随着《数据安全法》、《个人信息保护法》、《JR/T 0197-2020金融数据安全 数据安全分级指南》、《JR/T 0223-2021 金融数据安全 数据生命周期安全规范》等一系列法律法规及监管规范相继施行,对数据安全管理提出了更明确、更具体的要求。邮储银行作为一家大型国有企业,积极响应国家号召,落实国家大数据安全战略,以数据为关键要素,合理分配数据保护资源,建立完善的数据安全生命周期防护机制,提升邮储银行数据安全管理水平。
邮储银行作为一家拥有6亿多个人客户的大型银行,海量的客户、业务数据是得天独厚的优势,构建全面的数据安全管理能力,有效运用先进技术开展数据应用,是发挥数据价值、提高经营管理精细化水平的关键。邮储银行积极落实国家和监管部门要求,将数据安全管理现状进行全面对标,提出数据安全管理总体框架,从组织架构、制度支撑、文化氛围、基础管理、全生命周期管理等方面发力,五位一体全力保障数据安全可用。
将数据安全纳入总行党委管理,在全行建立数据安全三道防线,明确相关部门具体职责,构建严密的数据安全管理体系。在岗位设置方面,发布《数据安全管理团队建设方案》,确定数据安全专兼职岗位设置标准以及专业队伍建设要求,明确数据安全专兼职人员职责,共同推进全行数据安全各项工作扎实落地,为全行数据安全管理提供人才保障。
为规范数据安全管理,我行修订《中国邮政储蓄银行数据安全管理办法》,进一步明确全行数据安全职责分工、安全要求和工作流程等,为数据安全管理提供制度指导。同时,对标《数据安全法》《个人信息保护法》等国家法律法规,以及《征信业务管理办法》《金融数据安全 数据安全分级指南》《金融数据安全 数据生命周期安全规范》等行业政策及标准,结合我行数据安全制度建设需求,从数据安全战略、生命周期管理、基础安全管理三个方面初步建立了数据安全制度体系,对数据安全从宏观指导到微观规范,全面覆盖、层层落实,为助推邮储银行一体化数据安全管理奠定了基础。
通过多层级多频率开展数据安全培训,充分营造“数据安全人人有责”的文化氛围。面向全行约14万员工组织开展数据安全法规政策解读培训,培训内容包括国内外数据安全法规标准解读以及从业人员相关要求;面向总行及各分行科技部门、系统建设部门及数据安全相关人员开展数据安全分类分级方法培训,数据安全技术培训等内容。将数据安全意识内化于心、外化于行。
数据安全分类分级是数据安全管理的基础性、关键性工作。一是结合全行数据安全要求,统筹推进全行数据安全分类分级工作。二是优先在重要系统落地数据安全分级管控措施,逐步提升我行数据安全精细化管理能力。
加大新技术研究,增强数据安全技防能力。一是加强加密管理,针对不同安全级别的数据采取不同的加密策略。二是加强终端管控,降低数据使用环节数据泄露风险。三是完善个人信息保护应急响应机制,减轻个人信息泄露事件影响,最大限度保障个人客户信息安全。四是加强联邦学习、隐私计算等新技术研究应用,搭建我行多方安全计算平台。
从事前防控、事中评估、事后监督三方面提升数据安全管控能力,确保金融数据安全应用。
-
事前防控方面,一是将数据安全要求纳入业务需求及技术方案,持续加强需求分析、系统设计、系统开发、系统测试、投产上线等各阶段的数据安全管控。二是明确数据采集、传输、存储、使用、备份、灾备与销毁等生命周期各环节要求并推动落实。
-
事中评估方面,构建了全行数据安全评估框架,从全面评估、专项评估双管齐下,逐步提升全行数据安全管理能力。
-
事后监督方面,面向总行及各一级分行开展数据安全检查及审计,推动问题整改,形成管理闭环。
邮储银行以找短板、补差距、提质效为出发点,完善数据安全管理,取得显著成效:
通过完善数据安全管理战略,全行各级机构有效运转,实现了让全行动起来的目标。初步构建了组织架构健全、职责边界清晰的数据安全管理职责体系和规范化的运行机制。不断完善顶层设计,加强自上向下协调推进力度,通过总行信息科技风险管理委员会,审议数据安全管理相关事项。通过完善数据安全制度体系,数据安全管理各项工作实现了权责清晰、有法可依。
通过建立数据安全队伍体系,实现了清晰的数据安全管理责任划分,明确数据安全专兼职岗位设置标准以及专业队伍建设要求,设置数据安全管理岗和数据安全专员,并明确数据安全专兼职人员职责,共同推进全行数据安全各项工作扎实落地。
通过夯实数据安全基础管理体系,制定《中国邮政储蓄银行数据安全分级规范》,明确分类分级的方法和要求,指导全行开展数据分类分级保护工作。会同各标准权威部门,编制并发布《中国邮政储蓄银行主数据标准数据安全分类分级清单》,为后续各相关单位在开展本领域、本条线数据安全分类分级工作提供有益参考。为加快推进数据安全分类分级工作,特成立数据安全分类分级联合工作小组,成员包括数据安全管理部门、试点系统建设部门以及相关业务需求部门。推动全行按照涉及核心类业务系统、重要数据应用系统,以及客户基本信息、客户身份鉴别信息等安全级别较高的数据等原则,确定相关试点系统,共涉及约18万字段,开展数据安全分类分级工作。2023年将根据试点经验,由点到面向全行推广,推进我行重点系统安全分级及管控落地。
目前已将数据安全要求纳入业务需求模板,从源头进行安全管控。2022年对全行60项新增功能工程业务需求评审,为信息系统的数据安全站好第一班岗。按照全行信息化建设管理规定,将业务需求和系统实际数据安全管理要求深度融合,严格落实数据安全管理要求。
DSG系列评估持续征集参评企业,欢迎广大企业垂询合作!
![邮储银行数据安全治理体系建设与实践]( "邮储银行数据安全治理体系建设与实践")
原文始发于微信公众号(数据安全推进计划):邮储银行数据安全治理体系建设与实践
评论