數(shù)據(jù)泄露風(fēng)險。

　　數(shù)據(jù)在共享與流動，特別是跨邊界和跨境流動時，由于未制定相應(yīng)的安全規(guī)范制度和審批流程，容易產(chǎn)生違規(guī)風(fēng)險。5.數(shù)據(jù)銷毀機制不健全或執(zhí)行不嚴(yán)格，導(dǎo)致銷毀過程中敏感數(shù)據(jù)的泄露。

　　未建立個人信息保護組織或缺乏相關(guān)負(fù)責(zé)人，不利于個人信息保護工作的推廣和執(zhí)行，也無法有效落實個人信息保護的責(zé)任。

　　未建立規(guī)范化的個人信息保護制度和流程，可能造成個人信息的收集、存儲、使用、變更、銷毀等操作不合法的情況。

　　組織在使用個人信息時，沒有開展安全影響評估，無法判斷個人信息使用與保護的程度，容易造成侵權(quán)與違規(guī)風(fēng)險。

　　在收集個人信息時，沒有注意最小化要求，或者在沒有得到允許的情況下公開披露個人信息，容易造成侵權(quán)與違規(guī)風(fēng)險。

　　組織在處理個人敏感信息時，個人信息的傳輸、處理、存儲、銷毀未采用加密、訪問控制等安全措施，容易造成泄露個人敏感信息的風(fēng)險。

　　未建立重要數(shù)據(jù)保護工作機構(gòu)或指定負(fù)責(zé)人，不利于重要數(shù)據(jù)的保護和管理，同時無法有效落實重要數(shù)據(jù)保護的責(zé)任。

　　未實現(xiàn)重要數(shù)據(jù)分類分級管理，無法有效對重要數(shù)據(jù)建立針對性的保護措施，由于保護機制不到位，造成的重要數(shù)據(jù)泄露或非法訪問。

　　未建立規(guī)范化的重要數(shù)據(jù)保護制度和流程，可能造成重要數(shù)據(jù)的收集、存儲、使用、變更、銷毀等操作不合法的情況。

　　組織在使用重要數(shù)據(jù)時，沒有開展安全風(fēng)險評估，無法判斷重要數(shù)據(jù)的使用與保護的程度，容易造成侵權(quán)與違規(guī)風(fēng)險。

　　組織在處理重要數(shù)據(jù)時，數(shù)據(jù)的傳輸、處理、存儲、銷毀未采用加密、訪問控制等安全措施，容易造成重要數(shù)據(jù)泄露的風(fēng)險。

　　未建立數(shù)據(jù)應(yīng)急預(yù)案，無法有效制定數(shù)據(jù)丟失、數(shù)據(jù)泄露等重要場景的處置措施，不利于重要數(shù)據(jù)發(fā)生異常的處置和恢復(fù)。

　　未部署獨立的數(shù)據(jù)庫審計系統(tǒng)，無法對數(shù)據(jù)違規(guī)操作行為進(jìn)行跟蹤分析，不利于數(shù)據(jù)的規(guī)范化管理。

　　根據(jù)筆者對行業(yè)內(nèi)數(shù)據(jù)安全案例的總結(jié)及多年實施IT審計的經(jīng)驗，我們認(rèn)為應(yīng)當(dāng)常態(tài)化對以下數(shù)據(jù)安全領(lǐng)域開展IT審計工作：

　　數(shù)據(jù)安全風(fēng)險涉及面較廣，既體現(xiàn)在組織在治理層面的治理風(fēng)險，還體現(xiàn)在數(shù)據(jù)在其生命周期和服務(wù)過程中的管理風(fēng)險，以及伴隨的個人信息和重要數(shù)據(jù)等敏感信息泄露和跨境流通風(fēng)險。

　　董事會的職責(zé)該控制項旨在從組織的治理層面，檢查組織是否將數(shù)據(jù)的安全治理工作納入組織治理工作范疇，建立健全包括風(fēng)險管理和數(shù)據(jù)安全審計監(jiān)督在內(nèi)的架構(gòu)體系，從而完善數(shù)據(jù)的安全合規(guī)管理。

　　戰(zhàn)略規(guī)劃與價值實現(xiàn)該控制項旨在檢查組織是否依據(jù)董事會所明確的數(shù)據(jù)安全治理目標(biāo)制定相關(guān)的安全戰(zhàn)略。

　　數(shù)據(jù)安全合規(guī)管理該控制項旨在檢查組織是否基于數(shù)據(jù)安全戰(zhàn)略規(guī)劃，建立健全數(shù)據(jù)安全管理制度體系，滿足合規(guī)監(jiān)管要求。

