以(yi)下內容轉載(zai)自GARP官方公眾號，如有侵權請聯(lian)系刪除。

在(zai)當今(jin)數(shu)字(zi)化(hua)(hua)時(shi)代，數(shu)據(ju)安全(quan)已成為銀行(xing)保險機構(gou)面臨的(de)一(yi)項重要挑戰。隨著金融業務的(de)日益復(fu)雜(za)和信(xin)息(xi)化(hua)(hua)程度的(de)提高(gao)，數(shu)據(ju)安全(quan)風險也日益突(tu)出。

3月22日，國家(jia)金(jin)(jin)融監督管(guan)理總局(ju)在其官方網站(zhan)上發布了《銀行(xing)保(bao)險(xian)機構數(shu)據安全管(guan)理辦(ban)法(fa)(公(gong)開征求意見稿)》(以下簡稱《辦(ban)法(fa)》) ，旨在進一(yi)步加強銀行(xing)保(bao)險(xian)機構的數(shu)據安全管(guan)理工作，保(bao)障金(jin)(jin)融市(shi)場的穩(wen)定(ding)運(yun)行(xing)和消費者的合(he)法(fa)權益。

一、《辦法》制定的背景 

金(jin)融監管總局(ju)有關司局(ju)負責(ze)人(ren)(ren)指出，近(jin)年來，《數(shu)(shu)據安(an)全法(fa)》和(he)《個(ge)人(ren)(ren)信(xin)息保護法(fa)》等法(fa)律相繼發(fa)布(bu)，對(dui)規(gui)范數(shu)(shu)據處(chu)理活動、個(ge)人(ren)(ren)信(xin)息保護等提出了(le)明確要(yao)求。同時，金(jin)融行業數(shu)(shu)字化(hua)變革(ge)加(jia)速(su)演進，新(xin)技術(shu)、新(xin)業務模式不斷涌現，數(shu)(shu)據的(de)使(shi)用(yong)、加(jia)工、傳輸、共享等活動日益頻繁，進一(yi)步凸顯數(shu)(shu)據安(an)全保護的(de)重要(yao)性。對(dui)此，有必要(yao)充(chong)分發(fa)揮(hui)監管的(de)“指揮(hui)棒”作(zuo)用(yong)，通過強化(hua)政策要(yao)求引導銀行保險(xian)機構壓(ya)實主體(ti)責(ze)任(ren)，完(wan)善內部制度，采取有效的(de)措施(shi)加(jia)強數(shu)(shu)據管理和(he)保護，確保客戶(hu)信(xin)息和(he)金(jin)融交(jiao)易數(shu)(shu)據安(an)全。

《辦法》共九章(zhang)八十一條，對數據(ju)安(an)(an)全治(zhi)理架構、數據(ju)分類(lei)分級標準、個(ge)人信息保護細(xi)則、數據(ju)安(an)(an)全風(feng)(feng)險(xian)監(jian)測與處置機制(zhi)等關鍵內容予(yu)以明(ming)確(que)(que)和(he)完善。據(ju)上述負責人介(jie)紹(shao)，《辦法》有五大(da)特(te)點，其中之一是將數據(ju)安(an)(an)全風(feng)(feng)險(xian)納入全面風(feng)(feng)險(xian)管(guan)理體系。要(yao)求銀(yin)行保險(xian)機構明(ming)確(que)(que)管(guan)理流程(cheng)，主動評估風(feng)(feng)險(xian)，對數據(ju)安(an)(an)全風(feng)(feng)險(xian)進行有效監(jian)測，防止數據(ju)破壞、泄露、非法利用等安(an)(an)全事件發生。風(feng)(feng)險(xian)管(guan)理、內控合規和(he)審(shen)計部(bu)門(men)定期(qi)對數據(ju)安(an)(an)全開展審(shen)計、監(jian)督檢查與評價。

二、銀行保險機構的數據安全風險內涵 

隨著傳統金(jin)(jin)融行(xing)業的數(shu)字(zi)化轉型(xing)，金(jin)(jin)融行(xing)業是(shi)產(chan)生和積累數(shu)據量(liang)最大、數(shu)據類(lei)型(xing)最豐(feng)富(fu)的領域(yu)之一(yi)。金(jin)(jin)融行(xing)業必須要(yao)守護好數(shu)據安(an)全。銀行(xing)保險機(ji)構的數(shu)據安(an)全風險主要(yao)表現在(zai)以下幾(ji)個方面：

客戶數(shu)據泄露：銀(yin)行保險機構存(cun)儲著大量的客戶個人信(xin)息(xi)和財務數(shu)據，比(bi)如身(shen)份信(xin)息(xi)、銀(yin)行賬號、信(xin)用卡信(xin)息(xi)等。如果這(zhe)些(xie)信(xin)息(xi)泄露，將導(dao)致客戶的隱私受到侵犯，可能導(dao)致身(shen)份盜竊、金(jin)融詐騙等問(wen)題。

