江苏东台农商银行数据安全建设经验分享
自《数据安全法》《个人信息保护法》等颁布以来,数据安全已经上升到国家战略层面。在金融业,随着人行银保监如《金融数据安全
数据安全分级指南》等一系列指导文件的发布,金融监管的重视程度越来越高。另外我们也看到随着互联网金融的广泛落地,让数据变得更有价值,成为银行业业务发展和金融科技发展的核心驱动力。
为响应上级监管单位关于信息安全的建设指导要求,应对日益严峻的信息安全威胁,东台农商银行在数据安全治理方向充分探索,统筹建立面向所有业务岗的数据安全管理体系和流程规范要求,充分发挥行内监督管理作用,取得保障业务开展与数据安全之间的平衡状态。以全行的数据安全管理体系制度框架设计与落地为目标,以“数据安全制度管理流程”为核心,在通过针对全行详尽的数据安全与制度管理流程的现状评估、排查,调研,风险定性分析等基础上,实现了全行的数据安全管理体系制度框架的出台与落地。以制度管理为中心,并结合相应的工具平台,实现整体的数据安全体系框架的搭建。
本次,我们邀请到了东台农商银行信息科技部总经理王劲松为大家带来数据安全建设经验的访谈分享。
金融行业数据安全面临的挑战及应对思路
数世咨询:王总,您好!众所周知,金融数据一直以来有着高价值的特征,也最容易遭受安全风险;其次随着2021年数据安全法和个人信息保护法的陆续颁布,反映出我国强化数据合规监管已势在必行,尤其在金融业,数据安全相关处罚成为监管处罚最多的行业之一,银保监会更是连续两年将数据安全管理问题列为“1号罚单”的主要处罚依据。对此,想请问您是怎么看待数据安全以及东台农商行的应对思路是什么?
王劲松:夯实信息安全管理工作,我行的一贯思路是“规划先行、谋定后动”,首要工作是确立管理工作的行动纲要,并据此建立制度保障体系以贯彻纲要,而后才是具体的行动措施和日常检查、监测。对于我行的数据安全管理建设来说亦是如此,落实数据安全,其首要在于如何能够确保数据资产清晰化、风险监测常态化、安全工作流程化等。
其次,按照银行业“三道防线”的思想,我们也对两法进行了深度的解读,从数据安全保护义务来看,既有一道防线的自我约束性诉求,更多有二道防线履行数据安全组织及人员的保障、风险评估及风险监测、安全防护以及检查监督等尽责性控制的要求。而且总体来看二道防线在数据安全和个人信息保护中更显主要地位。因此要求我们科技部主动建立数据安全管理及教育机制,主动寻求数据安全管理和技术技能的提升,同时还要履行好全行数据安全意识和流程规范等宣贯教育的职责。
常言道:信息安全工作是一项“三分技术、七分管理”的工程。为符合数据合规监管要求以及满足金融数据安全风险管控的诉求,东台农商行的数据安全和个人信息保护工作离不开来自一线业务的深度参与,为此建立一套为东台农商行量身打造、使用业务实际的数据安全管理工作机制尤为重要。
正是在这样的背景下,我行多番交流比选后决定携手专业数据安全服务商美创科技,于2022年正式启动以健全数据安全管理制度保障体系为核心的数据安全一期建设项目。
数据安全体系建设的实施路径规划
数世咨询:看得出王总您对数据安全工作有着深刻的理解,相信您已经对此有详细的实践思路,接下来您能详细介绍下您对东台农商行数据安全体系建设的实施路径规划吗?
