數(shù)據(jù)安全推進(jìn)計(jì)劃：金融行業(yè)數(shù)據(jù)安全治理案例匯編（2022年）

銀行業(yè)數(shù)據(jù)安全治理體系建設(shè)與實(shí)踐銀行業(yè)數(shù)據(jù)安全治理體系建設(shè)與實(shí)踐1(一)中國工商銀行1(二)中國建設(shè)銀行8(四)中國郵政儲(chǔ)蓄銀行2302/證券期貨業(yè)數(shù)據(jù)安全治理體系建設(shè)與實(shí)踐35(一)華泰證券03/金融行業(yè)關(guān)鍵場(chǎng)景建設(shè)與實(shí)踐58(一)平安銀行數(shù)據(jù)安全分類分級(jí)平臺(tái)建設(shè)與實(shí)踐58(二)齊魯銀行數(shù)據(jù)安全分類分級(jí)體系建設(shè)與實(shí)踐63(三)中金公司數(shù)據(jù)脫敏平臺(tái)建設(shè)與實(shí)踐681隨著大數(shù)據(jù)技術(shù)和產(chǎn)業(yè)的不斷發(fā)展壯大，數(shù)據(jù)對(duì)經(jīng)濟(jì)的推動(dòng)作用日益顯著。近年來，國家、行業(yè)相繼出臺(tái)了多部數(shù)據(jù)安全領(lǐng)域的法律、法規(guī)、國家標(biāo)準(zhǔn)以及行業(yè)標(biāo)準(zhǔn)，對(duì)企業(yè)數(shù)據(jù)安全提出了更高的要求。金融行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)的識(shí)別難度不斷增大、風(fēng)險(xiǎn)的管控復(fù)雜度不斷增加、風(fēng)險(xiǎn)的危害程度不斷提升。在此背景下，工商銀行開展了新一輪的數(shù)據(jù)安全管理體系提升工作，面向全行數(shù)據(jù)要素，堅(jiān)持安全與發(fā)展并重，既充分發(fā)揮數(shù)據(jù)價(jià)值，促進(jìn)數(shù)據(jù)要素市場(chǎng)化，又避免數(shù)據(jù)隱私、數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)損失等方面帶來的安全問題。?1.中國工商銀行數(shù)據(jù)安全管理建設(shè)思路（1）以國家行業(yè)標(biāo)準(zhǔn)為指導(dǎo)，持續(xù)對(duì)標(biāo)提升建設(shè)能力2021年工商銀行數(shù)據(jù)管理能力獲得了國家數(shù)據(jù)管理能力成熟度評(píng)估（簡稱“DCMM”）的最高等級(jí)，成為金融業(yè)首家獲得DCMM最高等級(jí)評(píng)估的企業(yè)，標(biāo)志理能力成熟度進(jìn)行評(píng)估，具體包括：數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)治理、數(shù)據(jù)架構(gòu)、數(shù)據(jù)應(yīng)用、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全、數(shù)據(jù)標(biāo)準(zhǔn)和數(shù)據(jù)生存周期。其中，數(shù)據(jù)安全包括了數(shù)據(jù)安全策略、數(shù)據(jù)安全管理等二級(jí)能力項(xiàng)。數(shù)據(jù)安全策略是數(shù)據(jù)安全的核心，包括建立統(tǒng)一的數(shù)據(jù)安全標(biāo)準(zhǔn)，提供適用的數(shù)據(jù)安全策略；數(shù)據(jù)安全管理是在數(shù)據(jù)安全標(biāo)準(zhǔn)與策略的指導(dǎo)下，通過對(duì)數(shù)據(jù)訪問的授權(quán)、分類分級(jí)的控制、監(jiān)控?cái)?shù)據(jù)的訪問等進(jìn)行數(shù)據(jù)安全的管理工作，滿足數(shù)據(jù)安全的業(yè)務(wù)需要和監(jiān)督需求，實(shí)現(xiàn)組織內(nèi)部對(duì)數(shù)據(jù)生存周期的數(shù)據(jù)安全管理。2019年出臺(tái)的國家標(biāo)準(zhǔn)《GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》提出了DSMM模型，以數(shù)據(jù)為中心，關(guān)注數(shù)據(jù)的采集、存儲(chǔ)、傳輸、處理、交換、銷毀生命周期安全，從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個(gè)維度對(duì)數(shù)據(jù)安全能力成熟度進(jìn)行分級(jí)闡述。2020年金融行業(yè)出臺(tái)的《JR/T0197-2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》給出了金融數(shù)據(jù)安全分級(jí)的目標(biāo)、原則和范圍，以2及數(shù)據(jù)安全定級(jí)的要素、規(guī)則和定級(jí)過程?！禞R/T0223-2021金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》則在數(shù)據(jù)分級(jí)的基礎(chǔ)上，規(guī)定了金融數(shù)據(jù)生命周期安全原則、防護(hù)要求、組織保障要求以及信息系統(tǒng)運(yùn)維保障要求，建立覆蓋數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、刪除及銷毀過程的安全框架。工商銀行依據(jù)相關(guān)標(biāo)準(zhǔn)，分析數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、刪除和銷毀生命周期各個(gè)環(huán)節(jié)的技術(shù)和管理要求，建立全方位的數(shù)據(jù)安全能力。（2）以全行數(shù)據(jù)戰(zhàn)略為指引，夯實(shí)數(shù)據(jù)安全管理體系工商銀行制定數(shù)據(jù)戰(zhàn)略規(guī)劃，從頂層明確集團(tuán)數(shù)據(jù)安全管理戰(zhàn)略，強(qiáng)化集團(tuán)數(shù)據(jù)安全管理體系，做強(qiáng)集團(tuán)數(shù)據(jù)安全“事前、事中、事后”三重防控工作，防范化解數(shù)據(jù)安全風(fēng)險(xiǎn)。工商銀行以全行數(shù)據(jù)戰(zhàn)略為指引，以數(shù)據(jù)治理管理機(jī)制為保障，以系列技術(shù)平臺(tái)為支撐，建成了涵蓋數(shù)據(jù)架構(gòu)、數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全、數(shù)據(jù)應(yīng)用等活動(dòng)領(lǐng)域的企業(yè)級(jí)數(shù)據(jù)管理體系，如圖1所示。來源：工商銀行圖1工商銀行數(shù)據(jù)管理架構(gòu)在充分對(duì)標(biāo)國家行業(yè)標(biāo)準(zhǔn)的基礎(chǔ)上，工商銀行結(jié)合自身數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)管理體系后，建立基于數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理三層框架體系，從治理層、管控層、技術(shù)支撐層三個(gè)維度開展數(shù)據(jù)全生命周期安全管理工作。3（3）以對(duì)外標(biāo)準(zhǔn)共建為契機(jī)，主動(dòng)對(duì)外共享工商銀行智慧工商銀行作為中國信通院隱私計(jì)算聯(lián)盟成員單位、數(shù)據(jù)安全推進(jìn)計(jì)劃成員單位、人行北京金融科技產(chǎn)業(yè)聯(lián)盟成員單位，參與多項(xiàng)業(yè)界數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)建設(shè)工作，如牽頭編寫《聯(lián)邦學(xué)習(xí)金融應(yīng)用技術(shù)規(guī)范》《金融數(shù)據(jù)保護(hù)治理白皮書》《聯(lián)邦學(xué)習(xí)技術(shù)白皮書》《多方安全計(jì)算金融應(yīng)用現(xiàn)狀及實(shí)施指引》等。?2.中國工商銀行數(shù)據(jù)安全管理實(shí)踐金融是數(shù)據(jù)密集型行業(yè)，生產(chǎn)經(jīng)營過程中積累了海量數(shù)據(jù)金礦。兩法出臺(tái)后，工商銀行堅(jiān)決遵守國家法律規(guī)定，堅(jiān)持問題導(dǎo)向和目標(biāo)導(dǎo)向，重點(diǎn)聚焦數(shù)據(jù)安全各項(xiàng)熱點(diǎn)問題，從數(shù)據(jù)安全治理體系、數(shù)據(jù)安全管控機(jī)制、數(shù)據(jù)安全管理技術(shù)平臺(tái)等方面不斷推進(jìn)數(shù)據(jù)安全管理實(shí)踐，打造金融行業(yè)數(shù)據(jù)安全管理標(biāo)桿。（1）建立完備的數(shù)據(jù)安全治理體系工商銀行從數(shù)據(jù)安全方針策略、數(shù)據(jù)安全組織架構(gòu)、數(shù)據(jù)安全制度規(guī)范體系三個(gè)方面指導(dǎo)數(shù)據(jù)安全工作滿足監(jiān)管要求以及風(fēng)險(xiǎn)管理需要，并形成如圖2所示的治理數(shù)據(jù)安全方針策略方面，工商銀行制定了完善的數(shù)據(jù)安全方針策略，明確數(shù)據(jù)安全的管理遵循“依法合規(guī)、分級(jí)管理”及“誰主管、誰負(fù)責(zé)”“誰使用、誰負(fù)責(zé)”的原則，對(duì)數(shù)據(jù)及數(shù)據(jù)歸屬系統(tǒng)的安全進(jìn)行全面審慎管理。數(shù)據(jù)安全組織架構(gòu)方面，工商銀行建立基本完備的數(shù)據(jù)安全組織架構(gòu)體系，基于金融科技發(fā)展委員會(huì)，從科技和業(yè)務(wù)兩個(gè)條線開展數(shù)據(jù)安全管理工作。數(shù)據(jù)安全制度規(guī)范體系方面，分為業(yè)務(wù)管理?xiàng)l線和技術(shù)管理?xiàng)l線。業(yè)務(wù)管理方面，圍繞數(shù)據(jù)安全策略、數(shù)據(jù)安全管理等方面制定并發(fā)布了企業(yè)級(jí)管理制度體系，緊跟國家相關(guān)政策、法律法規(guī)的變化，持續(xù)夯實(shí)和完善數(shù)據(jù)安全業(yè)務(wù)管理制度保障和支持能力。技術(shù)管理方面，根據(jù)數(shù)據(jù)安全管理的新要求、新趨勢(shì)、新特點(diǎn)，圍繞數(shù)據(jù)生命周期安全建立和完善數(shù)據(jù)安全管理技術(shù)規(guī)范體系，在整個(gè)研發(fā)管理過程中嚴(yán)格規(guī)范數(shù)據(jù)安全管控要求。（2）建立覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全管控機(jī)制工商銀行聚焦不同安全等級(jí)數(shù)據(jù)在生命周期各階段的保護(hù)要求，持續(xù)促進(jìn)數(shù)據(jù)安全管理工作的提升。4來源：工商銀行圖2工商銀行數(shù)據(jù)安全治理體系在數(shù)據(jù)采集環(huán)節(jié)，通過數(shù)字簽名等技術(shù)對(duì)數(shù)據(jù)源進(jìn)行鑒別和認(rèn)證，并對(duì)采集后的數(shù)據(jù)進(jìn)行分類分級(jí)標(biāo)識(shí)。在數(shù)據(jù)傳輸環(huán)節(jié)，通過可信物理信道、加密傳輸和通信協(xié)議約定等實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。在數(shù)據(jù)存儲(chǔ)環(huán)節(jié)，通過加密等技術(shù)保證數(shù)據(jù)存儲(chǔ)的完整性，并根據(jù)數(shù)據(jù)的安全等級(jí)和系統(tǒng)的安全等級(jí)制定數(shù)據(jù)備份和恢復(fù)策略。在數(shù)據(jù)使用環(huán)節(jié)，已經(jīng)普遍應(yīng)用數(shù)據(jù)控權(quán)和數(shù)據(jù)脫敏等技術(shù)保障數(shù)據(jù)安全，并探索使用多方安全計(jì)算和聯(lián)邦學(xué)習(xí)技術(shù),在數(shù)據(jù)不出域的情況下發(fā)揮數(shù)據(jù)融合聯(lián)動(dòng)效能，實(shí)現(xiàn)數(shù)據(jù)可用不可見。在數(shù)據(jù)生命周期的末端，通過數(shù)據(jù)清理和存儲(chǔ)介質(zhì)的銷毀來形成閉環(huán)。（3）打造技術(shù)先進(jìn)的數(shù)據(jù)安全技術(shù)平臺(tái)數(shù)據(jù)生命周期安全、基礎(chǔ)安全及監(jiān)控響應(yīng)四方面的全局?jǐn)?shù)據(jù)安全技術(shù)能力,并依托如圖3所示的數(shù)據(jù)安全技術(shù)能力視圖，對(duì)安全能力進(jìn)行整體統(tǒng)籌規(guī)劃和落地實(shí)現(xiàn)，通過搭建數(shù)據(jù)資產(chǎn)管理平臺(tái)、加密服務(wù)平臺(tái)、身份認(rèn)證與集中授權(quán)平臺(tái)、合作方共享服務(wù)平臺(tái)、安全運(yùn)營中心等大量專業(yè)技術(shù)平臺(tái)為數(shù)據(jù)安全管理工作提供技術(shù)支撐。5來源：工商銀行圖3工商銀行數(shù)據(jù)安全技術(shù)能力全視圖為了與業(yè)務(wù)場(chǎng)景深度融合，建設(shè)對(duì)業(yè)務(wù)人員有感的安全能力。工商銀行打造數(shù)據(jù)安全技術(shù)平臺(tái)，如圖4所示，實(shí)現(xiàn)智能敏感數(shù)據(jù)識(shí)別、動(dòng)態(tài)控權(quán)、統(tǒng)一數(shù)據(jù)脫敏引擎、數(shù)據(jù)水印溯源，以及數(shù)據(jù)安全監(jiān)控審計(jì)五大核心能力，為行內(nèi)數(shù)據(jù)資產(chǎn)管理類應(yīng)用、各業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)安全標(biāo)準(zhǔn)服務(wù)。來源：工商銀行圖4工商銀行數(shù)據(jù)安全技術(shù)平臺(tái)框架1）智能敏感數(shù)據(jù)識(shí)別敏感數(shù)據(jù)識(shí)別是數(shù)據(jù)安全分類分級(jí)、安全措施布控落地的基礎(chǔ)。通過對(duì)各業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行采樣，依據(jù)數(shù)據(jù)分類分級(jí)策略，自動(dòng)識(shí)別出敏感數(shù)據(jù)及分類分級(jí)結(jié)果，輔助數(shù)據(jù)安全打標(biāo)工作，識(shí)別結(jié)果用于控權(quán)、脫敏、審計(jì)等場(chǎng)景。