隨著信息技術(shù)的高速發(fā)展，以及云計(jì)算、人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的深入應(yīng)用，金融機(jī)構(gòu)在業(yè)務(wù)運(yùn)營(yíng)過程中產(chǎn)生的信息逐步轉(zhuǎn)化為數(shù)字資產(chǎn)大量流轉(zhuǎn)在信息系統(tǒng)之中，數(shù)據(jù)的泄露、濫用、篡改等安全威脅的影響已逐漸從機(jī)構(gòu)內(nèi)向機(jī)構(gòu)間以及行業(yè)間擴(kuò)散，甚至影響國(guó)家安全、社會(huì)秩序、公眾利益與金融市場(chǎng)穩(wěn)定，數(shù)據(jù)安全已經(jīng)上升到國(guó)家安全高度。國(guó)家及監(jiān)管機(jī)構(gòu)，對(duì)于違反數(shù)據(jù)安全法律法規(guī)行為的查處范圍、頻度、力度均日益增加，如何在滿足金融業(yè)務(wù)需求的基礎(chǔ)上，強(qiáng)化數(shù)據(jù)保護(hù)能力，防范數(shù)據(jù)安全風(fēng)險(xiǎn)，切實(shí)保障金融數(shù)據(jù)價(jià)值發(fā)揮，已成為當(dāng)前亟待解決的問題。

1、金融行業(yè)數(shù)據(jù)安全監(jiān)管要點(diǎn)

01個(gè)人信息保護(hù)法要點(diǎn)解讀

2021年11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）正式生效，這意味著我國(guó)對(duì)個(gè)人信息安全的保護(hù)進(jìn)入了新的歷史時(shí)期，我國(guó)公民的個(gè)人信息安全及隱私保護(hù)走上了新臺(tái)階。個(gè)人信息保護(hù)法中明確了六大場(chǎng)景下的個(gè)人信息處理規(guī)定（如圖1所示）。對(duì)于金融機(jī)構(gòu)來說，應(yīng)重點(diǎn)關(guān)注在不同場(chǎng)景下如何具體落實(shí)“告知－同意”規(guī)則。

圖1 主要場(chǎng)景個(gè)人信息處理規(guī)定

02數(shù)據(jù)安全法要點(diǎn)解讀

2022年9月1日，《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱《數(shù)據(jù)安全法》）正式生效?！稊?shù)據(jù)安全法》明確了企業(yè)在保護(hù)數(shù)據(jù)安全方面的責(zé)任，對(duì)企業(yè)的數(shù)據(jù)安全提出了嚴(yán)格要求。金融機(jī)構(gòu)需要對(duì)《數(shù)據(jù)安全法》深度學(xué)習(xí)（如圖8所示），加強(qiáng)立法認(rèn)識(shí)，提升企業(yè)和個(gè)人數(shù)據(jù)安全保護(hù)意識(shí)，全面落實(shí)《數(shù)據(jù)安全法》要求。 

圖2 金融機(jī)構(gòu)數(shù)據(jù)安全法學(xué)習(xí)框架

03數(shù)據(jù)安全分級(jí)指南要點(diǎn)解讀

2020年9月23日，《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》（以下簡(jiǎn)稱《數(shù)據(jù)安全分級(jí)指南》）正式生效?！稊?shù)據(jù)安全分級(jí)指南》給出了金融數(shù)據(jù)安全分級(jí)的目標(biāo)、原則和范圍，以及數(shù)據(jù)安全定級(jí)的要素、規(guī)則和定級(jí)過程（如圖2所示）?？梢杂脕碇笇?dǎo)金融業(yè)機(jī)構(gòu)開展電子數(shù)據(jù)安全分級(jí)工作，也可以指導(dǎo)第三方評(píng)估機(jī)構(gòu)等單位開展數(shù)據(jù)安全檢查和評(píng)估工作。

