9月8日下午,由中国金融CIO联盟主办,北京天空卫士网络安全技术有限公司和北京芯盾时代科技有限公司协办的“2022数据安全技术大会金融行业分论坛”以线上会议的方式在北京召开。

当前金融行业数字化转型已经进入关键阶段,金融机构的业务数据已成为最本质、最核心、最关键的生产要素。金融数据不仅具备数据的一般特性,更是包含了国家公民个人信息、企业资金流转、社会经济活动等重要内容。由于其蕴含的巨大价值而成为网络攻击的首选目标,数据泄露、滥用等安全威胁的逐渐扩大,甚至影响了国家、社会安全与公众利益。如何在符合金融业务发展的基本需求上,保证数据安全的能力,切实防范金融风险,保障金融数据价值,是所有金融企业面临的重要问题。在本次论坛上多位领导和资深专家对金融行业数据安全治理内容进行了深度探讨。


本次论坛特邀阳光保险(集团)股份有限公司副总裁 张亚南 作为活动的主持人。

促进数据共享、挖掘数据价值、深化数据应用

如何保障数据安全,促进数据合法、安全、有效流通,充分发挥数据价值,是金融行业面临的重要课题。中国人民银行科技司原司长、中国互联网协会数字金融工作委员会专家委主任、中国信息协会特约副会长 陈 静表示:数据已成为金融机构的重要资产和核心竞争力。海量数据由于其蕴含的巨大价值,成为网络攻击的对象和目标。提高数据安全保障,促进数据安全治理能力体系的建设,已成为世界经济持续发展的关键。在数据安全治理过程中,各机构需要严格遵循合规要求,充分依靠先进的技术,保障技术和实践发展相结合。在安全合规前提下,积极促进数据共享、挖掘数据价值,深化数据应用,从而更好地为金融改革创新输出更好的服务。

落实金融行业数据安全要求,
构建全面的数据安全防护体系

中国金融CIO联盟理事长、银融时代网董事长 吴树森表示:数字化技术的创新与应用正在改变我国经济发展的格局。金融业是国民经济的重要组成部分,也是核心。随着新一代信息技术的发展,创新型金融业业态不断地涌现新的金融服务应用场景。同时出现的数据滥用、泄露等问题,对金融行业数据安全保障提出了更高的要求。国家出台了一系列的政策和法规,比如《网络安全法》、《个人信息保护法》、《数据安全法》、《关键信息基础设施安全保护条例》等,这标志着国家对数据安全的重视,也为技术创新和应用落地提供了法律依据。金融行业如何落实数据安全的相关要求,构建全面的数据安全的防护体系,需要我们进一步探讨和落实。

数字化转型与数据安全治理实践的建议

中国银行业协会 系统服务部主任  赵成刚带来《数字化转型与数据安全治理》为主题的演讲。赵主任表示:现在各机构都在要求健全数据治理体系,强化数据能力建设。从一个机构角度来说,如何建立全生命周期的数据保护,这是个非常大的挑战。主要表现在以下几个方面:数据安全责任体系的构成;数据安全与合规应用的长效机制;从数据视图到数据价值视图的转变;从技术视角、业务视角到安全视角的转变;从清晰边界到开放环境的转变;从主体责任到外包管理的转变;数据多应用场景面临的挑战。并且,在本次分享中赵主任也对行业数字化转型和数据治理的实践发展提出了自己的思考和建议。

从治理机制、数据安全管控、

技术支撑层面实施数据安全管控工作


中国工商银行 业务研发中心安全专家  苏建明 根据工行的数据安全治理实践进行了经验分享。苏建明表示:工商银行根据等级保护管理要求、银行业金融机构数据治理指引,并借鉴国际安全技术框架等思路,建立了数据安全管理框架。从治理机制、数据安全管控、技术支撑层面实施数据安全管控工作。尤其在技术支撑层,对标业界先进做法,建设数据安全管控平台,规划实现智能敏感数据识别、动态控权、统一数据脱敏引擎、数据水印溯源,以及数据安全监控预警五大核心能力,并向上层应用场景提供各类安全服务。


基于集团全局视角构建数据安全治理体系

关于数据安全治理体系框架如何构建,国泰君安证券股份有限公司 信息安全专家 侯亮建议,从四个方向着手。

第一、参照法律法规及行业标准,梳理企业数据安全治理要求,构建基于集团全局视角的数据安全管理框架;

第二、基于集团数据安全治理视角,从决策层、管理层到执行层,推进数据安全治理职能的落实,实现跨部门的协同;

第三、建立自上而下的管理制度体系,完善数据安全相关的管理办法、管理细则以及配套的管理流程;

第四、设计数据安全技术体系框架,聚焦数据分类分级保护措施,建设重点场景的数据安全态势感知系统。


金融行业数据安全治理技术落地实践分享

北京天空卫士网络安全技术有限公司 数据安全咨询总监  黄军,结合天空卫士在金融行业以及其他中大型用户跨行业的经验,对于数据安全治理体系及落地技术进行了分享。黄军讲到:当把数据安全作为一个覆盖全IT架构的战略来进行考虑的时候,会面临可能和现有的安全工具的重叠、冲突等问题。可以采取分步骤部署的方式,在关键节点上开始引入整体框架的部署,通过对数据的分类分级,在部分位置引入核心数据安全处理能力。后续在继续部署和建设中进行统一部署。最终目的是要形成数据安全治理的持续运营能力,实现对数据安全的可视化监控,实现数据追踪溯源,对数据安全事件实现快速自动化相应。