我来简单介绍一下上海银行数据安全工作背景、目标及实践。
自 2019 年以来,国家、行业监管单位先后陆续出台了包括《数据安全法》在内 多部重要数据安全法规和规范指引,数据安全和隐私保护的顶层监管合规框架日趋完 善。随着银行业务的多元化和服务的多样化使得数据安全的应用场景越来越复杂,尤 其是对于金融数据的高价值性,易变现性等特性,数据安全问题尤为突出。
在此背景下,为夯实银行数字化转型的安全底座,上海银行提出了数据安全体系 建设工作总体目标:对外满足监管合规和相关法律要求, 对内满足安全管理要求并 兼顾业务使用需求,提升全行数据安全防护意识,完善上海银行数据安全防护能力, 防止信息泄露。建设工作具体从以下六个工作域开展,一是落实数据安全组织架构; 二是完善数据安全管理制度;三是开展数据安全分类分级,制定数据分级管控策略; 四是提升数据生命周期技术防护能力;五是制定可量化的数据安全能力指标;六是加 强宣传教育提升全员数据安全防护意识。
(1)组织架构分工明确,管理职责落实到各单位
数据安全管理最大特点是安全和业务场景结合紧密。过往信息安全工作仅靠技术 措施实施防护已无法达到数据安全保护要求,因此需要充分识别业务场景兼顾业务效 率来制定对应落地安全管控策略。为此依照“谁管理,谁负责”原则我行在各单位设立 数据安全岗,充分发挥该岗位业务和安全结合的特点,有效识别业务过程中数据安全风 险场景,做好内部检查和风险评估工作,保障本单位内数据安全合规。
从整体组织架构来看,上海银行数据安全管理已形成由信息安全领导小组统筹,总 行数据管理与应用部组织推进,总行金融科技部提供技术支撑,总行人力资源部、法律 合规部、审计部协同,各单位落实执行的整体格局。
(2)构建“1+5”数据安全制度体系
规范管理,制度先行。上海银行依照包括数据安全法、数据生命周期安全规范在内 的国家、监管相关法规要求制定《上海银行数据安全管理办法》。办法中明确了包括组 织架构管理、数据生命周期管理、数据分类分级、风险评估监测、事件处置等在内的总 体要求,并又细化制定了具体对应的操作规程,使后续全行开展数据安全管理工作有规 可循。
(3)建立数据安全分类分级标准,逐步对业务系统实施落地管控
开展数据分类分级是数据安全的核心基础工作。上海银行参照人行数据分类分级 指引以重要数据、敏感数据、一般数据、公开数据为划分原则在总行各业务条线内进行 多轮梳理,确认重要数据范围,建立包含 273 个子类、4 个安全级别(由高到低)的数据 安全分类分级目录。通过对数据管理系统中业务元数据以 AI 技术 + 人工认定方式逐字 段级进行分级认定,形成数据分类分级标准库,为数据安全分级管控提供了基础支撑。
基于分类分级标准的发布,行内对应用系统、终端 APP 内个人信息使用过程制定 了分级管控措施。个人敏感信息在页面展现、导出等用数环节通过分级授权访问、数据脱敏、禁止复制打印、下载加密、终端水印、记录操作访问日志等措施进行保护。遵循最 小必要原则,对业务提数申请严格按照分类分级要求进行审批,避免个人敏感信息过度 使用。通过配置个人敏感信息分级识别规则对外发邮件的主题、正文和附件内容进行实 时检查,一旦拦截必须通过授权放行。
此外在整个业务需求开发流程中各重要环节添加对数据安全管控要点并覆盖所有 需求进行审核。
(4)引入安全技术工具保护数据生命周期各阶段,持续开展监测审计
经过整体规划,上海银行制订了数据安全技术能力框架,明确了安全技术演进路线: 通过引入各类技术工具对数据生命周期各阶段加强防护并持续开展监测。具体包括数 据采集阶段的 APP 合规检测、数据资产发现、数字证书等;传输过程中的通道加密、协 议加密;存储阶段中的数据加密技术;数据使用阶段的各类监测、网关、DLP、准入、脱敏、 水印等工具;删除销毁阶段包括低格式化工具、物理消磁技术等。
随着各类数据安全技术引入完善,行内将规划建立全行级数据安全态势感知平台, 通过接入各类异构安全系统日志信息以及各类监测分析、操作审计数据,部署全局安全 风控规则进行动态分析,有效感知内部数据安全风险并准确定位响应。
(5)制定全面客观的数据安全能力评估指标
制定数据安全能力评估指标既符合上海银行数字化转型战略要求,也符合《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》中 4 级标准的要求。参照指引 要求,当前共制定发布了 12 项重点数据安全能力评估指标,用于衡量和体现数据安全 的管理过程和结果。具体包括:对各单位数据安全管理工作的执行情况及其效果进行客 观的度量;对数据生命周期包括采集、传输、存储、使用和销毁等阶段建立核心评估指标; 对各单位员工数据安全认知水平建立衡量指标。结合技术监测工具,向各单位开展常规 检查和每年定期抽查,对检查反馈材料按评估规则计算得出各项数据安全能力指标。
(6)加强宣传教育,提升全员数据安全意识
企业数据安全管理体系最关键因素——“人”,只有提升员工数据安全意识,逐步改 变员工日常用数习惯,才能有效提升全行数据安全保护等级。上海银行每年通过行报、 电子大屏、终端屏保、线上直播培训、在线答题考试、线下主题活动等多种形式将外部法规、 监管要求、内部制度、相关案件事件、工作要求等进行全面科普和宣导。