　　數(shù)據(jù)風(fēng)險管理該控制項旨在檢查組織是否從數(shù)據(jù)、人員、產(chǎn)品與服務(wù)等方面，建立并完善數(shù)據(jù)安全風(fēng)險管理體系，并將其納入組織風(fēng)險管理體系當(dāng)中。

　　數(shù)據(jù)安全審計監(jiān)督該控制項旨在檢查組織是否將數(shù)據(jù)的安全審計工作納入組織的安全審計體系范疇內(nèi)，建立并完善針對數(shù)據(jù)安全審計的專項工作。

　　數(shù)據(jù)安全管理是指保護數(shù)據(jù)免受威脅的影響，確保業(yè)務(wù)的連續(xù)性，降低業(yè)務(wù)可能面臨的風(fēng)險，為業(yè)務(wù)部門提供有力保障。

　　數(shù)據(jù)安全組織管理該控制項旨在檢查組織為落實數(shù)據(jù)安全治理工作及其戰(zhàn)略規(guī)劃，是否從組織層面設(shè)置跨部門的數(shù)據(jù)安全管理機構(gòu)及負(fù)責(zé)人，明確安全管理職責(zé)。

　　人員與意識管理該控制項旨在基于組織對數(shù)據(jù)安全管理的要求和需求，從人員安全管理、資源建設(shè)與技能培養(yǎng)、職責(zé)落實與考核等三方面進(jìn)行檢查，判斷人員綜合管理的落實情況。

　　制度與規(guī)范管理該控制項旨在從制度層面檢查組織是否制定并完善數(shù)據(jù)安全管理的制度體系及其落實情況。

　　元數(shù)據(jù)安全管理該控制項旨在從元數(shù)據(jù)的安全管理角度，檢查組織是否建立完善的元數(shù)據(jù)安全管理規(guī)范，并從技術(shù)層面予以安全保障。

　　數(shù)據(jù)及平臺（系統(tǒng)）管理該控制項旨在從數(shù)據(jù)平臺（系統(tǒng)）管理角度，檢查組織是否對平臺（系統(tǒng)）及其管理之下的數(shù)據(jù)制定相應(yīng)的安全規(guī)范與標(biāo)準(zhǔn)，實現(xiàn)統(tǒng)一管理，并與組織經(jīng)營戰(zhàn)略中的安全需求相一致。

　　服務(wù)接口安全管理該控制項旨在從服務(wù)接口角度，檢查組織是否完善接口安全管理的制度和規(guī)范，并用技術(shù)手段保障接口間數(shù)據(jù)傳輸?shù)陌踩浴?/p>

　　數(shù)據(jù)供應(yīng)鏈安全管理該控制項旨在從供應(yīng)鏈安全管理角度，檢查組織在存在上下游數(shù)據(jù)交換的前提下，制定相關(guān)管理規(guī)范，滿足合規(guī)監(jiān)管要求。

　　數(shù)據(jù)安全審計管理該控制項旨在從審計角度，檢查組織是否落實數(shù)據(jù)安全審計與監(jiān)督的要求，對組織的數(shù)據(jù)服務(wù)開展安全審計，同時確保國家對于日志管理的安全合規(guī)要求。

　　數(shù)據(jù)生命周期管理是指在數(shù)據(jù)的采集、傳輸、存儲、處理、交換（共享、應(yīng)用）、銷毀等階段下對流動的數(shù)據(jù)進(jìn)行綜合管理。

　　數(shù)據(jù)收集該控制項旨在針對數(shù)據(jù)收集過程，檢查組織是否依據(jù)收集數(shù)據(jù)的敏感性對其進(jìn)行數(shù)據(jù)標(biāo)識，從而基于該標(biāo)識進(jìn)行后續(xù)數(shù)據(jù)操作處理的監(jiān)控。

　　數(shù)據(jù)傳輸該控制項旨在針對數(shù)據(jù)傳輸過程，檢查組織是否根據(jù)傳輸過程的安全性劃分安全域，并根據(jù)安全域的級別采取相應(yīng)的安全控制措施，防范數(shù)據(jù)遭受竊聽或泄露，確保數(shù)據(jù)的完整性。

　　數(shù)據(jù)存儲與恢復(fù)該控制項旨在針對數(shù)據(jù)存儲，檢查組織是否對所存儲的數(shù)據(jù)采取安全措施，確保其安全性和完整性，同時，根據(jù)組織對于數(shù)據(jù)可用性的要求，檢查組織是否采取備份措施。

