日前，中國金融認證中心（CFCA）信息安全服務部助理總經理謝宗曉博士受邀出席“第十一屆中國城市商業銀行信息化發展創新座談會”，從“信息安全建設規范性”話題引出，發表題為《如何利用“良好實踐”提升信息安全管理》的演講。對于金融業客戶，具體該如何提升信息安全管理水平，進而提高信息安全防御能力? CFCA金融業客戶信息安全保護解決方案可提供最佳實踐與落地幫助。

　　在互聯網和大數據時代，隨著數據價值的提升，給金融業帶來新的機遇與挑戰，金融機構積極布局大數據金融，與傳統行業相比，大數據金融一方面表現出透明度更強、參與度更高、協作性更好、中間成本更低等一系列優勢，另一方面也面臨著諸多新問題，包括軟件和數據的處理能力、資源共享和數據管理等。這些挑戰廣泛地分布在大數據的存儲、分析、管理和數據安全等各個方面。大數據金融的互聯網屬性也帶來了網絡身份確認、假冒網站、交易欺詐等一系列問題，造成了層出不窮的客戶信息數據泄密事件，綜上所述，對客戶信息的保護帶來了嚴峻的考驗。

　　我國近期施行或出臺的法律法規和相關標準，如《網絡安全法》、《個人信息安全規范》等，明顯加強了對個人信息保護的重視。中國人民銀行以及銀監會針對銀行業個人信息保護聯合相關部門發布了《關于開展聯合整治非法買賣銀行卡信息專項行動的通知》（銀發〔2016〕235號）、《中國銀監會辦公廳關于加強網絡信息安全與客戶信息保護有關事項的通知》（銀監辦發[2017]2號）等相關文件，針對銀行業的客戶信息保護提出了明確具體的要求。

　　在銀行信息化時代，如何加強銀行機構的內部控制，防范和化解客戶信息泄露風險，降低客戶信息處理過程中的法律和合規風險，是當前金融業信息安全管理應重點關注的領域，也是業務長遠發展的關鍵所在。

　　銀行業客戶信息分類有：一是銀行內部使用客戶信息，二是銀行集團內部使用客戶信息，三是因業務需要向第三方提供客戶信息。銀行業客戶信息一般是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，如姓名、出生日期、身份證件號碼、生物識別信息、住址、通信通訊聯系方式、賬號密碼、財產信息、征信信息、交易信息等。

　　CFCA金融業客戶信息安全保護解決方案，遵循客戶信息安全保護最佳實踐采用的安全標準與規范，強結合金融業客戶信息保護監管要求，遵循“責任明確、授權合理、流程規范、技管結合”原則，對客戶信息采集、傳輸、存儲、處理、交換和銷毀全生命周期安全風險梳理，在此基礎上與現有安全體系框架進行流程上的差距和風險分析，有針對性的與現有信息安全控制層進行整合與嵌入。有效提升金融業信息系統的客戶信息安全防護水平，進一步提高金融業安全防御能力。

　　CFCA客戶信息安全保護解決方案同時借鑒《數據安全成熟度能力模型》，結合監管層面關于客戶信息安全保護方面的法律法規要求進行逐條的梳理，按照組織建設、制度流程、技術工具、人員能力四個維度定義客戶信息生命周期安全過程域和基本實踐，指導銀行機構持續改進以達到所對應的安全要求。

客戶信息保護成熟度模型

　　針對銀行機構的客戶信息安全能力進行評估，能夠很好地幫助機構自身及合作伙伴評估客戶信息安全能力，真正找到管理與技術差距。有的放矢地提升客戶信息安全保護能力，并作為客戶信息共享的風險評判依據，切實做到客戶信息安全可管、可控、可信。具體體現在如下兩方面：

　　安全管理方面：對《網絡安全法》、《個人信息安全規范》、《中國銀監會辦公廳關于加強網絡信息安全與客戶信息保護有關事項的通知》等監管要求按照客戶信息生命周期進行逐條拆分，選擇相應的業務部門按照制度健全性和執行有效性兩個層面進行評估，查找存在的不足和薄弱點。

　　安全技術方面：按照安全風險評估、基線稽核、脆弱賬號專項檢查、賬號與授權管理、安全域劃分與防護、業務應用安全檢查等方法，針對承載客戶信息的各類銀行業信息系統進行測評，查找客戶信息保護的系統風險。

　　目前，CFCA客戶信息保護解決方案已與某大型城商行達成初步合作協議，CFCA客戶信息保護解決方案助力金融業增強客戶信息保護能力，為提升客戶信息保護水平提供堅實的支撐?！　?/p> 1024你懂的国产日韩欧美_亚洲欧美色一区二区三区_久久五月丁香合缴情网_99爱之精品网站

責任編輯：韓希宇