您好,欢迎来到三六零分类信息网!老站,搜索引擎当天收录,欢迎发信息
免费发信息
三六零分类信息网 > 镇江分类信息网,免费分类信息发布

《个人金融信息保护技术规范》到底如何落地?

2024/2/5 3:20:38发布21次查看
讲讲我们这实际落地《个人金融信息保护技术规范》,望有所借鉴。通易付plus招商政策
、首先看看《个人金融信息保护技术规范》适用范围及引用的文件
、来看看对于个人金融信息的定义:
是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
、看完了定义,正式进入落地相关内容,来看看对个人金融信息的分类:
分类级别通过重要程度分三级,c类数据为最高级别数据,可以形成模板组织公司各互联系统、业务系统、移动端应用针对分类列表,对数据先进行分类
、组织梳理完数据分类后,再看看拿这些数据做什么来满足安全的需求呢?
首先就需要看看个人金融信息的生命周期,个人金融信息的生命周期包括对个人金融信息进行收集、传输、存储、使用、删除、销毁等处理的整个过程,每个环节都要有相应的安全保护措施。因此企业不仅应该从静态数据出发,也要动态地从个人金融信息全生命周期出发,对收集、传输、存储、使用、删除、销毁等各环节进行统计和梳理,个人信息类别也会在不同的使用场景中有所变化。
、下面就整理出各个生命周期阶段,各类数据应该满足什么条件:
(一)收集环节,对于c、c类别的个人金融信息的要求如下:
(二)传输、存储环节,对于c、c类别的个人金融信息的要求如下:
(三)使用(信息展示)、使用(公开披露)环节,对于c、c类别的个人金融信息的要求如下:
(四)使用(委托处理)、使用(加工处理)环节,对于c、c类别的个人金融信息的要求如下:
以上可以提供相关资料,按模板组织各业务系统梳理现状是否符合全生命周期数据安全规范,根据现状在组织人员进行整改方案讨论,制定方案和计划。按计划执行修改即可
、之后就是如果金融机构与外部数据公司在各个层面比如核身数据、风控数据有合作的话,需要在安全策略方面参考以下内容:
、针对w应用的一个管理要求,说白了这块就是需要采购安全厂商服务来做的了,渗透测试、互联漏洞监控、银评估等措施:
、主要是针对脱敏技术的应用,明确在个人金融信息的多个生命周期环节中的各个要求,这块也是单独的脱敏要求,需要负责数据安全的人员针对这些要求梳理现状,如果不满足进行方案制定,最后研讨后制定计划。按计划整改即可:
、针对个人金融信息汇聚融合情况的要求,如果公司有同一公司内部不同业务线的数据共享;同一集团内不同关联企业间数据共享;与集团外第三方的数据共享这三种情况,需要满足:
、针对个人金融信息开发测试的要求,开发环境、测试环境不应使用真实的个人金融信息,应使用虚构的或经过去标识化(不应仅使用加密技术)脱敏处理的个人金融信息,账号、卡号、协议号、支付指令等测试确需信息除外。
、《规范》对于个人金融信息生命周期增加了个人金融信息的销毁环节。分别对删除和销毁作出了明确的定义:
、这部分是完全的企业内部管理方面的要求,首先是组织架构方面
、针对公司内部需要有哪些个人金融信息的规范及办法做了要求
、这部分又是采购外部安全厂商的服务要求了,主要是移动安全部分
、针对密码技术的要求,这块可能要求就是针对咱们企业使用的外部密码技术,再对他们选型的时候需要加上这条要求:
、针对安全监控和审计的要求,写的也比较详细,没有就按要求整改就可以了。
、对公司内部及合作的安全服务厂商的要求
、对公司内部安全事件处置的要求:
总结:
根据分解已经很明确各部分内容,剩下就是如果把各部分分给各自负责人,梳理各自部分的现状,差距,和安全厂商专家内部讨论整改方案,制定相关的工作计划,按计划整改即可。
本文为作者授权发布,不代表移动支付立场,转载请注明作者及来源,未按照规范转载者,移动支付保留追究相应责任的权利。
镇江分类信息网,免费分类信息发布

VIP推荐

免费发布信息,免费发布B2B信息网站平台 - 三六零分类信息网 沪ICP备09012988号-2
企业名录