银行数据治理推进的思考

  • 安策数据加密保护-三个维度推进银行数据安全治理

    一:国家战略层面

    数据作为市场要素,成为国家战略

    202216日,中共中央、国务院发布了《要素市场化配置综合改革试点总体规划》,第六章明确提出加快数据要素市场培育的意见。

    19)完善公共数据开放共享机制。建立健全高效的公共数据共享协调机制,探索完善公共数据共享.开放.运营服务.安全管理体系。

    20)建立健全数据流通交易规则。在保护个人隐私和数据安全的前提下,对数据进行分类.部分领域数据流通应用逐步有序推进。

    21)扩展标准化的数据开发和利用场景。支持建立统一的技术标准和开放的创新生态,促进商业数据流通.跨区域数据互联.政企数据融合应用。

    22)加强数据安全保护。加强网络安全等级保护要求,完善数据分类安全保护体系,运用技术手段构建数据安全风险防治体系。

    我国数据安全相关法律法规和监管机构日益完善,安全红线逐步确立;基于《网络安全法》、《个人信息保护法》、《数据安全法》是数据开发和数据保护的基本框架,确保以数据为核心要素的市场健康发展。

    .行业发展层面

    1.银行业的发展历程-OpenBanking模式到来

    银行和金融机构面临的挑战:利润损失.业务增长缓慢.不能为客户提供现代服务。

    开放银行模式应运而生,开放银行模式应运而生。API实现银行与第三方机构之间的数据共享等技术.即插即用银行服务和产品,提高数据使用效率.更准确地关注满足客户体验的概念。

    2.业务开放必须以安全可靠为基础

    收入:加快数字化转型,快速为新客户创造现代应用,促进新收入渠道,提供个性化差异化服务,加快业务增长。

    风险:数据类型多.数据量激增,数据开始跨域使用,数据价值增加,数据使用场景更加复杂,数据交换场景增加。

    3.金融科技发展规划

    《规划》提出了金融数字化转型的重点任务,共涉及八项任务,其中金融科技治理排名第一。《规划》提出完善法律法规体系,制定金融领域网络安全法、数据安全法、个人信息保护法的配套规章制度,研究出台适应金融数字化发展的政策规则;数据要素升级为金融业生产要素是金融科技数据安全管理的核心。

    发展规划提出了整个银行业的发展重点,强调了数据要素和数据安全的重要性。

    .标准规范层面

    1.中国人民银行出台相应标准,配合金融科技发展规划

    在充分吸收社会各界合理意见和建议的基础上,中国人民银行牵头先后发布《JR/T0171》《JR/T0185》《JR/T0197》《JR/T指导银行业金融机构加强数据安全管理,加强数据安全建设,充分发挥数据价值,提高管理水平。

    JR/T0171,在个人保法之前出台,解决个人信息安全问题。

    JR/T0185,解决开放银行信息框架问题。

    JR/T0197》明确了数据安全分级防护的执行过程和执行规范。

    JR/T0223,解决金融数据安全管理问题。

    国家战略.法律法规.市场和银行业务发展.标准规范,共同推进金融数据安全管理。在外部推广和内部业务发展的推动下,银行业高度重视基于分类分类的数据安全管理体系建设。

    .银行分类分级实践案例

    1.建设情况

    某银行为试点开展数据分类分级建设,主要基于《JR/T0171》和《JR/T0197两套标准进行数据分类,结合业务现状,提出切实可行的分类分类方案,利用系统平台完成分类记录和敏感数据发现.分类分级打标工作,人工研究方法完成表格.字段和其他信息的收集。分类分完成后,建立敏感数据监控系统,完成不同级别数据的安全风险监控。

    2.项目实施方法

    前期研究表发送反馈

    人工现场访谈

    提供数据分类分级方法

    数据分类

    制定数据安全管理规范

    3.项目交付物

    《数据资产清单》

    《数据分类分类清单》

    《数据分类分级操作手册》

    《数据分类分级防护策略》

    《数据安全基线检查表》

    《数据安全事件应急预案》

    4.实践效果

    完成数据资源调查;完成7个核心业务系统的数据分类,形成分类分类清单(40多万字段分类结果),输出数据安全管理规则,为不同层次的数据提供安全管理策略和保护措施。以数据安全生命周期规范为核心,划分不同层次的数据安全监控要求,确保其他分支的管理和检查能力。

    5.数据安全治理建设思路

    1.简化复杂的问题,分阶段进行复杂的过程。

    2.从资产梳理入手.每步见效.快速见效。

    基于现有人员少、投资规模有限的客观情况,以核心数据资产为起点,在不影响业务使用的前提下,快速完成数据分类,建立风险持续监控能力,快速反映数据安全建设效果,初步建立数据安全闭环系统,证明路线选择正确,应对可能的检查或评估。并不断扩大内部建设范围,迭代构建复杂的数据安全管理系统。

    银行数据安全管理流程:系统建设.组织确立.职责划分.技术应用.标准制定。

    3.以结果为导向,推进数据安全管理体系建设:

    (1)逐步优化原则。

    (2)数据安全体系建设:管理体系:.技术体系.操作系统,见效快.每步见效.不断迭代.形成体系。

    (3)综合纳管的应用:一般系统.办公系统.核心系统.主要系统。重点先上.急用先上.随用随上.逐步纳管.全面纳管。

    版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档,如有版权意见,请及时告知安策公司,我们将及时查证纠正错误,谢谢支持。有问题请及时电邮 market@ SafePloy.com

    来源:安策信息、SafePloy安策数据治理 | 关键词:数据安全  数据安全治理  数据安全合规   | 受欢迎指数(

与我们一起实践安全的客户代表