近日,为规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,维护社会公共利益和金融消费者合法权益,金融监管总局制定《银行保险机构数据安全管理办法》(以下简称《办法》)。《办法》强调了数据分类分级与安全管理的重要性,而身份数据作为最具敏感性和关键性的核心数据涉及客户信息保护,甚至直接影响金融交易的合法性与安全性。针对身份数据的管理与保护,是银行保险机构履行合规义务的核心,也是提升数字化运营效率、强化客户信任的重要基础。如何从企业内部开始,确保员工、合作伙伴、客户等各方实体的身份安全成为解决问题的关键。
一、《办法》重要内容
强化数据治理顶层设计。要求银行保险机构建立与业务发展目标相适应的数据安全治理体系,落实数据安全责任制,按照“谁管业务、谁管业务数据、谁管数据安全”的原则开展数据安全保护工作。
落实分类分级管理要求。要求对业务经营管理过程中获取、产生的数据进行分类管理。根据数据的重要性和敏感程度,将数据分为核心、重要、一般三个级别,并将一般数据进一步细分为敏感数据和其他一般数据,并采取差异化的安全保护措施。
强化数据安全管理体系。要求银行保险机构建立健全数据安全管理制度,对委托处理、共同处理、转移、公开、共享等相关数据处理活动开展安全评估,采取相应技术手段保障数据全生命周期安全,保障数据开发利用活动安全稳健开展。
加强个人信息保护。按照“明确告知、授权同意”的原则处理个人信息,按照金融业务处理目的的最小范围收集个人信息。共享和向外部提供个人信息,应履行个人告知及取得同意的义务。
完善风险监测处置机制。将数据安全风险纳入全面风险管理体系,明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程,有效防范和处置数据安全风险。
二、内部身份治理是金融安全第一道防线
在金融行业的多重安全防护体系中,内部身份治理无疑是第一道防线。这不仅仅是因为它涉及到每一个企业内部与外部的角色——员工、合作伙伴、供应商、客户等,还因为它直接关联到企业的核心业务数据和资产。在各种金融机构中,身份治理的应用有所不同但目的相同——确保数据安全。无论是为了应对各种复杂的安全威胁,还是为了满足日益严格的合规要求,强大和高效的内部身份治理系统都是不可或缺的。通过精准的身份管理和权限控制,金融机构可以在业务场景中建立信任边界,将敏感信息的访问控制在授权范围内,形成一堵坚实的“防火墙”。
应用场景多样化
随着金融业务的复杂化和全球化,身份治理的应用场景变得愈加多元。不同类型的金融机构在身份治理中的侧重点有所差异。例如,银行机构在日常运营中,需要为分行员工、客户经理以及客户提供高度灵活的权限管理,以支持他们在不同场景下高效协作,同时保证客户敏感信息的安全性。而对于保险公司而言,代理人团队的分级管理和客户数据的保护则是身份治理的核心所在,帮助规范信息访问权限、避免数据滥用,并提升客户信任度。无论场景如何变化,身份治理的目标始终如一。保护数据安全,维护业务的连续性,助力机构合规运营,同时增强客户体验和内部管理效率。
外部威胁增加
金融机构面临的外部威胁正在以指数级速度增长,从传统的网络攻击到高级持续性威胁(APT),再到针对身份信息的钓鱼攻击,无不考验着机构的安全防护能力。传统的静态管理模式显然已无法满足现代金融环境的需求。金融机构亟需引入动态化、智能化的身份治理体系,以应对不断变化的威胁态势。只有这样,金融机构才能从根本上防范身份安全漏洞,将内部身份治理转化为企业的竞争优势和数字化创新的重要保障。
内部身份治理与法规合规
金融企业需要遵循多种法规,而法规通常都有严格的身份和数据管理要求。这些法规都明确要求金融机构对客户和员工的身份信息进行严格管理,并确保数据的安全性和隐私保护。合规的身份治理体系不仅有助于企业防范法律风险,避免因违反相关法规而受到罚款或其他法律责任的追究,还能在市场中建立企业的声誉,提升客户对企业的信任度,促进企业的长远发展。
二、构建智能化身份治理体系,推动金融安全全面升级
与其他行业相比,金融行业在信息技术和数据应用方面通常更为先进。这意味着,金融机构不仅需要解决当前的安全问题,还需要有预见性地考虑未来的发展趋势和可能的风险。只有建立了一套完善的内部身份治理体系,金融机构才能有效地进行数据分析、客户关系管理、算法交易等高级业务活动。Authing 与金融机构数据安全治理的核心目标深度契合,为银行保险机构在数据安全管理方面提供了全面支持和保障。
基于事件驱动的身份自动化基础设施
Authing 提供了国内首个身份自动化平台,Authing 身份自动化平台是基于事件驱动的下一代身份领域业务策略和数据策略的可视化工作流编排平台。旨在满足客户侧多元的针对用户目录、组织架构、登录认证、安全管理等功能灵活性的配置需求,能够进一步以面向变化设计系统架构、敏捷迭代的原则,支撑客户纷繁复杂的身份和组织架构自动化管理需求。Authing 身份自动化平台可以帮助企业免除身份和账号管理过程中繁杂的定制化开发过程,基于下一代「低代码、无代码」的设计理念和可视化、拖拉拽的编排方式,快速构建和管理您的身份管理工作流程,大幅降低企业内部身份管理成本及身份安全风险。
Authing 提供国内首个持续自适应多因素认证产品
在《办法》中明确提出将数据安全风险纳入全面风险管理体系,并强化了数据安全风险的监测、评估、应急响应、报告及事件处置的管理流程,以有效防范和处置数据安全风险。随着金融行业对数据安全的要求不断提高,单一的传统认证方式已经难以满足现代企业在多样化威胁面前的安全需求。持续自适应多因素认证( Continuous Adaptive Multi-Factor Authentication,简称 CAMFA )作为一种全新的身份验证方法,成为企业应对安全挑战的有效手段。它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。
超细粒度分级管控,确保职责分明不越界
随着金融行业对数据保护和隐私要求的不断提高,尤其是在《办法》中明确提出要加强个人信息保护,金融机构面临着更加严格的合规压力。单一、固定的用户旅程已无法满足业务的快速发展需求,权限管理必须具备动态调整的能力,突破对传统权限管理思维的突破,适应不断变化的业务场景和岗位职责。Authing 提供的「管理员权限」功能,以业务为导向,通过角色和权限的细粒度分配,使权限管理回归到对业务实际需求的精准支持。系统将各类权限聚合起来组成「角色」,给后台管理员(员工)赋予不同的角色,就可以控制其在系统中可接触的空间范围,确保他们「权责分明」、「不越界」。Authing 新版管理员不仅不局限于超级管理员的权限分配与管理,还支持协作管理员将自己拥有的权限继续授权,达到层层下放的授权效果,实现灵活又严谨的权限管理能力。从全局考虑数据资产,基于场景对业务流程不断进行切片细化,用数据优化、重构,推动整个商业模式,实现细粒度的权限管理,以用户为中心,实现全场景业务权限的集中化、可视化、个性化。
原创 Authing 身份云
