多跨协同的多层次数据安全防护体系建设.pdfVIP

多跨协同的多层次数据安全防护体系建设

摘要:近年来,数据安全相关法律、标准密集出台,社会面进入了数据安全

强监管时代。金融业作为数据密集型产业,敏感数据积累速度和使用场景不断扩

充,数据安全风险日趋严峻,而支付等银行核心业务高度依赖数据安全防护作为

基础保障,建设数据安全防护体系刻不容缓。本文针对金融业数据安全防护体系

建设中的若干痛点问题,提出了一种以数字化转型中的多跨协同理念为核心的指

导思想,管理、技术、运营三位一体的多层次数据安全防护体系建设方案,并针

对员工、外联、对客三大场景输出了落地实践,使得整个体系更加立体化、智能

化,同时也更符合金融业特性。

关键词:多跨协同数据安全多层次防护

一、数据安全防护体系建设背景

(一)数据安全强监管时代来临

随着《数据安全法》《个人信息保护法》的正式实施以及配套法规、标准的

相继落地,我国已初步形成了一整套指导各行业落实数据安全工作的顶层设计,

数据安全法治时代随之到来。

金融业作为数据密集型产业,支付等各项银行核心业务高度依赖数据安全防

护作为基础保障,因此行业监管部门对数据安全非常重视。人民银行起草了《中

∗

9

国人民银行业务领域数据安全管理办法(征求意见稿)》,面向社会公开征求意

见。国家金融监督管理总局也对《银行保险机构数据安全监管办法》开始征求

意见,行业规范不断强化,数据安全强监管时代呼之欲出。

(二)金融业数据安全防护体系建设痛点

在这样的时代背景下,金融机构一直致力于加强数据安全防护体系建设,但

仍面临诸多痛点与难点:一是由于金融业务的开放性,其数据供应链较长,数据

产生、使用场景繁杂,数据流动快、泄露渠道众多,很难全面防护;二是金融机

构往往从业人员较多,内部员工泄露数据的风险较大,难以提前防范;三是数据

作为生产要素的价值释放要求数据更充分地流动和利用起来,而数据安全防护天

然与这一诉求相矛盾,保护与利用的平衡点较难把握;四是当前产业界能供给的

数据安全管控技术工具落后于监管要求,精准防护手段欠缺,防护有效性难以

提升。

二、数据安全防护体系建设

为解决上述问题,浙商银行以数字化转型中的多跨协同理念为核心指导思

想,结合金融行业相关行标与数据安全治理逻辑,构筑了管理、技术、运营三位

一体的数据安全防护体系(见图1)。

图1多跨协同的多层次数据安全防护体系总体架构

10

数据安全

管理、技术、运营三大体系涵盖了组织、流程、人员、技术、运营等数据安

全相关事务,并在设计之初就考虑多部门、多业务、多产品融合联动的情况,在

宏观层面贯彻了多跨协同的思路。管理体系是统领,技术体系是基础,运营体系

则将相关安全产品与服务能力综合体现出来,三者相辅相成,构建了一个完整的

数据安全防护体系。

(一)数据安全防护管理体系

管理体系是数据安全防护工作的统领与基础保障,应在现有的网络安全管理

制度和网络安全组织架构下深化推进数据安全管理工作落地,形成多部门协同、

齐抓共管、责任到岗到人的管理形式。通过管理体系建设,在数据安全领域落实

金融科技风险三道防线并形成领导、管理、执行、监督的四层架构,强化数据使

用者、管理者等各方的相关责任;同时,不断补充完善方针、规定、手册、表单

构成的制度规范集,明晰各层级人员具体工作。

(二)数据安全防护技术体系

技术体系是以技术和相关产品为手段,结合金融机构自身的数据安全防护核

心场景,提升预防、识别、处置数据泄露风险的能力和效率,实现保障数据安全

的目标(见图2)。

图2多跨协同的多层次数据安全防护技术体系架构

11

数据安全防护技术体系包括以通用安全为基础,