3-数据安全治理之思考（19页）.pdf

1、数据安全治理之思考 敏捷科技生态中国光大银行CONTENTS 目录数据安全形势分析数据安全治理思路金融数据安全典型场景123数据价值提升，个人隐私数据泄露事件频发据IBM Security基于对全球500多个组织数据泄露事件深入分析发布的2020年数据泄露成本报告中显示，2020年数据泄露事件给企业造成的平均成本为386万美元。国际事件国内事件2020年4月，世界卫生组织疫情期间遭受网络攻击数量急剧增加，约有450个世卫组织及数千名相关工作人员信息遭到泄露。2021年4月，美国社交媒体脸书(Facebook)超5亿用户的个人数据遭到泄露，包括电话号码、电子邮件等信息。2021年4月，据Cybe

2、r News报道，LinkedIn信息大规模泄露，影响5亿用户，目前信息已经被攻击者拿到网上出售。2020年12月，富士康遭遇黑客攻击，索要 2.3 亿元赎金；1200台服务器被加密，100GB数据遭窃。2021年315晚会，支付 7 元即获简历，智联招聘、猎聘、前程无忧上“黑榜”。2020年初，多地武汉返乡人员配合调查后个人信息被泄露，包括姓名、家庭住址、电话、身份证号等，表格在各个老乡群和小区群里传播，不少人反映被陌生人通过电话、微信骚扰。2020年8月，圆通出现多名“内鬼”，40万人信息被泄露，一条黑色产业链浮出水面。2021年315晚会曝光科勒卫浴、宝马安装人脸识别摄像头，收集海量人脸

3、信息。国内外加快数据安全保护工作个人数据保护法案-1973美国隐私保护法案-1974个人信息保护和电子文件法-1983澳大利亚联邦隐私法-1988澳大利亚以色列隐私保护法-1981智利Privacy Law-1999韩国个人信息保护法案-1994中国网络安全法-2016数据安全法（草案）-2020个人信息保护法（草案）-2021俄罗斯Federal Law RegardingPersonal Data-2006日本个人信息保护法案-20032010年至今至少30部法律欧盟一般数据保护条例-2018印度个人数据保护法（草案）-2018加利福尼亚消费者隐私法（CCPA）-2020加拿大瑞典我国法律

4、法规和监管机构日趋收紧2017年2019年2018年2020年网络安全法大数据安全服务能力要求互联网个人信息安全保护指引个人信息安全规范个人信息影响评估指南网络安全等级保护要求2.0大数据安全管理指南数据安全能力成熟度模型个人信息出境安全评估办法个人信息去标识化指南数据安全法（草案）网络安全审查办法金融数据安全 数据安全分级指南个人金融信息保护技术规范2021年个人信息保护法（草案）我国法律法规和监管机构日趋收紧，切实保障国家数据安全加强法律法规、标准规范的统筹规划，重视国家标准、相关领域行业标准的衔接工作；加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力

5、。新业务生态下的数据安全威胁数据安全威胁和暴露面随着业务变化而增加 主要外部威胁主要内部风险互联网金融风险 利用应用系统的漏洞、网络漏洞进行注入攻击；利用银行移动设备、智能设备、监控设备、无线网络进行渗透；通过病毒、木马、0Day漏洞进行渗透攻击。大数据、生物识别、公有云等新技术带来新的数据安全风险；开源社区软件、第三方SDK、开发运维工具带有恶意代码；银行生态中，和第三方合作企业进行的数据交互带来的风险。内部员工有意、无意操作不当造成数据泄露；业务人员使用对内部数据分析，使用数据不当；高权限人员使用特权访问不当；业务人员权控不当，超权限访问业务数据，过度访问业务数据；通过邮件、移动存储设备等

6、，泄露数据。新业务生态下的数据安全威胁业务生态中不平衡数据安全能力带来新威胁l 生活融入金融生态l 获客能力提升l 提升用户DAU MAU l 降低获客成本收益收益风险风险l 生态企业数据安全能力参差不齐l 生态企业接入后数据泄露面增大l 黑产通过生态企业撞库l 数据泄露后不可逆数据安全发展驱动力数据成为新型生产要素数据安全风险增加个人信息意识崛起监管力度加大数据成为新型生产要素数据类型多、数据量暴增、各类数据的拥有主体多样，处理活动复杂；新技术的兴起，网络趋势变得复杂，传统安全防护已经不能应对新的网络安全形势；数据价值的增加，导致了数据成为重点攻击对象；网民规模及互联网使用率逐年上升，网民遭