深度解读｜《金融数据安全 数据安全评估规范（征求意见稿）》

12月，全国金融标准化技术委员会就《金融数据安全 数据安全评估规范》（以下简称“此规范”）征求意见。规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法，明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。

本文希望通过对此规范的解读让复杂的问题抽象化，从抽象到具体、从具体到落地的角度逐步进行解读，明确此规范的核心引擎是什么（即：评估流程、评估方法、评估内容组成综合考量）？评估单位主体应如何驾驭此核心引擎？金融机构又应如何驱动此核心引擎？什么条件下需要启动此核心引擎？安全厂商视角下又应如何辅助金融机构凌驾此核心引擎？

01

《规范》核心理念

此规范的内容实际直接影响了两类主体（即：评估单位主体、金融机构主体），评估单位在对金融机构开展数据安全评估时拥有了一个可靠的抓手，来持续对金融机构开展数据安全评估；金融机构在对自身数据安全能力建设时也同样拥有了一个抓手，基于此规范来持续强化自身数据安全能力。本文所提到的核心引擎，由此规范中的评估流程、评估方法、评估内容共同组成，评估单位在履行此规范评估原则（如：客观公正原则、最小影响原则、信息保密原则等）约束条件下，共同启动此核心引擎对金融机构开展数据安全评估。

同时，金融机构需要遵守此规范的约束条件，定期的要求评估单位去启动此规范的核心引擎对自身数据安全情况开展评估。由于行标基于国标、国标基于国家宏观方向，国家的宏观方向又是从生产、生活所反映的情况中衍生出来的，因此，此规范对于金融机构主体来讲，需要更加体现出一种主体能动性，并基于此规范要求体现出金融机构主体合规能力、管理能力及防御能力，通过能力建设驱动引擎，形成满足趋势、满足政策、满足规范的防御体系。

02

细谈《规范》要求

1、什么条件下需要启动核心引擎？

本文归纳了两类启动核心引擎的条件（包括：基本条件、特定条件）。基本条件：金融机构主体无论在资产层面、业务层面、安全事件层面等有无发生变化，至少一年需启动一次核心引擎（注：一年至少要求开展一次数据安全评估）；特定条件：在数据资产、安全保障、应用场景等发生变化时，需要启动核心引擎开展数据安全评估，具体如下：

1、数据资产侧：对三级及以上数据进行加工前需启动核心引擎；使用外部的软件开发包、组件、源码等开展开发测试需启动核心引擎；

2、安全保障：金融业机构业功能发生重大变化需启动核心引擎；国家及行业主管部门相关要求发生变化；业务模式、信息系统、运行环境发生重大变化需启动核心引擎；发生重大安全事件需启动核心引擎；

3、应用场景：将数据委托给第三方及第三方机构参与到金融业机构数据全生命周期过程需启动核心引擎；与外部机构进行数据共享需启动核心引擎；金融产品或服务上线发布前需启动核心引擎。

满足以上条件的都应该启动核心引擎开展数据安全评估。

2、评估单位主体如何驾驭此核心引擎？

评估单位主体如想真正驾驭此核心引擎，应结合此规范要求将圈定范围、方式方法、流程制度进行综合考量。在以圈定的范围中按照设定的流程借助相应的方法和手段开展评估工作。

首先，在圈定范围中，此规范设定了金融数据安全评估域，在金融数据安全评估中包括了对金融数据的管理、保护及运维方向的评估，管理方向需要包括是否建立数据安全方向的组织架构、是否建设数据安全方向的制度体系；保护方向需包括是否建立对金融数据资产的管理能力、是否围绕了数据全生命周期开展安全保护；运维方向需包括在开展运维工作中，金融机构主体是否形成了智能化安全运维能力（如：边界管控、安全审计、访问控制、安全检查、安全监测、应急响应与事件处置等）。

其次，在以圈定好的范围中明确应该采用什么样的方式方法辅助开展评估工作（对应此规范中评估方法）。为保障评估方法的有效性、准确性、真实性，此规范提出了采用的评估手段需要“至少满足”的字样，要求采用的评估手段需至少满足：问卷调查、人员访谈、文档查验、配置核查、工具测试、旁站验证。通过至少需采用的评估手段可以看出，此规范采用的也是一种循序渐进的过程，本文将其归纳为两类：情况核查类（包括：问卷调查、人员访谈、文档查验、配置核查、旁站验证）、渗透评估类（包括：工具测试）。情况核查类是在不借助外力的情况下了解金融机构主体的合规规范；渗透评估类是在借助外力的情况下，全力挖掘可能存在的安全风险，同时对情况核查的结果也有一定的验证功能。在这里需强调一点，在文档查验手段中需以是否覆盖数据生命周期要求和控制项为核心，评估金融机构提供的数据安全相关文档材料。

再次，利用此规范提出的评估方法，在圈定好的评估范围内按照评估流程开展评估工作。评估流程包括：评估准备阶段、评估实施阶段、安全分析阶段、报告编制阶段及结果评审阶段。

