隨著信息技術的高速發展，以及云計算、人工智能、大數據、區塊鏈等新技術的深入應用，金融機構在業務運營過程中產生的信息逐步轉化為數字資產大量流轉在信息系統之中，數據的泄露、濫用、篡改等安全威脅的影響已逐漸從機構內向機構間以及行業間擴散，甚至影響國家安全、社會秩序、公眾利益與金融市場穩定，數據安全已經上升到國家安全高度。國家及監管機構，對于違反數據安全法律法規行為的查處范圍、頻度、力度均日益增加，如何在滿足金融業務需求的基礎上，強化數據保護能力，防范數據安全風險，切實保障金融數據價值發揮，已成為當前亟待解決的問題。

1、金融行業數據安全監管要點

01個人信息保護法要點解讀

2021年11月1日，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）正式生效，這意味著我國對個人信息安全的保護進入了新的歷史時期，我國公民的個人信息安全及隱私保護走上了新臺階。個人信息保護法中明確了六大場景下的個人信息處理規定（如圖1所示）。對于金融機構來說，應重點關注在不同場景下如何具體落實“告知－同意”規則。

圖1 主要場景個人信息處理規定

02數據安全法要點解讀

2022年9月1日，《中華人民共和國數據安全法》（以下簡稱《數據安全法》）正式生效。《數據安全法》明確了企業在保護數據安全方面的責任，對企業的數據安全提出了嚴格要求。金融機構需要對《數據安全法》深度學習（如圖8所示），加強立法認識，提升企業和個人數據安全保護意識，全面落實《數據安全法》要求。 

圖2 金融機構數據安全法學習框架

03數據安全分級指南要點解讀

2020年9月23日，《金融數據安全 數據安全分級指南》（以下簡稱《數據安全分級指南》）正式生效?！稊祿踩旨壷改稀方o出了金融數據安全分級的目標、原則和范圍，以及數據安全定級的要素、規則和定級過程（如圖2所示）。可以用來指導金融業機構開展電子數據安全分級工作，也可以指導第三方評估機構等單位開展數據安全檢查和評估工作。

圖2 金融機構數據安全定級流程

04數據生命周期安全規范要點解讀

2021年4月28日，《金融數據安全 數據生命周期安全規范》（以下簡稱《數據生命周期安全規范》）正式生效。《數據生命周期安全規范》構建了金融業機構覆蓋數據全生命周期的數據安全框架，同時與各標準聯系緊密，如數據安全能力成熟度模型、個人信息安全規范及金融行業的數據安全分級指南等。能夠全面整體地指導金融業機構建設和完善自身的數據安全防護體系（如圖3 所示），并有助于金融行業的數據安全保護和應用的標準化。

圖3 金融機構數據生命周期安全框架

2、金融行業數據安全常見風險

根據行業最佳實踐及筆者多年的工作經驗，從以下六個方面總結了常見的數據安全風險：

01數據安全治理常見風險

• 未建立數據安全治理組織架構及職責，無法自上而下推動相關數據安全治理工作的有序開展。
• 未建立組織級數據戰略規劃，無法有效覆蓋網絡安全法及等級保護等相關法規與標準的要求，無法指明數據整體的發展目標和規劃，不利于數據長遠發展。
• 未制定數據安全相關管理制度及流程，導致數據安全管控要求無法有效落實。
• 數據安全風險評估執行不到位，未識別出重要的數據安全風險，不利于數據安全治理體系的持續優化。

02數據安全管理常見風險

• 數據安全組織架構及責任人缺失，導致數據安全管控要求無法落實。
• 未定期開展數據安全意識宣貫，由于安全意識不足，導致數據不經意地泄露。
• 元數據安全管控不到位，導致元數據血緣關系模糊、可追溯性不強，影響元數據與數據標準的結合。
• 未部署數據管控平臺，無法對數據標準、數據質量、元數據進行規范化管控和技術實現。
• 數據服務接口與應用在其內部跨安全域間的接口調用未采用包括安全通道、加密傳輸等安全機制可能帶來的風險。
• 未建立數據供應鏈安全管理方針，無法落實上下游供應鏈間數據交換和使用的要求，不利于供應商之間的數據交換與共享。