圖2 金融機(jī)構(gòu)數(shù)據(jù)安全定級(jí)流程

04數(shù)據(jù)生命周期安全規(guī)范要點(diǎn)解讀

2021年4月28日，《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》（以下簡(jiǎn)稱《數(shù)據(jù)生命周期安全規(guī)范》）正式生效?！稊?shù)據(jù)生命周期安全規(guī)范》構(gòu)建了金融業(yè)機(jī)構(gòu)覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全框架，同時(shí)與各標(biāo)準(zhǔn)聯(lián)系緊密，如數(shù)據(jù)安全能力成熟度模型、個(gè)人信息安全規(guī)范及金融行業(yè)的數(shù)據(jù)安全分級(jí)指南等。能夠全面整體地指導(dǎo)金融業(yè)機(jī)構(gòu)建設(shè)和完善自身的數(shù)據(jù)安全防護(hù)體系（如圖3 所示），并有助于金融行業(yè)的數(shù)據(jù)安全保護(hù)和應(yīng)用的標(biāo)準(zhǔn)化。

圖3 金融機(jī)構(gòu)數(shù)據(jù)生命周期安全框架

2、金融行業(yè)數(shù)據(jù)安全常見風(fēng)險(xiǎn)

根據(jù)行業(yè)最佳實(shí)踐及筆者多年的工作經(jīng)驗(yàn)，從以下六個(gè)方面總結(jié)了常見的數(shù)據(jù)安全風(fēng)險(xiǎn)：

01數(shù)據(jù)安全治理常見風(fēng)險(xiǎn)

• 未建立數(shù)據(jù)安全治理組織架構(gòu)及職責(zé)，無法自上而下推動(dòng)相關(guān)數(shù)據(jù)安全治理工作的有序開展。
• 未建立組織級(jí)數(shù)據(jù)戰(zhàn)略規(guī)劃，無法有效覆蓋網(wǎng)絡(luò)安全法及等級(jí)保護(hù)等相關(guān)法規(guī)與標(biāo)準(zhǔn)的要求，無法指明數(shù)據(jù)整體的發(fā)展目標(biāo)和規(guī)劃，不利于數(shù)據(jù)長(zhǎng)遠(yuǎn)發(fā)展。
• 未制定數(shù)據(jù)安全相關(guān)管理制度及流程，導(dǎo)致數(shù)據(jù)安全管控要求無法有效落實(shí)。
• 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估執(zhí)行不到位，未識(shí)別出重要的數(shù)據(jù)安全風(fēng)險(xiǎn)，不利于數(shù)據(jù)安全治理體系的持續(xù)優(yōu)化。

02數(shù)據(jù)安全管理常見風(fēng)險(xiǎn)

• 數(shù)據(jù)安全組織架構(gòu)及責(zé)任人缺失，導(dǎo)致數(shù)據(jù)安全管控要求無法落實(shí)。
• 未定期開展數(shù)據(jù)安全意識(shí)宣貫，由于安全意識(shí)不足，導(dǎo)致數(shù)據(jù)不經(jīng)意地泄露。
• 元數(shù)據(jù)安全管控不到位，導(dǎo)致元數(shù)據(jù)血緣關(guān)系模糊、可追溯性不強(qiáng)，影響元數(shù)據(jù)與數(shù)據(jù)標(biāo)準(zhǔn)的結(jié)合。
• 未部署數(shù)據(jù)管控平臺(tái)，無法對(duì)數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、元數(shù)據(jù)進(jìn)行規(guī)范化管控和技術(shù)實(shí)現(xiàn)。
• 數(shù)據(jù)服務(wù)接口與應(yīng)用在其內(nèi)部跨安全域間的接口調(diào)用未采用包括安全通道、加密傳輸?shù)劝踩珯C(jī)制可能帶來的風(fēng)險(xiǎn)。
• 未建立數(shù)據(jù)供應(yīng)鏈安全管理方針，無法落實(shí)上下游供應(yīng)鏈間數(shù)據(jù)交換和使用的要求，不利于供應(yīng)商之間的數(shù)據(jù)交換與共享。

