当前建设银行围绕“组织职责、制度规范、流程机制、人员能力、技术工具” 五个方面推进数据安全管理体系的完善。
一是建设银行明确了数据安全管理的决策层、牵头部门。数据安全决策层承接 数据安全管理职责,负责建立数据安全管理体系,审核数据安全相关管理制度,审定 数据安全相关工作计划、重大事项和资源投入,协调解决数据安全重大问题,监督检 查数据安全管理工作成效。牵头管理部门负责统筹全行数据安全管理工作,组织实施 数据安全管理体系的规划和建设,落实数据安全监管要求,体系化做好内外部数据安 全防范工作的数据安全工作策略,组织推进数据安全文化建设和数据安全专业队伍建 设,并对全行数据安全管理相关工作进行指导、监督与考核评价。
二是组建了涵盖总行多个业务部门的数据安全柔性团队,负责各项数据安全工 作协同和推进。按照“谁的业务谁负责、谁的渠道谁负责、谁的场景谁负责”的原则, 明确各领域数据安全管理工作的职责部门,落实所辖领域数据安全管理职责,本业务 领域数据安全的源头管控,牵头推动管理职责内数据安全重点工作机制建设,制定或 修订规章、制度、流程,执行数据安全管理相关工作要求。
目前,建设银行已分别在数据管理、科技管理、业务管理等方面,逐步推进一 系列数据安全相关管理制度和流程机制的制定,初步形成了数据安全制度规范体系。
一是数据管理领域方面,建设银行已制定并发布了数据治理、数据需求管理、 数据风险管理、外部数据管理、数据安全分级标准、个人金融信息数据安全分级标准等规章制度,从多个维度加强数据安全管理。
二是科技管理领域方面,建设银行已建立数据安全技术规范体系。一是制定信 息安全管理制度,全面落实境内外银行业信息科技相关法律法规等监管要求;二是制 定生产数据应用安全管理制度,明确了后台数据提取和生产数据的脱敏、传递、应用 等安全保护要求;
三是制定软件开发安全方面的需求规范和测试规范,对应用开发中 的重点数据保护、数据追溯、数据过滤、密钥管理等进行了规范。 三是业务管理领域方面,建设银行各业务部门结合本部门本条线业务管理情况, 在个人客户信息保护、用户敏感信息、员工行为管理、数据分析管理等领域制定了诸 多涵盖数据安全管理要求的制度规范。
四是专项规章制度重检修订方面,建设银行正在按照《数据安全法》等相关法 律规范要求,通过系统性地查缺补漏,梳理并组织开展数据安全专项规章制度重检修 订,涵盖数据安全管控、数据安全评估、安全检查、合作管理、外包管理、应急响应、 技术工具等多个方面。
(1)数据安全分类分级管理机制
一是制定数据标准。建设银行目前已制定并发布两项数据安全分类分级标准。 基于金融行业标准《JR/T 0197-2020 金融数据安全 数据安全分级指南》,结合建 设银行企业级数据模型,制定了数据安全分级标准;根据《个人信息保护法》要求, 制定了个人金融信息数据安全分级标准。
二是实施数据资产自动化盘点与整合。建设银行通过全域数据资产梳理盘点、 广域数据资产整合,构建了企业级数据资产目录,形成了涵盖系统组件、外部数据、 集成数据、标签、指标、报表、数据产品等各类数据资产的全域数据资产目录,助力 用户厘清数据资产分布及关联关系,勾勒企业级数据资产全貌,为数据安全管理向“自 动化、智能化”的转变夯实数据基础。
三是自主研发分级模型。建设银行应用机器学习的方法研发了数据安全自动化 定级模型,建立定级词库,通过机器学习的方法实现数据安全等级的自动化初判。
四是开展分级工作。建设银行拟将数据安全标准落实到每个数据项上,正在组 织推进全行数据的安全分级打标工作,通过资产梳理、定级准备、级别判定、级别审 核、级别批准等环节,完成数据安全定级及确认复核,为数据分级管控提供有效支撑。
在数据安全分类分级建设的基础上,建设银行将相关管理要求落实到数据采集、 数据传输、数据存储等数据全生命周期的各个环节。
1)数据采集: 建设银行持续提升外部数据精细化管理水平,已建立外部数据统一引进和管理 机制,通过管理和技术双重手段保障数据安全,多方面严格审核供应商保证外部数据 来源安全合规,定期对供应商资质进行抽检。在线监测外部数据的使用,使用周期结 束后及时销毁数据。
2)数据传输 :建设银行通过数据安全组件传输敏感数据,一是生产数据、前端分析数据、开 发测试数据经过专人审核才能交付给用户;二是用户在桌面云内数据交换和从桌面云 中导出数据到办公计算机中间环节无数据落地存储;三是对于涉及身份认证、客户资 金交易等重要操作的数据采用安全传输协议加密传输,防止数据传输过程的信息泄露 风险。
