全球风险管理专业人士协会(GARP)致力于为风险管理条线上的各级人员,包括各大金融机构的风险管理从业者和监管机构人员提供风险教育和最新行业资讯。GARP China微信公众号将陆续刊登宏观经济和政策解读文章,介绍金融政策动向、宏观调控、气候风险管理等领域对操作风险、信用风险、市场风险和资产负债管理的影响。让我们一起全面认识风险,防范风险,化解风险。
在当今数字化时代,数据安全已成为银行保险机构面临的一项重要挑战。随着金融业务的日益复杂和信息化程度的提高,数据安全风险也日益突出。
3月22日,国家金融监督管理总局在其官方网站上发布了《银行保险机构数据安全管理办法(公开征求意见稿)》(以下简称《办法》) ,旨在进一步加强银行保险机构的数据安全管理工作,保障金融市场的稳定运行和消费者的合法权益。
《办法》制定的背景
金融监管总局有关司局负责人指出,近年来,《数据安全法》和《个人信息保护法》等法律相继发布,对规范数据处理活动、个人信息保护等提出了明确要求。同时,金融行业数字化变革加速演进,新技术、新业务模式不断涌现,数据的使用、加工、传输、共享等活动日益频繁,进一步凸显数据安全保护的重要性。对此,有必要充分发挥监管的“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部制度,采取有效的措施加强数据管理和保护,确保客户信息和金融交易数据安全。
《办法》共九章八十一条,对数据安全治理架构、数据分类分级标准、个人信息保护细则、数据安全风险监测与处置机制等关键内容予以明确和完善。据上述负责人介绍,《办法》有五大特点,其中之一是将数据安全风险纳入全面风险管理体系。要求银行保险机构明确管理流程,主动评估风险,对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。
银行保险机构的数据安全风险内涵
随着传统金融行业的数字化转型,金融行业是产生和积累数据量最大、数据类型最丰富的领域之一。金融行业必须要守护好数据安全。银行保险机构的数据安全风险主要表现在以下几个方面:
客户数据泄露:银行保险机构存储着大量的客户个人信息和财务数据,比如身份信息、银行账号、信用卡信息等。如果这些信息泄露,将导致客户的隐私受到侵犯,可能导致身份盗窃、金融诈骗等问题。
网络攻击和黑客入侵:银行保险机构面临来自黑客和网络犯罪分子的不断威胁,包括恶意软件、网络钓鱼、勒索软件等攻击手段。这些攻击可能导致客户数据被窃取,造成严重的财务损失和声誉风险。
内部威胁:银行保险机构内部员工或合作伙伴可能存在不当行为,如数据滥用、泄露敏感信息等,可能导致数据泄露和盗窃,甚至破坏金融机构的信誉。
第三方风险:银行保险机构通常与各种供应商、合作伙伴或承包商合作,这些第三方也可能存在安全漏洞,影响到机构的信息系统和业务流程。
合规和法律风险:银行保险机构需要遵守众多的合规要求和法律法规,一旦违反可能面临严重的法律责任和罚款,也可能导致客户流失和信誉受损。
由此可见,银行保险机构的数据安全风险涵盖了多个方面,需要这些机构进一步明确管理流程,对数据安全风险进行监测、评估、应急响应及报告,从而有效防范和处置数据安全风险。《办法》的出台明确了将数据安全风险纳入全面风险管理体系,为银行保险机构提供了明确的数据安全风险管理指导。
将数据安全风险纳入全面风险管理体系
按照《办法》的要求,银行保险机构需要将数据安全风险纳入全面风险管理体系,从而有效保护客户数据和信息系统的安全。那具体如何实施呢?
首先,银行保险机构需要进行全面的风险识别和评估,认清数据安全风险的来源和潜在影响。这包括识别可能导致数据泄露、网络攻击、内部威胁等各种安全事件的可能性和严重性。
其次, 银行保险机构需要建立完善的数据安全政策和程序,明确数据的分类、访问控制、加密、备份和恢复等措施,以确保数据在存储、传输和处理过程中得到有效保护。同时,建立健全的风险监测和控制措施,实时监测数据安全事件和异常活动,这包括使用安全信息与事件管理(SIEM)系统、入侵检测系统(IDS)、终端安全控制等技术手段,及时发现和应对安全威胁。
此外,银行保险机构还需要建立应对措施和预案,以应对可能发生的数据安全事件。根据影响范围和程度,数据安全事件应分为特别重大、重大、较大和一般四个事件级别。银行保险机构应建立数据安全事件应急管理机制,制定数据安全事件的应急预案。一旦发生数据安全事件,应当立即启动应急处置,分析事件原因、评估事件影响、开展事件定级,按照预案及时采取业务、技术等措施控制事态。
最后,银行保险机构需要建立数据安全事件报告机制,根据事件安全等级制定报告流程,发生数据安全事件时按照规定报告。此外,应建立持续改进和审查机制,定期审查和评估其数据安全管理体系的有效性和合规性,及时调整和改进数据安全风险管理的措施。
进一步的想法
国家金融监督管理总局近期出台的《办法》对银行保险机构的数据安全风险管理具有重大意义,该办法要求机构将数据安全风险纳入全面风险管理体系,加强对数据安全风险的识别、评估和监测。这有助于机构进一步增强对数据安全风险的全面认识,采取相应的管理措施来更好地保护客户数据和信息系统的安全,降低数据安全风险对机构的影响和损失。
《办法》要求银行保险机构应当每年开展一次数据安全风险评估。银行保险机构风险管理、内控合规和审计部门负责将数据安全纳入全面风险管理体系、内控评价体系,定期开展审计、监督检查与评价,督促问题整改和开展问责。
银行保险机构的风险管理专业人士(FRM®持证人)需要掌握多方面的知识和技能,包括数据安全知识、信息技术知识、数据安全风险管理方法、安全技术工具以及良好的应急相应能力和沟通协调能力,才能更好地应对数据安全风险,保障机构的稳健发展。
获得全球领先的FRM®认证,成为备受青睐的金融风险经理。
5月FRM®考试注册将在3月31日截止,把握机会,点击阅读原文即可登录GARP官网,注册5月考试。