如何助力银行保险机构开展“侵害个人信息权益乱象专项整治工作”

“近期,银保监会在业内下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》;原点安全将在12月20日前免费提供[产品+人工服务]助力企业自查整改。”

如何助力银行保险机构开展“侵害个人信息权益乱象专项整治工作”_第1张图片

随着银保监会办公厅向各银保监局、各银行与保险机构下发了《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》(以下简称《通知》),拉开了全面开展《个人信息保护法》、《中华人民共和国消费者权益保护法》、《中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知》、《互联网保险业务监管办法》等相关法规履行情况的检查序幕。

根据《通知》要求,各银行与保险机构及保险中介机构需完成全面的自查整改、强化整治问责、建立长效机制(健全个人信息保护制度机制、规范个人信息处理和管理行为、全面提升消费者个人信息保护能力)。

自查整改中遇到的典型问题

如何全面、准确、及时、高效、持续地理清存储和使用的个人信息,以及对个人信息实施分类分级标注和管控。

   如:

-构建鲜活的敏感数据目录。

-个人信息识别、打标和分类分级。

-个人信息访问的全量审计和轨迹监测。

如何在[个人信息存储和传输]、[个人信息查询]、[个人信息提供]、[第三方合作]环节中审计、监督、管控违规和风险的个人信息访问行为,以及为必要的敏感个人信息访问行为实施严格管控和自动合规交付处置。

   如:

- 监督违规下载消费者敏感个人信息。

- 监督机构人员超职权访问未脱敏的消费者个人敏感信息。

- 监督、留痕、管控机构人员滥用职权全篡改消费者个人信息数据。

- 监督、留痕、管控业务系统账号越权访问消费者个人信息。

- 监督共享或借用账号查询消费者个人信息,留痕访问行为。

- 监督离职、调岗员工账号未及时注销相关权限,留痕访问行为。

- 实施粒度到具体人员(真实数据操作者)的查询权限的严格限制,避免不具备权限的员工可查询未经脱敏的个人信息。

- 对通过数据库工具、业务系统、API数据服务、BI数据分析等途径的个人信息访问,实施场景化的动态数据脱敏。

 “自查-整改-长效机制” 全过程

面对较为繁重的自查整改任务,原点安全提供免费的[产品+人工]专项运营服务

如何助力银行保险机构开展“侵害个人信息权益乱象专项整治工作”_第2张图片

01提高自查效率

以原点技术高效助力企业梳理个人信息的存储和使用状况。

● 敏感数据目录+数据识别引擎

通过主动扫描数据库和被动智能解析数据访问过程,绘制个人信息数据地图,自动化数据打标和分类分级。

● 数据访问审计+数据访问轨迹+安全合规分析

通过监视应用/工具等主体对个人信息的访问行为,留痕访问过程和明细,监督异常、违规、风险状况。如违规大批量访问敏感个人信息、账号共享、越权违规访问个人信息、敏感个人信息未经脱敏交付等。

02高效的技术手段

高效落实配套的技术措施,提升整改效率和效果。

● 数据访问控制

结合业务、数据、安全合规要求等维度将个人信息纳入逻辑数据集合,根据敏感数据类型、控制动作、数据访问类型、有效时间、主体位置、执行路径等条件实施数据访问控制。如禁止特权账号访问业务数据、业务系统账号越权访问、机构人员违规篡改消费者个人信息等。

● 数据动态脱敏

以个人信息数据类型为处置对象,按业务场景实施自适应的动态数据脱敏,满足数据交付的合规要求。如应用前端脱敏展示、机构人员未经授权查询数据自动脱敏、BI数据分析及数据报告按需自动脱敏敏感数据等。

● 访问认证代理

采用虚拟账号口令代替数据源真实账号口令,降低数据源口令的泄露风险,可实施细粒度到人的即时管控,以及监管高危特权。如控制粒度到具体人员(真实数据操作者)的查询权限的严格限制、数据访问留痕至真实数据操作者。

● 访问自助授权

通过访问权限自动化配置,实现审批即授权、承诺即授权,满足安全合规要求的前提下,通过权限配置和执行的流程化、自动化,提高数据安全合规管理的灵活性,同时避免阻碍业务。

03形成长效机制

以企业内部数据安全管理制度和外部合规监管要求为依据,以一体化的保护平台作为技术手段,配套持续运营服务,迭代推进和不断提升个人信息保护措施,落实长效机制。

你可能感兴趣的:(安全)