缺乏體系的數據安全管理保障機制,數據合規管理存在較大“盲區”;
缺乏有效的數據安全建設保障機制,多為點對點式的安全建設之路,常疲于應付;
缺乏明晰的數據安全組織保障機制,數據安全建設工作難以有效開展和快速推進;
缺乏數據安全監督管理機制,數據安全的建設工作難以考核、成果無法衡量;
缺乏持續、動態的數據安全風險評估機制,數據安全是否存在風險、是否滿足外部合規要求,難以判定。
用這五項作為盤點框架,通過對我行的數據安全工作開展全面的管理現狀調研和分析工作、并對既有成效和問題進行深度審視,發現我行在數據安全上亦概莫能外。
訂總綱:鑒于上述情況,因此從社會和行業上來看,首要就是確定數據安全和個人信息保護工作的總路線和行動綱要。為此我行以三法的合規要求為紅線,以網絡安全等級保護和關鍵信息基礎設施安全保護相關要求為基線,以金融行業相關規范要求和數據安全相關國家標準為范本,以江蘇省內地方數據安全相關條例和管理辦法為指引,制訂了符合東臺農商行業務管理目標的數據安全和個人信息保護總綱。
建細則:以數據安全和個人信息保護總綱為基準,同步參考DSG、DSMM模型以及CARTA、IPDRR、PDCA實踐方法論,我行從組織建設、風險評估、技術保障、教育培訓、應急響應等各方面建立健全安全細則規范。其次,鑒于業務應用場景具備多樣性,數據安全流程規范也下沉到真實的應用場景,因此我們同時建立了場景化的安全規范,如個人信息處理、數據跨境傳輸等。
貫行動:良好的制度也是需要貫徹到位才能體現其價值,因此當包括總綱和細則在內的東臺農商行數據安全管理制度保障體系建成后,我們所做的第一步就是宣貫教育,從人員的安全意識和制度所要求的安全技能抓起,讓本行所有的員工意識到數據安全和個人信息保護與每個人的日常工作息息相關、是每個人履行法律義務,同時也建立了相應覆蓋技術防護、應急處置、考核評估及教育培訓等全面評價考核清單,落實責任到人,以此提升貫徹落實數據安全管理制度的主動性和行動力。
當然,還有非常重要、也是可能影響制度貫徹效果的技術保障體系的建設與優化工作,我們也是同步啟動。首先是梳理了現有的安全技術和產品工具,與制度要求相匹配,當然本著可持續發展的理念,依照“充分利舊”的經濟性原則,優先通過加固的方式優化現有技術措施,其次才是通過建設新增的方式來彌補技術措施上的空缺。
以上就是我行在數據安全和個人信息保護工作上的實踐路徑規劃,也是我們科技部的一致行動路線。經過一期的建設,我們目前也處在了“貫行動”的階段。
Q3:貴行所建立的數據安全管理制度規范能否在這里簡要敘述下,讓大家能夠有更直觀的感受?
王勁松:我行的數據安全管理制度并不是完全重新開始,也是在現有的信息安全管理制度體系上進行衍生,故也是遵照ISO/IEC 27001信息安全管理體系框架國際標準進行數據安全管理制度文件結構設計,每類管理文件都將涵蓋四個層級,以方針、戰略為一級,以制度、辦法為二級,以規范、細則為三級,以表單、模板等文件為四級。因此共建立51個制度文件,包括1個一級文件、3個二級文件、11個三級文件、36個四級文件。所有制度均已面向全行發布,目前正在持續的培訓宣貫中。
Q4:您認為銀行科技部在數據安全管理建設上會面臨哪些難點,是否可以為大家提供一些解決這些問題的寶貴經驗?
王勁松:數據安全管理制度也好、技術保障措施也罷,因為其所保護對象——即數據的特性,與業務高度耦合,因此與全行所有的部門和人員都息息相關。在制訂過程中,業務部門的配合支持至關重要。這就需要我們科技部門與業務部門通力合作,盡可能獲得他們的支持。對于數據安全和個人信息保護工作,可根據法律要求,通過建議高層和各部門領導成立數據安全委員會之類的虛擬管理和責任組織的形式將數據安全管理責任上升和泛化。
其次,雖然我們能夠通過解讀法律法規及政策要求和評估梳理業務的邏輯等一系列措施來滿足制度的當下適用性,但任何一個管理制度并不是一成不變的,會隨著外部環境和要求的變化、業務邏輯的調整以及制度本身的自我演進而動態變化,也就說我們無法在一開始就完全確定制度內容。因此一級和二級管理文件應盡量抽象,以減少因業務等調整而造成的制度修訂頻率,具象化的流程規范等應在三級細則以及四級配套表單文件中去落實,如此才可保障制度的當下適用性。
浙公網安備 33010502006954號 
