银行业
数据安全体系建设指南
(版本:1.0)
2020 年 12 月
目 次
前 言 .................................................................................................................................. 1
引 言 .................................................................................................................................. 2
1 范围 .............................................................................................................................. 3
2 规范性引用文件 ............................................................................................................ 3
3 术语和定义 .................................................................................................................... 3
4 数据安全需求 ................................................................................................................ 4
5 总体思路 ....................................................................................................................... 4
6 数据安全体系建设 ......................................................................................................... 5
6.1 确立组织与角色 ..................................................................................................... 5
6.2 数据资产梳理 ......................................................................................................... 6
6.3 数据分类分级 ......................................................................................................... 7
6.4 数据资产风险与影响评估 ..................................................................................... 10
6.5 建立制度规范体系 ................................................................................................ 11
6.6 数据安全技术能力建设 ......................................................................................... 12
7 数据环境安全 .............................................................................................................. 13
7.1 应用安全 .............................................................................................................. 13
7.2 存储介质安全 ....................................................................................................... 14
8 数据场景安全 .............................................................................................................. 14
8.1 大数据平台........................................................................................................... 14
8.2 数据提取 .............................................................................................................. 19
8.3 生产数据运维 ....................................................................................................... 20
9 前沿技术运用 .............................................................................................................. 22
9.1 同态加密 .............................................................................................................. 22
9.2 安全多方计算 ....................................................................................................... 22
9.3 联邦学习 .............................................................................................................. 23
9.4 可信执行环境 ....................................................................................................... 23
9.5 数字水印与数字指纹 ............................................................................................ 24
10 数据安全体系建设趋势 ............................................................................................ 24
10.1 安全能力组件化 ................................................................................................ 24
10.2 风险管理中心化 ................................................................................................ 25
I
数据安全体系建设指南
前 言
本指南旨在客观提出数据安全体系建设的一些建议,仅供参考。
本指南内容可能涉及专利,本指南的发布机构不承担识别这些专利的责任。
本指南由腾讯云计算(北京)有限责任公司提出并归口。
本指南起草单位: 腾讯云计算(北京)有限责任公司、银行卡检测中心、南京网络空间
