掃碼下載APP
及時接收考試資訊及
備考信息
以下內(nèi)容轉(zhuǎn)載自GARP官方公眾號,如有侵權(quán)請聯(lián)系刪除。
在當今數(shù)字化時代,數(shù)據(jù)安全已成為銀行保險機構(gòu)面臨的一項重要挑戰(zhàn)。隨著金融業(yè)務(wù)的日益復雜和信息化程度的提高,數(shù)據(jù)安全風險也日益突出。
3月22日,國家金融監(jiān)督管理總局在其官方網(wǎng)站上發(fā)布了《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法(公開征求意見稿)》(以下簡稱《辦法》) ,旨在進一步加強銀行保險機構(gòu)的數(shù)據(jù)安全管理工作,保障金融市場的穩(wěn)定運行和消費者的合法權(quán)益。
一、《辦法》制定的背景
金融監(jiān)管總局有關(guān)司局負責人指出,近年來,《數(shù)據(jù)安全法》和《個人信息保護法》等法律相繼發(fā)布,對規(guī)范數(shù)據(jù)處理活動、個人信息保護等提出了明確要求。同時,金融行業(yè)數(shù)字化變革加速演進,新技術(shù)、新業(yè)務(wù)模式不斷涌現(xiàn),數(shù)據(jù)的使用、加工、傳輸、共享等活動日益頻繁,進一步凸顯數(shù)據(jù)安全保護的重要性。對此,有必要充分發(fā)揮監(jiān)管的“指揮棒”作用,通過強化政策要求引導銀行保險機構(gòu)壓實主體責任,完善內(nèi)部制度,采取有效的措施加強數(shù)據(jù)管理和保護,確??蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)安全。
《辦法》共九章八十一條,對數(shù)據(jù)安全治理架構(gòu)、數(shù)據(jù)分類分級標準、個人信息保護細則、數(shù)據(jù)安全風險監(jiān)測與處置機制等關(guān)鍵內(nèi)容予以明確和完善。據(jù)上述負責人介紹,《辦法》有五大特點,其中之一是將數(shù)據(jù)安全風險納入全面風險管理體系。要求銀行保險機構(gòu)明確管理流程,主動評估風險,對數(shù)據(jù)安全風險進行有效監(jiān)測,防止數(shù)據(jù)破壞、泄露、非法利用等安全事件發(fā)生。風險管理、內(nèi)控合規(guī)和審計部門定期對數(shù)據(jù)安全開展審計、監(jiān)督檢查與評價。
二、銀行保險機構(gòu)的數(shù)據(jù)安全風險內(nèi)涵
隨著傳統(tǒng)金融行業(yè)的數(shù)字化轉(zhuǎn)型,金融行業(yè)是產(chǎn)生和積累數(shù)據(jù)量最大、數(shù)據(jù)類型最豐富的領(lǐng)域之一。金融行業(yè)必須要守護好數(shù)據(jù)安全。銀行保險機構(gòu)的數(shù)據(jù)安全風險主要表現(xiàn)在以下幾個方面:
客戶數(shù)據(jù)泄露:銀行保險機構(gòu)存儲著大量的客戶個人信息和財務(wù)數(shù)據(jù),比如身份信息、銀行賬號、信用卡信息等。如果這些信息泄露,將導致客戶的隱私受到侵犯,可能導致身份盜竊、金融詐騙等問題。
網(wǎng)絡(luò)攻擊和黑客入侵:銀行保險機構(gòu)面臨來自黑客和網(wǎng)絡(luò)犯罪分子的不斷威脅,包括惡意軟件、網(wǎng)絡(luò)釣魚、勒索軟件等攻擊手段。這些攻擊可能導致客戶數(shù)據(jù)被竊取,造成嚴重的財務(wù)損失和聲譽風險。
內(nèi)部威脅:銀行保險機構(gòu)內(nèi)部員工或合作伙伴可能存在不當行為,如數(shù)據(jù)濫用、泄露敏感信息等,可能導致數(shù)據(jù)泄露和盜竊,甚至破壞金融機構(gòu)的信譽。
第三方風險:銀行保險機構(gòu)通常與各種供應(yīng)商、合作伙伴或承包商合作,這些第三方也可能存在安全漏洞,影響到機構(gòu)的信息系統(tǒng)和業(yè)務(wù)流程。
合規(guī)和法律風險:銀行保險機構(gòu)需要遵守眾多的合規(guī)要求和法律法規(guī),一旦違反可能面臨嚴重的法律責任和罰款,也可能導致客戶流失和信譽受損。
由此可見,銀行保險機構(gòu)的數(shù)據(jù)安全風險涵蓋了多個方面,需要這些機構(gòu)進一步明確管理流程,對數(shù)據(jù)安全風險進行監(jiān)測、評估、應(yīng)急響應(yīng)及報告,從而有效防范和處置數(shù)據(jù)安全風險?!掇k法》的出臺明確了將數(shù)據(jù)安全風險納入全面風險管理體系,為銀行保險機構(gòu)提供了明確的數(shù)據(jù)安全風險管理指導。
三、將數(shù)據(jù)安全風險納入全面風險管理體系
按照《辦法》的要求,銀行保險機構(gòu)需要將數(shù)據(jù)安全風險納入全面風險管理體系,從而有效保護客戶數(shù)據(jù)和信息系統(tǒng)的安全。那具體如何實施呢?
