邮储银行数据安全治理体系建设与实践

随着《数据安全法》、《个人信息保护法》、《JR/T 0197-2020金融数据安全 数据安全分级指南》、《JR/T 0223-2021 金融数据安全 数据生命周期安全规范》等一系列法律法规及监管规范相继施行，对数据安全管理提出了更明确、更具体的要求。邮储银行作为一家大型国有企业，积极响应国家号召，落实国家大数据安全战略，以数据为关键要素，合理分配数据保护资源，建立完善的数据安全生命周期防护机制，提升邮储银行数据安全管理水平。

邮储银行作为一家拥有6亿多个人客户的大型银行，海量的客户、业务数据是得天独厚的优势，构建全面的数据安全管理能力，有效运用先进技术开展数据应用，是发挥数据价值、提高经营管理精细化水平的关键。邮储银行积极落实国家和监管部门要求，将数据安全管理现状进行全面对标，提出数据安全管理总体框架，从组织架构、制度支撑、文化氛围、基础管理、全生命周期管理等方面发力，五位一体全力保障数据安全可用。

邮储银行数据安全建设实践

（1）建立数据安全管理组织架构

将数据安全纳入总行党委管理，在全行建立数据安全三道防线，明确相关部门具体职责，构建严密的数据安全管理体系。在岗位设置方面，发布《数据安全管理团队建设方案》，确定数据安全专兼职岗位设置标准以及专业队伍建设要求，明确数据安全专兼职人员职责，共同推进全行数据安全各项工作扎实落地，为全行数据安全管理提供人才保障。

（2）完善数据安全制度支撑

为规范数据安全管理，我行修订《中国邮政储蓄银行数据安全管理办法》，进一步明确全行数据安全职责分工、安全要求和工作流程等，为数据安全管理提供制度指导。同时，对标《数据安全法》《个人信息保护法》等国家法律法规，以及《征信业务管理办法》《金融数据安全 数据安全分级指南》《金融数据安全 数据生命周期安全规范》等行业政策及标准，结合我行数据安全制度建设需求，从数据安全战略、生命周期管理、基础安全管理三个方面初步建立了数据安全制度体系，对数据安全从宏观指导到微观规范，全面覆盖、层层落实，为助推邮储银行一体化数据安全管理奠定了基础。

（3）营造数据安全文化氛围

通过多层级多频率开展数据安全培训，充分营造“数据安全人人有责”的文化氛围。面向全行约14万员工组织开展数据安全法规政策解读培训，培训内容包括国内外数据安全法规标准解读以及从业人员相关要求；面向总行及各分行科技部门、系统建设部门及数据安全相关人员开展数据安全分类分级方法培训，数据安全技术培训等内容。将数据安全意识内化于心、外化于行。

（4）夯实数据安全基础管理

数据安全分类分级是数据安全管理的基础性、关键性工作。一是结合全行数据安全要求，统筹推进全行数据安全分类分级工作。二是优先在重要系统落地数据安全分级管控措施，逐步提升我行数据安全精细化管理能力。

加大新技术研究，增强数据安全技防能力。一是加强加密管理，针对不同安全级别的数据采取不同的加密策略。二是加强终端管控，降低数据使用环节数据泄露风险。三是完善个人信息保护应急响应机制，减轻个人信息泄露事件影响，最大限度保障个人客户信息安全。四是加强联邦学习、隐私计算等新技术研究应用，搭建我行多方安全计算平台。

（5）细化生命周期安全管理

从事前防控、事中评估、事后监督三方面提升数据安全管控能力，确保金融数据安全应用。

• 事前防控方面，一是将数据安全要求纳入业务需求及技术方案，持续加强需求分析、系统设计、系统开发、系统测试、投产上线等各阶段的数据安全管控。二是明确数据采集、传输、存储、使用、备份、灾备与销毁等生命周期各环节要求并推动落实。

• 事中评估方面，构建了全行数据安全评估框架，从全面评估、专项评估双管齐下，逐步提升全行数据安全管理能力。

• 事后监督方面，面向总行及各一级分行开展数据安全检查及审计，推动问题整改，形成管理闭环。

邮储银行数据安全建设亮点

邮储银行以找短板、补差距、提质效为出发点，完善数据安全管理，取得显著成效：

（1）提高数据安全机制运行效率

通过完善数据安全管理战略，全行各级机构有效运转，实现了让全行动起来的目标。初步构建了组织架构健全、职责边界清晰的数据安全管理职责体系和规范化的运行机制。不断完善顶层设计，加强自上向下协调推进力度，通过总行信息科技风险管理委员会，审议数据安全管理相关事项。通过完善数据安全制度体系，数据安全管理各项工作实现了权责清晰、有法可依。

（2）明确数据安全相关工作责任

通过建立数据安全队伍体系，实现了清晰的数据安全管理责任划分，明确数据安全专兼职岗位设置标准以及专业队伍建设要求，设置数据安全管理岗和数据安全专员，并明确数据安全专兼职人员职责，共同推进全行数据安全各项工作扎实落地。

（3）加快数据分类分级落实进度

通过夯实数据安全基础管理体系，制定《中国邮政储蓄银行数据安全分级规范》，明确分类分级的方法和要求，指导全行开展数据分类分级保护工作。会同各标准权威部门，编制并发布《中国邮政储蓄银行主数据标准数据安全分类分级清单》，为后续各相关单位在开展本领域、本条线数据安全分类分级工作提供有益参考。为加快推进数据安全分类分级工作，特成立数据安全分类分级联合工作小组，成员包括数据安全管理部门、试点系统建设部门以及相关业务需求部门。推动全行按照涉及核心类业务系统、重要数据应用系统，以及客户基本信息、客户身份鉴别信息等安全级别较高的数据等原则，确定相关试点系统，共涉及约18万字段，开展数据安全分类分级工作。2023年将根据试点经验，由点到面向全行推广，推进我行重点系统安全分级及管控落地。

（4）提高数据生命周期管理质效

目前已将数据安全要求纳入业务需求模板，从源头进行安全管控。2022年对全行60项新增功能工程业务需求评审，为信息系统的数据安全站好第一班岗。按照全行信息化建设管理规定，将业务需求和系统实际数据安全管理要求深度融合，严格落实数据安全管理要求。

以上内容节选自《金融行业数据安全治理案例汇编》。

声明：本文来自数据安全推进计划，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。