安全技术研究院、北京中安星云软件技术有限公司、北京芯盾时代科技有限公司、杭州世平
信息科技有限公司、闪捷信息科技有限公司
本指南主要起草人:刘海洋、李博文、吴鹤意、方昊、宋辉、张洪林、尹晓东、顾益宇、
陈广辉
联合发布:银行卡检测中心
特别鸣谢:
平安银行股份有限公司 王延辉
阜新银行股份有限公司 李阅兵
银 行 卡 检 测 中 心 张 勇
第1页
数据安全体系建设指南
引 言
没有网络安全就没有国家安全,网络安全的核心就是数据安全。金融数据安全关系并影
响着公民个人金融权益、社会安全稳定,数据成为国家的重要战略资源。
2020 年 2 月,中国人民银行正式发布《个人金融信息保护技术规范》(JR/T 0171-2020)。
要求各金融机构结合实际按照《规范》加强个人金融信息全生命周期技术管理。2020 年 3 月,
人民银行下发《关于开展金融科技应用风险专项摸排工作的通知》(银办发〔2020〕45 号),
要求各地人民银行分支机构对辖内金融机构开展包括 JR/T 0171 执行、大数据应用安全性等
情况的摸排。2020 年 7 月,《中华人民共和国数据安全法(草案)》在中国人大网公布。可
见,国家正在不断完善数据安全的法律法规体系。
银行业是数据应用的核心区,也往往成为数据问题产生的重灾区。银行业高度重视用户
数据的保护,在数据安全防护措施方面不断建设和升级,在所有行业中保持领先。随着大数
据时代的到来,银行数据也在不断地被挖掘和利用,复杂的数据使用场景使传统的安全措施
难以发挥效应,单点防护的方式愈发不能满足数据安全需求,因此,银行业需要体系化地考
虑数据安全防护工作。
为更好地帮助银行业建设数据安全体系,腾讯安全签头联合银行机构和生态伙伴,对银
行数据场景进行深度调研,对前沿技术进行研究和学习,编写完成了本指南。本指南针对银
行业数据特征从体系化建设、数据场景安全、数据环境安全、前沿数据安全技术和趋势等内
容进行阐述,并提供了方法论。
第2页
数据安全体系建设指南
1 范围
本指南根据银行对数据使用场景的深入分析,结合相关法律法规、国家及行业标准,提
出一些具体的方法和建议。
本指南适用于银行(包括信用卡中心)数据安全体系建设、大数据平台安全管控、数据
提取和生产数据运维安全管控。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适
用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
《中华人民共和国数据安全法》草案
JR/T 0197-2020 《金融数据安全 数据安全分级指南》
JR/T 0171-2020 《个人金融信息保护技术规范》
JR/T 0068-2020 《网上银行系统信息安全通用规范》
GB/T 35273-2020 《信息安全技术 个人信息安全规范》
ISO/IEC 27701-2019《隐私信息管理体系(PIMS)》
GB/T 37988-2019 《信息安全技术 数据安全能力成熟度模型》
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》
GB/T 37973-2019《信息安全技术 大数据安全管理指南》
3 术语和定义
数据资产(Data Assets)
由个人或企业拥有或者控制的,能够为企业带来未来经济利益的,以物理或电子的方式
记录的数据资源。
数据治理(Data Governance)
数据治理包括制定数据标准、提升数据质量、清理脏数据、去重等一系列数据的基础处
理工作,数据治理的越好,数据价值则更容易提升。
数据脱敏(Data Desensitization)
通过对数据进行一定的处理达到防止泄露的目的,数据脱敏算法包括遮蔽、仿真、随机
替换等。
数据提取(Data Extraction)
第3页
从原始数据中获取所需数据的过程,或者说,从源数据源系统抽取出目的数据源系统所
数据安全体系建设指南
需要的数据。实际应用中,数据源较多采用的是关系数据库。
同态加密(Homomorphic Encryption)
同态加密是基于数学难题的计算复杂性理论的密码学技术。对经过同态加密的数据进行
处理得到一个输出,将这一输出进行解密,其结果与用同一方法处理未加密的原始数据得到
的输出结果是一样的。
安全多方计算(Secure Multi-Party Computation)
安全多方计算主要解决无可信第三方的情况下,如何安全地计算一个约定函数的问题。
安全多方计算是电子选举、门限签名以及电子拍卖等诸多应用得以实施的密码学基础。
4 数据安全需求
贯彻落实《中华人民共和国网络安全法》以及数据安全管理方面的法律、法规、标准,
以防滥用、防泄露作为数据安全核心需求,以合法合规为底线、以管理流程为手段、以技术
措施为核心,建设具备与所面临的安全风险相匹配的数据安全能力体系。
强化“账号管理”、“认证管理”、“权限管理”等访问控制,落地 “去标识化”、“匿名
化”、“加解密”、“审计管理”等安全技术,全面提升数据安全管理水平。仅允许员工以“业务必
须”、“最小必要”的原则合理接触、访问、使用敏感数据,降低数据暴露风险,同时确保数据
不被内外部未经合法授权的实体使用。
5 总体思路
根据银行业的数据应用状况及数据安全管控现状,建议数据安全体系从组织角色、资产
梳理、数据分类分级、资产风险与影响评估、制度规范、技术能力六个方面进行建设,并基
于这六个维度支撑数据场景,如下图所示:
步骤一:确立组织与角色
第4页
数据安全体系建设指南
数据安全管理角色需要有一定的权利,以及高级别领导的支持,才能顺利开展数据安全
管控工作。因此,确立组织和角色是开展数据安全体系建设的前提。
步骤二:数据资产梳理
准确的掌握自身的数据资产状况可以使数据安全管控手段得以充分发挥,实现精准防护,
规避数据安全防护短板现象。数据资产梳理包括数据资产状况、访问状况、权限状况三个方
面。
步骤三:数据分类分级
数据分类分级的价值包括辅助决策、数据认责、定向管控等。
步骤四:数据资产风险与影响评估
结合数据资产梳理的结果,对数据安全可能存在的风险进行评估,并对风险进行影响评
估,明确容忍范围,为后续的管控工作提供依据。
步骤五:建立制度规范体系
制度与规范是日常数据安全管理工作的标准,是数据安全技术运用的依据,制度与规范
要符合实际状况,切实可行、覆盖全面。
步骤六:数据安全技术能力建设
数据安全技术能力包括数据加解密、数据脱敏、数据库访问控制、数据安全审计、数据
风险感知等。
6 数据安全体系建设
6.1 确立组织与角色
银行业数据安全体系建设是一项体系化非常强的工作,需要充分考虑企业内部 IT 系统、
数据资源以及业务应用的发展现状,在此基础上设计一套有针对性的组织架构和管理流程,
通过明确相关人员的“责权利”以保障各项工作的有序开展。
建议在数据安全体系建设的初期,成立专门的数据安全治理组织,确定数据安全治理相
关政策的制定、落实和监督由谁长期负责。该组织可以是虚拟形式,可称为数据安全治理委
员会或数据安全治理小组,成员由数据的利益相关者和专家构成。该组织的成立,标志着数
据安全治理工作正式启动,使组织内数据安全规范制定、数据安全技术使用、数据安全体系
建设得以不断完善。该组织成立后,履行以下职责:
1. 数据资产分类分级原则的制定;
2. 数据安全使用(管理)规范的制定;
3. 数据安全治理技术的引入;
第5页
数据安全体系建设指南
4. 数据安全使用规范的监督执行;
5. 数据安全治理的持续演进。
数据安全治理机构的组成人员按照职责划分,一般可以分为四种角色:决策人员、管理
人员、执行人员、审计人员。
决策人员的主要职责是根据银行发展战略,结合其信息安全策略方针,制定符合银行业
务发展的数据安全治理战略方针;并授权指派管理人员开展数据安全治理工作;对管理人员
的工作进行指导和定期检查;对审计人员反馈的问题进行督导问责和解决。
管理人员的主要职责是根据银行数据安全治理战略方针完善相关的数据安全管理制度,
规划数据安全体系建设项目;并向决策人员定期汇报数据安全治理工作情况;对执行人员的
数据安全治理工作进行检查和指导;配合审计组织的监督和检查。
执行人员的主要职责是负责具体的数据安全治理工作的实施和执行;并定期向管理人员
汇报,接受和配合审计人员的监督和检查。
审计人员的主要职责是对管理人员和执行人员日常的数据安全治理工作进行监督和检
查,并将检查结果反馈给决策人员,跟踪审计问题的解决情况等。
这四种角色之间的关系如下图所示:
6.2 数据资产梳理
数据资产梳理是指对银行的数据资产进行全面清查、摸排,构建企业级的数据资产目录
的过程。数据资产梳理是数据安全体系建设及数据资产管理中的一项基础性工作,其重要性
体现在:
1. 认识数据是一切数据资产价值的源头,只有进行数据资产梳理,了解数据所代表的含
义,才能进行数据资产管理和数据安全体系建设。
第6页