青岛网站建设找,php网站api接口写法,网页和移动端界面设计,logo网站免费夯实银行数据安全#xff0c;需“规划先行、谋定后动”#xff0c;首要工作是确立管理工作的行动纲要#xff0c;并据此建立制度保障体系以贯彻纲要#xff0c;而后才是具体的行动措施和日常检查、监测。从银行数据安全建设实践路径来说#xff0c;我认为可以用“盘现状、…夯实银行数据安全需“规划先行、谋定后动”首要工作是确立管理工作的行动纲要并据此建立制度保障体系以贯彻纲要而后才是具体的行动措施和日常检查、监测。从银行数据安全建设实践路径来说我认为可以用“盘现状、订总纲、建细则、贯行动”这十二个字来概括。——东台农商银行信息科技部总经理 王劲松在数据安全日益升级趋势下一场加强数据安全保障能力的行动在银行全面铺开。江苏东台农商银行与美创科技携手在数据安全治理方向先行先试充分探索统筹建立面向所有业务岗的数据安全管理体系和流程规范要求充分发挥行内监督管理作用取得保障业务开展与数据安全之间的平衡状态该项目曾获得“2022金融业信息安全建设突出贡献奖”。近日数世咨询与东台农商银行信息科技部总经理王劲松开启了一场关于“数据安全”的对话。以下为对话实录Q1我国强化数据合规监管已是势在必行尤其在金融业银保监会连续两年将数据安全管理问题列为“1号罚单”的主要处罚依据。对此您怎么看待数据安全东台农商行的应对思路是什么王劲松夯实信息安全管理工作我行的一贯思路是“规划先行、谋定后动”首要工作是确立管理工作的行动纲要并据此建立制度保障体系以贯彻纲要而后才是具体的行动措施和日常检查、监测。对于我行的数据安全管理建设来说亦是如此落实数据安全其首要在于如何能够确保数据资产清晰化、风险监测常态化、安全工作流程化等。其次按照银行业“三道防线”的思想我们也对两法进行了深度的解读从数据安全保护义务来看既有一道防线的自我约束性诉求更多有二道防线履行数据安全组织及人员的保障、风险评估及风险监测、安全防护以及检查监督等尽责性控制的要求。而且总体来看二道防线在数据安全和个人信息保护中更显主要地位。因此要求我们科技部主动建立数据安全管理及教育机制主动寻求数据安全管理和技术技能的提升同时还要履行好全行数据安全意识和流程规范等宣贯教育的职责。信息安全工作是一项“三分技术、七分管理”的工程。为符合数据合规监管要求以及满足金融数据安全风险管控的诉求东台农商行的数据安全和个人信息保护工作离不开来自一线业务的深度参与为此建立一套为东台农商行量身打造、使用业务实际的数据安全管理工作机制尤为重要。正是在这样的背景下我行多番交流比选后决定携手美创科技于2022年正式启动以健全数据安全管理制度保障体系为核心的数据安全一期建设项目在通过针对全行详尽的数据安全与制度管理流程的现状评估、排查调研风险定性分析等基础上实现全行的数据安全管理体系制度框架的出台与落地。Q2那么东台农商行如何进行建设规划的王劲松从建设规划路径来说我认为可以用“盘现状、订总纲、建细则、贯行动”这十二个字来概括其中盘现状关于这点我们没有直接开始内部盘点而是先是对社会上和行业内的数据安全建设普遍情况做了了解期望能够厘清主要矛盾以便更有针对性地指导工作开展因此也发现了这样一个普遍规律缺乏体系的数据安全管理保障机制数据合规管理存在较大“盲区”缺乏有效的数据安全建设保障机制多为点对点式的安全建设之路常疲于应付缺乏明晰的数据安全组织保障机制数据安全建设工作难以有效开展和快速推进缺乏数据安全监督管理机制数据安全的建设工作难以考核、成果无法衡量缺乏持续、动态的数据安全风险评估机制数据安全是否存在风险、是否满足外部合规要求难以判定。