标题：季小杰、谢宗晓：应用“良好实践”探讨银行业数据安全保护实践
时间：2018年9月13日 (上午10:41)
分类：封面专题, 封面专题-总58期, 总58期, 清华金融评论杂志文章
标签：无
作者：清华金融评论

[1] 随着大数据的广泛应用，数据作为银行业重要的资产之一，所面临的安全形势越来越严峻。银行业如何保护其数据的安全是一个亟待解决的问题，应用“良好实践”的思想是目前较为可行的思路之一。本文介绍了“良好实践”在信息安全发展中发挥的基础性的作用，并分析了如何在银行业中应用数据安全CPA模型。 据欧洲网络与信息安全管理局（ENISA） “The Cost of Incidents Affecting CIIs”（影响关键信息基础设施的事故的代价）2016报告，金融关键信息基础设施是网络犯罪的主要目标之一，其损失在所有行业中排名第一，而在受影响的资产中，数据首当其冲。不仅如此，随着大数据的广泛应用，数据作为银行业重要的资产之一，所面临的安全形势越来越严峻，银行业如何保护其数据的安全是一个亟待解决的问题，应用“良好实践（Good Practice，GP）”的思想是目前较为可行的思路之一。 “数据安全”是与“信息安全”存在区别的子领域 普遍认为，数据安全是广义信息安全的一部分，或者一个子集，但是如果从“数据”和“信息”的定义来讲，数据比信息的范围更大，数据是用于荷载信息的物理符号，通俗地讲，信息是有意义的数据。但是，在实际的应用中，由于“个人数据（Personal Data）”的重要性，又加上涉及隐私管理等内容，因此，数据安全更多地强调数据本身的安全，信息安全关注的范围则大得多，既包括信息本身的安全，也包括载体、处理设施直至处理者的安全。 换句话说，在应用中，数据安全用的是狭义的概念，信息安全用的则是广义的概念。讨论数据安全的时候，一般紧紧围绕数据本身，主要关注数据整个生命周期的管理，而在讨论信息安全的时候，则是以信息为核心，关注与安全相关的所有方面。这种不同的关注点，可能是由于词汇变迁所造成的。通信安全、计算机安全、网络安全（Network Security）和信息安全等是不同时期侧重点不同所产生的同义词汇，从产生就泛指广义的与信息相关的安全。数据安全和网络安全（Cybersecurity）等则是具有不同含义的词汇，各有其专指的领域，词汇含义本身就是聚焦的。 “良好实践”在信息安全发展中起了基础性的作用 信息安全所要解决的核心问题，就是如何保障信息的安全。在解决这个问题的过程中进行了各种各样的尝试。在第一阶段，业界更多地关注技术手段，“以信息技术（IT）系统解决IT安全”，在这种认识下，防火墙、防病毒和入侵检测（IDS）一度被合称为“信息安全老三样”。在第二阶段，业界越来越意识到，“仅靠技术解决不了任何问题”，于是管理得到了重视。随着认识的提高，自然而然地发展到第三阶段，从业人员不再纠缠技术重要还是管理重要，总结出了各种各样的“实践集”，例如，ISF（Information Security Forum，信息安全论坛）发布了SoGP（Standard of Good Practice for Information Security，信息安全良好实践标准），ISO（国际标准化组织）/IEC（国际电工委员会）JTC1/SC27发布了ISO/IEC 27002（信息安全管理实用规则）。 这个过程就应用了“良好实践”的思想。良好实践是一个重要的管理学概念，起源于全面质量管理（Total Quality Management，TQM）领域，在早期的文献中，该词汇一般被表述为“最佳实践（Best Practice）”。“良好实践”或“最佳实践”在应用中并无本质区别，只是随着认识的深入，换了一个更为客观的说法。在近期发布的文档中，更多地用“良好实践”词汇。事实上，“良好实践”理论已经成为一种建立在归纳逻辑上的方法论，国际标准化组织（ISO）更是发布了A Guide to Good Practice（《良好实践指引》）。 一般而言，如何应对新事物或一种新现象，搞清楚其真实的原理需要一定的时间，在这个阶段，总是要采取一定的应对措施，这些措施需要“听起来符合逻辑的因果关系解释”。纵观信息安全发展过程，每一个阶段的实践都被贴上“最佳实践”的标签，这些所谓的“最佳”随着认识的提高也在不停地修正，例如，ISO/IEC 27002:2005有11个控制域，39个控制目标，133项控制；ISO/IEC 27002:2013中有14个控制域，35个控制目标，114项控制。 当然，良好实践更不能在形式上证明是正确的，只是在实践中被证明是有用的。在整个信息安全领域中，最具理论基础、唯一能够称之为“学”的，只有密码学。即便如此，除了“一次一密”能在理论上证明安全性，其他密码算法也只能在应用中证实其强度和实用性，严格意义上讲，密码算法也是“良好实践”。 数据安全是银行业最重视的领域之一 毫无疑问，数据安全，尤其是包括隐私在内的个人数据安全以及银行机密数据安全，已经成为目前业界关注的热点。和信息安全最初出现一样，数据安全也没有现成的经验可以借鉴。在这种情况下，利用“良好实践”开发新的方法是最可行的途径之一。中国金融认证中心（CFCA）与国内诸多银行成立联合项目组，在现有经验的基础上重点从三个维度考虑银行业的数据安全实践： ● 应做（Should）什么？基于银行业的法律法规要求，满足组织的内外合规问题。获取合法性是组织能够正常运营的基础之一。 ● 可做（May）什么？基于银行的自身业务发展考虑，例如，银行的组织战略规划以及相应的IT规划等，此处强调的是可能性与市场机会。 ● 能做（Can）什么？基于银行自身的业务现状，数据安全现状以及财务状况等因素考虑，与上述相比较，这里考虑更多的是现状。 以银行业的内外合规为例，国内银行在数据安全方面不但要遵守《中华人民共和国网络安全法》等强制性的法律法规、网络安全等级保护等强制性标准，还要遵守中国人民银行和中国银行保险监督管理委员会等监管机构的要求，例如，表1所示的规范性文件。 [2] 数据安全CPA（分级—处理—审计）的模型设计 对于所有的“良好实践”而言，一般都要包括两部分：一是实践集；二是方法论。以目前常见的良好实践为例，例如，全面质量管理、信息安全管理体系和联邦企业架构等，都可以按照上述两个要素去考虑，对应关系如图1所示。 [3] 综上所述，设计数据安全的基本模型，并根据其中所包含的过程命名。 CPA模型是根据其中最重要的三个步骤命名，包括数据分级（Classification）、数据处理（Processing）和数据审计（Audit）。具体如图2所示。 [4] 在数据安全CPA模型中，数据安全模型沿用了美国国家标准与技术研究院（NIST）SP800-39（管理信息安全风险：组织、任务与信息系统视角）的纵向分层：治理层、管理层和控制层。 治理层主要关注组织整体层面的问题，例如，管理架构和保证资源提供等内容，在公司治理中，治理主体主要涉及的人员是董事会和高层管理。在CPA模型中，将数据的分类分级列入治理层，因为定义数据的级别是一个战略问题，这主要取决于数据对组织主营业务的重要程度。分级（Classification）词汇主要来源于ISO/IEC 27002:2013中信息分级的概念，数据分级是数据保护的起点，只有在此基础上，人员的角色才有效。 管理层主要关注业务过程层面的问题。在CPA模型中，数据全生命周期管理就在这个层面中，在管理层，将其统称为处理（Processing），该词汇主要来源于《欧盟通用数据保护法规》（General Data Protection Regulation，GDPR）。处理是GDPR中的一个重要的概念，覆盖了针对个人数据的各类操作，例如，收集、记录、组织、建构、存储、适应或修改、检索、咨询、使用、披露、传播或以其他方式应用，排列或组合、限制、抹除或销毁等。用于数据处理的技术是中性的，可以是手工的，也可以是自动的。 控制层主要关注具体可落地的策略或信息系统层面的问题。在CPA模型中，无论是技术手段还是管理手段的落地，都在控制层实现。审计（Audit）之所以被单独拿出来，是由于审计是值得特别强调的活动。Audit是一个比较通用的词汇，可以翻译为“审计”，在管理体系标准族中也被翻译为“审核”。 数据安全CPA模型如何在银行业中应用 数据安全CPA模型在方法论层次按照治理、管理和控制分别定义了主要活动，在实际应用中，要根据应用领域的不同输入具体的要求，确保三个层面的一致性，达到数据安全目标。 在个人信息保护方面,网络安全法和GDPR等涉及个人信息保护法律法规的实施，标志着从国家层面对个人信息的重视程度逐步提升。组织从管理层保障个人信息保护的人、财、物等需求，明确个人信息分类分级标准，达到组织各个层面对不同个人信息的认知的统一，再按照数据生命周期完善相应的技术和管理措施，最终满足个人信息保护的合规要求。如果组织按照GB/T 35273-2017完善个人信息保护管理和技术措施，则应该分解具体的条款要求后，加入CPA模型。以数据收集为例，如图3所示。 [5] CPA模型还可以广泛地应用到各类商业组织。商业组织之间的竞争在某种程度上是核心数据的竞争，如何有效保护商业组织敏感数据，使商业组织在竞争中保持领先优势，成为商业组织关注的重点。商业组织建立有效的敏感数据防护体系，需要按照CPA模型要求，结合组织实际，按照治理、管理、控制三个层面自上而下地开展敏感数据保护，确保整体商业组织对敏感数据认知和防护措施的一致性。以数据分级为例，组织可以按照商业敏感数据进行分级，例如，可以分为机密、内部使用和公开三个级别。如图4所示： [6] CPA模型在数据安全领域有着广泛的实践，任何涉及大量处理个人隐私数据的行业，如金融、政府、医疗卫生、教育等；或者保有大量交易、商品、订单、技术秘密等商业秘密的行业，如电子商务、能源、制造业、航空航天等，都对数据安全有着天然的敏感与依赖。利用CPA框架有效建立和完善数据安全治理、管理、控制纵向分层安全机制，并通过分级、处理、审计体系，从事前、事中、事后对数据进行全生命周期的安全保障，才能保证组织核心命脉数据的安全、可控。 ［季小杰为中国金融认证中心（CFCA）总经理，谢宗晓为中国金融认证中心（CFCA）信息安全服务部助理总经理。本文编辑/王蕾］ [1] http://211.144.136.102/wp-content/uploads/2018/09/2.png [2] http://211.144.136.102/wp-content/uploads/2018/09/8.png [3] http://211.144.136.102/wp-content/uploads/2018/09/9.png [4] http://211.144.136.102/wp-content/uploads/2018/09/10.png [5] http://211.144.136.102/wp-content/uploads/2018/09/11.png [6] http://211.144.136.102/wp-content/uploads/2018/09/12.png
上一篇：叶望春：金融科技助力商业银行轻型化转型
下一篇：秦辉：互联网技术与银行轻型化实践