《银行保险机构数据安全管理办法(公开征求意见稿)》
本期将围绕《银行保险机构数据安全管理办法(公开征求意见稿)》第二十八条(数据使用)展开解读,为各行业用户数据安全建设提供参考依据。
随着信息技术的快速发展及广泛应用,特别是金融业在数字化转型过程中的不断深入,数据已成为金融机构的核心资产之一,与此同时,数据安全和个人信息安全的重要性日益凸显。
近日,国家金融监督管理总局制定《银行保险机构数据安全管理办法(征求意见稿)》(以下简称《办法》),旨在构建一套系统性的数据安全管理机制,指导银行保险机构有效落实数据分类分级保护、风险防控、合规使用与跨境传输等方面的具体措施,以全面提升金融行业数据安全保障能力,确保数据在合法合规的前提下得到充分且安全的应用。

下载《办法》完整版pdf:可关注“青笠科技”公众号回复“银行保险”,即可获取。
银行保险机构应当按照“业务必要授权”原则,对敏感级及以上数据严格实施授权管理,制定数据访问闭环管理机制,并对数据访问行为实施审计。确因业务需要从生产环境提取数据的,应当建立严格的审批程序,并明确数据使用或者保存期限。
银行保险机构利用互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键信息基础设施安全保护、密码保护等制度要求。
第二十八条 (数据使用)条款的宗旨在于强化银行保险机构在数据流转使用过程中的安全管控,从业务的角度来看,API接口作为银行保险机构内外系统之间交换数据的重要通道,尤其涉及敏感级及以上数据使用时,此条规定直接影响着API接口对于业务必要授权、数据访问闭环、数据访问行为审计、数据提取使用审批、安全合规防护能力的管理和使用。详细解读如下:
1. 需要遵循业务必要授权原则
银行保险机构必须遵循“业务必要授权”原则,这意味着只有在完成特定业务功能所必需的情况下,才能授予对敏感级及以上数据的访问权限。这要求机构内部建立完善的授权管理体系,确保任何访问请求都经过严格审查,并仅限于满足最小权限原则的工作需要。
2. 需要建立数据访问管理机制
需要制定严谨的数据访问闭环管理机制,即从数据的申请、授权、访问、使用到归档或销毁全过程的封闭式管理。这种机制可能包含但不限于身份认证、访问控制列表、动态权限调整、操作记录跟踪等功能模块,确保数据访问全程可控、可追溯。
3. 需要具备数据访问行为审计
对所有数据访问行为进行实时或定期审计,以监控是否存在异常访问、违规操作等情况。通过审计工具和技术,可以记录并分析数据使用者的身份、访问时间、访问内容、操作行为等详细信息,确保数据在合法合规的范围内被使用。
4. 需要搭建数据提取审批流程
当业务确实需要从生产环境提取敏感数据时,必须建立严格的审批流程,经由高级别管理层或专门的数据安全团队审核批准。此外,对于此类提取的数据,还应明确规定其使用目的、范围以及数据留存的最长期限,超过期限后应及时清理或加密存储。
5. 需要建设数据安全防护能力
在利用互联网等信息网络进行数据处理时,银行保险机构需严格按照网络安全等级保护、关键信息基础设施安全保护的要求来设计和实施安全措施,如采用数据脱敏、黑白名单、网页水印、数据熔断、配额管理、限速管理、攻击防护、参数过滤、异常行为阻断等技术手段。同时,须符合密码保护的相关国家标准和行业规范,确保数据在传输和存储环节的安全性。
针对银行保险机构数据流转使用的全过程和面临的数据安全风险进行安全建设,主要包括身份鉴别、访问控制、安全传输、审批流程、管理机制、脱敏处理、安全审计等方面技术要求。详细解决思路如下:
基于建设API数据安全网关系统授权与访问控制能力,对敏感级及以上数据实施严格的API访问授权管理,确保API调用方仅能获取履行职责所需的最小数据集,避免非授权或越权访问。
基于API数据安全网关系统数据访问请求管理能力,针对API接口调用实行全程追踪与审计,包括数据请求、授权验证、数据交互、使用过程及结束后的数据处理等环节。
基于API数据安全网关系统监测与告警能力,记录每一次API调用的行为细节,包括调用者的身份、时间戳、调用频率、调用参数、返回结果等,以便发现潜在的风险行为和非法数据访问。
基于API数据安全网关系统审批管控能力,当API涉及从生产环境提取敏感数据时,设立严格的审批流程,并设定数据使用或保存的明确期限。对数据提取的API调用进行特殊标记和时限管理,超出期限后自动失效或清除。
基于API数据安全网关系统高级安全插件拓展能力,在API接口提供服务的过程中,严格执行网络安全等级保护制度,确保API服务符合关键信息基础设施安全保护要求。例如,采用HTTPS加密协议保证数据传输安全,运用高级安全插件进行安全策略部署,包括网页脱敏、API脱敏、黑白名单、网页水印、数据熔断、配额管理、限速管理、攻击防护、参数过滤、异常行为阻断等技术手段,防止数据泄露和滥用。
在企业API数据安全建设实践中,可通过青笠API数据安全网关系统对所有API进行身份验证、统一接入边界控制、差异化安全策略配置和风险检测技术,形成立体化安全保障体系。事前阶段,采用严格的身份认证与精细化权限管理,仅暴露必需接口以减小攻击面并强化敏感资源防护。事中环节,针对不同API场景灵活配置安全措施,提升策略执行效率。事后应对,利用实时监测与日志分析技术,确保快速定位问题源头,构建起全程风控闭环,全面提升API安全等级。
下载《办法》完整版pdf:可关注“青笠科技”公众号回复“银行保险”,即可获取。
咨询热线:400-968-2578
官方网站:https://www.chinglin.com.cn
获取资料:services@chinglin.com.cn