03數據生命周期安全管理常見風險

• 在數據生命周期管理期間，由于在人員、管理、技術三個層面沒有建立適用的數據安全管理體系，使得數據安全管理的效率與效果低下。
• 未實現數據分類分級管理或分級方法不合理，導致未按照不同類別建立不同的安全控制措施，導致保護過重或保護不當。
• 數據在收集、傳輸、存儲和恢復、處理和加工、使用與審計、歸檔與銷毀等過程中，由于缺乏有效的數據加密和訪問控制，容易導致數據泄露風險。
• 數據在共享與流動，特別是跨邊界和跨境流動時，由于未制定相應的安全規范制度和審批流程，容易產生違規風險。5.數據銷毀機制不健全或執行不嚴格，導致銷毀過程中敏感數據的泄露。

04個人信息安全管理常見風險

• 未建立個人信息保護組織或缺乏相關負責人，不利于個人信息保護工作的推廣和執行，也無法有效落實個人信息保護的責任。
• 未建立規范化的個人信息保護制度和流程，可能造成個人信息的收集、存儲、使用、變更、銷毀等操作不合法的情況。
• 組織在使用個人信息時，沒有開展安全影響評估，無法判斷個人信息使用與保護的程度，容易造成侵權與違規風險。
• 在收集個人信息時，沒有注意最小化要求，或者在沒有得到允許的情況下公開披露個人信息，容易造成侵權與違規風險。
• 組織在處理個人敏感信息時，個人信息的傳輸、處理、存儲、銷毀未采用加密、訪問控制等安全措施，容易造成泄露個人敏感信息的風險。

05重要數據安全管理常見風險

• 未建立重要數據保護工作機構或指定負責人，不利于重要數據的保護和管理，同時無法有效落實重要數據保護的責任。
• 未實現重要數據分類分級管理，無法有效對重要數據建立針對性的保護措施，由于保護機制不到位，造成的重要數據泄露或非法訪問。
• 未建立規范化的重要數據保護制度和流程，可能造成重要數據的收集、存儲、使用、變更、銷毀等操作不合法的情況。
• 組織在使用重要數據時，沒有開展安全風險評估，無法判斷重要數據的使用與保護的程度，容易造成侵權與違規風險。
• 組織在處理重要數據時，數據的傳輸、處理、存儲、銷毀未采用加密、訪問控制等安全措施，容易造成重要數據泄露的風險。

1. 未建立數據應急預案，無法有效制定數據丟失、數據泄露等重要場景的處置措施，不利于重要數據發生異常的處置和恢復。

06數據平臺與技術安全管理常見風險

1. 數據平臺或系統安全保護措施部署不到位，導致數據泄露或非法訪問。
2. 數據平臺與其他平臺交換數據未實施加密，導致數據外泄。
3. 未部署獨立的數據庫審計系統，無法對數據違規操作行為進行跟蹤分析，不利于數據的規范化管理。

3、金融行業數據安全審計關注重點

根據筆者對行業內數據安全案例的總結及多年實施IT審計的經驗，我們認為應當常態化對以下數據安全領域開展IT審計工作：

01數據安全治理審計 

數據安全風險涉及面較廣，既體現在組織在治理層面的治理風險，還體現在數據在其生命周期和服務過程中的管理風險，以及伴隨的個人信息和重要數據等敏感信息泄露和跨境流通風險。

• 董事會的職責該控制項旨在從組織的治理層面，檢查組織是否將數據的安全治理工作納入組織治理工作范疇，建立健全包括風險管理和數據安全審計監督在內的架構體系，從而完善數據的安全合規管理。
• 戰略規劃與價值實現該控制項旨在檢查組織是否依據董事會所明確的數據安全治理目標制定相關的安全戰略。
• 數據安全合規管理該控制項旨在檢查組織是否基于數據安全戰略規劃，建立健全數據安全管理制度體系，滿足合規監管要求。
• 數據風險管理該控制項旨在檢查組織是否從數據、人員、產品與服務等方面，建立并完善數據安全風險管理體系，并將其納入組織風險管理體系當中。
• 數據安全審計監督該控制項旨在檢查組織是否將數據的安全審計工作納入組織的安全審計體系范疇內，建立并完善針對數據安全審計的專項工作。

