以下内容是对 中原银行数据安全管理体系的简单介绍。
为落实并完善数据安全管理组织的职责分工,中原银行基于业内安全管理组织及 数据安全组织搭建的通用实践,并且遵循行内现有数据治理相关组织架构框架的相关 要求,沿袭数据治理组织架构的一些建设框架,设计并制订了数据安全管理的组织架 构。
组织架构在建设时遵循三个原则:第一,符合国家和监管的政策法规;第二,总 体要求相对集中、分级管理、专业分工、职责明晰;第三,风险审计和安全管理相互 分离、相互制约。
数据安全管理的组织架构,按照战略层、决策层、管理层、执行层和监督层的设 计原则,明确各相关方在数据安全治理活动中的职责。其中管理层主要是指数据管理 委员会,包括科技和业务的一些主要部门作为委员会的常规成员。执行层主要落脚于 金融科技条线的相关部门,包括金融科技部、数据信息部、科技风险三道条线。除此 之外,行内各部门配备数据管家,负责在日常数据安全管理的过程中提供管理或技术 上的支持,保证数据安全的各类要求可以快速上传下达。
中原银行在数据采集、数据使用、数据传输等过程中,初步形成了相关的管理要求。
数据采集包括从个人信息主体处和从外部机构采集两个部分,总体遵循知情同意 原则。在从个人信息主体采集的时候,通过隐私政策获取客户的明示同意。相机、位 置等手机权限获取时,会单独征得客户同意,信息采集按照最小必要原则开展。在从 外部机构采集的时候,首先需要完成第三方机构的资质评估,确保数据来源的合法正 当,确保数据采集的范围符合金融类业务经营分析反欺诈分析等所必须。
数据使用方面,行内的生产数据脱离生产环境,原则上必须经过数据提取流程审 批后才能进行。数据提取需要经过数据申请方、数据所有者、提出脚本编写方、生产 变更终端管理责任方和安全的团队综合审批。
数据传输过程中,需要对数据内容、数据量、数据加密算法等方面进行评估,检 查是否符合安全要求。