首先,銀行保險機構(gòu)需要進行全面的風險識別和評估,認清數(shù)據(jù)安全風險的來源和潛在影響。這包括識別可能導致數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊、內(nèi)部威脅等各種安全事件的可能性和嚴重性。
其次, 銀行保險機構(gòu)需要建立完善的數(shù)據(jù)安全政策和程序,明確數(shù)據(jù)的分類、訪問控制、加密、備份和恢復等措施,以確保數(shù)據(jù)在存儲、傳輸和處理過程中得到有效保護。同時,建立健全的風險監(jiān)測和控制措施,實時監(jiān)測數(shù)據(jù)安全事件和異常活動,這包括使用安全信息與事件管理(SIEM)系統(tǒng)、入侵檢測系統(tǒng)(IDS)、終端安全控制等技術(shù)手段,及時發(fā)現(xiàn)和應(yīng)對安全威脅。
此外,銀行保險機構(gòu)還需要建立應(yīng)對措施和預案,以應(yīng)對可能發(fā)生的數(shù)據(jù)安全事件。根據(jù)影響范圍和程度,數(shù)據(jù)安全事件應(yīng)分為特別重大、重大、較大和一般四個事件級別。銀行保險機構(gòu)應(yīng)建立數(shù)據(jù)安全事件應(yīng)急管理機制,制定數(shù)據(jù)安全事件的應(yīng)急預案。一旦發(fā)生數(shù)據(jù)安全事件,應(yīng)當立即啟動應(yīng)急處置,分析事件原因、評估事件影響、開展事件定級,按照預案及時采取業(yè)務(wù)、技術(shù)等措施控制事態(tài)。
最后,銀行保險機構(gòu)需要建立數(shù)據(jù)安全事件報告機制,根據(jù)事件安全等級制定報告流程,發(fā)生數(shù)據(jù)安全事件時按照規(guī)定報告。此外,應(yīng)建立持續(xù)改進和審查機制,定期審查和評估其數(shù)據(jù)安全管理體系的有效性和合規(guī)性,及時調(diào)整和改進數(shù)據(jù)安全風險管理的措施。
四、進一步的想法
國家金融監(jiān)督管理總局近期出臺的《辦法》對銀行保險機構(gòu)的數(shù)據(jù)安全風險管理具有重大意義,該辦法要求機構(gòu)將數(shù)據(jù)安全風險納入全面風險管理體系,加強對數(shù)據(jù)安全風險的識別、評估和監(jiān)測。這有助于機構(gòu)進一步增強對數(shù)據(jù)安全風險的全面認識,采取相應(yīng)的管理措施來更好地保護客戶數(shù)據(jù)和信息系統(tǒng)的安全,降低數(shù)據(jù)安全風險對機構(gòu)的影響和損失。
《辦法》要求銀行保險機構(gòu)應(yīng)當每年開展一次數(shù)據(jù)安全風險評估。銀行保險機構(gòu)風險管理、內(nèi)控合規(guī)和審計部門負責將數(shù)據(jù)安全納入全面風險管理體系、內(nèi)控評價體系,定期開展審計、監(jiān)督檢查與評價,督促問題整改和開展問責。
銀行保險機構(gòu)的風險管理專業(yè)人士(FRM?持證人)需要掌握多方面的知識和技能,包括數(shù)據(jù)安全知識、信息技術(shù)知識、數(shù)據(jù)安全風險管理方法、安全技術(shù)工具以及良好的應(yīng)急相應(yīng)能力和溝通協(xié)調(diào)能力,才能更好地應(yīng)對數(shù)據(jù)安全風險,保障機構(gòu)的穩(wěn)健發(fā)展。
安卓版本:8.7.20 蘋果版本:8.7.20
開發(fā)者:北京正保會計科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點擊下載>
官方公眾號
微信掃一掃
官方視頻號
微信掃一掃
官方抖音號
抖音掃一掃
Copyright © 2000 - m.jnjuyue.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號