以下内容转载自GARP官方公众号,如有侵权请联系删除。
在当今数字化时代,数据安全已成为银行保险机构面临的一项重要挑战。随着金融业务的日益复杂和信息化程度的提高,数据安全风险也日益突出。
3月22日,国家金融监督管理总局在其官方网站上发布了《银行保险机构数据安全管理办法(公开征求意见稿)》(以下简称《办法》) ,旨在进一步加强银行保险机构的数据安全管理工作,保障金融市场的稳定运行和消费者的合法权益。
一、《办法》制定的背景
金融监管总局有关司局负责人指出,近年来,《数据安全法》和《个人信息保护法》等法律相继发布,对规范数据处理活动、个人信息保护等提出了明确要求。同时,金融行业数字化变革加速演进,新技术、新业务模式不断涌现,数据的使用、加工、传输、共享等活动日益频繁,进一步凸显数据安全保护的重要性。对此,有必要充分发挥监管的“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部制度,采取有效的措施加强数据管理和保护,确保客户信息和金融交易数据安全。
《办法》共九章八十一条,对数据安全治理架构、数据分类分级标准、个人信息保护细则、数据安全风险监测与处置机制等关键内容予以明确和完善。据上述负责人介绍,《办法》有五大特点,其中之一是将数据安全风险纳入全面风险管理体系。要求银行保险机构明确管理流程,主动评估风险,对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。
二、银行保险机构的数据安全风险内涵
随着传统金融行业的数字化转型,金融行业是产生和积累数据量最大、数据类型最丰富的领域之一。金融行业必须要守护好数据安全。银行保险机构的数据安全风险主要表现在以下几个方面:
客户数据泄露:银行保险机构存储着大量的客户个人信息和财务数据,比如身份信息、银行账号、信用卡信息等。如果这些信息泄露,将导致客户的隐私受到侵犯,可能导致身份盗窃、金融诈骗等问题。
网络攻击和黑客入侵:银行保险机构面临来自黑客和网络犯罪分子的不断威胁,包括恶意软件、网络钓鱼、勒索软件等攻击手段。这些攻击可能导致客户数据被窃取,造成严重的财务损失和声誉风险。
内部威胁:银行保险机构内部员工或合作伙伴可能存在不当行为,如数据滥用、泄露敏感信息等,可能导致数据泄露和盗窃,甚至破坏金融机构的信誉。
第三方风险:银行保险机构通常与各种供应商、合作伙伴或承包商合作,这些第三方也可能存在安全漏洞,影响到机构的信息系统和业务流程。
合规和法律风险:银行保险机构需要遵守众多的合规要求和法律法规,一旦违反可能面临严重的法律责任和罚款,也可能导致客户流失和信誉受损。
由此可见,银行保险机构的数据安全风险涵盖了多个方面,需要这些机构进一步明确管理流程,对数据安全风险进行监测、评估、应急响应及报告,从而有效防范和处置数据安全风险。《办法》的出台明确了将数据安全风险纳入全面风险管理体系,为银行保险机构提供了明确的数据安全风险管理指导。
三、将数据安全风险纳入全面风险管理体系
按照《办法》的要求,银行保险机构需要将数据安全风险纳入全面风险管理体系,从而有效保护客户数据和信息系统的安全。那具体如何实施呢?
首先,银行保险机构需要进行全面的风险识别和评估,认清数据安全风险的来源和潜在影响。这包括识别可能导致数据泄露、网络攻击、内部威胁等各种安全事件的可能性和严重性。
其次, 银行保险机构需要建立完善的数据安全政策和程序,明确数据的分类、访问控制、加密、备份和恢复等措施,以确保数据在存储、传输和处理过程中得到有效保护。同时,建立健全的风险监测和控制措施,实时监测数据安全事件和异常活动,这包括使用安全信息与事件管理(SIEM)系统、入侵检测系统(IDS)、终端安全控制等技术手段,及时发现和应对安全威胁。
此外,银行保险机构还需要建立应对措施和预案,以应对可能发生的数据安全事件。根据影响范围和程度,数据安全事件应分为特别重大、重大、较大和一般四个事件级别。银行保险机构应建立数据安全事件应急管理机制,制定数据安全事件的应急预案。一旦发生数据安全事件,应当立即启动应急处置,分析事件原因、评估事件影响、开展事件定级,按照预案及时采取业务、技术等措施控制事态。
最后,银行保险机构需要建立数据安全事件报告机制,根据事件安全等级制定报告流程,发生数据安全事件时按照规定报告。此外,应建立持续改进和审查机制,定期审查和评估其数据安全管理体系的有效性和合规性,及时调整和改进数据安全风险管理的措施。
四、进一步的想法
国家金融监督管理总局近期出台的《办法》对银行保险机构的数据安全风险管理具有重大意义,该办法要求机构将数据安全风险纳入全面风险管理体系,加强对数据安全风险的识别、评估和监测。这有助于机构进一步增强对数据安全风险的全面认识,采取相应的管理措施来更好地保护客户数据和信息系统的安全,降低数据安全风险对机构的影响和损失。
《办法》要求银行保险机构应当每年开展一次数据安全风险评估。银行保险机构风险管理、内控合规和审计部门负责将数据安全纳入全面风险管理体系、内控评价体系,定期开展审计、监督检查与评价,督促问题整改和开展问责。
银行保险机构的风险管理专业人士(FRM®持证人)需要掌握多方面的知识和技能,包括数据安全知识、信息技术知识、数据安全风险管理方法、安全技术工具以及良好的应急相应能力和沟通协调能力,才能更好地应对数据安全风险,保障机构的稳健发展。
了解详情11800/2年