欢迎,请登录 注册
  • 公告
  • 宜人贷数据安全探索

宜人贷数据安全探索

网络热词:徐玉玉、WannaCry、网络安全法。这些网络安全热词大家应该都听过,关于这些热词谈谈数据安全。

1、网络安全法遵守与对应

2、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释

(2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议通过,自2017年6月1日起施行)
第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第五条非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

3、个人信息&个人隐私

 

隐私保护&个人信息保护

 

国外及地区隐私法律法规

•欧盟:《一般数据保护条例》GDPR

•美国:《隐私权法》、《电子通讯隐私法案》

•日本:《个人信息保护法》

•台湾:《个人资料保护法》

•国际组织OECD:《个人隐私保护与个人数据跨境流通指南》

•国际标准:支付卡行业数据安全标准PCI DSS

ISO/IEC 29100 《隐私保护框架》

 

ISO27018--首个专注于云中个人数据保护的国际行为准则

4、当前个人信息使用风险与应对

一、明确收集的目的、使用用途,并进行信息披露。
评审的重点内容包括明确告知收集的个人信息以及收集方式;明确告知使用个人信息的规则,例如形成用户画像及画像的目的,是否用于推送商业广告等;明确告知用户访问、删除、更正其个人信息的权利、实现方式、限制条件等。
二、全面的安全保障。
对外提供安全合规资质,如等保、27001等
对内全面推进数据安全治理工作,从组织、策略、流程、技术等多维度开展。

5、面临的数据安全挑战

1、互金行业监管趋势----监管合规不确定风险
2、金融科技特点,用数据来驱动业务运营,真实数据使用带来一系列的风险:数据乱用、无意识泄露
3、外部攻击风险----脱裤
4、内部控制缺少带来的一系列风险:
技术控制方面:
DLP覆盖率
策略的有效性
数据脱敏、数据加密       
数据库审计系统的运营
 
管控流程方面:
敏感数据未在系统中定义出来
未完整的梳理那些系统中存在敏感数据
有哪些人有权限能够访问敏感数据
访问敏感数据的合理性验证
 

6、数据安全治理框架

 
 

7、数据安全组织与策略

关键点:
一、数据安全组织:
•完善数据安全组织,设立专职的数据安全管控人员
•充分利用安全接口人机制,传达宣扬公司的安全文化,让更多的人了解公司数据安全策略
二、数据安全策略
•发布公司级别的数据安全策略
•数据分类分级合理性
•数据保护策略的匹配性
•数据脱敏规则
宜人贷数据安全策略

8、数据分类分级

 

数据分类分级策略

9、数据场景—数据流分析

 关键点:

•梳理业务流程,分析出关键的敏感数据的流转关系和分布情况

•梳理业务流程,分析出关键的敏感数据的流转关系和分布情况

•梳理出合理的数据使用行为,为后续分析数据使用行为提供规则

 数据泄露威胁分析

10、数据安全解决方案

 

11、未来的攻坚挑战

•敏感信息(机密和秘密)的梳理 

•个人隐私数据的合理使用与监管的应对,比如个人隐私数据的二次授权告知

•与团队间的配合,既不能影响业务又要合规免责,如数据团队的配合

•大数据行为分析监控:数据源的全面性、准确性以及看得见的计算能力

•技术平台的安全运营能力:DLP的覆盖率、数据库审计能力、数据脱敏能力、数据加密能力