关于外审中数据安全管控的探讨与实践| 总第254周

‍‍

0x1本周话题

话题：问个数据安全的问题，大家对外审需要提供很多信息，大家怎么管控数据安全呢，大量的敏感性带出去。

A1：首先签订保密协议，很多资料只能看不能带走，给一台专门的电脑，专人看守。所有文件均脱敏处理后再给到外审专家。都是提供现场电脑拷贝数据供查看，外拷的脱敏审批后才能带走。

A2：两方面，一是提供底稿证据不代表能带出去，外审只能在断网电脑上看，信息放到这台审计用电脑要领导审批，想带走，要专门审批。二是他生成报告的部分，基本是可公开部分，带走的底稿也要脱敏，再剩余的风险，就是他签署责任书，承担法律责任了，公司一般都接受，要把控的是什么给他带走。

A3：领导可以授权给某组长，但肯定得有人审的。如果每天文件都很多，人工审批不行吧。那基本要有一个专门的人审了，专职，否则根本做不过来。

A4：我们就是Data room模式。一般性来说都是提供专用电脑，现场看，不让带走。这都不是出于泄密角度，而是提供给外审的信息准不准，领导比安全更关心。

A5：现在监管对数据安全的管控挺严的第三方合作的数据管控。

A6：但是你比如esg报告这种。可能就直接发素材了。当然他也不涉及到特别核心保密的信息。

A7：这个问题是开放性的，我觉得从领导的角度这么想也是合理的，但这个问题应该等价于多少投入可以确保没有安全事件，其实是没解的。终究一句话，数据安全就是坑，很难平衡业务和安全管控。

A8：比如说，提前已经备好材料，要什么直接给什么，快，也没问题，但一是提前准备的材料肯定也是审批过的代表公司意志的，二是这依然得专人迎检，不可能开口谁都去应答胡说。外审这个角度，我觉得和数据安全关系不大。只要是客户信息出去那就是数据安全问题，还有就是业务合作有涉及客户信息的。

A9：我们现在不管面对外审还是监管，拷贝数据都是一堆流程，他们质疑就说这是我们管的好，至今没有会在这方面的质疑。而且报数据出去一定至少2层审批。

Q：外审会调阅明文客户信息？

A10：嗯，就是靠审批流，反正要发出去的，好几个老板都要审核，有风险大家一起背锅。我们现在外发邮件都要一把手批，审批机制和技术措施。

A11：业务合作给客户数据，除了司法，现在还有这种情况？监管外审报送和业务拷贝，完全不是一个工作量、重要程度的事吧？除了一些基本管理基线，这俩本就各有偏重。

A12：小银行有些系统托管的，之前做网络安全管好数据中心数据安全就得深入各个业务场景，我们现场监管查外包最后落地都是数据安全问题。

Q：托管的话，责任不在承托方吧？承托方也不该接触托管方数据吧？

A13：既然托管就会给他们运维，安全检查也是数据安全的一块大工作。另外一个数据安全评估，按照金监的那个文件，但凡发生数据活动就要风险评估报告。

A14：签署协议的时候，肯定要要求他们有管理责任。这类场景的数据安全我理解是通过法律文件协议和对供应商的安全评估来保障的。

A15：这就是理论实际的差距了。按理说委托方要履行网络安全主体责任，系统外包但是责任不外包。但是有些很小委托方根本就搞不了自己的运维管理。

0x2 群友分享

【安全资讯】

“内鬼”是泄露公民个人信息主要源头！涉及信托、运营商、航空公司三起典型案例

--------------------------------------------------------------------------

由于微信修改了推送规则，需读者经常留言或点“在看”“点赞”，否则会逐渐收不到推送！如果你还想看到我们的推送，请点赞收藏周报，将君哥的体历加为星标或每次看完后点击一下页面下端的“在看”“点赞”。

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的****展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群周报：

关于员工上网行为管理与防范恶意域名的策略探讨| 总第253周

如何进群？

如何下载群周报完整版？

请见下图：