1W+ 规则,20W+ 字段,某城商行数据分类分级有多卷?
为响应国家政策,合理开展金融数据分类定级工作,有效落实金融数据生命周期全过程安全管理策略,进一步提高金融业数据管理和安全防护水平,银行纷纷启动数据分类分级建设工作,迈出夯实数据安全的第一步。
几个月前,某城商行与极盾科技正式签约合作,基于极盾·智辨,最终完成:
1、落地实现 10000+策略规则,包括当事人、产品、协议、时间、账户、介质、渠道、资源项和通用等 9 大类信息字段的分类分级识别规则。
2、梳理了 3 个业务系统,200000+字段的识别打标并分成 4 类 5 级,5 个敏感等级分别为极敏感、敏感、较敏感、低敏感、不敏感。
3、明确数据分类分级结果,输出数据分类分级全景图,并制定出一套可行的数据分级保护策略。
01、调查研究找短板,分析症结出实招
经过前期调研,实施团队发现,该城商行的数据安全建设主要集中在面向具体场景或具体能力的单点数据安全,还存在以下问题亟待关注。
1、缺乏对重要、核心数据的识别分类分级能力
该城商行缺乏对数据库中重要、核心数据的识别能力,无法高效地对数据进行分类分级,更谈不上分级管控。
2、数据安全组织制度体系不完善
该城商行未建立数据安全管理委员会,数据管理制度体系尚不完善,缺乏指导性意见而导致数据安全落地实施困难,容易造成无的放矢,缺乏完整的数据安全日常管理及操作流程容易引起操作不规范、记录不完整、审计不清晰等风险。
3、缺乏数据安全评估体系
该城商行数字化转型过程中,数据量与日俱增,然而机构内部尚未建立起合适的数据安全风险评估方法和体系,无法摸清所面临的数据安全风险,更无法评估与监管要求的差距。
4、缺乏体系化的数据安全管控建设思路
数据与业务融合的过程中,已不再局限于文件和数据库的静态使用,而是随着业务发展的需要,打破了存储空间、系统、应用、网络的边界,走向泛化。因此,依靠单一的防护手段只能满足单点场景的安全需求,一旦存在某个薄弱环节,容易导致整体保障工作功亏一篑。该行急迫需要体系化地规划数据安全建设路线,逐步构建一体化的数据安全能力来应对复杂的安全形势。
02、一平台四服务,筑牢数据安全防线
针对行内的实际情况,实施团队 3 个月内为该城商行部署上线数据分类分级系统,并通过人员访谈、文档查验、问卷调查以及走访搜证等方式,对该城商行重要系统进行数据分类分级、数据安全评估、数据安全制度建设和数据安全建设规划的咨询服务,并制定了一系列数据安全制度规范。
No.1、数据分类分级建设
1、数据分类分级系统:快速部署极盾·智辨-数据分类分级工具,实现自动和手动 2 种方式的敏感数据识别,提供 10000+金融行业数据分类分级模板规则,对扫描出的数据资产进行打标、分类、分级、存储位置记录,并以数据库、数据表、数据字段、簇/列的维度,对数据资产做统计分析,梳理出数据资产全景图。
2、数据分类分级服务:参考《JRT 0197-2020 金融数据安全 数据安全分级指南》进行 4 类 5 级的整体架构搭建,形成《数据分级分类字典表》,同时明细完善数据分类分级原则、数据融合级别确定原则、数据分类分级方法及保护策略等,形成《数据分类分级规范》,并在大数据平台等 3 套系统上完成 20 万+字段的实施。
在数据分类分级打标工作中,实施团队发现下面几个问题:
·字段命名不规范,有的是拼音首字母,有的是乱码,有的是空字段,影响规则的生成。
·字段名和字段内容不符合,例如字段名是备注,字段内容里面是手机号码,影响规则的生成。
·基础字段可以归属多个分类时,无法界定划分在哪一类更为合适。
·《数据安全分类分级规范》中不含字段的含义和规则等,仅有字段名称,会导致数据分类时模棱两可。
关于难以识别的字段,与系统业务/IT 人员共同探讨解决方案,最终通过自配识别规则以及通过字段内容识别完成异常字段的处理。将无法归类的字段统一梳理汇总,划分问题类别,组会探讨确认分类分级归属,并按就高原则,哪个类别级别更高归属哪一类,级别一样则注明原因及打标依据。
No.2、数据安全制度建设
1、重要场景下数据安全评估服务:选取行内重要业务场景(大数据平台、电子银行系统、CRM),由咨询专家通过技术工具与人工调研,进行数据安全风险识别,评估维度涵盖业务数据流转所经历的各个生命周期阶段,做到此场景下行内风险的全面识别,为后续规划提供建设点输入。
2、数据安全制度建设咨询:由咨询专家通过技术工具与人工调研,根据行业标准规范,找出当前组织架构及制度中缺失部分,为银行制定规范化、适用性、可落地的全行级管理制度《数据安全管理办法》。
3、数据安全建设规划咨询:由咨询专家通过技术工具与人工调研,根据监管要求、风险评估中识别的风险点并参考同业数据安全建设实践,制定符合行内实际的数据安全建设规划及后续分级分类系统推广规划。
在数据安全制度建设项目中,主要产出物主要有以下内容。
03、两项建设落地,项目收益永存
数据分类分级建设:一方面能够帮助企业对数据资产进行全面的盘点,了解敏感数据分布、类型、量级,做到心中有数,以此构建企业级的数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础。另一方面帮助企业满足合规的需要,既能够应对国家层面的法律法规,亦能满足行业法规的要求。
数据安全制度建设:一方面健全完善行内数据安全管理制度,为后续的数据安全建设提供了指导依据,和相关的规范流程。另一方面为银行未来的数据安全建设提供建设思路以及管理依据。
作为业务数据安全服务商,极盾科技有幸与该城商行携手,理清数据资产,完善数据安全制度。未来,极盾科技期待可以与该城商行继续前行,共创一体化数据安全能力。
版权声明: 本文为 InfoQ 作者【极盾科技】的原创文章。
原文链接:【http://xie.infoq.cn/article/57543794c7e940578267f352d】。文章转载请联系作者。
评论