技術(shù)上采用自然語言處理（NLP結(jié)合正則匹配、關(guān)鍵字匹配、文本分類、相似度AI模型，構(gòu)建智能數(shù)據(jù)識(shí)別能力。6智能敏感數(shù)據(jù)識(shí)別解決了業(yè)務(wù)系統(tǒng)在開展數(shù)據(jù)資產(chǎn)分級(jí)工作中，敏感數(shù)據(jù)識(shí)別難、人力成本高且識(shí)別質(zhì)量難以保證的問題。引入智能敏感數(shù)據(jù)識(shí)別能力后，通過工具對(duì)數(shù)據(jù)庫實(shí)體表抽樣掃描，自動(dòng)完成打標(biāo)，大幅降低人工打標(biāo)成本，同時(shí)配以少量數(shù)據(jù)運(yùn)營人員的人工復(fù)核，大幅提升敏感數(shù)據(jù)識(shí)別質(zhì)量，有效支撐工商銀行的數(shù)據(jù)資產(chǎn)分級(jí)工作。2）動(dòng)態(tài)控權(quán)動(dòng)態(tài)控權(quán)為不同用數(shù)場(chǎng)景提供實(shí)時(shí)的權(quán)限控制及脫敏處理能力。通過SQL解析、改寫等技術(shù)提供統(tǒng)一的庫、表、字段、行級(jí)的數(shù)據(jù)訪問控制能力。動(dòng)態(tài)控權(quán)解決了業(yè)務(wù)人員在數(shù)據(jù)訪問時(shí)，數(shù)據(jù)控權(quán)靈活度不高、控權(quán)能力有限的問題。強(qiáng)化動(dòng)態(tài)控權(quán)服務(wù)，為各類用數(shù)場(chǎng)景提供細(xì)粒度的數(shù)據(jù)訪問控制能力以及敏感數(shù)據(jù)動(dòng)態(tài)脫敏能力。3）統(tǒng)一數(shù)據(jù)脫敏引擎統(tǒng)一數(shù)據(jù)脫敏規(guī)則引擎為各類靜態(tài)脫敏、動(dòng)態(tài)脫敏場(chǎng)景提供統(tǒng)一的、豐富的數(shù)據(jù)脫敏服務(wù)及工具包。內(nèi)置擾亂、泛化、有損、抑制四類算法，支持脫敏算法的靈活配置，滿足各類脫敏場(chǎng)景的需求。通過服務(wù)預(yù)置的脫敏算法，以及自定義的策略配置，提供統(tǒng)一脫敏服務(wù)，大幅提升數(shù)據(jù)脫敏策略的布控效率以及脫敏數(shù)據(jù)的可用性。4）數(shù)據(jù)水印溯源數(shù)據(jù)水印溯源服務(wù)為外部數(shù)據(jù)交換場(chǎng)景下的數(shù)據(jù)防泄露提供基礎(chǔ)能力。在與外部組織機(jī)構(gòu)、合作方等第三方合作伙伴交換數(shù)據(jù)時(shí)，通過文本隱寫、文檔隱寫、偽列偽行等技術(shù)對(duì)數(shù)據(jù)文件進(jìn)行標(biāo)記，并在數(shù)據(jù)文件泄露后，對(duì)文件進(jìn)行水印解析、溯源數(shù)據(jù)水印溯源服務(wù)解決了數(shù)據(jù)外發(fā)共享場(chǎng)景下，缺失有效技術(shù)手段追溯泄露源的問題?？捎行ё匪菪孤对矗Ｗo(hù)外部共享數(shù)據(jù)，有助于構(gòu)建安全合規(guī)的用數(shù)生態(tài)。5）風(fēng)險(xiǎn)監(jiān)控審計(jì)基于統(tǒng)一的大數(shù)據(jù)平臺(tái)日志標(biāo)準(zhǔn)，建立統(tǒng)一的監(jiān)控服務(wù)，提供敏感數(shù)據(jù)訪問情況、用數(shù)行為分析等監(jiān)控、審計(jì)、預(yù)警服務(wù)。風(fēng)險(xiǎn)監(jiān)控審計(jì)解決業(yè)務(wù)系統(tǒng)快速落地合規(guī)審計(jì)需求的問題。通過建設(shè)前中后的用數(shù)風(fēng)險(xiǎn)監(jiān)控服務(wù)標(biāo)準(zhǔn)，可快速形成數(shù)據(jù)全生命周期的用數(shù)保護(hù)能力。76）技術(shù)工具為數(shù)據(jù)中臺(tái)用數(shù)安全賦能工商銀行將數(shù)據(jù)安全技術(shù)支撐能力與數(shù)據(jù)中臺(tái)深度融合，通過“統(tǒng)一分類分級(jí)與敏感數(shù)據(jù)識(shí)別”、“統(tǒng)一授權(quán)”、“統(tǒng)一訪問控制”、“共享安全保護(hù)”、“監(jiān)控與審計(jì)”等服務(wù)能力輸出，實(shí)現(xiàn)中臺(tái)數(shù)據(jù)全生命周期的用數(shù)安全，在實(shí)現(xiàn)安全合規(guī)的同時(shí)極大釋放數(shù)據(jù)要素價(jià)值。?3.中國工商銀行數(shù)據(jù)安全管理建設(shè)亮點(diǎn)（1）建立完善的數(shù)據(jù)安全管理體系加強(qiáng)頂層設(shè)計(jì)，建立組織架構(gòu)健全、職責(zé)邊界清晰的數(shù)據(jù)安全治理體系，工商銀行構(gòu)建決策、管理、執(zhí)行、監(jiān)督四位一體的組織架構(gòu)，各級(jí)機(jī)構(gòu)協(xié)調(diào)配合，共同保障數(shù)據(jù)安全要求有效落地?；谒奈灰惑w的組織架構(gòu)，明確了數(shù)據(jù)安全崗位職責(zé)，強(qiáng)化數(shù)據(jù)安全管理崗位人員能力建設(shè)，共同保障相關(guān)要求有效落地。建立了較為完善的數(shù)據(jù)安全制度規(guī)范體系，發(fā)布網(wǎng)絡(luò)與信息安全、數(shù)據(jù)安全分級(jí)分類、集團(tuán)內(nèi)共享、對(duì)外合作、外部咨詢項(xiàng)目等領(lǐng)域數(shù)據(jù)信息安全管理制度規(guī)范，明確了相關(guān)的職責(zé)要求及管理策略。（2）積極推進(jìn)新技術(shù)前瞻性研究鑒于數(shù)據(jù)要素資產(chǎn)的特殊屬性，工商銀行積極推動(dòng)新技術(shù)研發(fā)和迭代，包括引入同態(tài)加密、多方安全計(jì)算、聯(lián)邦學(xué)習(xí)等隱私計(jì)算新技術(shù)，建設(shè)隱私計(jì)算平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)使用上的可用不可見、開放不共享。應(yīng)用自然語言處理等自動(dòng)化技術(shù)提升數(shù)據(jù)安全分級(jí)分類及敏感信息的自動(dòng)化精準(zhǔn)識(shí)別率，積極跟進(jìn)和推動(dòng)可信區(qū)塊鏈技術(shù)、數(shù)據(jù)血緣等新技術(shù)的研發(fā)和迭代，夯實(shí)數(shù)據(jù)使用過程中的安全保護(hù)。8建設(shè)銀行總行黨委和高級(jí)管理層高度重視《數(shù)據(jù)安全法》在行內(nèi)的貫徹落實(shí)，為基本框架，結(jié)合行內(nèi)數(shù)據(jù)安全管理現(xiàn)狀，圍繞數(shù)據(jù)安全“管理、保護(hù)、運(yùn)維”三個(gè)方面，形成了覆蓋前中后臺(tái)的安全管理三道防線以及多方協(xié)同的安全治理模式。當(dāng)前建設(shè)銀行圍繞“組織職責(zé)、制度規(guī)范、流程機(jī)制、人員能力、技術(shù)工具”五個(gè)方面推進(jìn)數(shù)據(jù)安全管理體系的完善。?1.中國建設(shè)銀行數(shù)據(jù)安全管理組織架構(gòu)一是建設(shè)銀行明確了數(shù)據(jù)安全管理的決策層、牽頭部門。數(shù)據(jù)安全決策層承接數(shù)據(jù)安全管理職責(zé)，負(fù)責(zé)建立數(shù)據(jù)安全管理體系，審核數(shù)據(jù)安全相關(guān)管理制度，審定數(shù)據(jù)安全相關(guān)工作計(jì)劃、重大事項(xiàng)和資源投入，協(xié)調(diào)解決數(shù)據(jù)安全重大問題，監(jiān)督檢查數(shù)據(jù)安全管理工作成效。牽頭管理部門負(fù)責(zé)統(tǒng)籌全行數(shù)據(jù)安全管理工作，組織實(shí)施數(shù)據(jù)安全管理體系的規(guī)劃和建設(shè)，落實(shí)數(shù)據(jù)安全監(jiān)管要求，體系化做好內(nèi)外部數(shù)據(jù)安全防范工作的數(shù)據(jù)安全工作策略，組織推進(jìn)數(shù)據(jù)安全文化建設(shè)和數(shù)據(jù)安全專業(yè)隊(duì)伍建設(shè)，并對(duì)全行數(shù)據(jù)安全管理相關(guān)工作進(jìn)行指導(dǎo)、監(jiān)督與考核評(píng)價(jià)。二是組建了涵蓋總行多個(gè)業(yè)務(wù)部門的數(shù)據(jù)安全柔性團(tuán)隊(duì)，負(fù)責(zé)各項(xiàng)數(shù)據(jù)安全工作協(xié)同和推進(jìn)。按照“誰的業(yè)務(wù)誰負(fù)責(zé)、誰的渠道誰負(fù)責(zé)、誰的場(chǎng)景誰負(fù)責(zé)”的原則，明確各領(lǐng)域數(shù)據(jù)安全管理工作的職責(zé)部門，落實(shí)所轄領(lǐng)域數(shù)據(jù)安全管理職責(zé)，本業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全的源頭管控，牽頭推動(dòng)管理職責(zé)內(nèi)數(shù)據(jù)安全重點(diǎn)工作機(jī)制建設(shè)，制定或修訂規(guī)章、制度、流程，執(zhí)行數(shù)據(jù)安全管理相關(guān)工作要求。?2.中國建設(shè)銀行數(shù)據(jù)安全管理制度目前，建設(shè)銀行已分別在數(shù)據(jù)管理、科技管理、業(yè)務(wù)管理等方面，逐步推進(jìn)一系列數(shù)據(jù)安全相關(guān)管理制度和流程機(jī)制的制定，初步形成了數(shù)據(jù)安全制度規(guī)范體系。一是數(shù)據(jù)管理領(lǐng)域方面，建設(shè)銀行已制定并發(fā)布了數(shù)據(jù)治理、數(shù)據(jù)需求管理、數(shù)據(jù)風(fēng)險(xiǎn)管理、外部數(shù)據(jù)管理、數(shù)據(jù)安全分級(jí)標(biāo)準(zhǔn)、個(gè)人金融信息數(shù)據(jù)安全分級(jí)標(biāo)準(zhǔn)9等規(guī)章制度，從多個(gè)維度加強(qiáng)數(shù)據(jù)安全管理。二是科技管理領(lǐng)域方面，建設(shè)銀行已建立數(shù)據(jù)安全技術(shù)規(guī)范體系。一是制定信息安全管理制度，全面落實(shí)境內(nèi)外銀行業(yè)信息科技相關(guān)法律法規(guī)等監(jiān)管要求；二是制定生產(chǎn)數(shù)據(jù)應(yīng)用安全管理制度，明確了后臺(tái)數(shù)據(jù)提取和生產(chǎn)數(shù)據(jù)的脫敏、傳遞、應(yīng)用等安全保護(hù)要求；三是制定軟件開發(fā)安全方面的需求規(guī)范和測(cè)試規(guī)范，對(duì)應(yīng)用開發(fā)中的重點(diǎn)數(shù)據(jù)保護(hù)、數(shù)據(jù)追溯、數(shù)據(jù)過濾、密鑰管理等進(jìn)行了規(guī)范。三是業(yè)務(wù)管理領(lǐng)域方面，建設(shè)銀行各業(yè)務(wù)部門結(jié)合本部門本條線業(yè)務(wù)管理情況，在個(gè)人客戶信息保護(hù)、用戶敏感信息、員工行為管理、數(shù)據(jù)分析管理等領(lǐng)域制定了諸多涵蓋數(shù)據(jù)安全管理要求的制度規(guī)范。四是專項(xiàng)規(guī)章制度重檢修訂方面，建設(shè)銀行正在按照《數(shù)據(jù)安全法》等相關(guān)法律規(guī)范要求，通過系統(tǒng)性地查缺補(bǔ)漏，梳理并組織開展數(shù)據(jù)安全專項(xiàng)規(guī)章制度重檢修訂，涵蓋數(shù)據(jù)安全管控、數(shù)據(jù)安全評(píng)估、安全檢查、合作管理、外包管理、應(yīng)急響應(yīng)、技術(shù)工具等多個(gè)方面。?3.中國建設(shè)銀行數(shù)據(jù)安全流程機(jī)制（1）數(shù)據(jù)安全分類分級(jí)管理機(jī)制一是制定數(shù)據(jù)標(biāo)準(zhǔn)。建設(shè)銀行目前已制定并發(fā)布兩項(xiàng)數(shù)據(jù)安全分類分級(jí)標(biāo)準(zhǔn)?；诮鹑谛袠I(yè)標(biāo)準(zhǔn)《JR/T0197-2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》，結(jié)合建設(shè)銀行企業(yè)級(jí)數(shù)據(jù)模型，制定了數(shù)據(jù)安全分級(jí)標(biāo)準(zhǔn)；根據(jù)《個(gè)人信息保護(hù)法》要求，制定了個(gè)人金融信息數(shù)據(jù)安全分級(jí)標(biāo)準(zhǔn)。二是實(shí)施數(shù)據(jù)資產(chǎn)自動(dòng)化盤點(diǎn)與整合。建設(shè)銀行通過全域數(shù)據(jù)資產(chǎn)梳理盤點(diǎn)、廣域數(shù)據(jù)資產(chǎn)整合，構(gòu)建了企業(yè)級(jí)數(shù)據(jù)資產(chǎn)目錄，形成了涵蓋系統(tǒng)組件、外部數(shù)據(jù)、集成數(shù)據(jù)、標(biāo)簽、指標(biāo)、報(bào)表、數(shù)據(jù)產(chǎn)品等各類數(shù)據(jù)資產(chǎn)的全域數(shù)據(jù)資產(chǎn)目錄，助力用戶厘清數(shù)據(jù)資產(chǎn)分布及關(guān)聯(lián)關(guān)系，勾勒企業(yè)級(jí)數(shù)據(jù)資產(chǎn)全貌，為數(shù)據(jù)安全管理向“自動(dòng)化、智能化”的轉(zhuǎn)變夯實(shí)數(shù)據(jù)基礎(chǔ)。三是自主研發(fā)分級(jí)模型。建設(shè)銀行應(yīng)用機(jī)器學(xué)習(xí)的方法研發(fā)了數(shù)據(jù)安全自動(dòng)化定級(jí)模型，建立定級(jí)詞庫，通過機(jī)器學(xué)習(xí)的方法實(shí)現(xiàn)數(shù)據(jù)安全等級(jí)的自動(dòng)化初判。四是開展分級(jí)工作。建設(shè)銀行擬將數(shù)據(jù)安全標(biāo)準(zhǔn)落實(shí)到每個(gè)數(shù)據(jù)項(xiàng)上，正在組織推進(jìn)全行數(shù)據(jù)的安全分級(jí)打標(biāo)工作，通過資產(chǎn)梳理、定級(jí)準(zhǔn)備、級(jí)別判定、級(jí)別審核、級(jí)別批準(zhǔn)等環(huán)節(jié)，完成數(shù)據(jù)安全定級(jí)及確認(rèn)復(fù)核，為數(shù)據(jù)分級(jí)管控提供有效支撐。（2）數(shù)據(jù)安全全生命周期管理在數(shù)據(jù)安全分類分級(jí)建設(shè)的基礎(chǔ)上，建設(shè)銀行將相關(guān)管理要求落實(shí)到數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)等數(shù)據(jù)全生命周期的各個(gè)環(huán)節(jié)。