存儲域
數(shù)據(jù)庫加密 諾亞防勒索訪問域
數(shù)據(jù)庫防水壩 數(shù)據(jù)庫防火墻 數(shù)據(jù)庫安全審計 動態(tài)脫敏流動域
靜態(tài)脫敏 數(shù)據(jù)水印 API審計 API防控 醫(yī)療防統(tǒng)方運維服務(wù)
數(shù)據(jù)庫運維服務(wù) 中間件運維服務(wù) 國產(chǎn)信創(chuàng)改造服務(wù) 駐場運維服務(wù) 供數(shù)服務(wù)安全咨詢服務(wù)
數(shù)據(jù)出境安全治理服務(wù) 數(shù)據(jù)安全能力評估認證服務(wù) 數(shù)據(jù)安全風(fēng)險評估服務(wù) 數(shù)據(jù)安全治理咨詢服務(wù) 數(shù)據(jù)分類分級咨詢服務(wù) 個人信息風(fēng)險評估服務(wù) 數(shù)據(jù)安全檢查服務(wù)美創(chuàng)產(chǎn)品全面入圍中直機關(guān)2025年網(wǎng)絡(luò)設(shè)備框架協(xié)議采購項目
2026-02-04
連續(xù)5年!美創(chuàng)再獲中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟“先進會員單位”表彰
2026-01-21
每周安全速遞3?1 | 勒索軟件攻擊導(dǎo)致心理健康機構(gòu)超11萬人數(shù)據(jù)泄露
2026-01-06
四年同行,韌性共鑄:西南某商行攜手美創(chuàng)科技再度通過年度容災(zāi)大考
2025-12-26
以“AI+數(shù)據(jù)安全”領(lǐng)雁!祝賀美創(chuàng)牽頭項目入選浙江省科技廳“尖兵領(lǐng)雁”計劃 !
2025-12-22
美創(chuàng)產(chǎn)品全面入圍中直機關(guān)2025年網(wǎng)絡(luò)設(shè)備框架協(xié)議采購項目
2026-02-04
美創(chuàng)以數(shù)據(jù)安全能力助推可信數(shù)據(jù)空間安全建設(shè)!
2026-02-02
某大型財務(wù)公司災(zāi)備演練紀實|DRCC一鍵切換護航金融業(yè)務(wù)運行安全
2026-01-27
美創(chuàng)科技獲“2025中國大數(shù)據(jù)產(chǎn)業(yè)年度「創(chuàng)新技術(shù)」獎”
2026-01-27
臘八節(jié)|AI+數(shù)據(jù)安全 守護更「粥」全
2026-01-26
夯實銀行數(shù)據(jù)安全,需“規(guī)劃先行、謀定后動”,首要工作是確立管理工作的行動綱要,并據(jù)此建立制度保障體系以貫徹綱要,而后才是具體的行動措施和日常檢查、監(jiān)測。從銀行數(shù)據(jù)安全建設(shè)實踐路徑來說,我認為可以用“盤現(xiàn)狀、訂總綱、建細則、貫行動”這十二個字來概括。
——東臺農(nóng)商銀行信息科技部總經(jīng)理 王勁松
在數(shù)據(jù)安全日益升級趨勢下,一場加強數(shù)據(jù)安全保障能力的行動在銀行全面鋪開。
江蘇東臺農(nóng)商銀行與美創(chuàng)科技攜手,在數(shù)據(jù)安全治理方向先行先試充分探索,統(tǒng)籌建立面向所有業(yè)務(wù)崗的數(shù)據(jù)安全管理體系和流程規(guī)范要求,充分發(fā)揮行內(nèi)監(jiān)督管理作用,取得保障業(yè)務(wù)開展與數(shù)據(jù)安全之間的平衡狀態(tài),該項目曾獲得“2022金融業(yè)信息安全建設(shè)突出貢獻獎”。
近日,數(shù)世咨詢與東臺農(nóng)商銀行信息科技部總經(jīng)理王勁松,開啟了一場關(guān)于“數(shù)據(jù)安全”的對話。
以下為對話實錄:
Q1:我國強化數(shù)據(jù)合規(guī)監(jiān)管已是勢在必行,尤其在金融業(yè),銀保監(jiān)會連續(xù)兩年將數(shù)據(jù)安全管理問題列為“1號罰單”的主要處罰依據(jù)。對此,您怎么看待數(shù)據(jù)安全?東臺農(nóng)商行的應(yīng)對思路是什么?