03數(shù)據(jù)生命周期安全管理常見風(fēng)險(xiǎn)

• 在數(shù)據(jù)生命周期管理期間，由于在人員、管理、技術(shù)三個(gè)層面沒有建立適用的數(shù)據(jù)安全管理體系，使得數(shù)據(jù)安全管理的效率與效果低下。
• 未實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)管理或分級(jí)方法不合理，導(dǎo)致未按照不同類別建立不同的安全控制措施，導(dǎo)致保護(hù)過重或保護(hù)不當(dāng)。
• 數(shù)據(jù)在收集、傳輸、存儲(chǔ)和恢復(fù)、處理和加工、使用與審計(jì)、歸檔與銷毀等過程中，由于缺乏有效的數(shù)據(jù)加密和訪問控制，容易導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)。
• 數(shù)據(jù)在共享與流動(dòng)，特別是跨邊界和跨境流動(dòng)時(shí)，由于未制定相應(yīng)的安全規(guī)范制度和審批流程，容易產(chǎn)生違規(guī)風(fēng)險(xiǎn)。5.數(shù)據(jù)銷毀機(jī)制不健全或執(zhí)行不嚴(yán)格，導(dǎo)致銷毀過程中敏感數(shù)據(jù)的泄露。

04個(gè)人信息安全管理常見風(fēng)險(xiǎn)

• 未建立個(gè)人信息保護(hù)組織或缺乏相關(guān)負(fù)責(zé)人，不利于個(gè)人信息保護(hù)工作的推廣和執(zhí)行，也無法有效落實(shí)個(gè)人信息保護(hù)的責(zé)任。
• 未建立規(guī)范化的個(gè)人信息保護(hù)制度和流程，可能造成個(gè)人信息的收集、存儲(chǔ)、使用、變更、銷毀等操作不合法的情況。
• 組織在使用個(gè)人信息時(shí)，沒有開展安全影響評(píng)估，無法判斷個(gè)人信息使用與保護(hù)的程度，容易造成侵權(quán)與違規(guī)風(fēng)險(xiǎn)。
• 在收集個(gè)人信息時(shí)，沒有注意最小化要求，或者在沒有得到允許的情況下公開披露個(gè)人信息，容易造成侵權(quán)與違規(guī)風(fēng)險(xiǎn)。
• 組織在處理個(gè)人敏感信息時(shí)，個(gè)人信息的傳輸、處理、存儲(chǔ)、銷毀未采用加密、訪問控制等安全措施，容易造成泄露個(gè)人敏感信息的風(fēng)險(xiǎn)。

05重要數(shù)據(jù)安全管理常見風(fēng)險(xiǎn)

• 未建立重要數(shù)據(jù)保護(hù)工作機(jī)構(gòu)或指定負(fù)責(zé)人，不利于重要數(shù)據(jù)的保護(hù)和管理，同時(shí)無法有效落實(shí)重要數(shù)據(jù)保護(hù)的責(zé)任。
• 未實(shí)現(xiàn)重要數(shù)據(jù)分類分級(jí)管理，無法有效對(duì)重要數(shù)據(jù)建立針對(duì)性的保護(hù)措施，由于保護(hù)機(jī)制不到位，造成的重要數(shù)據(jù)泄露或非法訪問。
• 未建立規(guī)范化的重要數(shù)據(jù)保護(hù)制度和流程，可能造成重要數(shù)據(jù)的收集、存儲(chǔ)、使用、變更、銷毀等操作不合法的情況。
• 組織在使用重要數(shù)據(jù)時(shí)，沒有開展安全風(fēng)險(xiǎn)評(píng)估，無法判斷重要數(shù)據(jù)的使用與保護(hù)的程度，容易造成侵權(quán)與違規(guī)風(fēng)險(xiǎn)。
• 組織在處理重要數(shù)據(jù)時(shí)，數(shù)據(jù)的傳輸、處理、存儲(chǔ)、銷毀未采用加密、訪問控制等安全措施，容易造成重要數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