1）數(shù)據(jù)采集建設(shè)銀行持續(xù)提升外部數(shù)據(jù)精細(xì)化管理水平，已建立外部數(shù)據(jù)統(tǒng)一引進(jìn)和管理機(jī)制，通過管理和技術(shù)雙重手段保障數(shù)據(jù)安全，多方面嚴(yán)格審核供應(yīng)商保證外部數(shù)據(jù)來源安全合規(guī)，定期對(duì)供應(yīng)商資質(zhì)進(jìn)行抽檢。在線監(jiān)測(cè)外部數(shù)據(jù)的使用，使用周期結(jié)束后及時(shí)銷毀數(shù)據(jù)。2）數(shù)據(jù)傳輸建設(shè)銀行通過數(shù)據(jù)安全組件傳輸敏感數(shù)據(jù)，一是生產(chǎn)數(shù)據(jù)、前端分析數(shù)據(jù)、開發(fā)測(cè)試數(shù)據(jù)經(jīng)過專人審核才能交付給用戶；二是用戶在桌面云內(nèi)數(shù)據(jù)交換和從桌面云中導(dǎo)出數(shù)據(jù)到辦公計(jì)算機(jī)中間環(huán)節(jié)無數(shù)據(jù)落地存儲(chǔ)；三是對(duì)于涉及身份認(rèn)證、客戶資金交易等重要操作的數(shù)據(jù)采用安全傳輸協(xié)議加密傳輸，防止數(shù)據(jù)傳輸過程的信息泄露3）數(shù)據(jù)存儲(chǔ)建設(shè)銀行數(shù)據(jù)集中存儲(chǔ)在運(yùn)營數(shù)據(jù)中心生產(chǎn)環(huán)境中，嚴(yán)格規(guī)范管理生產(chǎn)環(huán)境。所有操作通過安全操作管理系統(tǒng)完成，確保無法將數(shù)據(jù)私自拷貝出生產(chǎn)環(huán)境。對(duì)生產(chǎn)環(huán)境劃分多個(gè)安全區(qū)域，各個(gè)區(qū)域間通過防火墻隔離，防止外部攻擊和病毒木馬入侵信息系統(tǒng)。4）數(shù)據(jù)使用一是辦公網(wǎng)絡(luò)與設(shè)備的安全管控與行為監(jiān)控。非行內(nèi)計(jì)算機(jī)和未滿足策略配置的終端不得接入行內(nèi)網(wǎng)絡(luò)，嚴(yán)格管控USB等外接數(shù)據(jù)存儲(chǔ)設(shè)備；在辦公郵件互聯(lián)網(wǎng)出口對(duì)敏感信息進(jìn)行監(jiān)控和攔截，對(duì)違規(guī)行為實(shí)時(shí)退信提示；使用加密硬盤報(bào)送監(jiān)管數(shù)據(jù)；采用數(shù)據(jù)水印技術(shù)提升信息追溯能力。二是建立數(shù)據(jù)資產(chǎn)全鏈路數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)機(jī)制。建立數(shù)據(jù)資產(chǎn)全鏈路數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)機(jī)制，實(shí)現(xiàn)了從數(shù)據(jù)產(chǎn)生、加工整合到服務(wù)應(yīng)用的全鏈路數(shù)據(jù)關(guān)系的全覆蓋，全面掌握端到端數(shù)據(jù)流轉(zhuǎn)情況及健康狀態(tài)，確保所有敏感數(shù)據(jù)的流轉(zhuǎn)可都被監(jiān)測(cè)、記錄、分析和溯源。三是建立數(shù)據(jù)違規(guī)訪問、大量下載等異常行為監(jiān)控預(yù)警機(jī)制。在信息系統(tǒng)設(shè)計(jì)階段，嚴(yán)格把控?cái)?shù)據(jù)下載、導(dǎo)出功能，遵循最小必須原則控制數(shù)據(jù)范圍、規(guī)模和頻次，并做好數(shù)據(jù)加密脫敏處理；在業(yè)務(wù)應(yīng)用階段，信息系統(tǒng)均設(shè)置關(guān)鍵運(yùn)行指標(biāo)和預(yù)警閾值；對(duì)研發(fā)或運(yùn)維人員操作動(dòng)作和操作內(nèi)容進(jìn)行記錄和保存，及時(shí)監(jiān)測(cè)和預(yù)警異常行為，快速定位違規(guī)操作。四是建立統(tǒng)一數(shù)據(jù)授權(quán)使用管控機(jī)制。確保按照“最小必要”原則設(shè)立使用權(quán)限，建立員工用戶管理應(yīng)用的權(quán)限管控模型，包含員工用戶、崗位、角色、權(quán)限等四層，通過建立映射實(shí)現(xiàn)員工用戶對(duì)具體權(quán)限的獲取，部署統(tǒng)一認(rèn)證服務(wù)，實(shí)現(xiàn)各信息系統(tǒng)之間的賬號(hào)統(tǒng)一管理。5）數(shù)據(jù)共享在對(duì)外合作方面，建設(shè)銀行通過完善服務(wù)供應(yīng)商準(zhǔn)入審查、修訂對(duì)外合作協(xié)議等方式加強(qiáng)對(duì)合作方的安全管理。生產(chǎn)數(shù)據(jù)提取方面，建設(shè)銀行已制定生產(chǎn)數(shù)據(jù)應(yīng)用安全管理規(guī)程，并對(duì)線下交接傳遞數(shù)據(jù)進(jìn)行限定。信息系統(tǒng)功能對(duì)接方面，涉及系統(tǒng)開發(fā)的情況已納入信息系統(tǒng)需求管理，通過多方共同評(píng)審發(fā)現(xiàn)數(shù)據(jù)輸出風(fēng)險(xiǎn)，進(jìn)行安6）數(shù)據(jù)刪除、銷毀建設(shè)銀行采用“不用數(shù)據(jù)及時(shí)銷毀”的策略，對(duì)生產(chǎn)系統(tǒng)的報(bào)廢設(shè)備存儲(chǔ)部件通過專用設(shè)備進(jìn)行消磁或物理粉碎處理；維修設(shè)備均須取下存儲(chǔ)后方可帶離我行修理；對(duì)終端電腦安裝數(shù)據(jù)銷毀工具，由員工對(duì)電腦中存儲(chǔ)的不再使用的敏感信息進(jìn)行銷毀；對(duì)從生產(chǎn)環(huán)境提取的數(shù)據(jù)，在使用完畢后，數(shù)據(jù)安全組件提醒用戶使用數(shù)據(jù)銷毀工具進(jìn)行銷毀；并建立數(shù)據(jù)存儲(chǔ)介質(zhì)銷毀安全管理機(jī)制，設(shè)立專人專崗，記錄數(shù)據(jù)銷毀全過程。（3）數(shù)據(jù)安全應(yīng)急管理機(jī)制一是將數(shù)據(jù)安全納入管控范圍，從投訴、聲譽(yù)、網(wǎng)絡(luò)三個(gè)方面建立數(shù)據(jù)安全應(yīng)急管理機(jī)制，修訂并發(fā)布應(yīng)急管理制度和應(yīng)急預(yù)案等規(guī)范。二是明確信息安全事件的處置流程與職責(zé)，定期組織安全滲透測(cè)試和風(fēng)險(xiǎn)評(píng)估，統(tǒng)籌漏洞管理，對(duì)發(fā)現(xiàn)的問題風(fēng)險(xiǎn)進(jìn)行整改和應(yīng)急處置，并組織安全應(yīng)急演練和實(shí)戰(zhàn)演習(xí)。在安全事件發(fā)生后，按照預(yù)案實(shí)施安全事件應(yīng)急處置工作，認(rèn)定安全事件等級(jí)和責(zé)任單位，完成安全事件的取證、攻擊手法分析、數(shù)據(jù)泄露溯源分析、評(píng)估全行安全態(tài)勢(shì)，挖掘潛在異常行為和攻擊威脅。（4）數(shù)據(jù)安全評(píng)估機(jī)制《數(shù)據(jù)安全法》發(fā)布之前，建設(shè)銀行已對(duì)標(biāo)國家標(biāo)準(zhǔn)《GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》組織開展了全行數(shù)據(jù)安全管理現(xiàn)狀評(píng)估工作?！稊?shù)據(jù)安全法》發(fā)布之后，為進(jìn)一步對(duì)標(biāo)監(jiān)管要求，建設(shè)銀行以金融行業(yè)標(biāo)準(zhǔn)《金融數(shù)據(jù)安全數(shù)據(jù)安全評(píng)估規(guī)范（征求意見稿）》為評(píng)估框架，制定了數(shù)據(jù)安全全面評(píng)估方案，并針對(duì)外部數(shù)據(jù)共享、新產(chǎn)品上線等重點(diǎn)場(chǎng)景制定數(shù)據(jù)安全分場(chǎng)景評(píng)估方案。目前正在組織推進(jìn)各相關(guān)部門對(duì)轄內(nèi)數(shù)據(jù)安全工作及重點(diǎn)場(chǎng)景數(shù)據(jù)安全保障情況開展自?4.中國建設(shè)銀行數(shù)據(jù)安全人員能力建設(shè)建設(shè)銀行持續(xù)提升數(shù)據(jù)安全管理人員數(shù)據(jù)安全意識(shí)和工作履職能力，加大員工安全教育力度，開展培訓(xùn)講座和警示教育，樹立安全紅線意識(shí)。在建行網(wǎng)絡(luò)學(xué)習(xí)平臺(tái)設(shè)立“數(shù)據(jù)安全”專欄，面向全行員工提供法律標(biāo)準(zhǔn)解讀分析等學(xué)習(xí)課程。同時(shí)編制了《信息安全事件警示錄》《員工信息安全技能手冊(cè)》《員工信息系統(tǒng)使用行為規(guī)范》等培訓(xùn)教育手冊(cè)和網(wǎng)絡(luò)課件，建立新員工入職培訓(xùn)、在職員工年度安全培訓(xùn)機(jī)制，持續(xù)常態(tài)化組織員工開展安全意識(shí)培訓(xùn)。此外，通過跟蹤數(shù)據(jù)安全監(jiān)管動(dòng)態(tài)、業(yè)界實(shí)踐、行內(nèi)進(jìn)展等，形成數(shù)據(jù)安全工作定期簡報(bào)，加強(qiáng)行內(nèi)宣貫，促進(jìn)全行數(shù)據(jù)安全文化建設(shè)。?5.中國建設(shè)銀行數(shù)據(jù)安全技術(shù)防護(hù)體系建設(shè)銀行已構(gòu)建了全行一體化，覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全技術(shù)防護(hù)體系，如圖5所示。通過數(shù)據(jù)訪問控制平臺(tái)、隱私計(jì)算平臺(tái)、數(shù)據(jù)安全下載平臺(tái)等技術(shù)平臺(tái)沉淀了數(shù)字脫敏、加密權(quán)限、訪問控制、數(shù)字水印、隱私計(jì)算等數(shù)據(jù)安全核心技術(shù)，為后臺(tái)生產(chǎn)數(shù)據(jù)、前端分析數(shù)據(jù)等場(chǎng)景的數(shù)據(jù)保護(hù)提供技術(shù)支撐。來源：建設(shè)銀行圖5建設(shè)銀行數(shù)據(jù)安全技術(shù)防護(hù)體系?1.交通銀行數(shù)據(jù)安全管理系統(tǒng)建設(shè)背景金融銀行業(yè)目前在實(shí)際應(yīng)用中有以下痛點(diǎn)：一是數(shù)據(jù)使用是否含敏感信息的選項(xiàng)依靠各環(huán)節(jié)人工判定，主觀性較大；二是數(shù)據(jù)文件下發(fā)前缺少相關(guān)技術(shù)工具進(jìn)行內(nèi)容掃描，無法管控實(shí)際流出生產(chǎn)系統(tǒng)的數(shù)據(jù)文件；三是數(shù)據(jù)治理工作雖已為行內(nèi)數(shù)據(jù)標(biāo)準(zhǔn)完成定級(jí)，為數(shù)據(jù)出口管理工作提供了重要依據(jù)，但兩者缺乏便捷的對(duì)接渠道；四是數(shù)據(jù)安全管理辦法發(fā)布后，暫時(shí)未有有效的系統(tǒng)載體承接和落實(shí)相關(guān)管控規(guī)定。隨著外部數(shù)據(jù)安全管理的要求逐漸增多，各大銀行已加緊數(shù)據(jù)安全管控體系的建設(shè)，工行，農(nóng)行，中行，招行等銀行，皆加大自身資源投入，通過自研開發(fā)或與第三方合作，契合當(dāng)前數(shù)字經(jīng)濟(jì)大浪潮下的安全管控變革的需求，建立數(shù)據(jù)安全管理系統(tǒng)以達(dá)到法律法規(guī)與外部監(jiān)管要求。根據(jù)前期調(diào)研，相關(guān)同業(yè)為提升自身數(shù)據(jù)安全管理能力，均對(duì)核心和重要系統(tǒng)加緊安全技術(shù)防控，在數(shù)據(jù)分級(jí)管理、敏感數(shù)據(jù)識(shí)別、安全檢查審計(jì)和技防能力提升等方面，逐步將數(shù)據(jù)安全體系建設(shè)向精細(xì)化、自動(dòng)化和成熟化推進(jìn)。綜上，為進(jìn)一步加強(qiáng)數(shù)據(jù)出口的安全扎口管理，推動(dòng)我行數(shù)據(jù)安全治理、數(shù)據(jù)安全保障、數(shù)據(jù)安全體系建設(shè)能力不斷增強(qiáng)，設(shè)計(jì)數(shù)據(jù)安全管控全方位升級(jí)的系統(tǒng)建?2.交通銀行數(shù)據(jù)安全管理系統(tǒng)建設(shè)目標(biāo)交通銀行建設(shè)數(shù)據(jù)安全管控系統(tǒng)升級(jí)項(xiàng)目，旨在以數(shù)據(jù)安全交換平臺(tái)為基礎(chǔ)，以整體數(shù)據(jù)安全運(yùn)營為目標(biāo)，建設(shè)全方位的安全管控系統(tǒng)功能。項(xiàng)目建成后擬達(dá)成以下效果：一是提升敏感數(shù)據(jù)認(rèn)定識(shí)別的技術(shù)能力，通過人工和技術(shù)手段相結(jié)合，實(shí)現(xiàn)敏感數(shù)據(jù)的精準(zhǔn)定位；二是應(yīng)用數(shù)據(jù)分類分級(jí)和敏感數(shù)據(jù)定位，在數(shù)據(jù)出口、分析等重點(diǎn)數(shù)據(jù)場(chǎng)景中實(shí)現(xiàn)數(shù)據(jù)安全管控的精細(xì)化、便利化，提升數(shù)據(jù)出口流程與數(shù)據(jù)出口安全管控質(zhì)效；三是建立數(shù)據(jù)安全評(píng)估、安全監(jiān)督等管理功能，實(shí)現(xiàn)數(shù)據(jù)安全管理工作的系統(tǒng)化運(yùn)行，實(shí)現(xiàn)對(duì)重點(diǎn)場(chǎng)景數(shù)據(jù)安全情況的整體管控。?3.交通銀行數(shù)據(jù)安全管理系統(tǒng)核心功能本規(guī)劃項(xiàng)目可細(xì)分為五大模塊，以安全管控引擎模塊為技術(shù)支撐，擬建設(shè)安全監(jiān)督、安全評(píng)估、成熟度評(píng)估管理、安全傳輸四部分內(nèi)容。項(xiàng)目規(guī)劃如圖6所示。來源：交通銀行圖6交通銀行數(shù)據(jù)安全管控系統(tǒng)升級(jí)項(xiàng)目規(guī)劃圖（1）安全管控引擎模塊1）核心引擎安全管控模塊是數(shù)據(jù)安全評(píng)估和數(shù)據(jù)治理分類分級(jí)的重要應(yīng)用渠道，主要有AI數(shù)據(jù)識(shí)別引擎、數(shù)據(jù)文件掃描模塊，并與數(shù)據(jù)治理平臺(tái)實(shí)現(xiàn)對(duì)接，在數(shù)據(jù)分類分級(jí)的結(jié)果上對(duì)傳輸數(shù)據(jù)完成數(shù)據(jù)的分類分級(jí)檢測(cè)。