聽客戶說｜東臺農商銀行：建立健全資料安全管理制度的探索與實踐

用這五項作為盤點框架，透過對我行的資料安全工作開展全面的管理現狀調研和分析工作、並對既有成效和問題進行深度審視，發現我行在資料安全上亦概莫能外。

訂總綱 ： 鑑於上述情況，因此從社會和行業上來看，首要就是確定資料安全和個人資訊保護工作的總路線和行動綱要。為此我行以三法的合規要求為紅線，以網路安全等級保護和關鍵資訊基礎設施安全保護相關要求為基線，以金融行業相關規範要求和資料安全相關國家標準為範本，以江蘇省內地方資料安全相關條例和管理辦法為指引，制訂了符合東臺農商行業務管理目標的資料安全和個人資訊保護總綱。

建細則 ： 以資料安全和個人資訊保護總綱為基準，同步參考DSG、DSMM模型以及CARTA、IPDRR、PDCA實踐方法論，我行從組織建設、風險評估、技術保障、教育培訓、應急響應等各方面建立健全安全細則規範。其次，鑑於業務應用場景具備多樣性，資料安全流程規範也下沉到真實的應用場景，因此我們同時建立了場景化的安全規範，如個人資訊處理、資料跨境傳輸等。

貫行動 ： 良好的制度也是需要貫徹到位才能體現其價值，因此當包括總綱和細則在內的東臺農商行資料安全管理制度保障體系建成後，我們所做的第一步就是宣貫教育，從人員的安全意識和制度所要求的安全技能抓起，讓本行所有的員工意識到資料安全和個人資訊保護與每個人的日常工作息息相關、是每個人履行法律義務，同時也建立了相應覆蓋技術防護、應急處置、考核評估及教育培訓等全面評價考核清單，落實責任到人，以此提升貫徹落實資料安全管理制度的主動性和行動力。

當然，還有非常重要、也是可能影響制度貫徹效果的技術保障體系的建設與最佳化工作，我們也是同步啟動。首先是梳理了現有的安全技術和產品工具，與制度要求相匹配，當然本著可持續發展的理念，依照“充分利舊”的經濟性原則，優先透過加固的方式最佳化現有技術措施，其次才是透過建設新增的方式來彌補技術措施上的空缺。

以上就是我行在資料安全和個人資訊保護工作上的實踐路徑規劃，也是我們科技部的一致行動路線。經過一期的建設，我們目前也處在了“貫行動”的階段。

Q3：貴行所建立的資料安全管理制度規範能否在這裡簡要敘述下，讓大家能夠有更直觀的感受？

王勁松 ： 我行的資料安全管理制度並不是完全重新開始，也是在現有的資訊保安管理制度體系上進行衍生，故也是遵照ISO/IEC 27001資訊保安管理體系框架國際標準進行資料安全管理制度檔案結構設計，每類管理檔案都將涵蓋四個層級，以方針、戰略為一級，以制度、辦法為二級，以規範、細則為三級，以表單、模板等檔案為四級。因此共建立51個制度檔案，包括1個一級檔案、3個二級檔案、11個三級檔案、36個四級檔案。所有制度均已面向全行釋出，目前正在持續的培訓宣貫中。

Q4： 您認為銀行科技部在資料安全管理建設上會面臨哪些難點，是否可以為大家提供一些解決這些問題的寶貴經驗？

王勁松 ： 資料安全管理制度也好、技術保障措施也罷，因為其所保護物件——即資料的特性，與業務高度耦合，因此與全行所有的部門和人員都息息相關。 在制訂過程中，業務部門的配合支援至關重要。這就需要我們科技部門與業務部門通力合作，儘可能獲得他們的支援。對於資料安全和個人資訊保護工作，可根據法律要求，透過建議高層和各部門領導成立資料安全委員會之類的虛擬管理和責任組織的形式將資料安全管理責任上升和泛化。

其次，雖然我們能夠透過解讀法律法規及政策要求和評估梳理業務的邏輯等一系列措施來滿足制度的當下適用性，但任何一個管理制度並不是一成不變的，會隨著外部環境和要求的變化、業務邏輯的調整以及制度本身的自我演進而動態變化，也就說我們無法在一開始就完全確定制度內容。因此一級和二級管理檔案應儘量抽象，以減少因業務等調整而造成的制度修訂頻率，具象化的流程規範等應在三級細則以及四級配套表單檔案中去落實，如此才可保障制度的當下適用性。