江蘇東臺農商銀行數據安全建設經驗分享
自《數據安全法》《個人信息保護法》等頒布以來,數據安全已經上升到國家戰略層面。在金融業,隨著人行銀保監如《金融數據安全
數據安全分級指南》等一系列指導文件的發布,金融監管的重視程度越來越高。另外我們也看到隨著互聯網金融的廣泛落地,讓數據變得更有價值,成為銀行業業務發展和金融科技發展的核心驅動力。
為響應上級監管單位關于信息安全的建設指導要求,應對日益嚴峻的信息安全威脅,東臺農商銀行在數據安全治理方向充分探索,統籌建立面向所有業務崗的數據安全管理體系和流程規范要求,充分發揮行內監督管理作用,取得保障業務開展與數據安全之間的平衡狀態。以全行的數據安全管理體系制度框架設計與落地為目標,以“數據安全制度管理流程”為核心,在通過針對全行詳盡的數據安全與制度管理流程的現狀評估、排查,調研,風險定性分析等基礎上,實現了全行的數據安全管理體系制度框架的出臺與落地。以制度管理為中心,并結合相應的工具平臺,實現整體的數據安全體系框架的搭建。
本次,我們邀請到了東臺農商銀行信息科技部總經理王勁松為大家帶來數據安全建設經驗的訪談分享。
金融行業數據安全面臨的挑戰及應對思路
數世咨詢:王總,您好!眾所周知,金融數據一直以來有著高價值的特征,也最容易遭受安全風險;其次隨著2021年數據安全法和個人信息保護法的陸續頒布,反映出我國強化數據合規監管已勢在必行,尤其在金融業,數據安全相關處罰成為監管處罰最多的行業之一,銀保監會更是連續兩年將數據安全管理問題列為“1號罰單”的主要處罰依據。對此,想請問您是怎么看待數據安全以及東臺農商行的應對思路是什么?
王勁松:夯實信息安全管理工作,我行的一貫思路是“規劃先行、謀定后動”,首要工作是確立管理工作的行動綱要,并據此建立制度保障體系以貫徹綱要,而后才是具體的行動措施和日常檢查、監測。對于我行的數據安全管理建設來說亦是如此,落實數據安全,其首要在于如何能夠確保數據資產清晰化、風險監測常態化、安全工作流程化等。
其次,按照銀行業“三道防線”的思想,我們也對兩法進行了深度的解讀,從數據安全保護義務來看,既有一道防線的自我約束性訴求,更多有二道防線履行數據安全組織及人員的保障、風險評估及風險監測、安全防護以及檢查監督等盡責性控制的要求。而且總體來看二道防線在數據安全和個人信息保護中更顯主要地位。因此要求我們科技部主動建立數據安全管理及教育機制,主動尋求數據安全管理和技術技能的提升,同時還要履行好全行數據安全意識和流程規范等宣貫教育的職責。
常言道:信息安全工作是一項“三分技術、七分管理”的工程。為符合數據合規監管要求以及滿足金融數據安全風險管控的訴求,東臺農商行的數據安全和個人信息保護工作離不開來自一線業務的深度參與,為此建立一套為東臺農商行量身打造、使用業務實際的數據安全管理工作機制尤為重要。
正是在這樣的背景下,我行多番交流比選后決定攜手專業數據安全服務商美創科技,于2022年正式啟動以健全數據安全管理制度保障體系為核心的數據安全一期建設項目。
數據安全體系建設的實施路徑規劃
數世咨詢:看得出王總您對數據安全工作有著深刻的理解,相信您已經對此有詳細的實踐思路,接下來您能詳細介紹下您對東臺農商行數據安全體系建設的實施路徑規劃嗎?