2）AI數(shù)據(jù)識(shí)別引擎AI數(shù)據(jù)識(shí)別引擎模塊擬結(jié)合文本識(shí)別、知識(shí)圖譜和AI模型等技術(shù)，對(duì)數(shù)據(jù)出口用數(shù)場(chǎng)景申請(qǐng)描述信息及附件進(jìn)行內(nèi)容掃描、字段識(shí)別、文本分析和關(guān)聯(lián)匹配，對(duì)用數(shù)場(chǎng)景是否涉及提取敏感數(shù)據(jù)進(jìn)行預(yù)判，為用數(shù)場(chǎng)景審核工作提供技術(shù)保障。3）數(shù)據(jù)文件掃描數(shù)據(jù)文件掃描功能依據(jù)常見敏感字段清單和根據(jù)分類分級(jí)檢測(cè)得出的掃描規(guī)則，對(duì)所有從生產(chǎn)環(huán)境上傳，需要下載至辦公環(huán)境的數(shù)據(jù)文件進(jìn)行掃描。掃描結(jié)果若與用數(shù)場(chǎng)景敏感信息標(biāo)簽不一致，將觸發(fā)新的提級(jí)審批流程。此外，系統(tǒng)可基于前期樣本，利用機(jī)器學(xué)習(xí)能力，對(duì)規(guī)則模型進(jìn)行持續(xù)的更新、優(yōu)化。4）分類分級(jí)結(jié)果對(duì)接本項(xiàng)目計(jì)劃在數(shù)據(jù)出口用數(shù)場(chǎng)景申請(qǐng)界面新增接口，通過下拉框選擇和模糊搜索的方式匹配數(shù)據(jù)出口涉及字段和數(shù)據(jù)標(biāo)準(zhǔn)安全定級(jí)結(jié)果，以精準(zhǔn)應(yīng)用數(shù)據(jù)治理分類分級(jí)成果。（2）安全監(jiān)督模塊安全監(jiān)督模塊擬對(duì)數(shù)據(jù)分析平臺(tái)等重要數(shù)據(jù)應(yīng)用場(chǎng)景中的數(shù)據(jù)行為進(jìn)行事后評(píng)估和檢查，排查數(shù)據(jù)活動(dòng)合規(guī)性，防止數(shù)據(jù)外泄，及時(shí)修正與完善潛在漏洞及不足。相關(guān)功能如下：1）日志文件整合與管理整合并抽取對(duì)接系統(tǒng)的安全管理日志，系統(tǒng)針對(duì)日志內(nèi)容進(jìn)行掃描，提取日志有效內(nèi)容，在系統(tǒng)中以表格形式展示提取結(jié)果，并支持導(dǎo)出或加載至分析平臺(tái)進(jìn)行檢2）用戶操作識(shí)別監(jiān)控通過文本識(shí)別、知識(shí)圖譜或AI模型等技術(shù)，對(duì)提取的日志內(nèi)容進(jìn)行敏感信息掃描。若掃描識(shí)別出相關(guān)內(nèi)容，則以表格形式展現(xiàn)，從而達(dá)到在線用戶的實(shí)時(shí)/非實(shí)時(shí)監(jiān)督3）數(shù)據(jù)源敏感識(shí)別對(duì)接入系統(tǒng)日志內(nèi)的元數(shù)據(jù)進(jìn)行識(shí)別，將識(shí)別出的表格字段與數(shù)據(jù)分析平臺(tái)樣本進(jìn)行關(guān)聯(lián)，顯示表格權(quán)限及脫敏情況，并將識(shí)別結(jié)果通過表格的形式在系統(tǒng)中展示，從而及時(shí)發(fā)現(xiàn)并修正表格脫敏漏洞。4）檢查模塊與預(yù)警處理設(shè)定檢查策略模板，可自定義設(shè)定監(jiān)督和預(yù)警規(guī)則，對(duì)接入系統(tǒng)的場(chǎng)景和用戶進(jìn)行自動(dòng)化預(yù)警任務(wù)推送，安全管理人員對(duì)推送任務(wù)進(jìn)行日常管理和記錄處理。（3）安全評(píng)估模塊安全評(píng)估模塊包括安全評(píng)估、場(chǎng)景規(guī)則、分析管理、統(tǒng)計(jì)管理功能四個(gè)部分，實(shí)現(xiàn)對(duì)規(guī)定的場(chǎng)景事前進(jìn)行數(shù)據(jù)權(quán)益保護(hù)影響評(píng)估并對(duì)相關(guān)處理情況進(jìn)行記錄、分析、統(tǒng)計(jì)、管理，并通過可視化展示等方式方便直觀了解我行數(shù)據(jù)安全評(píng)估的管理狀態(tài)。通過安全評(píng)估，推動(dòng)落實(shí)數(shù)據(jù)安全管理的法律合規(guī)和外部監(jiān)管要求，在事前檢視數(shù)據(jù)安全威脅和風(fēng)險(xiǎn)，保障數(shù)據(jù)安全。1）安全評(píng)估對(duì)于符合數(shù)據(jù)安全評(píng)估要求的重點(diǎn)數(shù)據(jù)活動(dòng)，數(shù)據(jù)申請(qǐng)方發(fā)起新建數(shù)據(jù)安全評(píng)估事項(xiàng)，填寫相關(guān)信息并進(jìn)行數(shù)據(jù)安全自評(píng)估，按照規(guī)定流程進(jìn)行審批并歸檔，以表單流程作為主體功能，逐步優(yōu)化評(píng)估要素和業(yè)務(wù)流程，通過自動(dòng)化對(duì)接現(xiàn)有業(yè)務(wù)流程的方式擴(kuò)大全行數(shù)據(jù)活動(dòng)場(chǎng)景的安全評(píng)估覆蓋面。2）場(chǎng)景規(guī)則建立場(chǎng)景規(guī)則庫，設(shè)置不同數(shù)據(jù)活動(dòng)的評(píng)估項(xiàng)、評(píng)估權(quán)重、評(píng)估模型等，并應(yīng)用在相應(yīng)的評(píng)估場(chǎng)景中。對(duì)于“監(jiān)管要求”和“公檢法調(diào)閱”等特殊場(chǎng)景，設(shè)立“自評(píng)估綠色通道”，提高評(píng)估效率和自動(dòng)化能力。3）分析管理根據(jù)評(píng)估決策規(guī)則庫和歷史評(píng)估相似度分析，分析特定的數(shù)據(jù)處理活動(dòng)是否會(huì)對(duì)信息主體合法權(quán)益產(chǎn)生影響及可能產(chǎn)生何種影響，并判斷相應(yīng)安全措施能否有效降低潛在影響。根據(jù)自動(dòng)化落差分析結(jié)果，輔助審批及復(fù)審的評(píng)估決策。4）統(tǒng)計(jì)管理功能統(tǒng)計(jì)歷史評(píng)估事項(xiàng)，管理場(chǎng)景規(guī)則庫與決策規(guī)則庫。可根據(jù)法律法規(guī)對(duì)“自評(píng)估綠色通道”及其他場(chǎng)景規(guī)則進(jìn)行修改，滿足不同維度的影響性評(píng)估結(jié)果統(tǒng)計(jì)分析，支持分析結(jié)果可視化展示、歷史記錄查詢、人工維護(hù)、批量導(dǎo)出等功能。（4）成熟度評(píng)估管理模塊成熟度評(píng)估管理模塊將匯總安全評(píng)估及成熟度評(píng)估結(jié)果，及時(shí)歸檔評(píng)估文檔，確保評(píng)估過程有跡可循，評(píng)估結(jié)果有據(jù)可依，以便日后監(jiān)管審計(jì)調(diào)閱。系統(tǒng)支持批量上傳文件、批量導(dǎo)出、在線預(yù)覽、模糊匹配、權(quán)限控制等功能，用戶可根據(jù)評(píng)估內(nèi)容對(duì)文檔進(jìn)行分類標(biāo)簽化管理，通過標(biāo)簽可以對(duì)同一對(duì)象實(shí)現(xiàn)多重分類的管理目標(biāo)。用戶對(duì)評(píng)估文檔的操作將形成日志記錄，日志將通過表格方式展現(xiàn)，并支持根據(jù)時(shí)間、操作內(nèi)容等維度導(dǎo)出。（5）安全傳輸模塊現(xiàn)已實(shí)現(xiàn)的數(shù)據(jù)出口模塊主要包括數(shù)據(jù)出口的審批流程及數(shù)據(jù)的安全傳輸通道，未來將在此模塊基礎(chǔ)上，擴(kuò)大適用范圍，覆蓋境外行、村鎮(zhèn)銀行的數(shù)據(jù)出口場(chǎng)景。同時(shí)，根據(jù)安全管控模塊的敏感數(shù)據(jù)識(shí)別結(jié)果，數(shù)據(jù)出口模塊做安全管控的適應(yīng)性改造，優(yōu)化審批與傳輸流程，如圖7所示。來源：交通銀行圖7交通銀行數(shù)據(jù)安全管控系統(tǒng)安全傳輸模塊?4.交通銀行數(shù)據(jù)安全管理系統(tǒng)策略引擎核心引擎在邏輯層面主要分為兩套。一套是人工自定義規(guī)則庫和管理功能群，主要使用進(jìn)行自定義規(guī)則的識(shí)別和安全策略輸出；另外一套為AI智能，主要目的為基于人工自定義規(guī)則相關(guān)功能的基礎(chǔ)上，提供輔助決策、數(shù)據(jù)分類訓(xùn)練和策略糾偏等功在功能層面主要包括數(shù)據(jù)標(biāo)簽識(shí)別、數(shù)據(jù)活動(dòng)管理、業(yè)務(wù)場(chǎng)景管理、安全策略管理和AI工具幾部分。核心引擎接受前置的文件解析模塊工具，將傳入的文件或數(shù)據(jù)轉(zhuǎn)換為結(jié)構(gòu)化的二維表，從中提取數(shù)據(jù)字段內(nèi)容并支持樣本預(yù)覽，并將格式化數(shù)據(jù)的提取結(jié)果作為核心引擎的輸入，結(jié)合數(shù)據(jù)活動(dòng)和業(yè)務(wù)場(chǎng)景的參數(shù)，根據(jù)安全策略表內(nèi)的配置，輸出安全管理要求和策略。AI工具主要作為輔助模塊存在，在人工規(guī)則運(yùn)行一段時(shí)間后，接收管理系統(tǒng)內(nèi)產(chǎn)生的相關(guān)數(shù)據(jù)作為訓(xùn)練集，成熟運(yùn)行后可提升人工規(guī)則定義庫的精確度。數(shù)據(jù)標(biāo)簽識(shí)別功能可以根據(jù)設(shè)定好的字段規(guī)則識(shí)別傳入的字段名和字段內(nèi)容，映射各字段和字段項(xiàng)下應(yīng)掛鉤的標(biāo)簽。傳入的字段經(jīng)規(guī)則識(shí)別后會(huì)顯示與之掛鉤的標(biāo)簽，根據(jù)字段標(biāo)簽、具體的業(yè)務(wù)場(chǎng)景和數(shù)據(jù)活動(dòng)，系統(tǒng)會(huì)輸出相應(yīng)的安全策略或分類結(jié)果，最后一并交由人工復(fù)核。數(shù)據(jù)標(biāo)簽識(shí)別、數(shù)據(jù)活動(dòng)管理、業(yè)務(wù)場(chǎng)景管理和安全策略管理等功能，是實(shí)現(xiàn)對(duì)于數(shù)據(jù)字段的規(guī)則、標(biāo)簽、安全策略、使用的業(yè)務(wù)場(chǎng)景及數(shù)據(jù)活動(dòng)的增刪查改操作，安全管理系統(tǒng)相關(guān)用戶也可查看所有的策略輸出結(jié)果及需求審批結(jié)果。（1）業(yè)務(wù)邏輯對(duì)于需求申請(qǐng)者或用數(shù)場(chǎng)景發(fā)起者，只需上傳需要的數(shù)據(jù)字段，填寫需求內(nèi)容或用數(shù)場(chǎng)景內(nèi)容，包括但不限于場(chǎng)景概述、數(shù)據(jù)范圍等，隨后系統(tǒng)會(huì)根據(jù)設(shè)定好的規(guī)則標(biāo)簽分類打標(biāo)，結(jié)合填寫的業(yè)務(wù)場(chǎng)景，自動(dòng)給出相應(yīng)的安全策略，隨后審批者會(huì)對(duì)結(jié)果進(jìn)行人工復(fù)核，并將最終結(jié)果反饋給需求者。對(duì)于數(shù)據(jù)安全管理系統(tǒng)的用戶來說，其有權(quán)查看所有的用數(shù)場(chǎng)景結(jié)果及需求反饋結(jié)果，可以根據(jù)時(shí)間、發(fā)起人、標(biāo)題等進(jìn)行篩選并查看詳細(xì)內(nèi)容。除此之外，系統(tǒng)管理用戶還可進(jìn)行原子規(guī)則、標(biāo)簽識(shí)別規(guī)則、安全管理標(biāo)簽、數(shù)據(jù)活動(dòng)、業(yè)務(wù)場(chǎng)景及安全策略的管理，具體各功能如下：1）原子規(guī)則：指用于文本內(nèi)容識(shí)別的基礎(chǔ)邏輯，如文本長度、是否有浮點(diǎn)數(shù)等。管理系統(tǒng)用戶可以增加、刪除、查詢、修改原子規(guī)則。一個(gè)或多個(gè)原子規(guī)則組合起來即為二級(jí)規(guī)則，可用于識(shí)別字段，如總長11位、以1開頭、第二位是3-8的字段是手機(jī)號(hào)碼，管理系統(tǒng)用戶同樣可以對(duì)二級(jí)規(guī)則進(jìn)行增刪查改等操作。2）標(biāo)簽識(shí)別規(guī)則：指字段與各標(biāo)簽的關(guān)聯(lián)規(guī)則。管理系統(tǒng)用戶首先通過設(shè)置二級(jí)規(guī)則識(shí)別字段名，隨后可設(shè)定與字段掛鉤的標(biāo)簽，每個(gè)字段可以設(shè)定多個(gè)標(biāo)簽，部分標(biāo)簽間相互沖突，如同級(jí)子標(biāo)簽不可共存。3）安全管理標(biāo)簽：指描述字段性質(zhì)的標(biāo)簽，如分類等級(jí)、字段歸屬、是否公開等。安全管理標(biāo)簽包括信息主體標(biāo)識(shí)、公開性標(biāo)識(shí)、數(shù)據(jù)類型標(biāo)識(shí)等，各級(jí)標(biāo)簽下又有子標(biāo)簽。管理系統(tǒng)用戶可以增加或刪除標(biāo)簽，修改標(biāo)簽內(nèi)容或者查詢使用該標(biāo)簽4）數(shù)據(jù)活動(dòng)：指確定數(shù)據(jù)集為客體的具體行為活動(dòng)，本質(zhì)上是生命周期各環(huán)節(jié)的細(xì)化和拓展，包括出行、出境、查詢、下載、與第三方合作建模、自動(dòng)化決策等。系統(tǒng)管理用戶可以管理數(shù)據(jù)活動(dòng)項(xiàng)，如下載、出行等，每一數(shù)據(jù)活動(dòng)的定義及其數(shù)據(jù)生命周期環(huán)節(jié)的歸屬皆可由系統(tǒng)管理用戶設(shè)定。5）業(yè)務(wù)場(chǎng)景：指發(fā)生數(shù)據(jù)活動(dòng)的具體應(yīng)用場(chǎng)景，如監(jiān)管報(bào)送、公檢法調(diào)閱等。系統(tǒng)管理用戶可以配置業(yè)務(wù)場(chǎng)景基本定義、場(chǎng)景要素，關(guān)聯(lián)安全策略并添加額6）安全策略：指各類數(shù)據(jù)字段根據(jù)數(shù)據(jù)活動(dòng)的不同，需申請(qǐng)人員或部門落實(shí)的具體安全管理策略。系統(tǒng)管理用戶可根據(jù)數(shù)據(jù)字段標(biāo)簽及其數(shù)據(jù)活動(dòng)的不同，設(shè)定不同的安全策略，如個(gè)人敏感數(shù)據(jù)查詢需經(jīng)授權(quán)并嚴(yán)禁下載。（2）與其他各功能模塊聯(lián)動(dòng)1）與安全交換流程的聯(lián)動(dòng)在原有安全交換流程基礎(chǔ)上進(jìn)行安全管理提升和出口管控，識(shí)別交換數(shù)據(jù)的敏感程度以及在數(shù)據(jù)活動(dòng)、業(yè)務(wù)場(chǎng)景基礎(chǔ)上的管理要求。