1. 未建立數(shù)據(jù)應(yīng)急預(yù)案，無法有效制定數(shù)據(jù)丟失、數(shù)據(jù)泄露等重要場(chǎng)景的處置措施，不利于重要數(shù)據(jù)發(fā)生異常的處置和恢復(fù)。

06數(shù)據(jù)平臺(tái)與技術(shù)安全管理常見風(fēng)險(xiǎn)

1. 數(shù)據(jù)平臺(tái)或系統(tǒng)安全保護(hù)措施部署不到位，導(dǎo)致數(shù)據(jù)泄露或非法訪問。
2. 數(shù)據(jù)平臺(tái)與其他平臺(tái)交換數(shù)據(jù)未實(shí)施加密，導(dǎo)致數(shù)據(jù)外泄。
3. 未部署獨(dú)立的數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)數(shù)據(jù)違規(guī)操作行為進(jìn)行跟蹤分析，不利于數(shù)據(jù)的規(guī)范化管理。

3、金融行業(yè)數(shù)據(jù)安全審計(jì)關(guān)注重點(diǎn)

根據(jù)筆者對(duì)行業(yè)內(nèi)數(shù)據(jù)安全案例的總結(jié)及多年實(shí)施IT審計(jì)的經(jīng)驗(yàn)，我們認(rèn)為應(yīng)當(dāng)常態(tài)化對(duì)以下數(shù)據(jù)安全領(lǐng)域開展IT審計(jì)工作：

01數(shù)據(jù)安全治理審計(jì) 

數(shù)據(jù)安全風(fēng)險(xiǎn)涉及面較廣，既體現(xiàn)在組織在治理層面的治理風(fēng)險(xiǎn)，還體現(xiàn)在數(shù)據(jù)在其生命周期和服務(wù)過程中的管理風(fēng)險(xiǎn)，以及伴隨的個(gè)人信息和重要數(shù)據(jù)等敏感信息泄露和跨境流通風(fēng)險(xiǎn)。

• 董事會(huì)的職責(zé)該控制項(xiàng)旨在從組織的治理層面，檢查組織是否將數(shù)據(jù)的安全治理工作納入組織治理工作范疇，建立健全包括風(fēng)險(xiǎn)管理和數(shù)據(jù)安全審計(jì)監(jiān)督在內(nèi)的架構(gòu)體系，從而完善數(shù)據(jù)的安全合規(guī)管理。
• 戰(zhàn)略規(guī)劃與價(jià)值實(shí)現(xiàn)該控制項(xiàng)旨在檢查組織是否依據(jù)董事會(huì)所明確的數(shù)據(jù)安全治理目標(biāo)制定相關(guān)的安全戰(zhàn)略。
• 數(shù)據(jù)安全合規(guī)管理該控制項(xiàng)旨在檢查組織是否基于數(shù)據(jù)安全戰(zhàn)略規(guī)劃，建立健全數(shù)據(jù)安全管理制度體系，滿足合規(guī)監(jiān)管要求。
• 數(shù)據(jù)風(fēng)險(xiǎn)管理該控制項(xiàng)旨在檢查組織是否從數(shù)據(jù)、人員、產(chǎn)品與服務(wù)等方面，建立并完善數(shù)據(jù)安全風(fēng)險(xiǎn)管理體系，并將其納入組織風(fēng)險(xiǎn)管理體系當(dāng)中。
• 數(shù)據(jù)安全審計(jì)監(jiān)督該控制項(xiàng)旨在檢查組織是否將數(shù)據(jù)的安全審計(jì)工作納入組織的安全審計(jì)體系范疇內(nèi)，建立并完善針對(duì)數(shù)據(jù)安全審計(jì)的專項(xiàng)工作。

