金融行业是产生和积累数据量最大、数据类型最丰富的领域之一,当前数据的作用不断凸显,数据安全与个人信息保护也面临新的风险与挑战。随着金融业迈入数字化时代,数据安全、数据管理成为敏感话题,《数据安全法》《个人信息保护法》的相继出台,也为数据安全和个人隐私保护提供法律依据。在总行大数据安全治理的整体框架下,中国光大银行青岛分行在个人隐私保护、内外部数据管理、数据合规共享等方面积累了一些切实的工作经验。

强化组织保障

从组织业务的适用性、承担工作职责的明确性、沟通协调的有效性三方面考虑,青岛分行信息科技部在“五类十岗”的基础上,由数据服务人员、防泄密管理员、信息安全人员等组建数据安全管理小组,多岗位参与,负责日常数据提取流程管理及数据下发流程管理监督工作,并在日常工作中明确敏感数据使用合规性,及时督促相关业务部门做好数据传输与销毁工作。

严守制度流程

积极组织学习总行数据安全方针、管理制度和技术规范,遵守总行各项规定,严格把控数据提取流程的合规性。做好数据提取前分析工作,对敏感数据的提取,严格落实MIS五级审批流程,通过数据保险箱下发相关人员,并由本部门负责人审批后使用。使用完成后做好清理监督工作,并结合季度数据安全检查,重点对数据需求量较多的部门进行现场检查,实现数据使用的全流程管理。

坚持多措并举

青岛分行信息科技部始终坚持做好数据安全管理工作,一是积极主动做好季度数据安全检查,做到数据治理流程、环境及人员全覆盖;二是结合内外部检查,针对检查发现的问题,及时发布风险提示,不断完善分行管理机制;三是通过科技月报通报数据外发情况,并要求本单位负责人签字后反馈情况说明,对外发次数过多的员工限制其外发权限。

巧用技术工具

依靠技术工具支撑,加强数据安全监督检查。一是运用总行技术工具,通过“数据侦探”监控办公环境敏感数据文件存放,快速完成分行部门及人员管理,实时查看扫描情况,针对重点对象开展督查。“数据侦探”的广泛使用,大大减少分行工作量,提高工作效率,实现办公环境敏感数据“零存放”,提升数据安全管理能力。二是通过shell、mysql等语言编写分行扫描监控工具,并在分行网站增加数据安全提醒功能,及时督促各员工完成扫描,扫描结果可发往分行管理员邮箱,便于管理。

中国光大银行青岛分行将数据安全治理和实际工作紧密结合,时刻关注总行数据安全治理相关要求,积极探索适合分行实际情况的管理措施。在保障数据安全的前提下做到适度数据安全治理,保证合规合范,为数据发挥价值保驾护航,为数据使用创造一个安全的环境,以润物细无声的理念,将数据安全无缝地深入到工作的细节中去,让安全无处不在、无时不在。

作者 |王清泉

声明:本文来自中国光大银行科技创新实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。