1）评估准备阶段：

要明确评估目标将合规差距、安全管理、风险防控、是否有第三方参与等进行综合考量，设定评估目标；确定了目标后需要持续完成此目标要求（由谁去完成？），这里落在了评估团队身上，此规范告诉我们要根据评估目标组建评估团队，评估团队由本机构本次金融数据安全评估的最高负责人、评估参与方以及实施团队等共同组成。在评估团队中体现出了集权制决策体制（如：最高负责人拥有指导和决策的权利、最高负责人审定评估工作实施团队及评审组、最高负责人指定本机构内本次评估工作的牵头部门（作为主要参与方承担总体统筹组织及内部沟通机制的协调建设工作）、牵头部门在选定本机构其他参与方及相关外部合作方时，需要上报最高负责人审定等）。

另外限定各参与方主要负责人均应为评估团队成员，对实施团队及评审组没做强制限制要求，主要能力符合即可；评估范围中需确定本次评估所涉及的金融数据、金融产品和服务、信息系统、人员及组织（含内、外部）等；在评估准备阶段的最后，需根据评估目标和范围等情况编制评估方案，将评估工作的主要任务、任务分工、人员安排、时间计划等涵盖其中，并量化评估人员、评估要点、结果预期、方法技术和工具、配合人员、时间计划等。

2）评估实施阶段：

实施团队以最高负责人的指导要求为方针，根据已确定的评估方案开展本次评估实施工作。

3）安全分析阶段：

实施团队围绕数据安全现状、安全问题、风险情况、重要程度等对评估结果进行分析，提出相应改进建议，牵头部门对结果进行审核和确认，并会同评估团队各参与方形成最终安全分析结论。

4）报告编制阶段：

实施团队根据最终确定的结果和结论编制评估报告，对评估内容、过程、结果、问题等进行总结分析，给出总体评估结论。

5）结果评审阶段：

评审团队遵循公平公正、真实有效及合规合法性审核确定各评估事项及参与人员行为，并结合评估报告对评估过程、参与人员、评估结论等进行确认。

最终，上述圈定范围、方式方法、流程制度进行综合考量形成本文提到的核心引擎，助力评估单位驾驭此核心引擎。

3、金融机构主体如何驱动此核心引擎？

本文在最开始提出基于此规范金融机构主体要体现出主体能动性，主体能动性（即：金融机构主体在数据安全实践中表现出来的认识自身安全、改造自身安全的能动性）也是金融机构主体驱动本文提到的核心引擎的重要源泉。金融机构主体需重点关注此规范中的评估内容，将金融数据安全管理、金融数据安全保护、金融数据安全运维进行综合考量。

一、金融数据安全管理评估（S1）：金融机构主体需建立数据安全组织架构S1-1及建设制度体系S1-2（包括：总体规划、技术管理、人员管理、合作管理、流程管理）来强化自身管理能力的同时，应对相关安全评估的具体内容、评估方法和结果判定。

二、金融数据安全保护评估（S2）：金融机构主体需结合数据资产分级管理评估S2-1要求，建立对自身数据资产分级管控能力，重点强化数据梳理、数据分类、数据分级、建立统一清单等工作；还需结合数据生命周期安全评估S2-2，按照数据全生命周期（数据采集、数据传输、数据存储、数据使用、数据删除、数据销毁）维度建立安全保护能力，如：数字签名、权限控制、数据水印、防火墙、入侵检测、密码技术等应用到金融机构主体安全保护工作中。

三、金融数据安全运维评估S3：金融机构主体需建立边界管控、访问控制、安全审计、安全检查、安全监测、应急响应与事件处置能力。

4、安全厂商视角下应如何辅助金融机构主体凌驾此核心引擎？

建立“以人为本、工具为辅”的数据安全运营理念，将运营人员的经验与智能化辅助工具进行深入融合，产生数据安全持续运营能力。数据安全层面的防护离不开“数据”与“业务”，在“人”与“工具”的深入结合产出数据安全运营能力后，要从“人”、“数据”、“业务”三个维度建立数据安全管控策略，形成底层数据安全策略的“集中管控中心”和“可视化中心”，以“人”为中心建立基于行为场景的访问控制策略，以“数据”为中心建立数据发现、数据分级分类、数据脱敏、数据水印、数据加密管理等策略，以“业务”为中心建立基于数据的业务访问、业务接口、业务互联安全管控策略，形成分类、防护、场景、策略、管控于一体的集中管控中心，并将集中管控中心能力进行不同维度的可视化呈现，反作用整体数据安全运营能力中心。

在“数据安全运营能力中心”中，结合“集中管控中心”、“可视化中心”提供的能力，建立“安全运营支撑平台”，形成分析、管理、监测、响应、加固的数据安全能力，为分析人员、态势感知辅助工具提供能力支撑，持续开展数据安全运营能力加固。