　　數(shù)據(jù)處理與加工該控制項旨在針對處理和加工過程，檢查組織是否對可接觸到數(shù)據(jù)的人員基于角色采取身份驗證和訪問控制，并對該過程采取加密和脫敏處置措施，防范數(shù)據(jù)非法訪問或敏感信息遭到泄露。

　　數(shù)據(jù)使用與安全審計該控制項旨在針對數(shù)據(jù)使用過程，檢查組織是否采取身份驗證和訪問控制措施，防止人員對于數(shù)據(jù)的非法訪問，并采取加密和脫敏等技術(shù)手段，防止在使用環(huán)節(jié)造成信息泄露并對使用環(huán)節(jié)進(jìn)行安全審計。

　　數(shù)據(jù)共享與流動該控制項旨在針對組織存在數(shù)據(jù)共享與流動，特別是跨境流動時，是否制定相應(yīng)的規(guī)范制度和審批流程，滿足國家合規(guī)監(jiān)管要求。

　　數(shù)據(jù)歸檔與銷毀該控制項旨在檢查組織是否針對數(shù)據(jù)歸檔與銷毀過程，并基于數(shù)據(jù)敏感程度制定完善的管理制度與規(guī)范流程，防范在該過程中出現(xiàn)數(shù)據(jù)泄露。

　　規(guī)范個人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。旨在遏制個人信息非法收集、濫用、泄漏等亂象，最大程度地保障個人的合法權(quán)益和社會公共利益。

　　通用管理該控制項旨在檢查組織是否針對個人信息，建立健全個人信息保護的管理體系和風(fēng)險管理體系，并提供個人信息泄露或非法使用的申訴管理機制和舉報渠道。

　　個人信息的收集該控制項旨在檢查組織在個人信息收集環(huán)節(jié)，是否制定完善的安全策略和規(guī)范，滿足《網(wǎng)絡(luò)安全法》中關(guān)于個人信息保護的合規(guī)要求。

　　個人信息的傳輸與存儲該控制項旨在檢查組織在個人信息傳輸與存儲環(huán)節(jié)，是否采取管理與技術(shù)手段，確保個人信息境內(nèi)存儲和離境前安全與風(fēng)險評估的合規(guī)要求，以及個人敏感信息不被泄露。

　　個人信息的處理該控制項旨在檢查組織在個人信息處理環(huán)節(jié)，是否采取技術(shù)手段防范個人信息主體被識別和還原。

　　個人信息的使用該控制項旨在檢查組織是否在個人信息使用環(huán)節(jié)，采取訪問控制措施防范對其非法訪問，并在個人信息控制權(quán)發(fā)生轉(zhuǎn)移時對接收方進(jìn)行安全評估，并獲得其安全使用的承諾。

　　個人信息的變更與銷毀該控制項旨在檢查組織在個人信息變更和銷毀環(huán)節(jié)，是否為個人信息主體提供合法變更的渠道，或在完成所收集個人信息使用目的后，規(guī)范個人信息的刪除流程和途徑。

　　規(guī)范重要數(shù)據(jù)在收集、保存、使用、傳輸、共享等信息處理環(huán)節(jié)中的相關(guān)行為。旨在遏制數(shù)據(jù)非授權(quán)收集、濫用、泄漏等亂象，最大程度地保障重要數(shù)據(jù)的安全。

　　通用管理該控制項旨在檢查組織針對其重要數(shù)據(jù)是否建立健全完善的管理體系，包括制度體系、組織與人員體系、應(yīng)急管理體系，并提供重要數(shù)據(jù)安全事件的申訴渠道。

　　重要數(shù)據(jù)識別與分類分級該控制項旨在檢查組織是否就所屬行業(yè)和經(jīng)營業(yè)務(wù)制定重要數(shù)據(jù)識別及分類分級的制度規(guī)范、標(biāo)準(zhǔn)以及變更和審批流程，從而為后續(xù)重要數(shù)據(jù)操作和處理提供依據(jù)。

　　跨境傳輸與存儲前安全風(fēng)險評估該控制項旨在檢查組織在其存在重要數(shù)據(jù)跨境傳輸與境外存儲的背景下，是否建立完善的安全風(fēng)險評估與審批流程，滿足國家合規(guī)監(jiān)管要求。

　　應(yīng)急管理該控制項旨在檢查組織依據(jù)建立的重要數(shù)據(jù)安全事件應(yīng)急管理體系，制定并完善應(yīng)急管理制度并定期開展應(yīng)急演練，在滿足合規(guī)要求的同時，確保安全事件發(fā)生時得到有效、迅速的遏制，防范事件蔓延。

