极盾故事|某农商行数据安全制度和数据分类分级建设
为了积极响应国家以及行业政策的号召,银行业正全力推动数据分类定级工作,并通过数据安全评估,了解行内数据安全建设现状,以有效贯彻金融数据生命周期全过程安全管理策略。
极盾科技助力某农商行,基于极盾·智辨,完成:
1、覆盖 4 级目录框架,构建 21 篇数据安全制度相关文档;
2、梳理了 9 个重点业务系统,100000+字段的识别打标,实现数据自动分类分级,建立包含 9 大类,4 层结构,5 个安全级别的数据安全分类分级目录,明确数据分类分级结果,输出数据分类分级全景图,并制定出一套可行的数据分级保护策略。
01 数据安全评估
1、评估团队:
评估团队由本次农商行数据安全评估牵头部门、评估参与方以及实施团队、评审部门等共同组成。
本次金融数据安全评估的牵头部门由该农商行的科技信息部大数据管理部担任,作为评估工作的主要参与方,负责牵头开展评估工作,协调各方资源,保证评估工作的开展,并对发现的问题进行确认并对发现的问题进行确认和整改。
本次评估调研涉及科技部安全岗、软件开发岗、数据管理岗、存储网络管理员、风险管理部、运营管理部、渠道管理部、审计部、办公室相关人人员,8 场共 15 人次调研访谈;二次调研问卷发放,涉及数据管理员、网络管理员、安全管理员、开发管理员、文档管理员 6 份问卷(IM 形式),最终输出《数据安全现状及问题分析报告》,包括但不限于评估结果、整改建议等内容。
2、评估结果:
依据《金融数据安全 数据生命周期安全规范(JR/T 0223—2021)》要求,从安全管理、运维保障、数据生命周期安全及其他安全相关能力建设情况等方面展开数据安全评估工作,结果如下:
数据安全管理方面(S1):行内在数据安全组织结构、制度体系、人员管理和第三方管理机构上都存在一定不足。未明确组织架构和岗位设置,没有明确各层级部门与相关岗位数据安全职责、规范工作流程;人员管理方面存在部门细化安全管理不足的问题;第三方管理具备较好的权责规避,但涉及第三方应用接入安全的技术手段不足;相关审批流程待改进。
数据安全生命周期保护方面(S2):在分级保护方面存在较大不足;在具体生命周期阶段,全生命周期阶段都还存在一定差距,特别是在数据使用和数据删除等阶段存在较大不足,主要体现在相关制度的覆盖层面。
数据安全运维方面(S3):由于数据安全相关评估项与“等保评估”有相关重合内容,而行内在重要系统相关评估点已符合并通过 3 级评估,因此符合项目较多,例如具备一定的边界管控和访问控制能力。但是在数据安全安全监测、安全审计、检查评估、应急响应与事件处置等过程存在一定差距,缺乏相应的技术手段开展落地工作。
《数据安全现状及问题分析报告》结合评估结果,并给出了数据安全管理、数据安全保护、数据安全运维等整改意见。
02 数据安全制度建设
本次数据安全制度建设梳理了相关制度文档体系,完成《敏感信息分类分级规范》、《数据入仓与查询规范》、《数据安全分级分类管理细则》、《保密协议模板》、《数据安全管理办法》、《生命周期规范》、《合作方管理规范》、《评估规范》《数据安全方针》、《分类分级规范》、《分级管控方案》、《数据安全应急预案》等 21 篇文档,覆盖 4 级目录框架,如下图所示:
03 数据分类分级
1、数据分类分级工具开发
数据分类分级工具开发经历了需求阶段、设计阶段、代码审查阶段、测试阶段、上线阶段等 5 个阶段。
(1)需求分析阶段:应用需求分析、总体同步方案、业务专题方案、产品架构适配方案;提供相关文档,走通相关评审流程;
(2)系统设计阶段:应用功能设计、服务接口设计;提供相关文档,走通相关评审流程;
(3)系统开发阶段:程序调整、应用功能开发、单元测试、联调测试,提供相关文档,走通相关评审流程;
(4)系统测试阶段:测试支持、缺陷修改、程序调优,完成 SIT 测试、UAT 测试、性能测试及调优验证;提供相关文档,走通相关评审流程;
(5)系统上线阶段:漏洞扫描、上线部署、上线演练;提供相关文档,走通相关评审流程。
最终提交《需求说明书》、《非功能需求列表》、《详细设计说明书》、《数据库设计说明书》、《概要设计说明书》、《代码审查要点》、《源代码提交》、《集成测试报告》、《集成测试用例》、《性能测试报告》、《用户测试报告》、《用户测试用例》、《非功能测试报告》、《项目投产方案》、《系统维护手册》、《系统使用手册》、《系统安装手册》、《系统上线操作步骤》等 18 篇软件开发、使用类文档。
除以下标准功能外,实现完成 SSO 单点登录改造、适配 Informix、GBASE,、TDSQL 等国产数据库、定制 9 个功能需求。
标准功能包含:
(1)数据资产扫描:按照资产扫描任务配置, 周期性扫描,主动发现数据资产,确认是否需要加入数据资产清单。
(2)数据资产清单管理:盘点数据资产, 梳理出数据资产现状, 形成数据资产清单, 基于数据资产清单进行数据分类分级。
(3)提供敏感数据识别规则库,支持内置《JRT-0197 分类分级指南》相关规则,结合内置识别模型及探测技术, 自动梳理数据库中敏感数据分布。
(4)支持数据分类分级规则配置,支持正则表达式、关键字等方式灵活配置分类分级规则和敏感识别规则,支持基于表名、表备注、字段名、字段备注、字段内容等不同内容设计多条复杂规则识别敏感信息。
(5)支持自定义配置扫描任务, 自定义数据库范围 、识别信息项范围等;
(6)支持分类分级打标结果的可视化展示和分析。
2、数据分类分级结果
通过分类分级系统的建设,依据《金融数据安全分级指南》、《个人金融信息保护技术规范》等政策规范,明确个人信息敏感分级原则,结合行业分类分级知识库,通过分类分级规则系统的部署,针对该农商行 9 个重点业务系统,完成 10+数据库(包括:信贷,新互联网信贷,押品,票据,核心,ECIF,清算平台,HR,CRM,大数据平台,数据仓库等)10w+字段打标,实现数据自动分类分级,建立包含 9 大类,4 层结构,5 个安全级别的数据安全分类分级目录,5 个敏感等级分别为极敏感、敏感、较敏感、低敏感、不敏感,有效识别和梳理行内大数据环境中的敏感数据全景图,生成《资产盘点表格》、《数据分类分级清单》、《敏感数据分布报告》、《敏感字段分布报告》,以及《后续规划》等文档输出。
为了能够构建起更加完善、高效的数据安全防护体系,为行内业务的稳健发展提供强有力的支撑。接下来将从以下几方面继续完善:
一是加强数据安全风险评估与监测预警能力,确保对潜在威胁的早发现、早预警、早处置;
二是深化数据加密、脱敏等技术的应用,提升数据的机密性与完整性保护水平;
三是持续开展数据安全教育与培训,增强全员数据安全意识与防护能力;
四是加强与法律法规的对接,确保行内数据安全管理工作始终合规、高效。
版权声明: 本文为 InfoQ 作者【极盾科技】的原创文章。
原文链接:【http://xie.infoq.cn/article/f71671ed647896a9918eb048e】。文章转载请联系作者。
评论