3)数据存储: 建设银行数据集中存储在运营数据中心生产环境中,严格规范管理生产环境。 所有操作通过安全操作管理系统完成,确保无法将数据私自拷贝出生产环境。对生产 环境划分多个安全区域,各个区域间通过防火墙隔离,防止外部攻击和病毒木马入侵 信息系统。
4)数据使用 :一是办公网络与设备的安全管控与行为监控。非行内计算机和未满足策略配置 的终端不得接入行内网络,严格管控 USB 等外接数据存储设备;在办公邮件互联网 出口对敏感信息进行监控和拦截,对违规行为实时退信提示;使用加密硬盘报送监管 数据;采用数据水印技术提升信息追溯能力。
二是建立数据资产全链路数据流转监测机制。建立数据资产全链路数据流转监 测机制,实现了从数据产生、加工整合到服务应用的全链路数据关系的全覆盖,全面 掌握端到端数据流转情况及健康状态,确保所有敏感数据的流转可都被监测、记录、 分析和溯源。
三是建立数据违规访问、大量下载等异常行为监控预警机制。在信息系统设计 阶段,严格把控数据下载、导出功能,遵循最小必须原则控制数据范围、规模和频次,并做好数据加密脱敏处理;在业务应用阶段,信息系统均设置关键运行指标和预警阈 值;对研发或运维人员操作动作和操作内容进行记录和保存,及时监测和预警异常行 为,快速定位违规操作。
5)数据共享 :在对外合作方面,建设银行通过完善服务供应商准入审查、修订对外合作协议 等方式加强对合作方的安全管理。生产数据提取方面,建设银行已制定生产数据应用 安全管理规程,并对线下交接传递数据进行限定。信息系统功能对接方面,涉及系统 开发的情况已纳入信息系统需求管理,通过多方共同评审发现数据输出风险,进行安 全保护。
6)数据删除、销毁 :建设银行采用“不用数据及时销毁”的策略,对生产系统的报废设备存储部件 通过专用设备进行消磁或物理粉碎处理;维修设备均须取下存储后方可带离我行修 理;对终端电脑安装数据销毁工具,由员工对电脑中存储的不再使用的敏感信息进行 销毁;对从生产环境提取的数据,在使用完毕后,数据安全组件提醒用户使用数据销 毁工具进行销毁;并建立数据存储介质销毁安全管理机制,设立专人专岗,记录数据 销毁全过程。
四是建立统一数据授权使用管控机制。确保按照“最小必要”原则设立使用权限, 建立员工用户管理应用的权限管控模型,包含员工用户、岗位、角色、权限等四层, 通过建立映射实现员工用户对具体权限的获取,部署统一认证服务,实现各信息系统 之间的账号统一管理。
(3)数据安全应急管理机制
一是将数据安全纳入管控范围,从投诉、声誉、网络三个方面建立数据安全应 急管理机制,修订并发布应急管理制度和应急预案等规范。二是明确信息安全事件的 处置流程与职责,定期组织安全渗透测试和风险评估,统筹漏洞管理,对发现的问题 风险进行整改和应急处置,并组织安全应急演练和实战演习。在安全事件发生后,按 照预案实施安全事件应急处置工作,认定安全事件等级和责任单位,完成安全事件的 取证、攻击手法分析、数据泄露溯源分析、评估全行安全态势,挖掘潜在异常行为和 攻击威胁。
(4)数据安全评估机制
《数据安全法》发布之前,建设银行已对标国家标准《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》组织开展了全行数据安全管理现状评估工作。《数 据安全法》发布之后,为进一步对标监管要求,建设银行以金融行业标准《金融数据 安全 数据安全评估规范(征求意见稿)》为评估框架,制定了数据安全全面评估方 案,并针对外部数据共享、新产品上线等重点场景制定数据安全分场景评估方案。目 前正在组织推进各相关部门对辖内数据安全工作及重点场景数据安全保障情况开展自 评估。
建设银行持续提升数据安全管理人员数据安全意识和工作履职能力,加大员工 安全教育力度,开展培训讲座和警示教育,树立安全红线意识。在建行网络学习平台 设立“数据安全”专栏,面向全行员工提供法律标准解读分析等学习课程。同时编制 了《信息安全事件警示录》《员工信息安全技能手册》《员工信息系统使用行为规范》 等培训教育手册和网络课件,建立新员工入职培训、在职员工年度安全培训机制, 持续常态化组织员工开展安全意识培训。此外,通过跟踪数据安全监管动态、业界 实践、行内进展等,形成数据安全工作定期简报,加强行内宣贯,促进全行数据安 全文化建设。
建设银行已构建了全行一体化,覆盖数据全生命周期的数据安全技术防护体系。通过数据访问控制平台、隐私计算平台、数据安全下载平台等技术平台 沉淀了数字脱敏、加密权限、访问控制、数字水印、隐私计算等数据安全核心技术, 为后台生产数据、前端分析数据等场景的数据保护提供技术支撑。
