金融领域数据安全能力体系构建方法研究
网络安全与数据治理
赵晓令,白惠文,李安伦
中国软件评测中心
摘要: 《中华人民共和国数据安全法》要求建立健全全流程数据安全管理制度,依照法律、法规开展数据处理活动。《中国人民银行业务领域数据安全管理办法(征求意见稿)》提出了金融领域的数据安全保护总体要求、数据分类分级、数据安全保护措施等方面的要求。为了帮助金融机构落实相关国家、行业数据安全要求,提出一种基于数据安全能力成熟度模型的数据安全能力体系构建方法,从组织建设、制度流程、技术工具和人员能力四个维度分别建设数据安全能力。所提方法可以帮助金融机构全面提升数据安全防护能力,从而满足合规需求以及自身发展需要。
中图分类号:TP309-2文献标识码:ADOI:10-19358/j-issn-2097-1788-2024-05-004
引用格式:赵晓令,白惠文,李安伦.金融领域数据安全能力体系构建方法研究[J].网络安全与数据治理,2024,43(5):27-34.
引用格式:赵晓令,白惠文,李安伦.金融领域数据安全能力体系构建方法研究[J].网络安全与数据治理,2024,43(5):27-34.
Research on the construction method of data security capability system for financial domain
Zhao Xiaoling,Bai Huiwen,Li Anlun
China Software Test Center(CSTC)
Abstract: The Data Security Law of the People′s Republic of China requires that institutions should establish and improve a whole-process data security management system and carry out data-processing activities in accordance with the provisions of laws and regulations. The Measures for the Management of Data Security in the Business Field of the People′s Bank of China (Draft for Public Comments) puts forward the general requirements for data security protection in the financial field, data classification and grading, and data security protection measures. In order to help financial institutions implement relevant national and industry data security requirements, this paper proposes a data security capability system construction method based on Data Security Capability Maturity Model(DSMM). Building data security capabilities is carried out in four dimensions, such as organizational construction, institutional processes, technical tools and personnel capabilities, respectively. The proposed method can help financial institutions comprehensively improve their data security protection capabilities, so as to meet compliance requirements as well as their own development needs.
Key words : The Data Security Law; Data Security Capability Maturity Model; data security capability system; data security protection capabilities
引言
《中华人民共和国数据安全法》(以下简称《数据安全法》)要求建立健全全流程数据安全管理制度,依照法律、法规的规定开展数据处理活动。为贯彻落实《数据安全法》等国家法律、行政法规要求,加快推动自身业务监督管理职责范围内数据安全管理的法治化建设,2023年7月《中国人民银行业务领域数据安全管理办法(征求意见稿)》发布,为金融领域提供了数据安全保护总体要求、数据分类分级、数据安全保护管理措施、数据安全保护技术措施、风险监测、评估审计与事件处置措施等方面的要求。
随着数字金融的迅猛发展、金融数据的共享开发利用不断深化,金融数据安全治理面临巨大挑战,数据非法采集、数据贩卖、数据篡改、数据攻击、数据权限滥用等安全问题层出不穷[1-3]。当前金融机构的数据安全能力尚处于参差不齐的状态[4],存在内部窃取、外部遭受网络攻击等各种数据安全风险,因此金融领域亟需建立健全数据安全能力体系,从而合法合规地开展数据处理活动,抵御各种潜在的网络威胁。
本文详细内容请下载:
https://www.chinaaet.com/resource/share/2000006012
作者信息:
赵晓令,白惠文,李安伦
(中国软件评测中心,北京100048)
此内容为AET网站原创,未经授权禁止转载。