02數(shù)據(jù)安全管理審計(jì)

數(shù)據(jù)安全管理是指保護(hù)數(shù)據(jù)免受威脅的影響，確保業(yè)務(wù)的連續(xù)性，降低業(yè)務(wù)可能面臨的風(fēng)險(xiǎn)，為業(yè)務(wù)部門提供有力保障。

• 數(shù)據(jù)安全組織管理該控制項(xiàng)旨在檢查組織為落實(shí)數(shù)據(jù)安全治理工作及其戰(zhàn)略規(guī)劃，是否從組織層面設(shè)置跨部門的數(shù)據(jù)安全管理機(jī)構(gòu)及負(fù)責(zé)人，明確安全管理職責(zé)。
• 人員與意識(shí)管理該控制項(xiàng)旨在基于組織對(duì)數(shù)據(jù)安全管理的要求和需求，從人員安全管理、資源建設(shè)與技能培養(yǎng)、職責(zé)落實(shí)與考核等三方面進(jìn)行檢查，判斷人員綜合管理的落實(shí)情況。
• 制度與規(guī)范管理該控制項(xiàng)旨在從制度層面檢查組織是否制定并完善數(shù)據(jù)安全管理的制度體系及其落實(shí)情況。
• 元數(shù)據(jù)安全管理該控制項(xiàng)旨在從元數(shù)據(jù)的安全管理角度，檢查組織是否建立完善的元數(shù)據(jù)安全管理規(guī)范，并從技術(shù)層面予以安全保障。
• 數(shù)據(jù)及平臺(tái)（系統(tǒng)）管理該控制項(xiàng)旨在從數(shù)據(jù)平臺(tái)（系統(tǒng)）管理角度，檢查組織是否對(duì)平臺(tái)（系統(tǒng)）及其管理之下的數(shù)據(jù)制定相應(yīng)的安全規(guī)范與標(biāo)準(zhǔn)，實(shí)現(xiàn)統(tǒng)一管理，并與組織經(jīng)營(yíng)戰(zhàn)略中的安全需求相一致。
• 服務(wù)接口安全管理該控制項(xiàng)旨在從服務(wù)接口角度，檢查組織是否完善接口安全管理的制度和規(guī)范，并用技術(shù)手段保障接口間數(shù)據(jù)傳輸?shù)陌踩浴?/li>
• 數(shù)據(jù)供應(yīng)鏈安全管理該控制項(xiàng)旨在從供應(yīng)鏈安全管理角度，檢查組織在存在上下游數(shù)據(jù)交換的前提下，制定相關(guān)管理規(guī)范，滿足合規(guī)監(jiān)管要求。
• 數(shù)據(jù)安全審計(jì)管理該控制項(xiàng)旨在從審計(jì)角度，檢查組織是否落實(shí)數(shù)據(jù) 安全審計(jì)與監(jiān)督的要求，對(duì)組織的數(shù)據(jù)服務(wù)開展安全審計(jì)，同時(shí)確保國(guó)家對(duì)于日志管理的安全合規(guī)要求。

03數(shù)據(jù)生命周期安全管理審計(jì)

數(shù)據(jù)生命周期管理是指在數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、交換（共享、應(yīng)用）、銷毀等階段下對(duì)流動(dòng)的數(shù)據(jù)進(jìn)行綜合管理。

