中国光大银行信息科技部总经理助理 邵理煜

近年来,因数据泄露遭到非法侵害酿成严重后果的社会事件层出不穷,国家法规和监管机构不断加强数据安全要求。为提升光大银行数据安全管理能力,信息科技部正致力于研究推进“以数据为中心”的全维度、全覆盖、全生命周期的数据安全管理体系,并在数据安全和数据合规领域开展了全面细致的落地工作,包括加强组织建设、丰富管理办法、打造安全名品、营造安全文化。以上工作初见成效,日后将持续为我行数字化转型升级提供保障。

我行数据安全发展阶段

我行数据安全的发展经历了数据应用、数据管理和数据安全管理体系三个阶段。

在数据应用阶段,我行主要集中在数据仓库和数据集市的建设、数据分析和数据挖掘应用平台的构建上。数据安全方面主要关注数据权限的分配和控制。

在数据管理阶段,我行逐步建设了企业级数据模型、数据标准、元数据、数据质量等数据管理领域,奠定了良好的数据管理基础。该阶段我行主要关注网络信息安全的建设。

现在我行处在数据安全管理体系阶段,正在推进建设符合光大实际情况的数据安全管理体系。

现阶段数据安全工作目标

现阶段,围绕“打造以数据为中心的安全体系,保障数字化转型升级”的工作目标,我行数据安全小组正在研究推进“全维度、全覆盖、全生命周期”的数据安全工作方案(见图1)。

图1 三维立体数据安全管理

全维度-四个层次。从组织建设、制度流程、技术工具、基础保障四个层次构建我行数据安全体系。

全覆盖-四个环境。全面覆盖我行生产、开发、测试、办公四个环境。

全生命周期-六个阶段。在数据采集、加工、传输、使用、存储和销毁六个阶段建构和落地我行数据安全管理要求。

现阶段数据安全工作成果

在数据安全工作目标的指引下,我行数据安全小组正在进行数据安全体系(见图2)初探,并围绕数据安全体系逐步开展数据安全落地工作。

图2 数据安全体系

1.明确数据安全工作组织架构。我行已建立信息科技与数据管理委员会、数据管理工作小组、各部门及其数据安全岗的三层数据安全组织结构。

2.丰富数据安全管理制度。我行建立了以《中国光大银行数据政策》为指导、《中国光大银行数据安全管理办法》为核心。各项管理细则和规范为操作规范的安全制度体系。每年会对各项管理制度进行重检修订。在原有基础上,今年在《中国光大银行数据安全管理办法》中明确了四个环境的安全第一责任人及各部门数据安全岗职责;在原有加工、传输、使用、存储与销毁阶段的基础上,新增数据采集阶段的安全管理要求,形成覆盖六个阶段的全生命周期管理;补充个人信息隐私保护管理要求,并针对个人敏感信息安全处理我行建立了安全技术标准《个人敏感信息安全处理技术规范》。针对重要且泄露风险较高的办公环境,我行建立了《办公环境安全管理细则》。针对其他管理制度提出数据安全管理要求,将数据安全和隐私保护要求落实到全行各管理环节中。

3.打造数据安全名品。我行通过打造“五大名品工具”,将数据安全管理要求落地:一是数据保管箱和数据侦探名品,推进实现办公环境敏感数据“零存放”;二是云桌面名品,实现开发、测试环境敏感数据“安全隔离”;三是加密平台和脱敏平台名品,确保生产环境敏感数据“安全使用”。

4.加强个人隐私保护。我行通过个人信息安全合规工作小组的机制,推动个人信息保护相关工作方案的实施。在组织建设、制度流程、技术工具及基础保障层面构建个人信息保护的多重保障。针对GPPR的合规,我行欧盟区域海外分行卢森堡分行积极应对,已完成GDPR咨询,正在积极推进合规工作。

5.培养数据安全文化。我行注重数据安全文化建设,通过多渠道、多形式落实数据安全宣传,培养员工数据安全意识,为我行营造一个保障业务良好运转的数据安全环境。在具体操作层面,我行已经建立了从网络宣传、行内集中培训到现场数据安全检查等三位一体的数据安全宣传检查机制。

总结及展望

我行已初步形成了数据安全管理体系,在个人信息隐私保护方面也做了大量工作,为我行下一步数据安全工作奠定了坚实的基础。为将数据安全做得更扎实可靠,一方面我行将持续完善数据安全体系建设,另一方面我行将从以下两方面进行研究和部署。

数据安全与数据管理的融合:在我行数据管理体系基础上,将数据安全管理要求融入到数据管理环节中,丰富数据管理要求并提升数据安全落地程度。

大数据与人工智能技术在数据安全方面的应用:我行数据积累越来越大、时效性要求越来越高,对数据安全工作提出了更高的要求。通过研究大数据与人工智能技术在数据安全方面的应用,以构建智能高效的数据安全防控网,为我行数据安全工作添加智慧双翼。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。