索信达控股：《个人信息保护法》实施 金融机构如何做好数据安全？

　　11月1日，《个人信息保护法》正式实施，数据安全问题再次受到关注。索信达控股（股票代码：03680.HK ）数据治理专家表示，《个人信息保护法》实施使金融机构对个人信息保护从一般监管要求上升到强制性法律要求，势必将引起金融行业高度重视，促进金融机构进一步强化个人信息保护力度，提升信息安全、数据安全，充分保障个人信息主体的各种权利。

　　新形势下对金融数据安全提出更高要求

　　金融行业对个人信息保护一直比较重视，监管也十分严格，相关保护措施也走在前列。索信达数据管理领域专家还表示，对于金融机构而言，落实立法规范，应严格遵循个人信息保护法和行业标准要求，建立个人信息保护的制度体系，明确工作职责，规范工作流程，完善IT系统，需从敏感个人金融信息的收集、传输、存储、使用、删除、销毁等处理的整个过程采取措施进行覆盖个人信息全生命周期的保护策略。

　　数字化转型大潮下，数据成为金融机构绕不开的主题。虚拟化经济、数字化趋势带来的数据隐私、数据安全问题日益受到业界的重视。索信达数据管理领域专家表示，法律、法规及监管制度的日益严格，以及企业自身发展的内在需求，都在促使金融行业将数据安全视为重中之中。一方面，国家和监管层对数据安要求日益严格，出台了一系列针对网络安全、数据安全、信息安全等的政策规范，另一方面，内部的安全管理、风险管控、用户个人信息隐私保护等也要求金融机构必须建设构建一套科学、完善的数据安全体系。

　　索信达专家表示，新形势下的监管要求、行业趋势对金融机构数据安全管理提出了更高要求。金融业数据安全仍面临不小的挑战和痛点：主要体现在三个方面，一是要求管理内容丰富度更高，二是对管理能力要求更高， 第三是要求管理技术更先进。

　　数据安全必须依靠可靠、完整的安全体系与安全技术来实现。通常数据安全包括保密性、完整性、可用性、抗抵赖性、可追溯性五个层面。企业的数据安全管理能力体现在四个方面：一是防御能力，即抵御攻击的能力；二是发现能力，即及时发现安全隐患，能以更好的保障业务持续运转；三是对抗能力，即当遇到外部攻击，能与入侵者对抗；四是应急能力，即当企业内部产生风险，有应急处置能力。

　　金融机构如何有效构建信息安全体系和数据安全体系？

　　索信达数据治理专家认为，数据安全不是一个孤立的部分，它是信息安全体系的一部分。要想构建数据安全体系，首先要将其置于整体的信息安全体系中来看。金融机构构建信息安全体系要从三个层面进行：依次是安全策略、安全运维、技术安全。安全策略即安全治理、风险管理合规，包括战略和治理框架、风险管理框架、合规和策略遵从；安全运维包括安全事件监控、安全策略管理、安全事件响应、安全绩效管理、安全事件审计、安全外包管理等；技术安全包括：物理安全、身份/访问安全、应用安全、数据安全、基础架构安全。可以看出，数据安全是信息安全的重要部分，具体包括数据安全分级、数据加密、安全监控、数据泄露保护、数据归档、数据灾备等。

　　数据安全体系也包括三个层面：数据安全管理、数据安全服务、数据技术安全。数据安全管理包括组织架构、制度规范和管理流程；数据安全服务包括：数据安全分级、数据安全监控、数据泄密保护、数据归档、数据加密、数据灾备。数据技术安全又包括：数据库安全监控系统、历史数据归档系统、灾备系统。

　　在金融机构构建数据安全体系的具体实践中，索信达数据治理专家提出了一些建议和看法：一是数据安全管理的工作是贯穿于整个数据管理体系之中的，关系到整个数据管理体系的搭建。从整个数据管理角度看，数据安全管理工作包括数据安全管理标准、数据安全事故处理、数据安全分级、数据安全审计。数据安全分级是数据安全管理体系构建的重点核心，数据分类又是数据安全分级的基础和依据。在系统技术支撑上，可以将数据安全分级管理体系嵌入到类似元数据平台、数据资产管理平台上去做。

　　索信达数据治理专家还认为，金融机构可设立从决策到业务到技术的体系化的数据安全管理组织，建立从制定计划、评估安全、执行解决方案、到总结经验的数据安全管理流程。在数据安全管理系统层面需贯穿数据管理部门、业务部门和技术部门，数据安全管理系统包括数据安全管理分析、数据安全分级管理、系统安全分级管理和系统管理；数据安全监控系统建设同样重要，数据安全监控系统目的在于：遵守监管对金融数据的保护要求，建立常态化数据安全审计工作的有效工具和机制，数据库及应用系统多样，实现集中统一的监控管理与报警， 实时监测内部用户访问敏感数据，及时发现数据泄露事件，防范数据库后台授权用户操作风险，向管理层提供准确的数据库风险状况报表等。

　　总之，金融AI的每一步，大数据红利在左，数据隐私安全在右。数据安全是企业持续发展的需要，需引起业界重视。索信达将持续深耕金融数据治理方案，为金融机构数据安全提供支持。