數(shù)據(jù)借用等用數(shù)場(chǎng)景發(fā)起者填寫用數(shù)場(chǎng)景申請(qǐng)書，在原有“借用場(chǎng)景、借用起止日期、借用方式”等輸入字段的基礎(chǔ)上，增加“數(shù)據(jù)活動(dòng)、業(yè)務(wù)場(chǎng)景和數(shù)據(jù)識(shí)別后的標(biāo)簽情況”，作為輸入?yún)?shù)通過核心引擎策略判斷，文件解析模塊解析數(shù)據(jù)字段，自動(dòng)分類打標(biāo)，結(jié)合填報(bào)的業(yè)務(wù)場(chǎng)景及數(shù)據(jù)活動(dòng)給出安全策略反饋，如圖8所示。安全管理系統(tǒng)用戶相關(guān)角色對(duì)結(jié)果進(jìn)行人工復(fù)核，確認(rèn)是否字段打標(biāo)錯(cuò)誤或者給出了錯(cuò)誤的安全策略，如無誤則將反饋結(jié)果附于用數(shù)場(chǎng)景后傳遞給取數(shù)部門；如果結(jié)果有誤，則以人工判定為準(zhǔn)，將人工審核結(jié)果和原有引擎判斷情況作為“正負(fù)樣本進(jìn)行留存”。同時(shí)管理系統(tǒng)用戶需要在相對(duì)應(yīng)的管理頁面修改或刪除錯(cuò)誤的配置，優(yōu)化和糾正識(shí)別來源：交通銀行圖8交通銀行數(shù)據(jù)安全管控系統(tǒng)核心策略引擎聯(lián)動(dòng)（一）2）與數(shù)據(jù)安全影響性評(píng)估的聯(lián)動(dòng)包括需求應(yīng)用目的、場(chǎng)景概述及相關(guān)評(píng)估場(chǎng)景的自評(píng)估情況，并上傳擬申請(qǐng)下發(fā)的數(shù)據(jù)字段。需求申請(qǐng)如有個(gè)人敏感信息的出行、下載等，需要先進(jìn)行數(shù)據(jù)安全影響性評(píng)估，在數(shù)管部審批節(jié)點(diǎn)交由系統(tǒng)核心引擎解析字段，分類打標(biāo)，根據(jù)場(chǎng)景及數(shù)據(jù)活動(dòng)那個(gè)的不同給出不同的安全策略，再進(jìn)行人工復(fù)核，人工復(fù)核無誤的才能交由業(yè)務(wù)部門會(huì)審，如圖9所示。來源：交通銀行圖9交通銀行數(shù)據(jù)安全管控系統(tǒng)核心策略引擎聯(lián)動(dòng)（二）3）與數(shù)據(jù)內(nèi)控監(jiān)督的聯(lián)動(dòng)從數(shù)據(jù)分析平臺(tái)直接傳入分析數(shù)據(jù)，由核心引擎判別字段，分類打標(biāo)，再根據(jù)標(biāo)簽結(jié)果判定字段敏感度，從而給出反饋說明是否需要脫敏，如圖10所示。來源：交通銀行圖10交通銀行數(shù)據(jù)安全管控系統(tǒng)核心策略引擎聯(lián)動(dòng)（三）4）統(tǒng)計(jì)查詢功能主要用于統(tǒng)計(jì)糾偏識(shí)別規(guī)則，如規(guī)則在哪個(gè)模塊內(nèi)命中了多少次、場(chǎng)景下命中了多少次等。此部分主要統(tǒng)計(jì)字段標(biāo)簽的命中情況，即在一定單位時(shí)間內(nèi)，不同業(yè)務(wù)場(chǎng)景下、不同的業(yè)務(wù)模塊內(nèi)系統(tǒng)自動(dòng)匹配到了該標(biāo)簽多少次，并能展示所有使用了此標(biāo)簽的字段所在的需求或者用數(shù)場(chǎng)景。若系統(tǒng)自動(dòng)打標(biāo)與人工審核時(shí)的打標(biāo)沖突，一般以人工打標(biāo)為準(zhǔn)，系統(tǒng)還能展示所有系統(tǒng)打標(biāo)與人工審核相悖的用數(shù)場(chǎng)景或者需求，并可設(shè)定閾值，在同一字段標(biāo)簽人工審核與系統(tǒng)設(shè)定沖突達(dá)到一定次數(shù)時(shí)，提示審批者在標(biāo)簽識(shí)別規(guī)則頁面刪除或修改錯(cuò)誤的標(biāo)簽識(shí)別規(guī)則，同時(shí)還可利用此模塊的統(tǒng)計(jì)查詢功能，定位受錯(cuò)誤標(biāo)簽影響的用數(shù)場(chǎng)景或申請(qǐng)。?1.郵儲(chǔ)銀行數(shù)據(jù)安全建設(shè)背景與思路（1）加快推動(dòng)數(shù)據(jù)安全體系建設(shè)，展現(xiàn)大行擔(dān)當(dāng)隨著《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《JR/T0197-2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》《JR/T0223-2021金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等一系列法律法規(guī)及監(jiān)管規(guī)范相繼施行，國家及監(jiān)管對(duì)數(shù)據(jù)安全管理提出了更明確、更具體的要求。郵儲(chǔ)銀行作為一家大型國有企業(yè)，積極響應(yīng)國家號(hào)召，落實(shí)國家大數(shù)據(jù)安全戰(zhàn)略，以數(shù)據(jù)為關(guān)鍵要素，合理分配數(shù)據(jù)保護(hù)資源，建立完善的數(shù)據(jù)安全生命周期防護(hù)機(jī)制，提升郵儲(chǔ)銀行數(shù)據(jù)安全管理水平。（2）全面構(gòu)建數(shù)據(jù)安全管理能力，實(shí)現(xiàn)高質(zhì)量發(fā)展構(gòu)建全面的數(shù)據(jù)安全管理能力，有效運(yùn)用先進(jìn)技術(shù)開展數(shù)據(jù)應(yīng)用，是發(fā)揮數(shù)據(jù)價(jià)值、提高經(jīng)營管理精細(xì)化水平的關(guān)鍵。郵儲(chǔ)銀行積極落實(shí)國家和監(jiān)管部門要求，將數(shù)據(jù)安全管理現(xiàn)狀進(jìn)行全面對(duì)標(biāo)，提出數(shù)據(jù)安全管理總體框架，從組織架構(gòu)、制度支撐、文化氛圍、基礎(chǔ)管理、全生命周期管理等方面發(fā)力，五位一體全力保障數(shù)據(jù)安全可用。?2.郵儲(chǔ)銀行數(shù)據(jù)安全建設(shè)實(shí)踐（1）建立數(shù)據(jù)安全管理組織架構(gòu)將數(shù)據(jù)安全納入總行黨委管理，在全行建立數(shù)據(jù)安全三道防線，明確相關(guān)部門具體職責(zé)，構(gòu)建嚴(yán)密的數(shù)據(jù)安全管理體系。在崗位設(shè)置方面，發(fā)布《數(shù)據(jù)安全管理團(tuán)隊(duì)建設(shè)方案》，確定數(shù)據(jù)安全專兼職崗位設(shè)置標(biāo)準(zhǔn)以及專業(yè)隊(duì)伍建設(shè)要求，明確數(shù)據(jù)安全專兼職人員職責(zé)，共同推進(jìn)全行數(shù)據(jù)安全各項(xiàng)工作扎實(shí)落地，為全行數(shù)據(jù)安全管理提供人才保障。（2）完善數(shù)據(jù)安全制度支撐為規(guī)范數(shù)據(jù)安全管理，全行修訂《中國郵政儲(chǔ)蓄銀行數(shù)據(jù)安全管理辦法》，進(jìn)一步明確全行數(shù)據(jù)安全職責(zé)分工、安全要求和工作流程等，為數(shù)據(jù)安全管理提供制度指導(dǎo)。同時(shí)，對(duì)標(biāo)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等國家法律法規(guī)，以及《征信業(yè)務(wù)管理辦法》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等行業(yè)政策及標(biāo)準(zhǔn)，結(jié)合全行數(shù)據(jù)安全制度建設(shè)需求，從數(shù)據(jù)安全戰(zhàn)略、生命周期管理、基礎(chǔ)安全管理三個(gè)方面初步建立了數(shù)據(jù)安全制度體系，對(duì)數(shù)據(jù)安全從宏觀指導(dǎo)到微觀規(guī)范，全面覆蓋、層層落實(shí)，為助推郵儲(chǔ)銀行一體化數(shù)據(jù)安全管理奠定（3）營造數(shù)據(jù)安全文化氛圍通過多層級(jí)多頻率開展數(shù)據(jù)安全培訓(xùn)，充分營造“數(shù)據(jù)安全人人有責(zé)”的文化氛圍。面向全行約14萬員工組織開展數(shù)據(jù)安全法規(guī)政策解讀培訓(xùn)，培訓(xùn)內(nèi)容包括國內(nèi)外數(shù)據(jù)安全法規(guī)標(biāo)準(zhǔn)解讀以及從業(yè)人員相關(guān)要求；面向總行及各分行科技部門、業(yè)務(wù)部門開展數(shù)據(jù)安全分類分級(jí)方法培訓(xùn)、數(shù)據(jù)安全技術(shù)培訓(xùn)等內(nèi)容，將數(shù)據(jù)安全意識(shí)內(nèi)化于心、外化于行。（4）夯實(shí)數(shù)據(jù)安全基礎(chǔ)管理數(shù)據(jù)安全分類分級(jí)是數(shù)據(jù)安全管理的基礎(chǔ)性、關(guān)鍵性工作。一是結(jié)合全行數(shù)據(jù)安全要求，統(tǒng)籌推進(jìn)全行數(shù)據(jù)安全分類分級(jí)工作。二是優(yōu)先在重要系統(tǒng)落地?cái)?shù)據(jù)安全分級(jí)管控措施，逐步提升全行數(shù)據(jù)安全精細(xì)化管理能力。加大新技術(shù)研究，增強(qiáng)數(shù)據(jù)安全技防能力。一是加強(qiáng)加密管理，針對(duì)不同安全級(jí)別的數(shù)據(jù)采取不同的加密策略。二是加強(qiáng)終端管控，降低數(shù)據(jù)使用環(huán)節(jié)數(shù)據(jù)泄露風(fēng)險(xiǎn)。三是完善個(gè)人信息保護(hù)應(yīng)急響應(yīng)機(jī)制，最大限度保障個(gè)人客戶信息安全。四是加強(qiáng)聯(lián)邦學(xué)習(xí)、隱私計(jì)算等新技術(shù)研究應(yīng)用，搭建儲(chǔ)蓄銀行多方安全計(jì)算平臺(tái)。（5）細(xì)化生命周期安全管理從事前防控、事中評(píng)估、事后監(jiān)督三方面提升數(shù)據(jù)安全管控能力，確保金融數(shù)據(jù)安全應(yīng)用。事前防控方面，一是將數(shù)據(jù)安全要求納入業(yè)務(wù)需求及技術(shù)方案，持續(xù)加強(qiáng)需求分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)開發(fā)、系統(tǒng)測(cè)試、投產(chǎn)上線等各階段的數(shù)據(jù)安全管控。二是明確數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、備份、災(zāi)備與銷毀等生命周期各環(huán)節(jié)要求并推動(dòng)落實(shí)。事中評(píng)估方面，構(gòu)建了全行數(shù)據(jù)安全評(píng)估框架，從全面評(píng)估、專項(xiàng)評(píng)估雙管齊下，逐步提升全行數(shù)據(jù)安全管理能力。事后監(jiān)督方面，面向總行及各一級(jí)分行開展數(shù)據(jù)安全檢查及審計(jì)，推動(dòng)問題整改，形成管理閉環(huán)。?3.郵儲(chǔ)銀行數(shù)據(jù)安全建設(shè)亮點(diǎn)（1）提高數(shù)據(jù)安全機(jī)制運(yùn)行效率不斷完善頂層設(shè)計(jì)，加強(qiáng)自上向下協(xié)調(diào)推進(jìn)力度，總行信息科技風(fēng)險(xiǎn)管理委員會(huì)審議數(shù)據(jù)安全管理相關(guān)事項(xiàng)，通過完善數(shù)據(jù)安全制度體系，數(shù)據(jù)安全管理各項(xiàng)工作實(shí)現(xiàn)了權(quán)責(zé)清晰、有法可依。（2）明確數(shù)據(jù)安全相關(guān)工作責(zé)任建立數(shù)據(jù)安全管理隊(duì)伍，明確數(shù)據(jù)安全專兼職崗位設(shè)置標(biāo)準(zhǔn)以及專業(yè)隊(duì)伍建設(shè)要求，設(shè)置數(shù)據(jù)安全管理崗和數(shù)據(jù)安全專員，共同推進(jìn)全行數(shù)據(jù)安全各項(xiàng)工作扎實(shí)落地。（3）加快數(shù)據(jù)分類分級(jí)落實(shí)進(jìn)度通過夯實(shí)數(shù)據(jù)安全基礎(chǔ)管理體系，制定《中國郵政儲(chǔ)蓄銀行數(shù)據(jù)安全分級(jí)規(guī)范》，明確分類分級(jí)的方法和要求，指導(dǎo)全行開展數(shù)據(jù)分類分級(jí)保護(hù)工作。會(huì)同各標(biāo)準(zhǔn)權(quán)威部門，編制并發(fā)布《中國郵政儲(chǔ)蓄銀行主數(shù)據(jù)標(biāo)準(zhǔn)數(shù)據(jù)安全分類分級(jí)清單》，為后續(xù)各相關(guān)單位在開展本領(lǐng)域、本條線數(shù)據(jù)安全分類分級(jí)工作提供有益參考。為加快推進(jìn)數(shù)據(jù)安全分類分級(jí)工作，成立數(shù)據(jù)安全分類分級(jí)聯(lián)合工作小組，成員包括數(shù)據(jù)安全管理部門、系統(tǒng)建設(shè)部門以及相關(guān)業(yè)務(wù)需求部門。推動(dòng)全行按照涉及核心類業(yè)務(wù)系統(tǒng)、重要數(shù)據(jù)應(yīng)用系統(tǒng)，以及客戶基本信息、客戶身份鑒別信息等安全級(jí)別較高的數(shù)據(jù)等原則，確定相關(guān)試點(diǎn)系統(tǒng)，共涉及約18萬字段，開展數(shù)據(jù)安全分類分級(jí)工作。2023年將根據(jù)試點(diǎn)經(jīng)驗(yàn)，由點(diǎn)到面向全行推廣，推進(jìn)全行重點(diǎn)系統(tǒng)安全分級(jí)及管控落地。（4）提高數(shù)據(jù)生命周期管理質(zhì)效目前已將數(shù)據(jù)安全要求納入業(yè)務(wù)需求模板，從源頭進(jìn)行安全管控。2022年對(duì)全行60項(xiàng)新增功能工程業(yè)務(wù)需求評(píng)審，為信息系統(tǒng)的數(shù)據(jù)安全站好第一班崗。按照全行信息化建設(shè)管理規(guī)定，將業(yè)務(wù)需求和系統(tǒng)實(shí)際數(shù)據(jù)安全管理要求深度融合，嚴(yán)格落實(shí)數(shù)據(jù)安全管理要求。?1.上海銀行數(shù)據(jù)安全工作背景和目標(biāo)自2019年以來，國家、行業(yè)監(jiān)管單位先后陸續(xù)出臺(tái)了包括《數(shù)據(jù)安全法》在內(nèi)多部重要數(shù)據(jù)安全法規(guī)和規(guī)范指引，數(shù)據(jù)安全和隱私保護(hù)的頂層監(jiān)管合規(guī)框架日趨完善。