02數據安全管理審計

數據安全管理是指保護數據免受威脅的影響，確保業務的連續性，降低業務可能面臨的風險，為業務部門提供有力保障。

• 數據安全組織管理該控制項旨在檢查組織為落實數據安全治理工作及其戰略規劃，是否從組織層面設置跨部門的數據安全管理機構及負責人，明確安全管理職責。
• 人員與意識管理該控制項旨在基于組織對數據安全管理的要求和需求，從人員安全管理、資源建設與技能培養、職責落實與考核等三方面進行檢查，判斷人員綜合管理的落實情況。
• 制度與規范管理該控制項旨在從制度層面檢查組織是否制定并完善數據安全管理的制度體系及其落實情況。
• 元數據安全管理該控制項旨在從元數據的安全管理角度，檢查組織是否建立完善的元數據安全管理規范，并從技術層面予以安全保障。
• 數據及平臺（系統）管理該控制項旨在從數據平臺（系統）管理角度，檢查組織是否對平臺（系統）及其管理之下的數據制定相應的安全規范與標準，實現統一管理，并與組織經營戰略中的安全需求相一致。
• 服務接口安全管理該控制項旨在從服務接口角度，檢查組織是否完善接口安全管理的制度和規范，并用技術手段保障接口間數據傳輸的安全性。
• 數據供應鏈安全管理該控制項旨在從供應鏈安全管理角度，檢查組織在存在上下游數據交換的前提下，制定相關管理規范，滿足合規監管要求。
• 數據安全審計管理該控制項旨在從審計角度，檢查組織是否落實數據 安全審計與監督的要求，對組織的數據服務開展安全審計，同時確保國家對于日志管理的安全合規要求。

03數據生命周期安全管理審計

數據生命周期管理是指在數據的采集、傳輸、存儲、處理、交換（共享、應用）、銷毀等階段下對流動的數據進行綜合管理。

• 數據收集該控制項旨在針對數據收集過程，檢查組織是否依據收集數據的敏感性對其進行數據標識，從而基于該標識進行后續數據操作處理的監控。
• 數據傳輸該控制項旨在針對數據傳輸過程，檢查組織是否根據傳輸過程的安全性劃分安全域，并根據安全域的級別采取相應的安全控制措施，防范數據遭受竊聽或泄露，確保數據的完整性。
• 數據存儲與恢復該控制項旨在針對數據存儲，檢查組織是否對所存儲的數據采取安全措施，確保其安全性和完整性，同時，根據組織對于數據可用性的要求，檢查組織是否采取備份措施。
• 數據處理與加工該控制項旨在針對處理和加工過程，檢查組織是否對可接觸到數據的人員基于角色采取身份驗證和訪問控制，并對該過程采取加密和脫敏處置措施，防范數據非法訪問或敏感信息遭到泄露。
• 數據使用與安全審計該控制項旨在針對數據使用過程，檢查組織是否采取身份驗證和訪問控制措施，防止人員對于數據的非法訪問，并采取加密和脫敏等技術手段，防止在使用環節造成信息泄露并對使用環節進行安全審計。
• 數據共享與流動該控制項旨在針對組織存在數據共享與流動，特別是跨境流動時，是否制定相應的規范制度和審批流程，滿足國家合規監管要求。
• 數據歸檔與銷毀該控制項旨在檢查組織是否針對數據歸檔與銷毀過程，并基于數據敏感程度制定完善的管理制度與規范流程，防范在該過程中出現數據泄露。

04個人信息安全管理審計

規范個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行為。旨在遏制個人信息非法收集、濫用、泄漏等亂象，最大程度地保障個人的合法權益和社會公共利益。

• 通用管理該控制項旨在檢查組織是否針對個人信息，建立健全個人信息保護的管理體系和風險管理體系，并提供個人信息泄露或非法使用的申訴管理機制和舉報渠道。
• 個人信息的收集該控制項旨在檢查組織在個人信息收集環節，是否制定完善的安全策略和規范，滿足《網絡安全法》中關于個人信息保護的合規要求。
• 個人信息的傳輸與存儲該控制項旨在檢查組織在個人信息傳輸與存儲環節，是否采取管理與技術手段，確保個人信息境內存儲和離境前安全與風險評估的合規要求，以及個人敏感信息不被泄露。
• 個人信息的處理該控制項旨在檢查組織在個人信息處理環節，是否采取技術手段防范個人信息主體被識別和還原。
• 個人信息的使用該控制項旨在檢查組織是否在個人信息使用環節，采取訪問控制措施防范對其非法訪問，并在個人信息控制權發生轉移時對接收方進行安全評估，并獲得其安全使用的承諾。
• 個人信息的變更與銷毀該控制項旨在檢查組織在個人信息變更和銷毀環節，是否為個人信息主體提供合法變更的渠道，或在完成所收集個人信息使用目的后，規范個人信息的刪除流程和途徑。