網(wang)絡攻擊(ji)(ji)和(he)黑客入侵：銀行保險機構面臨來自黑客和(he)網(wang)絡犯罪分(fen)子的不斷威(wei)脅，包括(kuo)惡意(yi)軟件(jian)、網(wang)絡釣魚、勒索(suo)軟件(jian)等攻擊(ji)(ji)手段(duan)。這些攻擊(ji)(ji)可能導(dao)致客戶數(shu)據被竊取(qu)，造成嚴(yan)重的財務損失和(he)聲譽風險。

內(nei)部(bu)威脅(xie)：銀(yin)行(xing)保(bao)險機(ji)構內(nei)部(bu)員工或合作伙(huo)伴可(ke)能存在不(bu)當(dang)行(xing)為，如數據濫用、泄露(lu)敏感(gan)信(xin)息等，可(ke)能導致數據泄露(lu)和盜(dao)竊，甚(shen)至破壞金融(rong)機(ji)構的信(xin)譽。

第三(san)方風險：銀行保險機(ji)構通常與各種供應商、合作伙伴或承包商合作，這些第三(san)方也可能存在安全漏洞，影響到(dao)機(ji)構的信息系統和(he)業務(wu)流程。

合規(gui)和(he)法(fa)(fa)律風險：銀行保(bao)險機構需要(yao)遵守眾多的合規(gui)要(yao)求和(he)法(fa)(fa)律法(fa)(fa)規(gui)，一(yi)旦(dan)違反可(ke)能(neng)(neng)面臨嚴重的法(fa)(fa)律責任和(he)罰款，也可(ke)能(neng)(neng)導致客戶(hu)流失(shi)和(he)信(xin)譽受損。

由此可(ke)見，銀行保(bao)(bao)險(xian)(xian)機構的(de)數(shu)據(ju)(ju)安(an)全風(feng)(feng)險(xian)(xian)涵(han)蓋了多個方面(mian)，需(xu)要這(zhe)些(xie)機構進一步明(ming)(ming)確管(guan)(guan)理流程(cheng)，對數(shu)據(ju)(ju)安(an)全風(feng)(feng)險(xian)(xian)進行監測、評估、應急響(xiang)應及(ji)報(bao)告，從而有效(xiao)防范和(he)處置(zhi)數(shu)據(ju)(ju)安(an)全風(feng)(feng)險(xian)(xian)。《辦法》的(de)出臺明(ming)(ming)確了將數(shu)據(ju)(ju)安(an)全風(feng)(feng)險(xian)(xian)納入(ru)全面(mian)風(feng)(feng)險(xian)(xian)管(guan)(guan)理體系，為銀行保(bao)(bao)險(xian)(xian)機構提(ti)供了明(ming)(ming)確的(de)數(shu)據(ju)(ju)安(an)全風(feng)(feng)險(xian)(xian)管(guan)(guan)理指導。

三、將數據安全風險納入全面風險管理體系 

按照(zhao)《辦法(fa)》的(de)要(yao)求，銀行保險機(ji)構需(xu)要(yao)將數據安全風(feng)(feng)險納入(ru)全面風(feng)(feng)險管理體(ti)(ti)系，從而有效保護客戶(hu)數據和(he)信息系統(tong)的(de)安全。那具體(ti)(ti)如何實施(shi)呢？

首(shou)先(xian)，銀行保險機構需要進行全面的(de)(de)風(feng)險識別(bie)和評估，認(ren)清數據(ju)安全風(feng)險的(de)(de)來源和潛在影(ying)響。這(zhe)包(bao)括識別(bie)可能導致(zhi)數據(ju)泄露(lu)、網絡(luo)攻擊、內(nei)部威(wei)脅等各種安全事件的(de)(de)可能性(xing)和嚴重性(xing)。

其次， 銀(yin)行保險機構需要建(jian)(jian)立(li)完(wan)善的數據安(an)全政策和(he)(he)(he)程(cheng)序(xu)，明確數據的分(fen)類、訪問控(kong)制、加(jia)密、備份和(he)(he)(he)恢(hui)復等措施，以確保數據在存儲(chu)、傳輸(shu)和(he)(he)(he)處(chu)理(li)過程(cheng)中得到有效保護。同時(shi)(shi)，建(jian)(jian)立(li)健全的風險監測和(he)(he)(he)控(kong)制措施，實時(shi)(shi)監測數據安(an)全事(shi)件和(he)(he)(he)異(yi)常活動，這包括(kuo)使用(yong)安(an)全信息與事(shi)件管理(li)（SIEM）系統、入侵檢(jian)測系統（IDS）、終端安(an)全控(kong)制等技術手段，及時(shi)(shi)發現和(he)(he)(he)應對安(an)全威(wei)脅。

