数据是银行的重要资产,也是其安全防护的重要对象。《中华人民共和国数据安全法》《网络数据安全管理条例(征求意见稿)》等法律法规规定了数据处理者的数据安全保护责任。《JR/T 0223-2021金融数据安全 数据生命周期安全规范》和《T/NIFA 21—2023金融数据安全技术防护规范》进一步提出金融业机构应建立统一的金融数据安全管理制度体系,并明确各层级部门与相关岗位数据安全工作职责,规范工作流程。
在此背景下,建立一套科学有效的数据安全管理制度保护银行数据安全已势在必行。本文将从银行数据安全管理制度的建设需要进行分析,给出切实应对策略,以帮助落实银行数据安全保护要求。
银行数据安全管理制度建设需求
1、合规性需求
2、数据安全和隐私保护需求
3、员工安全意识培训需求
4、制度落实需求
银行数据在创造价值的同时,也带来了新的安全风险和挑战。为确保银行数据的安全,需要综合考虑多方面的安全需求,并建立完善的数据安全管理制度。
银行行业数据安全管理制度特色
银行机构应用系统数量非常多,其架构设计严密,一般按照分层架构模式设计,从面向客户提供服务的角度,将应用分为不同的层次,不同层的应用定位和作用不同,安全要求也不同。
银行数据应用场景多种多样且涉及信息系统多,具有更新频繁、数据规模庞大、数据类型多样、数据分布复杂、数据分析难度大等特点。
因此,银行在数据全生命周期所面临的威胁也因其特殊的行业数据而有所不同,如过度收集数据、网间传输风险、数据未脱敏、数据未加密、数据跨境流通等。
银行数据安全管理制度建设应对策略
启明星辰针对银行特定的数据安全管理制度建设需求,提供银行数据安全管理制度咨询与建设服务,结合法律法规、相关标准、行业要求及实践经验,建设合理、完善、具有银行特色的数据安全管理制度。
制度文档体系结构分为四层,各层级之间相互关联。一级文档为方法总纲类文档,作为整体数据安全方针策略;二级文档为管理制度、管理办法类文档;三级文档为操作流程、规范、作业指导书、模板文件类文档;四级文档为计划、表格、报告、各种运行记录/检查记录、日志文件等记录类文档。
1、数据生命周期安全管理制度
· 在数据采集中,银行从外部机构和个人信息主体采集数据,外部机构数据和个人主体数据通过人工或系统采集的方式收集,经过数据预处理的清洗、转换等流程后进行存储。
2、个人信息保护制度
银行个人信息包括反映特定个人金融信息主体某些情况的信息,可根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将银行个人信息按敏感程度从高到低分为C3、C2、C1三个级别,并采取相应的安全技术手段进行对个人信息的保护。
3、重要数据保护制度
需明确银行重要数据有哪些,根据重要数据情况与相关标准要求设计重要数据保护制度。整体分为数据处理活动安全和运行与管理安全两个模块,每个模块对应相关安全保护要求和具体安全措施,保护银行重要数据安全。
4、数据分类分级制度
· 在数据分级中可根据银行数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。
整体数据安全管理制度的建设需要从客户的实际情况出发,综合考虑合规要求和制度合理性等进行设计和编制。
建立健全数据安全管理制度有助于银行数据风险防控和规范化管理。启明星辰提供银行数据安全管理制度咨询与建设服务,从银行客户的实际情况出发,在满足合规需求的同时,帮助厘清内外部数据管理策略,以从容应对不断变化的数据安全风险,并为银行数据的应用和共享夯实制度基础,全面提升银行数据应用的合规性、安全性。
•
END
•
原文始发于微信公众号(启明星辰集团):银行数据安全管理制度思考与实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论