• 數(shù)據(jù)收集該控制項(xiàng)旨在針對(duì)數(shù)據(jù)收集過程，檢查組織是否依據(jù)收集數(shù)據(jù)的敏感性對(duì)其進(jìn)行數(shù)據(jù)標(biāo)識(shí)，從而基于該標(biāo)識(shí)進(jìn)行后續(xù)數(shù)據(jù)操作處理的監(jiān)控。
• 數(shù)據(jù)傳輸該控制項(xiàng)旨在針對(duì)數(shù)據(jù)傳輸過程，檢查組織是否根據(jù)傳輸過程的安全性劃分安全域，并根據(jù)安全域的級(jí)別采取相應(yīng)的安全控制措施，防范數(shù)據(jù)遭受竊聽或泄露，確保數(shù)據(jù)的完整性。
• 數(shù)據(jù)存儲(chǔ)與恢復(fù)該控制項(xiàng)旨在針對(duì)數(shù)據(jù)存儲(chǔ)，檢查組織是否對(duì)所存儲(chǔ)的數(shù)據(jù)采取安全措施，確保其安全性和完整性，同時(shí)，根據(jù)組織對(duì)于數(shù)據(jù)可用性的要求，檢查組織是否采取備份措施。
• 數(shù)據(jù)處理與加工該控制項(xiàng)旨在針對(duì)處理和加工過程，檢查組織是否對(duì)可接觸到數(shù)據(jù)的人員基于角色采取身份驗(yàn)證和訪問控制，并對(duì)該過程采取加密和脫敏處置措施，防范數(shù)據(jù)非法訪問或敏感信息遭到泄露。
• 數(shù)據(jù)使用與安全審計(jì)該控制項(xiàng)旨在針對(duì)數(shù)據(jù)使用過程，檢查組織是否采取身份驗(yàn)證和訪問控制措施，防止人員對(duì)于數(shù)據(jù)的非法訪問，并采取加密和脫敏等技術(shù)手段，防止在使用環(huán)節(jié)造成信息泄露并對(duì)使用環(huán)節(jié)進(jìn)行安全審計(jì)。
• 數(shù)據(jù)共享與流動(dòng)該控制項(xiàng)旨在針對(duì)組織存在數(shù)據(jù)共享與流動(dòng)，特別是跨境流動(dòng)時(shí)，是否制定相應(yīng)的規(guī)范制度和審批流程，滿足國(guó)家合規(guī)監(jiān)管要求。
• 數(shù)據(jù)歸檔與銷毀該控制項(xiàng)旨在檢查組織是否針對(duì)數(shù)據(jù)歸檔與銷毀過程，并基于數(shù)據(jù)敏感程度制定完善的管理制度與規(guī)范流程，防范在該過程中出現(xiàn)數(shù)據(jù)泄露。

04個(gè)人信息安全管理審計(jì)

規(guī)范個(gè)人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。旨在遏制個(gè)人信息非法收集、濫用、泄漏等亂象，最大程度地保障個(gè)人的合法權(quán)益和社會(huì)公共利益。

• 通用管理該控制項(xiàng)旨在檢查組織是否針對(duì)個(gè)人信息，建立健全個(gè)人信息保護(hù)的管理體系和風(fēng)險(xiǎn)管理體系，并提供個(gè)人信息泄露或非法使用的申訴管理機(jī)制和舉報(bào)渠道。
• 個(gè)人信息的收集該控制項(xiàng)旨在檢查組織在個(gè)人信息收集環(huán)節(jié)，是否制定完善的安全策略和規(guī)范，滿足《網(wǎng)絡(luò)安全法》中關(guān)于個(gè)人信息保護(hù)的合規(guī)要求。
• 個(gè)人信息的傳輸與存儲(chǔ)該控制項(xiàng)旨在檢查組織在個(gè)人信息傳輸與存儲(chǔ)環(huán)節(jié)，是否采取管理與技術(shù)手段，確保個(gè)人信息境內(nèi)存儲(chǔ)和離境前安全與風(fēng)險(xiǎn)評(píng)估的合規(guī)要求，以及個(gè)人敏感信息不被泄露。
• 個(gè)人信息的處理該控制項(xiàng)旨在檢查組織在個(gè)人信息處理環(huán)節(jié)，是否采取技術(shù)手段防范個(gè)人信息主體被識(shí)別和還原。
• 個(gè)人信息的使用該控制項(xiàng)旨在檢查組織是否在個(gè)人信息使用環(huán)節(jié)，采取訪問控制措施防范對(duì)其非法訪問，并在個(gè)人信息控制權(quán)發(fā)生轉(zhuǎn)移時(shí)對(duì)接收方進(jìn)行安全評(píng)估，并獲得其安全使用的承諾。
• 個(gè)人信息的變更與銷毀該控制項(xiàng)旨在檢查組織在個(gè)人信息變更和銷毀環(huán)節(jié)，是否為個(gè)人信息主體提供合法變更的渠道，或在完成所收集個(gè)人信息使用目的后，規(guī)范個(gè)人信息的刪除流程和途徑。

