聽客戶說|東臺農商銀行:建立健全資料安全管理制度的探索與實踐
夯實銀行資料安全,需“規劃先行、謀定後動”,首要工作是確立管理工作的行動綱要,並據此建立制度保障體系以貫徹綱要,而後才是具體的行動措施和日常檢查、監測。從銀行資料安全建設實踐路徑來說,我認為可以用“盤現狀、訂總綱、建細則、貫行動”這十二個字來概括。
——東臺農商銀行資訊科技部總經理 王勁松
在資料安全日益升級趨勢下,一場加強資料安全保障能力的行動在銀行全面鋪開。
江蘇東臺農商銀行與美創科技攜手,在資料安全治理方向先行先試充分探索,統籌建立面向所有業務崗的資料安全管理體系和流程規範要求,充分發揮行內監督管理作用,取得保障業務開展與資料安全之間的平衡狀態,該專案曾獲得“2022金融業資訊保安建設突出貢獻獎”。
近日,數世諮詢與東臺農商銀行資訊科技部總經理王勁松,開啟了一場關於“資料安全”的對話。
以下為對話實錄:
Q1: 我國強化資料合規監管已是勢在必行,尤其在金融業,銀保監會連續兩年將資料安全管理問題列為“1號罰單”的主要處罰依據。對此,您怎麼看待資料安全?東臺農商行的應對思路是什麼?
王勁松 : 夯實資訊保安管理工作,我行的一貫思路是“規劃先行、謀定後動”,首要工作是確立管理工作的行動綱要,並據此建立制度保障體系以貫徹綱要,而後才是具體的行動措施和日常檢查、監測。對於我行的資料安全管理建設來說亦是如此,落實資料安全,其首要在於如何能夠確保資料資產清晰化、風險監測常態化、安全工作流程化等。
其次,按照銀行業“三道防線”的思想,我們也對兩法進行了深度的解讀,從資料安全保護義務來看,既有一道防線的自我約束性訴求,更多有二道防線履行資料安全組織及人員的保障、風險評估及風險監測、安全防護以及檢查監督等盡責性控制的要求。而且總體來看二道防線在資料安全和個人資訊保護中更顯主要地位。因此要求我們科技部主動建立資料安全管理及教育機制,主動尋求資料安全管理和技術技能的提升,同時還要履行好全行資料安全意識和流程規範等宣貫教育的職責。
資訊保安工作是一項“三分技術、七分管理”的工程。為符合資料合規監管要求以及滿足金融資料安全風險管控的訴求,東臺農商行的資料安全和個人資訊保護工作離不開來自一線業務的深度參與,為此建立一套為東臺農商行量身打造、使用業務實際的資料安全管理工作機制尤為重要。
正是在這樣的背景下,我行多番交流比選後決定攜手美創科技,於2022年正式啟動以健全資料安全管理制度保障體系為核心的資料安全一期建設專案, 在透過針對全行詳盡的資料安全與制度管理流程的現狀評估、排查,調研,風險定性分析等基礎上,實現全行的資料安全管理體系制度框架的 頒佈與落地。
Q2:那麼,東 臺農商行如何進行建設規劃的?
王勁松 : 從建設規劃路徑來說,我認為可以用 “ 盤現狀、訂總綱、建細則、貫行動 ” 這十二個字來概括,其中:
盤現狀 : 關於這點,我們沒有直接開始內部盤點,而是先是對社會上和行業內的資料安全建設普遍情況做了瞭解,期望能夠釐清主要矛盾以便更有針對性地指導工作開展,因此也發現了這樣一個普遍規律:
-
缺乏體系的資料安全管理保障機制,資料合規管理存在較大“盲區”;
-
缺乏有效的資料安全建設保障機制,多為點對點式的安全建設之路,常疲於應付;
-
缺乏明晰的資料安全組織保障機制,資料安全建設工作難以有效開展和快速推進;
-
缺乏資料安全監督管理機制,資料安全的建設工作難以考核、成果無法衡量;
-
缺乏持續、動態的資料安全風險評估機制,資料安全是否存在風險、是否滿足外部合規要求,難以判定。
用這五項作為盤點框架,透過對我行的資料安全工作開展全面的管理現狀調研和分析工作、並對既有成效和問題進行深度審視,發現我行在資料安全上亦概莫能外。
訂總綱 : 鑑於上述情況,因此從社會和行業上來看,首要就是確定資料安全和個人資訊保護工作的總路線和行動綱要。為此我行以三法的合規要求為紅線,以網路安全等級保護和關鍵資訊基礎設施安全保護相關要求為基線,以金融行業相關規範要求和資料安全相關國家標準為範本,以江蘇省內地方資料安全相關條例和管理辦法為指引,制訂了符合東臺農商行業務管理目標的資料安全和個人資訊保護總綱。
建細則 : 以資料安全和個人資訊保護總綱為基準,同步參考DSG、DSMM模型以及CARTA、IPDRR、PDCA實踐方法論,我行從組織建設、風險評估、技術保障、教育培訓、應急響應等各方面建立健全安全細則規範。其次,鑑於業務應用場景具備多樣性,資料安全流程規範也下沉到真實的應用場景,因此我們同時建立了場景化的安全規範,如個人資訊處理、資料跨境傳輸等。
貫行動 : 良好的制度也是需要貫徹到位才能體現其價值,因此當包括總綱和細則在內的東臺農商行資料安全管理制度保障體系建成後,我們所做的第一步就是宣貫教育,從人員的安全意識和制度所要求的安全技能抓起,讓本行所有的員工意識到資料安全和個人資訊保護與每個人的日常工作息息相關、是每個人履行法律義務,同時也建立了相應覆蓋技術防護、應急處置、考核評估及教育培訓等全面評價考核清單,落實責任到人,以此提升貫徹落實資料安全管理制度的主動性和行動力。
當然,還有非常重要、也是可能影響制度貫徹效果的技術保障體系的建設與最佳化工作,我們也是同步啟動。首先是梳理了現有的安全技術和產品工具,與制度要求相匹配,當然本著可持續發展的理念,依照“充分利舊”的經濟性原則,優先透過加固的方式最佳化現有技術措施,其次才是透過建設新增的方式來彌補技術措施上的空缺。
以上就是我行在資料安全和個人資訊保護工作上的實踐路徑規劃,也是我們科技部的一致行動路線。經過一期的建設,我們目前也處在了“貫行動”的階段。
Q3:貴行所建立的資料安全管理制度規範能否在這裡簡要敘述下,讓大家能夠有更直觀的感受?