王勁松:好的,接下來就此來談談我個人的看法以及我行的實踐路徑規劃,供大家參考和批判。
從我行的數據安全建設實踐路徑規劃來說,我認為可以用“盤現狀、訂總綱、建細則、貫行動”這十二個字來概括,其中:
盤現狀:關于這點,我們沒有直接開始內部盤點,而是先是對社會上和行業內的數據安全建設普遍情況做了了解,期望能夠厘清主要矛盾以便更有針對性地指導工作開展,因此也發現了這樣一個普遍規律:
- 缺乏體系的數據安全管理保障機制,數據合規管理存在較大“盲區”;
- 缺乏有效的數據安全建設保障機制,多為點對點式的安全建設之路,常疲于應付;
- 缺乏明晰的數據安全組織保障機制,數據安全建設工作難以有效開展和快速推進;
- 缺乏數據安全監督管理機制,數據安全的建設工作難以考核、成果無法衡量;
- 缺乏持續、動態的數據安全風險評估機制,數據安全是否存在風險、是否滿足外部合規要求,難以判定。
用這五項作為盤點框架,通過對我行的數據安全工作開展全面的管理現狀調研和分析工作、并對既有成效和問題進行深度審視,發現我行在數據安全上亦概莫能外。
訂總綱:鑒于上述情況,因此從社會和行業上來看,首要就是確定數據安全和個人信息保護工作的總路線和行動綱要。為此我行以三法的合規要求為紅線,以網絡安全等級保護和關鍵信息基礎設施安全保護相關要求為基線,以金融行業相關規范要求和數據安全相關國家標準為范本,以江蘇省內地方數據安全相關條例和管理辦法為指引,制訂了符合東臺農商行業務管理目標的數據安全和個人信息保護總綱。
建細則:以數據安全和個人信息保護總綱為基準,同步參考DSG、DSMM模型以及CARTA、IPDRR、PDCA實踐方法論,我行從組織建設、風險評估、技術保障、教育培訓、應急響應等各方面建立健全安全細則規范。其次,鑒于業務應用場景具備多樣性,數據安全流程規范也下沉到真實的應用場景,因此我們同時建立了場景化的安全規范,如個人信息處理、數據跨境傳輸等。
貫行動:良好的制度也是需要貫徹到位才能體現其價值,因此當包括總綱和細則在內的東臺農商行數據安全管理制度保障體系建成后,我們所做的第一步就是宣貫教育,從人員的安全意識和制度所要求的安全技能抓起,讓本行所有的員工意識到數據安全和個人信息保護與每個人的日常工作息息相關、是每個人履行法律義務,同時也建立了相應覆蓋技術防護、應急處置、考核評估及教育培訓等全面評價考核清單,落實責任到人,以此提升貫徹落實數據安全管理制度的主動性和行動力。
當然,還有非常重要、也是可能影響制度貫徹效果的技術保障體系的建設與優化工作,我們也是同步啟動。首先是梳理了現有的安全技術和產品工具,與制度要求相匹配,當然本著可持續發展的理念,依照“充分利舊”的經濟性原則,優先通過加固的方式優化現有技術措施,其次才是通過建設新增的方式來彌補技術措施上的空缺。
以上就是我行在數據安全和個人信息保護工作上的實踐路徑規劃,也是我們科技部的一致行動路線。經過一期的建設,我們目前也處在了“貫行動”的階段。
數據安全管理制度規范設計
數世咨詢:這個思路和經驗的確非常值得大家借鑒和參考,貴行所建立的數據安全管理制度規范王總您能否在這里簡要敘述下,讓大家能夠有更直觀的感受?
王勁松:當然可以。我們的數據安全管理制度也不是完全重新開始,也是在現有的信息安全管理制度體系上進行衍生,故也是遵照ISO/IEC 27001信息安全管理體系框架國際標準進行數據安全管理制度文件結構設計,每類管理文件都將涵蓋四個層級,以方針、戰略為一級,以制度、辦法為二級,以規范、細則為三級,以表單、模板等文件為四級。因此共建立51個制度文件,包括1個一級文件、3個二級文件、11個三級文件、36個四級文件。所有制度均已面向全行發布,目前正在持續的培訓宣貫中。
數據安全管理建設的難點分析及經驗總結
數世咨詢:結合貴行的實踐經歷,您認為銀行的科技部在數據安全管理建設上會面臨哪些難點,以及您是否可以為大家提供一些解決這些問題的寶貴經驗?
王勁松:數據安全管理制度也好、技術保障措施也罷,因為其所保護對象——即數據的特性,與業務高度耦合,因此與全行所有的部門和人員都息息相關,在制訂過程中,業務部門的配合支持至關重要。這就需要我們科技部門與業務部門通力合作,盡可能獲得他們的支持。對于數據安全和個人信息保護工作,可根據法律要求,通過建議高層和各部門領導成立數據安全委員會之類的虛擬管理和責任組織的形式將數據安全管理責任上升和泛化。
其次,雖然我們能夠通過解讀法律法規及政策要求和評估梳理業務的邏輯等一系列措施來滿足制度的當下適用性,但任何一個管理制度并不是一成不變的,會隨著外部環境和要求的變化、業務邏輯的調整以及制度本身的自我演進而動態變化,也就說我們無法在一開始就完全確定制度內容。因此一級和二級管理文件應盡量抽象,以減少因業務等調整而造成的制度修訂頻率,具象化的流程規范等應在三級細則以及四級配套表單文件中去落實,如此才可保障制度的當下適用性。