隨著銀行業(yè)務(wù)的多元化和服務(wù)的多樣化使得數(shù)據(jù)安全的應(yīng)用場(chǎng)景越來越復(fù)雜，尤其是對(duì)于金融數(shù)據(jù)的高價(jià)值性，易變現(xiàn)性等特性，數(shù)據(jù)安全問題尤為突出。在此背景下，為夯實(shí)銀行數(shù)字化轉(zhuǎn)型的安全底座，上海銀行提出了數(shù)據(jù)安全體系建設(shè)工作總體目標(biāo)：對(duì)外滿足監(jiān)管合規(guī)和相關(guān)法律要求，對(duì)內(nèi)滿足安全管理要求并兼顧業(yè)務(wù)使用需求，提升全行數(shù)據(jù)安全防護(hù)意識(shí)，完善上海銀行數(shù)據(jù)安全防護(hù)能力，防止信息泄露。建設(shè)工作具體從以下六個(gè)工作域開展，一是落實(shí)數(shù)據(jù)安全組織架構(gòu)；二是完善數(shù)據(jù)安全管理制度；三是開展數(shù)據(jù)安全分類分級(jí)，制定數(shù)據(jù)分級(jí)管控策略；四是提升數(shù)據(jù)生命周期技術(shù)防護(hù)能力；五是制定可量化的數(shù)據(jù)安全能力指標(biāo)；六是加強(qiáng)宣傳教育提升全員數(shù)據(jù)安全防護(hù)意識(shí)。整體管理框架如圖11所示。來源：上海銀行圖11上海銀行數(shù)據(jù)安全體系框架示意圖?2.上海銀行數(shù)據(jù)安全建設(shè)實(shí)踐（1）組織架構(gòu)分工明確，管理職責(zé)落實(shí)到各單位數(shù)據(jù)安全管理最大特點(diǎn)是安全和業(yè)務(wù)場(chǎng)景結(jié)合緊密。過往信息安全工作僅靠技術(shù)措施實(shí)施防護(hù)已無法達(dá)到數(shù)據(jù)安全保護(hù)要求，因此需要充分識(shí)別業(yè)務(wù)場(chǎng)景兼顧業(yè)務(wù)效率來制定對(duì)應(yīng)落地安全管控策略。為此依照“誰管理，誰負(fù)責(zé)”原則我行在各單位設(shè)立數(shù)據(jù)安全崗，充分發(fā)揮該崗位業(yè)務(wù)和安全結(jié)合的特點(diǎn)，有效識(shí)別業(yè)務(wù)過程中數(shù)據(jù)安全風(fēng)險(xiǎn)場(chǎng)景，做好內(nèi)部檢查和風(fēng)險(xiǎn)評(píng)估工作，保障本單位內(nèi)數(shù)據(jù)安全合規(guī)。從整體組織架構(gòu)來看，上海銀行數(shù)據(jù)安全管理已形成由信息安全領(lǐng)導(dǎo)小組統(tǒng)籌，總行數(shù)據(jù)管理與應(yīng)用部組織推進(jìn)，總行金融科技部提供技術(shù)支撐，總行人力資源部、法律合規(guī)部、審計(jì)部協(xié)同，各單位落實(shí)執(zhí)行的整體格局。具體如圖1來源：上海銀行圖12上海銀行數(shù)據(jù)安全組織架構(gòu)示意圖（2）構(gòu)建“1+5”數(shù)據(jù)安全制度體系規(guī)范管理，制度先行。上海銀行依照包括數(shù)據(jù)安全法、數(shù)據(jù)生命周期安全規(guī)范在內(nèi)的國家、監(jiān)管相關(guān)法規(guī)要求制定《上海銀行數(shù)據(jù)安全管理辦法》。辦法中明確了包括組織架構(gòu)管理、數(shù)據(jù)生命周期管理、數(shù)據(jù)分類分級(jí)、風(fēng)險(xiǎn)評(píng)估監(jiān)測(cè)、事件處置等在內(nèi)的總體要求，并又細(xì)化制定了具體對(duì)應(yīng)的操作規(guī)程，使后續(xù)全行開展數(shù)據(jù)安全管理工作有規(guī)可循。具體制度及邊界如圖13所示。來源：上海銀行圖13上海銀行數(shù)據(jù)安全制度體系（3）建立數(shù)據(jù)安全分類分級(jí)標(biāo)準(zhǔn)，逐步對(duì)業(yè)務(wù)系統(tǒng)實(shí)施落地管控開展數(shù)據(jù)分類分級(jí)是數(shù)據(jù)安全的核心基礎(chǔ)工作。上海銀行參照人行數(shù)據(jù)分類分級(jí)指引以重要數(shù)據(jù)、敏感數(shù)據(jù)、一般數(shù)據(jù)、公開數(shù)據(jù)為劃分原則在總行各業(yè)務(wù)條線內(nèi)進(jìn)行多輪梳理，確認(rèn)重要數(shù)據(jù)范圍，建立包含273個(gè)子類、4個(gè)安全分類分級(jí)目錄。通過對(duì)數(shù)據(jù)管理系統(tǒng)中業(yè)務(wù)元數(shù)據(jù)以AI技術(shù)+人工認(rèn)定方式逐字段級(jí)進(jìn)行分級(jí)認(rèn)定，形成數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)庫，為數(shù)據(jù)安全分級(jí)管控提供了基礎(chǔ)支撐?；诜诸惙旨?jí)標(biāo)準(zhǔn)的發(fā)布，行內(nèi)對(duì)應(yīng)用系統(tǒng)、終端APP內(nèi)個(gè)人信息使用過程制定了分級(jí)管控措施。個(gè)人敏感信息在頁面展現(xiàn)、導(dǎo)出等用數(shù)環(huán)節(jié)通過分級(jí)授權(quán)訪問、數(shù)據(jù)來源：上海銀行圖14數(shù)據(jù)安全管控融入到需求開發(fā)全生命周期脫敏、禁止復(fù)制打印、下載加密、終端水印、記錄操作訪問日志等措施進(jìn)行保護(hù)。遵循最小必要原則，對(duì)業(yè)務(wù)提數(shù)申請(qǐng)嚴(yán)格按照分類分級(jí)要求進(jìn)行審批，避免個(gè)人敏感信息過度使用。通過配置個(gè)人敏感信息分級(jí)識(shí)別規(guī)則對(duì)外發(fā)郵件的主題、正文和附件內(nèi)容進(jìn)行實(shí)時(shí)檢查，一旦攔截必須通過授權(quán)放行。此外在整個(gè)業(yè)務(wù)需求開發(fā)流程中各重要環(huán)節(jié)添加對(duì)數(shù)據(jù)安全管控要點(diǎn)并覆蓋所有需求進(jìn)行審核。整個(gè)安全管控流程如圖14所示。（4）引入安全技術(shù)工具保護(hù)數(shù)據(jù)生命周期各階段，持續(xù)開展監(jiān)測(cè)審計(jì)經(jīng)過整體規(guī)劃，上海銀行制訂了數(shù)據(jù)安全技術(shù)能力框架，明確了安全技術(shù)演進(jìn)路線：通過引入各類技術(shù)工具對(duì)數(shù)據(jù)生命周期各階段加強(qiáng)防護(hù)并持續(xù)開展監(jiān)測(cè)。具體包括數(shù)據(jù)采集階段的APP合規(guī)檢測(cè)、數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)、數(shù)字證書等；傳輸過程中的通道加密、協(xié)水印等工具；刪除銷毀階段包括低格式化工具、物理消磁技術(shù)等。整個(gè)安全技術(shù)框架如隨著各類數(shù)據(jù)安全技術(shù)引入完善，行內(nèi)將規(guī)劃建立全行級(jí)數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)，通過接入各類異構(gòu)安全系統(tǒng)日志信息以及各類監(jiān)測(cè)分析、操作審計(jì)數(shù)據(jù)，部署全局安全風(fēng)控規(guī)則進(jìn)行動(dòng)態(tài)分析，有效感知內(nèi)部數(shù)據(jù)安全風(fēng)險(xiǎn)并準(zhǔn)確定位響應(yīng)。來源：上海銀行圖15上海銀行數(shù)據(jù)安全技術(shù)能力框架（5）制定全面客觀的數(shù)據(jù)安全能力評(píng)估指標(biāo)制定數(shù)據(jù)安全能力評(píng)估指標(biāo)既符合上海銀行數(shù)字化轉(zhuǎn)型戰(zhàn)略要求，也符合《GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》中4級(jí)標(biāo)準(zhǔn)的要求。參照指引要求，當(dāng)前共制定發(fā)布了12項(xiàng)重點(diǎn)數(shù)據(jù)安全能力評(píng)估指標(biāo)，用于衡量和體現(xiàn)數(shù)據(jù)安全的管理過程和結(jié)果。具體包括：對(duì)各單位數(shù)據(jù)安全管理工作的執(zhí)行情況及其效果進(jìn)行客對(duì)各單位員工數(shù)據(jù)安全認(rèn)知水平建立衡量指標(biāo)。結(jié)合技術(shù)監(jiān)測(cè)工具，向各單位開展常規(guī)檢查和每年定期抽查，對(duì)檢查反饋材料按評(píng)估規(guī)則計(jì)算得出各項(xiàng)數(shù)據(jù)安全能力指標(biāo)。（6）加強(qiáng)宣傳教育，提升全員數(shù)據(jù)安全意識(shí)變員工日常用數(shù)習(xí)慣，才能有效提升全行數(shù)據(jù)安全保護(hù)等級(jí)。上海銀行每年通過行報(bào)、監(jiān)管要求、內(nèi)部制度、相關(guān)案件事件、工作要求等進(jìn)行全面科普和宣導(dǎo)。?1.中原銀行數(shù)據(jù)安全建設(shè)的背景與目標(biāo)數(shù)字化時(shí)代業(yè)務(wù)環(huán)境更加開放，業(yè)務(wù)生態(tài)更加復(fù)雜，參與數(shù)據(jù)處理的角色也更多元化，系統(tǒng)業(yè)務(wù)組織的邊界都進(jìn)一步模糊，使數(shù)據(jù)的產(chǎn)生、流動(dòng)、處理等過程比以往更加豐富和多樣。信息安全的保護(hù)目標(biāo)包括：非授權(quán)人員進(jìn)不來，進(jìn)來了拿不走，越權(quán)訪問看不懂，內(nèi)部信息無法篡改，做了壞事跑不掉，基本上可以歸納為防泄露、防攻擊和事后可追溯等幾個(gè)方面。數(shù)據(jù)安全的目標(biāo)主要包括：既要防止外部攻擊竊取數(shù)據(jù)，又要防止內(nèi)部誤操作泄露數(shù)據(jù)，并且在觸發(fā)數(shù)據(jù)安全風(fēng)險(xiǎn)事件的時(shí)候，可以有效追溯到事件的關(guān)聯(lián)方，可以還原事件的行為鏈路。?2.中原銀行數(shù)據(jù)安全管理體系為落實(shí)并完善數(shù)據(jù)安全管理組織的職責(zé)分工，中原銀行基于業(yè)內(nèi)安全管理組織及數(shù)據(jù)安全組織搭建的通用實(shí)踐，并且遵循行內(nèi)現(xiàn)有數(shù)據(jù)治理相關(guān)組織架構(gòu)框架的相關(guān)要求，沿襲數(shù)據(jù)治理組織架構(gòu)的一些建設(shè)框架，設(shè)計(jì)并制訂了數(shù)據(jù)安全管理的組織架構(gòu)，如圖16所示。來源：中原銀行圖16中原銀行數(shù)據(jù)安全組織架構(gòu)組織架構(gòu)在建設(shè)時(shí)遵循三個(gè)原則：第一，符合國家和監(jiān)管的政策法規(guī)；第二，總體要求相對(duì)集中、分級(jí)管理、專業(yè)分工、職責(zé)明晰；第三，風(fēng)險(xiǎn)審計(jì)和安全管理相互分離、相互制約。數(shù)據(jù)安全管理的組織架構(gòu)，按照戰(zhàn)略層、決策層、管理層、執(zhí)行層和監(jiān)督層的設(shè)計(jì)原則，明確各相關(guān)方在數(shù)據(jù)安全治理活動(dòng)中的職責(zé)。其中管理層主要是指數(shù)據(jù)管理委員會(huì)，包括科技和業(yè)務(wù)的一些主要部門作為委員會(huì)的常規(guī)成員。執(zhí)行層主要落腳于金融科技條線的相關(guān)部門，包括金融科技部、數(shù)據(jù)信息部、科技風(fēng)險(xiǎn)三道條線。除此之外，行內(nèi)各部門配備數(shù)據(jù)管家，負(fù)責(zé)在日常數(shù)據(jù)安全管理的過程中提供管理或技術(shù)上的支持，保證數(shù)據(jù)安全的各類要求可以快速上傳下達(dá)。數(shù)據(jù)采集包括從個(gè)人信息主體處和從外部機(jī)構(gòu)采集兩個(gè)部分，總體遵循知情同意原則。在從個(gè)人信息主體采集的時(shí)候，通過隱私政策獲取客戶的明示同意。相機(jī)、位置等手機(jī)權(quán)限獲取時(shí)，會(huì)單獨(dú)征得客戶同意，信息采集按照最小必要原則開展。在從外部機(jī)構(gòu)采集的時(shí)候，首先需要完成第三方機(jī)構(gòu)的資質(zhì)評(píng)估，確保數(shù)據(jù)來源的合法正當(dāng)，確保數(shù)據(jù)采集的范圍符合金融類業(yè)務(wù)經(jīng)營分析反欺詐分析等所必須。數(shù)據(jù)使用方面，行內(nèi)的生產(chǎn)數(shù)據(jù)脫離生產(chǎn)環(huán)境，原則上必須經(jīng)過數(shù)據(jù)提取流程審批后才能進(jìn)行。數(shù)據(jù)提取需要經(jīng)過數(shù)據(jù)申請(qǐng)方、數(shù)據(jù)所有者、提出腳本編寫方、生產(chǎn)變更終端管理責(zé)任方和安全的團(tuán)隊(duì)綜合審批。數(shù)據(jù)傳輸過程中，需要對(duì)數(shù)據(jù)內(nèi)容、數(shù)據(jù)量、數(shù)據(jù)加密算法等方面進(jìn)行評(píng)估，檢查是否符合安全要求。?3.中原銀行數(shù)據(jù)安全技術(shù)體系中原銀行已初步形成數(shù)據(jù)安全技術(shù)框架，如圖17所示。其中包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)刪除與銷毀等全生命周期的數(shù)據(jù)安全管控體系?！駭?shù)據(jù)采集方面，我行建立了數(shù)據(jù)資產(chǎn)管理平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)安全分析結(jié)果的線上化，并開發(fā)推廣密碼加密的安全組件，實(shí)現(xiàn)用戶輸入的及時(shí)加密，保證端到端的數(shù)據(jù)安全傳輸?！駭?shù)據(jù)傳輸方面，數(shù)據(jù)在通過不可信或較低安全性網(wǎng)絡(luò)進(jìn)行傳輸?shù)臅r(shí)候，容易發(fā)生數(shù)據(jù)被竊取、篡改、偽造等安全風(fēng)險(xiǎn)，因此需要建立相應(yīng)的安全防護(hù)措施，保證數(shù)據(jù)在傳輸過程的安全性。加密是保證數(shù)據(jù)傳輸安全性的一個(gè)常用手段，但不同的加密手段會(huì)導(dǎo)致對(duì)資源的消耗，對(duì)數(shù)據(jù)接口吞吐量以及響應(yīng)速度等方面造成一些影響。在實(shí)際的執(zhí)行過程中，我行結(jié)合數(shù)據(jù)的敏感級(jí)別以及業(yè)務(wù)場(chǎng)景來明確定義加密傳輸?shù)姆绞胶退惴ā４送?，針?duì)移動(dòng)介質(zhì)、智能設(shè)備等接入終端，也需要經(jīng)過準(zhǔn)入進(jìn)行控制，保證傳輸媒介也是安全的?！