05重要數(shù)據(jù)安全管理審計(jì)

規(guī)范重要數(shù)據(jù)在收集、保存、使用、傳輸、共享等信息處理環(huán)節(jié)中的相關(guān)行為。旨在遏制數(shù)據(jù)非授權(quán)收集、濫用、泄漏等亂象，最大程度地保障重要數(shù)據(jù)的安全。

• 通用管理該控制項(xiàng)旨在檢查組織針對(duì)其重要數(shù)據(jù)是否建立健全完善的管理體系，包括制度體系、組織與人員體系、應(yīng)急管理體系，并提供重要數(shù)據(jù)安全事件的申訴渠道。
• 重要數(shù)據(jù)識(shí)別與分類分級(jí)該控制項(xiàng)旨在檢查組織是否就所屬行業(yè)和經(jīng)營(yíng)業(yè)務(wù)制定重要數(shù)據(jù)識(shí)別及分類分級(jí)的制度規(guī)范、標(biāo)準(zhǔn)以及變更和審批流程，從而為后續(xù)重要數(shù)據(jù)操作和處理提供依據(jù)。
• 跨境傳輸與存儲(chǔ)前安全風(fēng)險(xiǎn)評(píng)估該控制項(xiàng)旨在檢查組織在其存在重要數(shù)據(jù)跨境傳輸與境外存儲(chǔ)的背景下，是否建立完善的安全風(fēng)險(xiǎn)評(píng)估與審批流程，滿足國(guó)家合規(guī)監(jiān)管要求。
• 應(yīng)急管理該控制項(xiàng)旨在檢查組織依據(jù)建立的重要數(shù)據(jù)安全事件應(yīng)急管理體系，制定并完善應(yīng)急管理制度并定期開展應(yīng)急演練，在滿足合規(guī)要求的同時(shí)，確保安全事件發(fā)生時(shí)得到有效、迅速的遏制，防范事件蔓延。

06數(shù)據(jù)平臺(tái)與技術(shù)安全管理審計(jì)

數(shù)據(jù)平臺(tái)是指為數(shù)據(jù)應(yīng)用提供資源和服務(wù)的支撐集成環(huán)境，包括基礎(chǔ)設(shè)施層、數(shù)據(jù)平臺(tái)層和計(jì)算分析層。重點(diǎn)關(guān)注數(shù)據(jù)平臺(tái)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)與通信安全、應(yīng)用安全及安全審計(jì)工具使用等內(nèi)容。

• 平臺(tái)基礎(chǔ)設(shè)施安全該控制項(xiàng)旨在檢查組織為確保數(shù)據(jù)平臺(tái)基礎(chǔ)設(shè)施安全，除對(duì)其所處的物理環(huán)境進(jìn)行安全檢查外，還應(yīng)檢查是否采取技術(shù)措施與工具，監(jiān)控并防范平臺(tái)受到惡意代碼等非法攻擊。
• 網(wǎng)絡(luò)與通信安全該控制項(xiàng)旨在檢查組織為確保數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)與通信安全，是否制定訪問控制策略并在網(wǎng)絡(luò)隔離設(shè)備上部署、實(shí)施，同時(shí)，檢查為確保通信鏈路的安全是否采取相應(yīng)的安全監(jiān)控與鏈路加密手段。
• 應(yīng)用安全該控制項(xiàng)旨在檢查組織在應(yīng)用層面針對(duì)應(yīng)用接口、平臺(tái)服務(wù)和平臺(tái)資源是否采取相應(yīng)的安全控制措施。
• 安全審計(jì)該控制項(xiàng)旨在檢查組織針對(duì)數(shù)據(jù)平臺(tái)的日常服務(wù)和運(yùn)維是否開展安全審計(jì)，并驗(yàn)證安全審計(jì)是否具有自動(dòng)分析和報(bào)警的功能。

