王冉 - 中小银行数据安全治理体系建设实践

01背景与目标

• 数据安全形势：国家持续优化数据安全政策环境，颁布《国家安全法》《网络安全法》《数据安全法》《民法典》《个人信息保护法》等法律，行业协会完善相关法规和政策。
• 数据安全保护对象：从数据到信息的逐步提炼过程，包括数据采集、挖掘、决策等环节。
• 数据安全目标：实现防攻击、防泄漏、可追溯。

02数据安全管理体系

• 组织架构：建立战略层、决策层、管理层、执行层和监督层的组织架构，明确各部门职责，如数据管理委员会、数据信息部、金融科技部等。
• 管理机制及流程：包括安全意识教育、安全责任宣贯、安全流程优化（如邮件DLP、安全U盘、虚拟桌面等）、安全监督检查等。
• 数据采集：从外部机构和个人主体采集数据，需进行资质评估、风险评估，确保“知情+同意”。
• 数据使用：通过CC区域隔挡、生产终端管控、数据脱敏等措施保障数据安全；规范化提数流程，关联数据归属部门。
• 数据传输：严格管控外部数据采购，优化涉密数据外发流程，制卡数据加密传输，落实主体责任。

03数据安全技术体系

• 数据安全技术框架：涵盖数据采集、传输、存储、使用、删除等全生命周期，通过数据分级分类、加密存储、访问权限控制、脱敏平台等技术手段提升数据保护能力；建设数据安全智能分析平台实现风险监控，通过协同响应机制实现事件闭环处置。
• 数据分级线上化：发布74类319类数据安全分级标准，通过自动化分级和人工审核提升准确性。
• 网络访问管控：原则上禁用内网访问互联网，为专用终端提供互联网办公解决方案（如虚拟桌面）。
• 办公安全支撑：打造云栈平台实现文件安全交换，建立“VPN+虚桌”模式支持远程办公。
• 数据安全智能分析监测：基于UEBA技术，覆盖数据全流程，通过多维度分析识别异常行为（如多地登录、数据提取异常等）。

04数据安全体系规划

• 规划方向：推进数据资产盘点、优化关键流程、标准化安全控制策略、细化数据访问授权、完善数据安全运营机制；探索数据安全架构、业务数据安全、数据风险指标、场景告警溯源等，提升数据安全治理能力。