CFCA助力金融业客户信息保护有效落地

字号:

CFCA助力金融业客户信息保护有效落地

  日前,中国金融认证中心(CFCA)信息安全服务部助理总经理谢宗晓博士受邀出席“第十一届中国城市商业银行信息化发展创新座谈会”,从“信息安全建设规范性”话题引出,发表题为《如何利用“良好实践”提升信息安全管理》的演讲。对于金融业客户,具体该如何提升信息安全管理水平,进而提高信息安全防御能力? CFCA金融业客户信息安全保护解决方案可提供最佳实践与落地帮助。

  在互联网和大数据时代,随着数据价值的提升,给金融业带来新的机遇与挑战,金融机构积极布局大数据金融,与传统行业相比,大数据金融一方面表现出透明度更强、参与度更高、协作性更好、中间成本更低等一系列优势,另一方面也面临着诸多新问题,包括软件和数据的处理能力、资源共享和数据管理等。这些挑战广泛地分布在大数据的存储、分析、管理和数据安全等各个方面。大数据金融的互联网属性也带来了网络身份确认、假冒网站、交易欺诈等一系列问题,造成了层出不穷的客户信息数据泄密事件,综上所述,对客户信息的保护带来了严峻的考验。

  我国近期施行或出台的法律法规和相关标准,如《网络安全法》、《个人信息安全规范》等,明显加强了对个人信息保护的重视。中国人民银行以及银监会针对银行业个人信息保护联合相关部门发布了《关于开展联合整治非法买卖银行卡信息专项行动的通知》(银发〔2016〕235号)、《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》(银监办发[2017]2号)等相关文件,针对银行业的客户信息保护提出了明确具体的要求。

  在银行信息化时代,如何加强银行机构的内部控制,防范和化解客户信息泄露风险,降低客户信息处理过程中的法律和合规风险,是当前金融业信息安全管理应重点关注的领域,也是业务长远发展的关键所在。

  银行业客户信息分类有:一是银行内部使用客户信息,二是银行集团内部使用客户信息,三是因业务需要向第三方提供客户信息。银行业客户信息一般是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、生物识别信息、住址、通信通讯联系方式、账号密码、财产信息、征信信息、交易信息等。

  CFCA金融业客户信息安全保护解决方案,遵循客户信息安全保护最佳实践采用的安全标准与规范,强结合金融业客户信息保护监管要求,遵循“责任明确、授权合理、流程规范、技管结合”原则,对客户信息采集、传输、存储、处理、交换和销毁全生命周期安全风险梳理,在此基础上与现有安全体系框架进行流程上的差距和风险分析,有针对性的与现有信息安全控制层进行整合与嵌入。有效提升金融业信息系统的客户信息安全防护水平,进一步提高金融业安全防御能力。

  CFCA客户信息安全保护解决方案同时借鉴《数据安全成熟度能力模型》,结合监管层面关于客户信息安全保护方面的法律法规要求进行逐条的梳理,按照组织建设、制度流程、技术工具、人员能力四个维度定义客户信息生命周期安全过程域和基本实践,指导银行机构持续改进以达到所对应的安全要求。

CFCA助力金融业客户信息保护有效落地

客户信息保护成熟度模型

  针对银行机构的客户信息安全能力进行评估,能够很好地帮助机构自身及合作伙伴评估客户信息安全能力,真正找到管理与技术差距。有的放矢地提升客户信息安全保护能力,并作为客户信息共享的风险评判依据,切实做到客户信息安全可管、可控、可信。具体体现在如下两方面:

  安全管理方面:对《网络安全法》、《个人信息安全规范》、《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》等监管要求按照客户信息生命周期进行逐条拆分,选择相应的业务部门按照制度健全性和执行有效性两个层面进行评估,查找存在的不足和薄弱点。

  安全技术方面:按照安全风险评估、基线稽核、脆弱账号专项检查、账号与授权管理、安全域划分与防护、业务应用安全检查等方法,针对承载客户信息的各类银行业信息系统进行测评,查找客户信息保护的系统风险。

  目前,CFCA客户信息保护解决方案已与某大型城商行达成初步合作协议,CFCA客户信息保护解决方案助力金融业增强客户信息保护能力,为提升客户信息保护水平提供坚实的支撑。  

//百度统计