4、結(jié)語

數(shù)據(jù)已成為金融機(jī)構(gòu)賴以生存的重要核心資產(chǎn)，數(shù)據(jù)安全管理能力亦將成為金融機(jī)構(gòu)必須具備核心管理能力。開展數(shù)據(jù)安全專項(xiàng)審計(jì)工作，具有以下積極意義：

一是能夠推動(dòng)金融機(jī)構(gòu)落實(shí)金融業(yè)數(shù)據(jù)安全管理要求，提升金融業(yè)數(shù)據(jù)安全保護(hù)工作的規(guī)范化和標(biāo)準(zhǔn)化程度；

二是有助于金融機(jī)構(gòu)及時(shí)全面掌握本機(jī)構(gòu)數(shù)據(jù)安全管理水平，預(yù)測(cè)并確認(rèn)所面臨的數(shù)據(jù)安全威脅和風(fēng)險(xiǎn)，為金融機(jī)構(gòu)制定防范措施及應(yīng)對(duì)安全事件提供科學(xué)依據(jù)和指導(dǎo)，可有效防控?cái)?shù)據(jù)安全事件風(fēng)險(xiǎn)和危害，為金融數(shù)據(jù)的應(yīng)用和流動(dòng)提供有力保障；

三是持續(xù)的促進(jìn)金融機(jī)構(gòu)數(shù)據(jù)環(huán)境改善和整體數(shù)據(jù)安全管理能力的提升，加快科技創(chuàng)新步伐，為金融機(jī)構(gòu)未來發(fā)展帶來巨大價(jià)值。

作者簡(jiǎn)介

王志超，谷安天下金融審計(jì)負(fù)責(zé)人，10多年的信息安全、科技風(fēng)險(xiǎn)、科技審計(jì)、業(yè)務(wù)連續(xù)性、科技外包、數(shù)據(jù)治理、金融科技等咨詢及審計(jì)服務(wù)經(jīng)驗(yàn)，獲得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等證書，熟悉銀行業(yè)、保險(xiǎn)業(yè)、證券業(yè)、大型央企的科技管理風(fēng)險(xiǎn)與應(yīng)對(duì)措施，對(duì)科技外包、業(yè)務(wù)連續(xù)性、數(shù)據(jù)安全、數(shù)據(jù)治理、大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈、人工智能、數(shù)字化轉(zhuǎn)型等領(lǐng)域均有著較為深入的研究，多次參與銀保監(jiān)會(huì)組織的信息科技風(fēng)險(xiǎn)管理課題研究，并獲得不錯(cuò)的獎(jiǎng)項(xiàng)。

李松  谷安天下高級(jí)經(jīng)理，長(zhǎng)期從事數(shù)據(jù)中心、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、運(yùn)維管理和信息科技風(fēng)險(xiǎn)審計(jì)等工作，擁有16年以上金融、國(guó)企及互聯(lián)網(wǎng)企業(yè)的IT咨詢及審計(jì)經(jīng)驗(yàn)，獲得CISA、CDPSE、ISO27001、ITIL4等證書，曾在國(guó)內(nèi)大型會(huì)計(jì)師事務(wù)所擔(dān)任過IT運(yùn)維經(jīng)理、IT高級(jí)審計(jì)經(jīng)理。