　　數(shù)據(jù)平臺是指為數(shù)據(jù)應(yīng)用提供資源和服務(wù)的支撐集成環(huán)境，包括基礎(chǔ)設(shè)施層、數(shù)據(jù)平臺層和計算分析層。重點關(guān)注數(shù)據(jù)平臺基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)與通信安全、應(yīng)用安全及安全審計工具使用等內(nèi)容。

　　平臺基礎(chǔ)設(shè)施安全該控制項旨在檢查組織為確保數(shù)據(jù)平臺基礎(chǔ)設(shè)施安全，除對其所處的物理環(huán)境進(jìn)行安全檢查外，還應(yīng)檢查是否采取技術(shù)措施與工具，監(jiān)控并防范平臺受到惡意代碼等非法攻擊。

　　網(wǎng)絡(luò)與通信安全該控制項旨在檢查組織為確保數(shù)據(jù)平臺的網(wǎng)絡(luò)與通信安全，是否制定訪問控制策略并在網(wǎng)絡(luò)隔離設(shè)備上部署、實施，同時，檢查為確保通信鏈路的安全是否采取相應(yīng)的安全監(jiān)控與鏈路加密手段。

　　應(yīng)用安全該控制項旨在檢查組織在應(yīng)用層面針對應(yīng)用接口、平臺服務(wù)和平臺資源是否采取相應(yīng)的安全控制措施。

　　安全審計該控制項旨在檢查組織針對數(shù)據(jù)平臺的日常服務(wù)和運維是否開展安全審計，并驗證安全審計是否具有自動分析和報警的功能。

　　數(shù)據(jù)已成為金融機構(gòu)賴以生存的重要核心資產(chǎn)，數(shù)據(jù)安全管理能力亦將成為金融機構(gòu)必須具備核心管理能力。開展數(shù)據(jù)安全專項審計工作，具有以下積極意義：

　　一是能夠推動金融機構(gòu)落實金融業(yè)數(shù)據(jù)安全管理要求，提升金融業(yè)數(shù)據(jù)安全保護工作的規(guī)范化和標(biāo)準(zhǔn)化程度；

　　二是有助于金融機構(gòu)及時全面掌握本機構(gòu)數(shù)據(jù)安全管理水平，預(yù)測并確認(rèn)所面臨的數(shù)據(jù)安全威脅和風(fēng)險，為金融機構(gòu)制定防范措施及應(yīng)對安全事件提供科學(xué)依據(jù)和指導(dǎo)，可有效防控數(shù)據(jù)安全事件風(fēng)險和危害，為金融數(shù)據(jù)的應(yīng)用和流動提供有力保障；

　　三是持續(xù)的促進(jìn)金融機構(gòu)數(shù)據(jù)環(huán)境改善和整體數(shù)據(jù)安全管理能力的提升，加快科技創(chuàng)新步伐，為金融機構(gòu)未來發(fā)展帶來巨大價值。

　　王志超，谷安天下金融審計負(fù)責(zé)人，10多年的信息安全、科技風(fēng)險、科技審計、業(yè)務(wù)連續(xù)性、科技外包、數(shù)據(jù)治理、金融科技等咨詢及審計服務(wù)經(jīng)驗，獲得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等證書，熟悉銀行業(yè)、保險業(yè)、證券業(yè)、大型央企的科技管理風(fēng)險與應(yīng)對措施，對科技外包、業(yè)務(wù)連續(xù)性、數(shù)據(jù)安全、數(shù)據(jù)治理、大數(shù)據(jù)、云計算、區(qū)塊鏈、人工智能、數(shù)字化轉(zhuǎn)型等領(lǐng)域均有著較為深入的研究，多次參與銀保監(jiān)會組織的信息科技風(fēng)險管理課題研究，并獲得不錯的獎項。

　　李松 谷安天下高級經(jīng)理，長期從事數(shù)據(jù)中心、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、運維管理和信息科技風(fēng)險審計等工作，擁有16年以上金融、國企及互聯(lián)網(wǎng)企業(yè)的IT咨詢及審計經(jīng)驗，獲得CISA、CDPSE、ISO27001、ITIL4等證書，曾在國內(nèi)大型會計師事務(wù)所擔(dān)任過IT運維經(jīng)理、IT高級審計經(jīng)理。

　　美國兩家知名的信用聯(lián)盟FirstTechCreditUnion和AddisonAvenueFederalCreditUnions在其涉及4.75億美元資產(chǎn)以及38家分支機構(gòu)和335,000名會員的合并過程中選擇了Websense數(shù)據(jù)安全套件和Web安全網(wǎng)關(guān)來幫助他們保護數(shù)據(jù)安全、遵守高度管制環(huán)境要求和降低合并期間的安全風(fēng)險。4166am金沙4166am金沙信心之選