此(ci)外，銀行(xing)保險機構(gou)還需要建立應(ying)對措施(shi)(shi)和預案，以(yi)應(ying)對可(ke)能發生(sheng)的數(shu)據安全(quan)事(shi)(shi)(shi)(shi)件(jian)。根據影響范圍和程度，數(shu)據安全(quan)事(shi)(shi)(shi)(shi)件(jian)應(ying)分(fen)為特別重(zhong)大、重(zhong)大、較大和一般四個事(shi)(shi)(shi)(shi)件(jian)級(ji)(ji)別。銀行(xing)保險機構(gou)應(ying)建立數(shu)據安全(quan)事(shi)(shi)(shi)(shi)件(jian)應(ying)急(ji)管理機制，制定(ding)數(shu)據安全(quan)事(shi)(shi)(shi)(shi)件(jian)的應(ying)急(ji)預案。一旦(dan)發生(sheng)數(shu)據安全(quan)事(shi)(shi)(shi)(shi)件(jian)，應(ying)當立即啟(qi)動應(ying)急(ji)處置，分(fen)析事(shi)(shi)(shi)(shi)件(jian)原因、評估事(shi)(shi)(shi)(shi)件(jian)影響、開展(zhan)事(shi)(shi)(shi)(shi)件(jian)定(ding)級(ji)(ji)，按照(zhao)預案及時采取業務、技術等措施(shi)(shi)控制事(shi)(shi)(shi)(shi)態。

最后，銀行保(bao)險(xian)機(ji)(ji)構需要建(jian)立數據(ju)安(an)(an)全(quan)事(shi)(shi)件報(bao)告機(ji)(ji)制，根據(ju)事(shi)(shi)件安(an)(an)全(quan)等級制定報(bao)告流程(cheng)，發生數據(ju)安(an)(an)全(quan)事(shi)(shi)件時(shi)按照規定報(bao)告。此外，應建(jian)立持(chi)續改(gai)進(jin)和審查機(ji)(ji)制，定期審查和評(ping)估其數據(ju)安(an)(an)全(quan)管(guan)理體系的有效性和合規性，及時(shi)調整和改(gai)進(jin)數據(ju)安(an)(an)全(quan)風險(xian)管(guan)理的措施。

四、進一步的想法 

國家(jia)金融監督管理總局(ju)近期出臺的(de)《辦法》對銀行(xing)保險(xian)機構(gou)的(de)數(shu)(shu)據(ju)安(an)全風險(xian)管理具有(you)重大(da)意義，該辦法要(yao)求機構(gou)將數(shu)(shu)據(ju)安(an)全風險(xian)納入(ru)全面風險(xian)管理體系(xi)，加強對數(shu)(shu)據(ju)安(an)全風險(xian)的(de)識別、評估和監測。這有(you)助于(yu)機構(gou)進一步增(zeng)強對數(shu)(shu)據(ju)安(an)全風險(xian)的(de)全面認(ren)識，采取相(xiang)應的(de)管理措施(shi)來更好地保護客戶數(shu)(shu)據(ju)和信息系(xi)統的(de)安(an)全，降低(di)數(shu)(shu)據(ju)安(an)全風險(xian)對機構(gou)的(de)影響和損失。

《辦法》要求銀(yin)行保(bao)險(xian)機(ji)構(gou)應當每(mei)年開展(zhan)一次數據安(an)全風險(xian)評估。銀(yin)行保(bao)險(xian)機(ji)構(gou)風險(xian)管(guan)理、內(nei)控合規(gui)和審(shen)計(ji)部門負(fu)責(ze)將數據安(an)全納入全面風險(xian)管(guan)理體系(xi)、內(nei)控評價體系(xi)，定(ding)期開展(zhan)審(shen)計(ji)、監督檢查與評價，督促問(wen)題整改和開展(zhan)問(wen)責(ze)。

銀行保險機構的(de)風險管理專業人(ren)士(shi)（FRM?持證人(ren)）需(xu)要掌握多方面的(de)知(zhi)識(shi)和技能，包括數據(ju)安(an)全知(zhi)識(shi)、信息技術(shu)知(zhi)識(shi)、數據(ju)安(an)全風險管理方法、安(an)全技術(shu)工具以(yi)及良好的(de)應急(ji)相應能力(li)和溝通協調能力(li)，才能更好地應對(dui)數據(ju)安(an)全風險，保障機構的(de)穩健發(fa)展。