用这五项作为盘点框架通过对我行的数据安全工作开展全面的管理现状调研和分析工作、并对既有成效和问题进行深度审视发现我行在数据安全上亦概莫能外。订总纲鉴于上述情况因此从社会和行业上来看首要就是确定数据安全和个人信息保护工作的总路线和行动纲要。为此我行以三法的合规要求为红线以网络安全等级保护和关键信息基础设施安全保护相关要求为基线以金融行业相关规范要求和数据安全相关国家标准为范本以江苏省内地方数据安全相关条例和管理办法为指引制订了符合东台农商行业务管理目标的数据安全和个人信息保护总纲。建细则以数据安全和个人信息保护总纲为基准同步参考DSG、DSMM模型以及CARTA、IPDRR、PDCA实践方法论我行从组织建设、风险评估、技术保障、教育培训、应急响应等各方面建立健全安全细则规范。其次鉴于业务应用场景具备多样性数据安全流程规范也下沉到真实的应用场景因此我们同时建立了场景化的安全规范如个人信息处理、数据跨境传输等。贯行动良好的制度也是需要贯彻到位才能体现其价值因此当包括总纲和细则在内的东台农商行数据安全管理制度保障体系建成后我们所做的第一步就是宣贯教育从人员的安全意识和制度所要求的安全技能抓起让本行所有的员工意识到数据安全和个人信息保护与每个人的日常工作息息相关、是每个人履行法律义务同时也建立了相应覆盖技术防护、应急处置、考核评估及教育培训等全面评价考核清单落实责任到人以此提升贯彻落实数据安全管理制度的主动性和行动力。当然还有非常重要、也是可能影响制度贯彻效果的技术保障体系的建设与优化工作我们也是同步启动。首先是梳理了现有的安全技术和产品工具与制度要求相匹配当然本着可持续发展的理念依照“充分利旧”的经济性原则优先通过加固的方式优化现有技术措施其次才是通过建设新增的方式来弥补技术措施上的空缺。以上就是我行在数据安全和个人信息保护工作上的实践路径规划也是我们科技部的一致行动路线。经过一期的建设我们目前也处在了“贯行动”的阶段。Q3贵行所建立的数据安全管理制度规范能否在这里简要叙述下让大家能够有更直观的感受王劲松我行的数据安全管理制度并不是完全重新开始也是在现有的信息安全管理制度体系上进行衍生故也是遵照ISO/IEC 27001信息安全管理体系框架国际标准进行数据安全管理制度文件结构设计每类管理文件都将涵盖四个层级以方针、战略为一级以制度、办法为二级以规范、细则为三级以表单、模板等文件为四级。因此共建立51个制度文件包括1个一级文件、3个二级文件、11个三级文件、36个四级文件。所有制度均已面向全行发布目前正在持续的培训宣贯中。Q4您认为银行科技部在数据安全管理建设上会面临哪些难点是否可以为大家提供一些解决这些问题的宝贵经验王劲松数据安全管理制度也好、技术保障措施也罢因为其所保护对象——即数据的特性与业务高度耦合因此与全行所有的部门和人员都息息相关。在制订过程中业务部门的配合支持至关重要。这就需要我们科技部门与业务部门通力合作尽可能获得他们的支持。对于数据安全和个人信息保护工作可根据法律要求通过建议高层和各部门领导成立数据安全委员会之类的虚拟管理和责任组织的形式将数据安全管理责任上升和泛化。其次虽然我们能够通过解读法律法规及政策要求和评估梳理业务的逻辑等一系列措施来满足制度的当下适用性但任何一个管理制度并不是一成不变的会随着外部环境和要求的变化、业务逻辑的调整以及制度本身的自我演进而动态变化也就说我们无法在一开始就完全确定制度内容。因此一级和二级管理文件应尽量抽象以减少因业务等调整而造成的制度修订频率具象化的流程规范等应在三级细则以及四级配套表单文件中去落实如此才可保障制度的当下适用性。
