北京 2013-06-07(中国商业电讯)--5月4日上午,北京市委书记围绕“优化创新创业环境,服务青年成长发展”主题到中关村调研并参观启明星辰公司。
随着金融行业的信息系统不断增多,客户信息等关键数据急剧增加。近几年,银行信息数据泄露事件频频发生,不仅给客户带来直接经济损失,而且给银行的声誉带来负面影响。基于这些事件的发生,国家法律、监管部门、行业监管部门出台了一些要求和标准,其中,如何保证生产数据安全使用成为重要的问题。
建立安全管理规范
数据安全管理可以对内部数据的使用范围、数据流转等进行控制管理,以防止数据信息被非法授权查看、复制和篡改。银监会信息科技风险管理指引中明确提出“商业银行应制定明确的制度和流程,严格从生产数据采集、处理、存贮、传输、分发、备份、恢复、清理和销毁等环节管理,防止信息泄露。
数据安全管理除了在流程上进行管控,也应该从物理环境上做控制,如:环境通过安全域划分与隔离;提供生产数据给开发测试使用,对生产数据做相应变形处理;制定相应的制度规范来约束和管理数据使用人员。银监会信息科技风险现场检查指南中明确要求“测试中如需使用生产数据,应对相应数据进行脱敏、变形处理,当使用生产数据测试时是否得到高级管理层的审批并采取相关限制及进行脱敏处理”。
按照银监会风险防范的有关要求,结合监管实践,建议监管机构围绕分解任务、明确分工、落实责任的原则,强化内控建设。银行业为满足IT体系建设健全发展,制定数据管理规范化、系统化,加快制度建设进程,完善敏感信息数据保护制度。从银行内部制度来定义生产数据类型敏感信息分类、部门职责、审批流程,生产数据提取与处理、数据使用要求和监督检查等。规范中严格要求数据管理中能做什么、不能做什么、如何来执行,提高人员数据保护安全意识,也更符合法律和监管部门的要求。
数据变形处理
银行生产数据中存在着大量的客户信息,在开发、测试等做功能性测试和接口性测试过程中,需要将生产数据进行变形处理后使用,既保证生成的数据的有效性,又能保证数据无实际意义。目前银行业数据字段脱敏变形处理分为两大类:1、有校验规则数据类型字段包括:身份证、组织机构代码证、贷款卡等。2、无校验位数据类型:涉及客户名称类字段,使用同一种变形规则处理,企业客户保留原有特殊字眼,如:“银行”、“小额贷款”、“保险”等字样;涉及账户、证件、其他联系信息类,按同一种变形规则处理;密码类、地址类,按统一置换方式处理;手机电话、固定电话按保留前3位,后面字符按同一种变形规则处理。保证变形后数据一致性,以及确保在开发测试环境中能够正常使用。
金融数据的安全管理和使用,需要从数据的整个生命周期进行管控,在数据申请、审批、变形处理、提取、使用、销毁等各阶段,完善敏感信息保护制度;监督行业人员提高认识,强化敏感信息保护管理;监管部门加大力度,严格把关,完善监管规章;增强同行业交流,提升客户信息管理水平。
启明星辰长期关注数据安全、敏感信息防护,为国内银行客户提供具有国际竞争力的最佳安全实践服务,帮助建立并完善生产数据的管理规范和技术体系框架,从而全面提升生产数据开发测试阶段的整体安全防护水平,保障客户信息的安全。(启明星辰 方立全)