王勁松 : 我行的資料安全管理制度並不是完全重新開始,也是在現有的資訊保安管理制度體系上進行衍生,故也是遵照ISO/IEC 27001資訊保安管理體系框架國際標準進行資料安全管理制度檔案結構設計,每類管理檔案都將涵蓋四個層級,以方針、戰略為一級,以制度、辦法為二級,以規範、細則為三級,以表單、模板等檔案為四級。因此共建立51個制度檔案,包括1個一級檔案、3個二級檔案、11個三級檔案、36個四級檔案。所有制度均已面向全行釋出,目前正在持續的培訓宣貫中。
Q4: 您認為銀行科技部在資料安全管理建設上會面臨哪些難點,是否可以為大家提供一些解決這些問題的寶貴經驗?
王勁松 : 資料安全管理制度也好、技術保障措施也罷,因為其所保護物件——即資料的特性,與業務高度耦合,因此與全行所有的部門和人員都息息相關。 在制訂過程中,業務部門的配合支援至關重要。這就需要我們科技部門與業務部門通力合作,儘可能獲得他們的支援。對於資料安全和個人資訊保護工作,可根據法律要求,透過建議高層和各部門領導成立資料安全委員會之類的虛擬管理和責任組織的形式將資料安全管理責任上升和泛化。
其次,雖然我們能夠透過解讀法律法規及政策要求和評估梳理業務的邏輯等一系列措施來滿足制度的當下適用性,但任何一個管理制度並不是一成不變的,會隨著外部環境和要求的變化、業務邏輯的調整以及制度本身的自我演進而動態變化,也就說我們無法在一開始就完全確定制度內容。因此一級和二級管理檔案應儘量抽象,以減少因業務等調整而造成的制度修訂頻率,具象化的流程規範等應在三級細則以及四級配套表單檔案中去落實,如此才可保障制度的當下適用性。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69973247/viewspace-2938839/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Whalestudio助力西南某商業銀行資料中臺建設 | 實踐探索
- 京東金融客戶端使用者觸達方式的探索與實踐客戶端
- 工商銀行打造線上診斷平臺的探索與實踐
- 案例丨「PB級資料」股份制銀行內容管理平臺的探索與實踐
- 中國銀行電子支付平臺建設探索與實踐
- 農業銀行湖倉一體實時數倉建設探索實踐
- Service Mesh 在中國工商銀行的探索與實踐
- Flink CDC 在京東的探索與實踐
- 民生銀行資料中臺體系的構建與實踐
- 中國銀行雲原生技術探索與實踐
- 資料庫治理的探索與實踐資料庫
- 巨杉資料庫中標東莞農商銀行非結構化內容管理平臺專案資料庫
- 絲芙蘭資料洩露事件涉及東南亞和澳新銀行的客戶事件
- 蜜芽寶貝:基於客戶資料平臺的電商增長實踐(附下載)
- 前端資料層的探索與實踐(一)前端
- 前端資料層的探索與實踐(二)前端
- 商業銀行押品管理系統建設探索和實踐
- 流批一體在京東的探索與實踐
- ONES X 深圳農村商業銀行 | 數字化專案管理實踐專案管理
- 網商銀行×SOFAStack:首家雲上銀行的微服務架構實踐與演進AST微服務架構
- 騰訊安全李濱:騰訊雲資料安全與隱私保護探索與實踐
- 網商銀行資料庫迭代記,OceanBase助力金融創新實踐資料庫
- vivo 故障定位平臺的探索與實踐
- 資料庫智慧運維探索與實踐資料庫運維
- 資料安全治理體系如何建?看頭部銀行最佳實踐
- 雲時代的資料庫客戶端 —— CloudQuery最佳實踐資料庫客戶端Cloud
- 好大夫資料安全分類分級實踐探索
- 全面佈局安全可靠 聽聽東軟怎麼說!
- Tracardi:開源客戶資料整合與分析平臺
- CRM保護客戶資料安全的方法?
- 其實在直播平臺買東西的客戶最愚蠢
- 客戶之聲(VOC)如何助力銀行挖掘客戶需求?
- 得物App資料模擬平臺的探索和實踐APP
- 【流沙】宜信安全資料平臺實踐
- OceanBase 的探索與實踐
- ChatGPT的探索與實踐ChatGPT
- 農業銀行智慧運維建設和應用實踐運維
- 做銀行家裡的資料專家:ING探索大資料時代下的金融最佳實踐大資料