05重要數據安全管理審計

規范重要數據在收集、保存、使用、傳輸、共享等信息處理環節中的相關行為。旨在遏制數據非授權收集、濫用、泄漏等亂象，最大程度地保障重要數據的安全。

• 通用管理該控制項旨在檢查組織針對其重要數據是否建立健全完善的管理體系，包括制度體系、組織與人員體系、應急管理體系，并提供重要數據安全事件的申訴渠道。
• 重要數據識別與分類分級該控制項旨在檢查組織是否就所屬行業和經營業務制定重要數據識別及分類分級的制度規范、標準以及變更和審批流程，從而為后續重要數據操作和處理提供依據。
• 跨境傳輸與存儲前安全風險評估該控制項旨在檢查組織在其存在重要數據跨境傳輸與境外存儲的背景下，是否建立完善的安全風險評估與審批流程，滿足國家合規監管要求。
• 應急管理該控制項旨在檢查組織依據建立的重要數據安全事件應急管理體系，制定并完善應急管理制度并定期開展應急演練，在滿足合規要求的同時，確保安全事件發生時得到有效、迅速的遏制，防范事件蔓延。

06數據平臺與技術安全管理審計

數據平臺是指為數據應用提供資源和服務的支撐集成環境，包括基礎設施層、數據平臺層和計算分析層。重點關注數據平臺基礎設施安全、網絡與通信安全、應用安全及安全審計工具使用等內容。

• 平臺基礎設施安全該控制項旨在檢查組織為確保數據平臺基礎設施安全，除對其所處的物理環境進行安全檢查外，還應檢查是否采取技術措施與工具，監控并防范平臺受到惡意代碼等非法攻擊。
• 網絡與通信安全該控制項旨在檢查組織為確保數據平臺的網絡與通信安全，是否制定訪問控制策略并在網絡隔離設備上部署、實施，同時，檢查為確保通信鏈路的安全是否采取相應的安全監控與鏈路加密手段。
• 應用安全該控制項旨在檢查組織在應用層面針對應用接口、平臺服務和平臺資源是否采取相應的安全控制措施。
• 安全審計該控制項旨在檢查組織針對數據平臺的日常服務和運維是否開展安全審計，并驗證安全審計是否具有自動分析和報警的功能。

4、結語

數據已成為金融機構賴以生存的重要核心資產，數據安全管理能力亦將成為金融機構必須具備核心管理能力。開展數據安全專項審計工作，具有以下積極意義：

一是能夠推動金融機構落實金融業數據安全管理要求，提升金融業數據安全保護工作的規范化和標準化程度；

二是有助于金融機構及時全面掌握本機構數據安全管理水平，預測并確認所面臨的數據安全威脅和風險，為金融機構制定防范措施及應對安全事件提供科學依據和指導，可有效防控數據安全事件風險和危害，為金融數據的應用和流動提供有力保障；

三是持續的促進金融機構數據環境改善和整體數據安全管理能力的提升，加快科技創新步伐，為金融機構未來發展帶來巨大價值。

作者簡介

王志超，谷安天下金融審計負責人，10多年的信息安全、科技風險、科技審計、業務連續性、科技外包、數據治理、金融科技等咨詢及審計服務經驗，獲得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等證書，熟悉銀行業、保險業、證券業、大型央企的科技管理風險與應對措施，對科技外包、業務連續性、數據安全、數據治理、大數據、云計算、區塊鏈、人工智能、數字化轉型等領域均有著較為深入的研究，多次參與銀保監會組織的信息科技風險管理課題研究，并獲得不錯的獎項。

李松  谷安天下高級經理，長期從事數據中心、網絡安全、數據安全、運維管理和信息科技風險審計等工作，擁有16年以上金融、國企及互聯網企業的IT咨詢及審計經驗，獲得CISA、CDPSE、ISO27001、ITIL4等證書，曾在國內大型會計師事務所擔任過IT運維經理、IT高級審計經理。