駭?shù)據(jù)銷毀階段方面，當(dāng)數(shù)據(jù)的使用生命周期已經(jīng)結(jié)束，我行配備消磁儀、配置數(shù)據(jù)清理流程實(shí)現(xiàn)已經(jīng)結(jié)束生命周期的數(shù)據(jù)銷毀?！窕跀?shù)據(jù)安全體系框架，中原銀行已經(jīng)初步形成了數(shù)據(jù)安全運(yùn)營的機(jī)制，包括風(fēng)險(xiǎn)識(shí)別、數(shù)據(jù)保護(hù)、風(fēng)險(xiǎn)監(jiān)測(cè)、協(xié)同響應(yīng)四個(gè)標(biāo)準(zhǔn)的安全運(yùn)營階段?！耧L(fēng)險(xiǎn)識(shí)別階段，主要通過數(shù)據(jù)分級(jí)分類、數(shù)據(jù)傳輸通道梳理等手段，以及相關(guān)的一些技術(shù)管理手段，實(shí)現(xiàn)數(shù)據(jù)采集及傳輸階段的數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別?！駭?shù)據(jù)保護(hù)，主要通過加密存儲(chǔ)、訪問權(quán)限控制、透明平臺(tái)、數(shù)字水印等手段，提升數(shù)據(jù)存儲(chǔ)及使用階段的數(shù)據(jù)保護(hù)能力?！耧L(fēng)險(xiǎn)監(jiān)測(cè)階段，主要通過建設(shè)SOC平臺(tái)、應(yīng)用流量分析平臺(tái)、數(shù)據(jù)安全智能感知平臺(tái)、終端用戶行為分析平臺(tái)等系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)非法使用的風(fēng)險(xiǎn)分析及監(jiān)控?！駞f(xié)同響應(yīng)階段，主要通過預(yù)警通告、調(diào)查取證以及數(shù)據(jù)安全管理體系里數(shù)據(jù)安全干系人（例如數(shù)據(jù)管家、合規(guī)專員）流程的協(xié)同，實(shí)現(xiàn)數(shù)據(jù)安全協(xié)同的運(yùn)營及事件閉環(huán)處置。來源：中原銀行圖17中原銀行數(shù)據(jù)安全技術(shù)體系?4.中原銀行數(shù)據(jù)安全技術(shù)規(guī)劃中原銀行在進(jìn)行數(shù)據(jù)安全體系建設(shè)規(guī)劃的時(shí)候，主要踐行以安全合規(guī)為紅線，充分借鑒現(xiàn)有的數(shù)據(jù)安全標(biāo)準(zhǔn)，結(jié)合行內(nèi)的實(shí)際業(yè)務(wù)場(chǎng)景，依托數(shù)據(jù)治理的項(xiàng)目成果，全面開展數(shù)據(jù)全生命周期的建設(shè)。建設(shè)體系里以治理方針作為前提指導(dǎo)，建設(shè)過程中以業(yè)務(wù)目標(biāo)為導(dǎo)向，針對(duì)合規(guī)高風(fēng)險(xiǎn)領(lǐng)域和業(yè)務(wù)需求緊迫度比較高的領(lǐng)域，優(yōu)先開展數(shù)據(jù)安全的治理。中原銀行堅(jiān)持組織建設(shè)先行，職責(zé)明確為工作開展的基礎(chǔ)，人員能力提升為工作落實(shí)進(jìn)行保障；堅(jiān)持制度先行，進(jìn)一步明確各類的流程操作指引；堅(jiān)持技術(shù)能力和管理機(jī)制同步建設(shè)，為管理效率提升提供保障；堅(jiān)持通過風(fēng)險(xiǎn)評(píng)估、成熟度持續(xù)評(píng)估等手段去優(yōu)化體系。數(shù)據(jù)安全治理的核心是保障數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、交換、銷毀等全數(shù)據(jù)安全生命周期流程的安全可控。在數(shù)據(jù)安全管理及技術(shù)體系中介紹的組織保障、人員能力提升、制度體系建設(shè)規(guī)劃的評(píng)價(jià)和改進(jìn)、數(shù)據(jù)識(shí)別保護(hù)監(jiān)測(cè)響應(yīng)平臺(tái)等，都是為了保障全流程的安全提供支撐。團(tuán)隊(duì)培養(yǎng)、業(yè)務(wù)數(shù)據(jù)安全、數(shù)據(jù)合法合規(guī)是數(shù)據(jù)安全體系規(guī)劃的指導(dǎo)方針；數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)服務(wù)能力、數(shù)據(jù)安全感知、數(shù)據(jù)安全運(yùn)營是數(shù)據(jù)安全體系規(guī)劃的基礎(chǔ)保障；數(shù)據(jù)全流程各個(gè)場(chǎng)景下的保護(hù)是數(shù)據(jù)安全體系建設(shè)的核心。數(shù)據(jù)安全相對(duì)獨(dú)立，但是又與安全體系中其他層級(jí)，例如應(yīng)用安全，網(wǎng)絡(luò)安全等息息相關(guān)，數(shù)據(jù)安全向其他各安全域輸出相關(guān)的安全要求。同時(shí)，各應(yīng)用系統(tǒng)、網(wǎng)絡(luò)邊界、安全組件建設(shè)過程中，也為數(shù)據(jù)安全落地提供了強(qiáng)有力的支撐。安全建設(shè)遵循木桶原理，需要各個(gè)層面統(tǒng)籌規(guī)劃，保證同步規(guī)劃、同步建設(shè)、同步使用。中原銀行在已結(jié)束生命周期的數(shù)據(jù)銷毀、數(shù)據(jù)全生命周期畫像、數(shù)據(jù)使用鏈路精細(xì)化分析等方面介入還不夠深入，有待未來更進(jìn)一步的研究。數(shù)據(jù)安全管控工作需要持續(xù)提升安全防護(hù)能力，為我行的數(shù)字化轉(zhuǎn)型提供保駕護(hù)航。隨著數(shù)字化轉(zhuǎn)型不斷深化，數(shù)據(jù)作為核心要素充分釋放價(jià)值，不斷促進(jìn)業(yè)務(wù)與技術(shù)深度融合，在推動(dòng)業(yè)務(wù)創(chuàng)新、提升客戶體驗(yàn)、降低運(yùn)營成本、增強(qiáng)協(xié)同合作等方面發(fā)揮著積極作用。與此同時(shí)，新技術(shù)快速迭代、海量數(shù)據(jù)匯聚融合、數(shù)據(jù)應(yīng)用場(chǎng)景日益豐富，也給企業(yè)數(shù)據(jù)安全帶來了新的挑戰(zhàn)。為保障數(shù)字經(jīng)濟(jì)的健康有序發(fā)展，提高數(shù)據(jù)安全風(fēng)險(xiǎn)防控能力，以《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》為代表的一系列法律法規(guī)相繼落地實(shí)施，標(biāo)志著國內(nèi)數(shù)據(jù)安全領(lǐng)域已進(jìn)入強(qiáng)監(jiān)管新階段。面對(duì)日趨嚴(yán)峻的合規(guī)要求及數(shù)字化場(chǎng)景下的新型安全挑戰(zhàn)，華泰證券開展了新一輪的數(shù)據(jù)安全治理工作，讓數(shù)據(jù)能夠安全高效有序流通，充分發(fā)揮數(shù)據(jù)價(jià)值。?1.華泰證券數(shù)據(jù)安全治理體系建設(shè)思路（1）厘清數(shù)據(jù)安全風(fēng)險(xiǎn)，明確安全治理方向證券行業(yè)是產(chǎn)生和積累數(shù)據(jù)量最大、數(shù)據(jù)類型最豐富的領(lǐng)域之一，隨著證券行業(yè)數(shù)字化轉(zhuǎn)型、深化，證券業(yè)數(shù)據(jù)有著更加廣泛的應(yīng)用場(chǎng)景、應(yīng)用范圍，有著更高的應(yīng)用價(jià)值。隨著證券業(yè)數(shù)據(jù)的價(jià)值日益凸顯，數(shù)據(jù)非法采集、數(shù)據(jù)販賣、數(shù)據(jù)篡改、數(shù)據(jù)攻擊、數(shù)據(jù)權(quán)限濫用等安全問題也層出不窮。如何更加安全地保障企業(yè)的數(shù)字化轉(zhuǎn)型，降低數(shù)據(jù)安全風(fēng)險(xiǎn)，釋放數(shù)據(jù)價(jià)值，成為了諸多轉(zhuǎn)型企業(yè)中的重點(diǎn)工作。面對(duì)新形勢(shì)帶來的安全挑戰(zhàn)，華泰證券積極應(yīng)對(duì)，從外部攻擊風(fēng)險(xiǎn)、內(nèi)部數(shù)據(jù)濫用風(fēng)險(xiǎn)、外部渠道數(shù)據(jù)泄露風(fēng)險(xiǎn)三個(gè)方面，厘清當(dāng)前面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)，梳理的風(fēng)險(xiǎn)點(diǎn)覆蓋管理體系、制度流程、技術(shù)手段、運(yùn)營機(jī)制四個(gè)層面。面對(duì)上述的數(shù)據(jù)安全風(fēng)險(xiǎn)，華泰證券開展了新一輪的數(shù)據(jù)安全治理工作。從完善數(shù)據(jù)安全制度管理體系、建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制、建設(shè)分層分級(jí)的數(shù)據(jù)權(quán)限管控體系、提升數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)和響應(yīng)能力、強(qiáng)化外部渠道數(shù)據(jù)泄露跟蹤調(diào)查能力五個(gè)方面著手，全方位保護(hù)公司重要數(shù)據(jù)資產(chǎn)以及客戶信息，為公司數(shù)字化轉(zhuǎn)型保駕護(hù)航。（2）構(gòu)建數(shù)據(jù)安全治理體系，夯實(shí)數(shù)字化轉(zhuǎn)型基礎(chǔ)華泰證券從頂層明確公司數(shù)據(jù)安全管理戰(zhàn)略，強(qiáng)化公司數(shù)據(jù)安全管理體系，以貫徹國家網(wǎng)絡(luò)空間安全戰(zhàn)略、滿足政策合規(guī)要求、統(tǒng)籌全體系數(shù)據(jù)安全為目標(biāo)，推進(jìn)公司整體安全管控水平不斷提升，為業(yè)務(wù)發(fā)展保駕護(hù)航。華泰證券以數(shù)字化轉(zhuǎn)型戰(zhàn)略為指引，以數(shù)據(jù)安全管理為保障，以技術(shù)體系為支撐，建立了覆蓋數(shù)據(jù)全生命周期的企業(yè)級(jí)數(shù)據(jù)安全治理體系，如圖18所示。華泰證券對(duì)標(biāo)國家行業(yè)標(biāo)準(zhǔn)，并結(jié)合自身數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)安全管理體系，建立了基于數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理三層框架體系，從管控層、技術(shù)支撐層、運(yùn)營層三個(gè)維度開展數(shù)據(jù)全生命周期安全管理工作。來源：華泰證券圖18華泰證券數(shù)據(jù)安全治理體系（3）共享行業(yè)經(jīng)驗(yàn)，共建數(shù)據(jù)安全生態(tài)華泰證券作為中國信通院數(shù)據(jù)安全推進(jìn)計(jì)劃成員單位，積極參與行業(yè)數(shù)據(jù)安全交流，分享數(shù)據(jù)安全治理經(jīng)驗(yàn)，參加業(yè)界數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)建設(shè)工作，如參與編寫《證券期貨業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)防控?cái)?shù)據(jù)分類分級(jí)指引》，共同推進(jìn)行業(yè)數(shù)據(jù)安全生態(tài)建設(shè)。?2.華泰證券數(shù)據(jù)安全治理體系建設(shè)實(shí)踐華泰證券嚴(yán)格按照國家《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)、行業(yè)規(guī)范和監(jiān)管規(guī)定落實(shí)數(shù)據(jù)安全相關(guān)工作，通過建立健全數(shù)據(jù)安全管理機(jī)制，基于“制度、組織、人員、技術(shù)”為核心的管理框架，規(guī)范數(shù)據(jù)處理活動(dòng)，強(qiáng)化公司經(jīng)營活動(dòng)中相關(guān)數(shù)據(jù)處理的合法合規(guī)性，從數(shù)據(jù)安全管理體系、數(shù)據(jù)安全技術(shù)體系、數(shù)據(jù)安全運(yùn)營體系等方面推進(jìn)數(shù)據(jù)安全治理實(shí)踐，打造證券行業(yè)數(shù)據(jù)安全治理標(biāo)桿。（1）建立規(guī)范化的數(shù)據(jù)安全管理體系華泰證券從數(shù)據(jù)安全組織架構(gòu)、數(shù)據(jù)安全制度體系兩個(gè)方面開展數(shù)據(jù)安全治理工作以滿足監(jiān)管要求以及風(fēng)險(xiǎn)管理需要。組織架構(gòu)方面，華泰證券建立了完備的數(shù)據(jù)安全組織架構(gòu)體系，設(shè)立公司數(shù)據(jù)治理委員會(huì)，在經(jīng)營管理層的領(lǐng)導(dǎo)下，負(fù)責(zé)統(tǒng)籌和領(lǐng)導(dǎo)數(shù)據(jù)安全工作；數(shù)據(jù)治理委員會(huì)下轄數(shù)據(jù)安全與個(gè)人信息保護(hù)工作小組，由信息技術(shù)部門、業(yè)務(wù)部門、合規(guī)風(fēng)控部門派員參與，多部門協(xié)同推進(jìn)數(shù)據(jù)安全工作，將數(shù)據(jù)安全責(zé)任落實(shí)到每個(gè)部門、每個(gè)業(yè)務(wù)、每個(gè)系統(tǒng)和每個(gè)員工。加強(qiáng)數(shù)據(jù)安全人才培養(yǎng)，建立起一支具備數(shù)據(jù)安全管理、數(shù)據(jù)安全建設(shè)、數(shù)據(jù)安全運(yùn)營等專業(yè)安全能力的自有人才隊(duì)伍。制度體系方面，華泰證券深入研究國家關(guān)于數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)，結(jié)合公司實(shí)際情況，建立了公司的數(shù)據(jù)安全三層制度體系，包括：頂層的公司級(jí)數(shù)據(jù)安全管理辦法、圍繞數(shù)據(jù)全生命周期的安全管理規(guī)范、以及細(xì)化的各類數(shù)據(jù)安全細(xì)則，對(duì)數(shù)據(jù)安全管理職責(zé)分工、數(shù)據(jù)全生命周期安全保護(hù)要求、個(gè)人信息保護(hù)要求、數(shù)據(jù)安全實(shí)施細(xì)則等進(jìn)行了明確，實(shí)現(xiàn)對(duì)數(shù)據(jù)全生命周期安全防護(hù)保障以及對(duì)數(shù)據(jù)安全管理和運(yùn)營的支撐。