王劲松:好的,接下来就此来谈谈我个人的看法以及我行的实践路径规划,供大家参考和批判。
从我行的数据安全建设实践路径规划来说,我认为可以用“盘现状、订总纲、建细则、贯行动”这十二个字来概括,其中:
盘现状:关于这点,我们没有直接开始内部盘点,而是先是对社会上和行业内的数据安全建设普遍情况做了了解,期望能够厘清主要矛盾以便更有针对性地指导工作开展,因此也发现了这样一个普遍规律:
- 缺乏体系的数据安全管理保障机制,数据合规管理存在较大“盲区”;
- 缺乏有效的数据安全建设保障机制,多为点对点式的安全建设之路,常疲于应付;
- 缺乏明晰的数据安全组织保障机制,数据安全建设工作难以有效开展和快速推进;
- 缺乏数据安全监督管理机制,数据安全的建设工作难以考核、成果无法衡量;
- 缺乏持续、动态的数据安全风险评估机制,数据安全是否存在风险、是否满足外部合规要求,难以判定。
用这五项作为盘点框架,通过对我行的数据安全工作开展全面的管理现状调研和分析工作、并对既有成效和问题进行深度审视,发现我行在数据安全上亦概莫能外。
订总纲:鉴于上述情况,因此从社会和行业上来看,首要就是确定数据安全和个人信息保护工作的总路线和行动纲要。为此我行以三法的合规要求为红线,以网络安全等级保护和关键信息基础设施安全保护相关要求为基线,以金融行业相关规范要求和数据安全相关国家标准为范本,以江苏省内地方数据安全相关条例和管理办法为指引,制订了符合东台农商行业务管理目标的数据安全和个人信息保护总纲。
建细则:以数据安全和个人信息保护总纲为基准,同步参考DSG、DSMM模型以及CARTA、IPDRR、PDCA实践方法论,我行从组织建设、风险评估、技术保障、教育培训、应急响应等各方面建立健全安全细则规范。其次,鉴于业务应用场景具备多样性,数据安全流程规范也下沉到真实的应用场景,因此我们同时建立了场景化的安全规范,如个人信息处理、数据跨境传输等。
贯行动:良好的制度也是需要贯彻到位才能体现其价值,因此当包括总纲和细则在内的东台农商行数据安全管理制度保障体系建成后,我们所做的第一步就是宣贯教育,从人员的安全意识和制度所要求的安全技能抓起,让本行所有的员工意识到数据安全和个人信息保护与每个人的日常工作息息相关、是每个人履行法律义务,同时也建立了相应覆盖技术防护、应急处置、考核评估及教育培训等全面评价考核清单,落实责任到人,以此提升贯彻落实数据安全管理制度的主动性和行动力。
当然,还有非常重要、也是可能影响制度贯彻效果的技术保障体系的建设与优化工作,我们也是同步启动。首先是梳理了现有的安全技术和产品工具,与制度要求相匹配,当然本着可持续发展的理念,依照“充分利旧”的经济性原则,优先通过加固的方式优化现有技术措施,其次才是通过建设新增的方式来弥补技术措施上的空缺。
以上就是我行在数据安全和个人信息保护工作上的实践路径规划,也是我们科技部的一致行动路线。经过一期的建设,我们目前也处在了“贯行动”的阶段。
数据安全管理制度规范设计
数世咨询:这个思路和经验的确非常值得大家借鉴和参考,贵行所建立的数据安全管理制度规范王总您能否在这里简要叙述下,让大家能够有更直观的感受?
王劲松:当然可以。我们的数据安全管理制度也不是完全重新开始,也是在现有的信息安全管理制度体系上进行衍生,故也是遵照ISO/IEC 27001信息安全管理体系框架国际标准进行数据安全管理制度文件结构设计,每类管理文件都将涵盖四个层级,以方针、战略为一级,以制度、办法为二级,以规范、细则为三级,以表单、模板等文件为四级。因此共建立51个制度文件,包括1个一级文件、3个二级文件、11个三级文件、36个四级文件。所有制度均已面向全行发布,目前正在持续的培训宣贯中。
数据安全管理建设的难点分析及经验总结
数世咨询:结合贵行的实践经历,您认为银行的科技部在数据安全管理建设上会面临哪些难点,以及您是否可以为大家提供一些解决这些问题的宝贵经验?
王劲松:数据安全管理制度也好、技术保障措施也罢,因为其所保护对象——即数据的特性,与业务高度耦合,因此与全行所有的部门和人员都息息相关,在制订过程中,业务部门的配合支持至关重要。这就需要我们科技部门与业务部门通力合作,尽可能获得他们的支持。对于数据安全和个人信息保护工作,可根据法律要求,通过建议高层和各部门领导成立数据安全委员会之类的虚拟管理和责任组织的形式将数据安全管理责任上升和泛化。
其次,虽然我们能够通过解读法律法规及政策要求和评估梳理业务的逻辑等一系列措施来满足制度的当下适用性,但任何一个管理制度并不是一成不变的,会随着外部环境和要求的变化、业务逻辑的调整以及制度本身的自我演进而动态变化,也就说我们无法在一开始就完全确定制度内容。因此一级和二级管理文件应尽量抽象,以减少因业务等调整而造成的制度修订频率,具象化的流程规范等应在三级细则以及四级配套表单文件中去落实,如此才可保障制度的当下适用性。