（2）建設(shè)覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全技術(shù)體系華泰證券以防范外部數(shù)據(jù)竊取、防范內(nèi)部數(shù)據(jù)濫用和防范外部渠道泄露為抓手，依托數(shù)據(jù)安全可視化能力、數(shù)據(jù)安全運(yùn)營能力、數(shù)據(jù)安全平臺(tái)能力，構(gòu)建公司數(shù)據(jù)安全三層技術(shù)體系，如圖19所示，進(jìn)一步加強(qiáng)數(shù)據(jù)安全保護(hù)能力，防范信息泄露。來源：華泰證券圖19華泰證券數(shù)據(jù)安全技術(shù)體系數(shù)據(jù)安全平臺(tái)能力，基于IPDR框架，部署各類數(shù)據(jù)安全技術(shù)手段，覆蓋網(wǎng)絡(luò)、平臺(tái)、應(yīng)用、終端，形成事前、事中、事后的數(shù)據(jù)安全技術(shù)能力，并通過各技術(shù)能力組合形成風(fēng)險(xiǎn)識(shí)別、安全評(píng)估、安全防御、安全監(jiān)測(cè)、安全響應(yīng)五大服務(wù)能力。數(shù)據(jù)安全運(yùn)營能力，包括數(shù)據(jù)安全管理、能力運(yùn)營、策略管理、安全事件分析四個(gè)方面。數(shù)據(jù)安全管理方面，通過深度分析各類法律法規(guī)和標(biāo)準(zhǔn)，形成數(shù)據(jù)安全基線和風(fēng)險(xiǎn)矩陣，為能力運(yùn)營、策略管理和安全事件分析提供指引。能力運(yùn)營方面，基于數(shù)據(jù)安全平臺(tái)能力，開展安全評(píng)估、安全監(jiān)測(cè)、安全檢測(cè)和應(yīng)急處置。策略管理方面，根據(jù)公司數(shù)據(jù)安全態(tài)勢(shì)，動(dòng)態(tài)調(diào)整數(shù)據(jù)安全管控策略，保障數(shù)據(jù)安全高效流轉(zhuǎn)。安全事件分析方面，對(duì)數(shù)據(jù)安全告警、數(shù)據(jù)流轉(zhuǎn)記錄、用戶行為日志等進(jìn)行分析溯源，發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)安全可視化能力，基于數(shù)據(jù)安全平臺(tái)能力和運(yùn)營能力，繪制展示公司數(shù)據(jù)地圖、數(shù)據(jù)流向圖，依托態(tài)勢(shì)感知能力展現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)、用戶行為畫像。來源：華泰證券圖20華泰證券數(shù)據(jù)安全評(píng)估基線化方案（3）實(shí)施精細(xì)化的數(shù)據(jù)安全運(yùn)營體系抵御攻擊”的數(shù)據(jù)安全運(yùn)營體系，為公司數(shù)字化轉(zhuǎn)型保駕護(hù)航。實(shí)踐指南為切入點(diǎn)，將數(shù)據(jù)安全評(píng)估過程嵌入業(yè)務(wù)原有生產(chǎn)流程并在早期介入風(fēng)險(xiǎn)管理，降低業(yè)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)，如圖20所示。監(jiān)控預(yù)警，依托數(shù)據(jù)安全技術(shù)體系，動(dòng)態(tài)監(jiān)控公司內(nèi)部數(shù)據(jù)跨網(wǎng)、跨域、跨實(shí)體流轉(zhuǎn)的數(shù)據(jù)，實(shí)時(shí)發(fā)現(xiàn)數(shù)據(jù)安全威脅并預(yù)警，快速溯源處置安全事件。應(yīng)急處置，建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制，編制應(yīng)急預(yù)案，開展應(yīng)急演練，確保事件發(fā)生后可以快速響應(yīng)，及時(shí)恢復(fù)，最大程度上減少損失，并降低事件造成的消極影響。(二)國信證券?1.國信證券數(shù)據(jù)安全治理體系建設(shè)背景（1）數(shù)據(jù)資產(chǎn)價(jià)值凸顯，數(shù)據(jù)安全風(fēng)險(xiǎn)日益嚴(yán)峻隨著數(shù)據(jù)成為數(shù)字經(jīng)濟(jì)發(fā)展的核心生產(chǎn)要素，各種新興技術(shù)如云計(jì)算、人工智能、區(qū)塊鏈、聯(lián)邦學(xué)習(xí)快速發(fā)展，對(duì)數(shù)據(jù)價(jià)值的挖掘成為雙刃劍，個(gè)人客戶信息等重要數(shù)據(jù)信息化后，既可以得到快速、便捷、有效的利用，也面臨著被非法收集、竊取、泄露、篡改、破壞等風(fēng)險(xiǎn)。證券行業(yè)作為典型的數(shù)據(jù)規(guī)模巨大、數(shù)據(jù)價(jià)值高、數(shù)據(jù)應(yīng)用場(chǎng)景復(fù)雜的行業(yè)，面向個(gè)人投資者提供著眾多金融產(chǎn)品和服務(wù)，對(duì)數(shù)據(jù)安全治理有著天然的訴求。然而，在開展數(shù)據(jù)安全和個(gè)人信息保護(hù)政策的落地時(shí)，往往面臨著一系列問題和挑戰(zhàn)，例如多法并軌下數(shù)據(jù)安全實(shí)施細(xì)則尚不完善、越來越多的個(gè)人客戶信息泄露來源于內(nèi)部人員、海量數(shù)據(jù)導(dǎo)致資產(chǎn)梳理和分類分級(jí)難度大、數(shù)據(jù)的職責(zé)權(quán)屬尚不明確、缺乏長期有效的運(yùn)營機(jī)制來持續(xù)保障等。（2）數(shù)據(jù)安全相關(guān)法律法規(guī)相繼發(fā)布實(shí)施，監(jiān)管要求日益嚴(yán)格我國于2021年先后發(fā)布了《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》，從國家層面確立了數(shù)據(jù)安全和個(gè)人信息保護(hù)的原則、責(zé)任和義務(wù)。為了數(shù)據(jù)安全法、個(gè)人信息保護(hù)法的配套落地，一些上級(jí)機(jī)關(guān)和地方政府單位，也先后發(fā)布了相關(guān)制度，例如中央網(wǎng)信辦也起草或者發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》、《數(shù)據(jù)出境安全評(píng)估辦法》，深圳市政府發(fā)布了《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》，中國證券監(jiān)督管理委員會(huì)也于2022年11月發(fā)布了《證券期貨業(yè)數(shù)據(jù)安全管理與保護(hù)指引》?？梢灶A(yù)見，在短期的未來，各級(jí)單位和各行各業(yè)也將不斷地完善各級(jí)法律法規(guī)和政策制度，推動(dòng)統(tǒng)一公平、競(jìng)爭(zhēng)有序、成熟完備的數(shù)據(jù)經(jīng)濟(jì)市場(chǎng)發(fā)展。證券行業(yè)屬于強(qiáng)監(jiān)管行業(yè)，數(shù)據(jù)安全與合規(guī)是業(yè)務(wù)經(jīng)營、內(nèi)控管理的底線。為落實(shí)數(shù)據(jù)安全保護(hù)和個(gè)人信息保護(hù)義務(wù)，保證數(shù)據(jù)在業(yè)務(wù)中的合規(guī)性使用及流轉(zhuǎn)，提升數(shù)據(jù)價(jià)值以及滿足監(jiān)管要求，國信證券開展了數(shù)據(jù)安全治理項(xiàng)目，以個(gè)人客戶數(shù)據(jù)為切入點(diǎn)，建設(shè)數(shù)據(jù)安全治理體系，對(duì)數(shù)據(jù)資產(chǎn)開展分類分級(jí)管理、風(fēng)險(xiǎn)評(píng)估以及落地整改。?2.國信證券數(shù)據(jù)安全治理體系建設(shè)思路（1）以個(gè)人客戶數(shù)據(jù)為抓手開展數(shù)據(jù)安全治理工作數(shù)據(jù)安全治理是一個(gè)持續(xù)性的工作，需要分階段從管理、技術(shù)和運(yùn)營三個(gè)方面，建立有效的數(shù)據(jù)安全治理體系，推動(dòng)企業(yè)內(nèi)外部數(shù)據(jù)的合規(guī)使用、有序開放和共享，國信證券本期項(xiàng)目以交易類重要系統(tǒng)的個(gè)人客戶數(shù)據(jù)為中心，開展數(shù)據(jù)資產(chǎn)盤點(diǎn)、數(shù)據(jù)確權(quán)、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全培訓(xùn)宣貫等工作，制定數(shù)據(jù)全生命周期安全管控制度和流程，并建設(shè)數(shù)據(jù)安全運(yùn)營平臺(tái)實(shí)現(xiàn)數(shù)據(jù)安全管理工作的常態(tài)化運(yùn)行，構(gòu)建公司數(shù)據(jù)安全管理體系。待平臺(tái)逐步推廣后，可基于分類分級(jí)結(jié)果實(shí)施數(shù)據(jù)全生命周期安全防護(hù)，完善數(shù)據(jù)安全技術(shù)體系和運(yùn)營體系。來源：國信證券圖21國信證券數(shù)據(jù)安全治理框架（2）結(jié)合國家、行業(yè)監(jiān)管要求構(gòu)建數(shù)據(jù)安全管理體系在數(shù)據(jù)安全治理的管理層面，國信證券深入結(jié)合國家、行業(yè)監(jiān)管和企業(yè)自身發(fā)展的訴求，制定公司數(shù)據(jù)安全戰(zhàn)略、成立數(shù)據(jù)安全組織、發(fā)布數(shù)據(jù)安全管理制度。數(shù)據(jù)安全戰(zhàn)略指明了企業(yè)數(shù)據(jù)安全工作的愿景、目標(biāo)、規(guī)劃、和工作框架，是開展數(shù)據(jù)安全工作的綱領(lǐng)。數(shù)據(jù)安全戰(zhàn)略要求保障公司內(nèi)各類數(shù)據(jù)資產(chǎn)全生命周期的安全，避免遭到泄露或者非法篡改破壞，保障數(shù)據(jù)的機(jī)密性、完整性和可用性，踐行企業(yè)社會(huì)責(zé)任，保障客戶、企業(yè)和員工的利益?；谧陨隙?、統(tǒng)籌管控的治理思路，國信證券在前期數(shù)據(jù)治理工作中已經(jīng)成立了決策層—管理層—執(zhí)行層三層數(shù)據(jù)治理組織架構(gòu)，本次通過完善數(shù)據(jù)治理組織職責(zé)來明確數(shù)據(jù)安全治理組織。決策層由公司數(shù)據(jù)安全最高負(fù)責(zé)人、各業(yè)務(wù)、職能部門和信息化分管領(lǐng)導(dǎo)擔(dān)任，負(fù)責(zé)對(duì)公司數(shù)據(jù)安全數(shù)據(jù)安全戰(zhàn)略、范圍、重大事項(xiàng)進(jìn)行決策。管理層由數(shù)據(jù)安全管理團(tuán)隊(duì)組成，負(fù)責(zé)數(shù)據(jù)安全治理體系的規(guī)劃、建設(shè)、持續(xù)運(yùn)營、推廣和培訓(xùn)。執(zhí)行層由各個(gè)業(yè)務(wù)、職能和IT部門的成員組成，執(zhí)行層是數(shù)據(jù)安全各項(xiàng)制度、策略和流程規(guī)范的主要執(zhí)行者，也多是數(shù)據(jù)的提供方和消費(fèi)方。他們最能發(fā)現(xiàn)數(shù)據(jù)安全管理的漏洞和潛在風(fēng)險(xiǎn)，也直接關(guān)系著數(shù)據(jù)安全治理體系是否能有效落地和持續(xù)保障?；跀?shù)據(jù)安全戰(zhàn)略和組織架構(gòu)，數(shù)據(jù)安全管理制度也分為三級(jí)，分別是數(shù)據(jù)安全總則、管理辦法和各項(xiàng)細(xì)則，如圖22所示。數(shù)據(jù)安全管理總則與數(shù)據(jù)安全戰(zhàn)略相契合，是通過決策層審定的數(shù)據(jù)安全工作的指導(dǎo)文件。數(shù)據(jù)安全管理辦法明確了數(shù)據(jù)安全的組織與人員、數(shù)據(jù)確權(quán)、各生命周期的保護(hù)策略、應(yīng)急響應(yīng)、監(jiān)控預(yù)警、審計(jì)評(píng)估、培訓(xùn)宣導(dǎo)等制度。數(shù)據(jù)安全各項(xiàng)細(xì)則屬于流程規(guī)范性文件，偏向流程落地和操作指引，包括數(shù)據(jù)分類分級(jí)模板、敏感數(shù)據(jù)申請(qǐng)流程、數(shù)據(jù)安全事件響應(yīng)工單等流程模板和表來源：國信證券圖22國信證券數(shù)據(jù)安全制度框架（3）建設(shè)數(shù)據(jù)安全運(yùn)營平臺(tái)支撐數(shù)據(jù)安全管控流程落地如圖23所示，國信證券建設(shè)了數(shù)據(jù)安全運(yùn)營平臺(tái)，通過平臺(tái)的自動(dòng)發(fā)現(xiàn)、數(shù)據(jù)錄入等方式對(duì)公司內(nèi)數(shù)據(jù)庫資產(chǎn)進(jìn)行管理，構(gòu)建起個(gè)人客戶數(shù)據(jù)資產(chǎn)梳理、自動(dòng)分類分級(jí)、安全策略管理、數(shù)據(jù)確權(quán)、持續(xù)風(fēng)險(xiǎn)分析到響應(yīng)處置的動(dòng)態(tài)、閉環(huán)管控體系。來源：國信證券圖23國信證券數(shù)據(jù)安全運(yùn)營平臺(tái)平臺(tái)主要提供數(shù)據(jù)資產(chǎn)采集、數(shù)據(jù)分類分級(jí)以及后續(xù)運(yùn)營管理功能支撐。同時(shí)也能提供安全可視化界面，如數(shù)據(jù)資產(chǎn)視圖、敏感數(shù)據(jù)地圖、分類分級(jí)報(bào)告和安全評(píng)估報(bào)告。并且在公司內(nèi)部與IDM/SSO/數(shù)據(jù)管控平臺(tái)對(duì)接，共同構(gòu)建數(shù)據(jù)安全治理生態(tài)。在數(shù)據(jù)安全治理運(yùn)營層面，主要基于數(shù)據(jù)安全管理框架和各種技術(shù)平臺(tái)落實(shí)數(shù)據(jù)安全各項(xiàng)管控措施，持續(xù)開展數(shù)據(jù)資產(chǎn)梳理、安全風(fēng)險(xiǎn)監(jiān)測(cè)、應(yīng)急事件響應(yīng)、培訓(xùn)宣貫四方面的工作。首先，在數(shù)據(jù)資產(chǎn)梳理方面，主要是借助數(shù)據(jù)安全運(yùn)營平臺(tái)的數(shù)據(jù)分類分級(jí)、敏感數(shù)據(jù)識(shí)別功能，基于前期調(diào)研梳理制定的數(shù)據(jù)分類分級(jí)策略，對(duì)數(shù)據(jù)庫表、字段、數(shù)據(jù)文件進(jìn)行自動(dòng)掃描，記錄和統(tǒng)計(jì)敏感數(shù)據(jù)、重要數(shù)據(jù)的分布、流向，打上分類分級(jí)標(biāo)簽，并對(duì)數(shù)據(jù)項(xiàng)的歸屬部門、責(zé)任人等信息進(jìn)行權(quán)責(zé)歸屬登記。在安全風(fēng)險(xiǎn)監(jiān)測(cè)方面，通過數(shù)據(jù)流量監(jiān)測(cè)、數(shù)據(jù)庫賬號(hào)監(jiān)測(cè)等手段，持續(xù)監(jiān)測(cè)數(shù)