王勁松:夯實信息安全管理工作,我行的一貫思路是“規(guī)劃先行、謀定后動”,首要工作是確立管理工作的行動綱要,并據(jù)此建立制度保障體系以貫徹綱要,而后才是具體的行動措施和日常檢查、監(jiān)測。對于我行的數(shù)據(jù)安全管理建設(shè)來說亦是如此,落實數(shù)據(jù)安全,其首要在于如何能夠確保數(shù)據(jù)資產(chǎn)清晰化、風(fēng)險監(jiān)測常態(tài)化、安全工作流程化等。
其次,按照銀行業(yè)“三道防線”的思想,我們也對兩法進行了深度的解讀,從數(shù)據(jù)安全保護義務(wù)來看,既有一道防線的自我約束性訴求,更多有二道防線履行數(shù)據(jù)安全組織及人員的保障、風(fēng)險評估及風(fēng)險監(jiān)測、安全防護以及檢查監(jiān)督等盡責(zé)性控制的要求。而且總體來看二道防線在數(shù)據(jù)安全和個人信息保護中更顯主要地位。因此要求我們科技部主動建立數(shù)據(jù)安全管理及教育機制,主動尋求數(shù)據(jù)安全管理和技術(shù)技能的提升,同時還要履行好全行數(shù)據(jù)安全意識和流程規(guī)范等宣貫教育的職責(zé)。
信息安全工作是一項“三分技術(shù)、七分管理”的工程。為符合數(shù)據(jù)合規(guī)監(jiān)管要求以及滿足金融數(shù)據(jù)安全風(fēng)險管控的訴求,東臺農(nóng)商行的數(shù)據(jù)安全和個人信息保護工作離不開來自一線業(yè)務(wù)的深度參與,為此建立一套為東臺農(nóng)商行量身打造、使用業(yè)務(wù)實際的數(shù)據(jù)安全管理工作機制尤為重要。
正是在這樣的背景下,我行多番交流比選后決定攜手美創(chuàng)科技,于2022年正式啟動以健全數(shù)據(jù)安全管理制度保障體系為核心的數(shù)據(jù)安全一期建設(shè)項目,在通過針對全行詳盡的數(shù)據(jù)安全與制度管理流程的現(xiàn)狀評估、排查,調(diào)研,風(fēng)險定性分析等基礎(chǔ)上,實現(xiàn)全行的數(shù)據(jù)安全管理體系制度框架的出臺與落地。
Q2:那么,東臺農(nóng)商行如何進行建設(shè)規(guī)劃的? 王勁松:從建設(shè)規(guī)劃路徑來說,我認為可以用“盤現(xiàn)狀、訂總綱、建細則、貫行動”這十二個字來概括,其中: 盤現(xiàn)狀:關(guān)于這點,我們沒有直接開始內(nèi)部盤點,而是先是對社會上和行業(yè)內(nèi)的數(shù)據(jù)安全建設(shè)普遍情況做了了解,期望能夠厘清主要矛盾以便更有針對性地指導(dǎo)工作開展,因此也發(fā)現(xiàn)了這樣一個普遍規(guī)律: 缺乏體系的數(shù)據(jù)安全管理保障機制,數(shù)據(jù)合規(guī)管理存在較大“盲區(qū)”; 缺乏有效的數(shù)據(jù)安全建設(shè)保障機制,多為點對點式的安全建設(shè)之路,常疲于應(yīng)付; 缺乏明晰的數(shù)據(jù)安全組織保障機制,數(shù)據(jù)安全建設(shè)工作難以有效開展和快速推進; 缺乏數(shù)據(jù)安全監(jiān)督管理機制,數(shù)據(jù)安全的建設(shè)工作難以考核、成果無法衡量; 缺乏持續(xù)、動態(tài)的數(shù)據(jù)安全風(fēng)險評估機制,數(shù)據(jù)安全是否存在風(fēng)險、是否滿足外部合規(guī)要求,難以判定。 用這五項作為盤點框架,通過對我行的數(shù)據(jù)安全工作開展全面的管理現(xiàn)狀調(diào)研和分析工作、并對既有成效和問題進行深度審視,發(fā)現(xiàn)我行在數(shù)據(jù)安全上亦概莫能外。 訂總綱:鑒于上述情況,因此從社會和行業(yè)上來看,首要就是確定數(shù)據(jù)安全和個人信息保護工作的總路線和行動綱要。為此我行以三法的合規(guī)要求為紅線,以網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護相關(guān)要求為基線,以金融行業(yè)相關(guān)規(guī)范要求和數(shù)據(jù)安全相關(guān)國家標準為范本,以江蘇省內(nèi)地方數(shù)據(jù)安全相關(guān)條例和管理辦法為指引,制訂了符合東臺農(nóng)商行業(yè)務(wù)管理目標的數(shù)據(jù)安全和個人信息保護總綱。 建細則:以數(shù)據(jù)安全和個人信息保護總綱為基準,同步參考DSG、DSMM模型以及CARTA、IPDRR、PDCA實踐方法論,我行從組織建設(shè)、風(fēng)險評估、技術(shù)保障、教育培訓(xùn)、應(yīng)急響應(yīng)等各方面建立健全安全細則規(guī)范。其次,鑒于業(yè)務(wù)應(yīng)用場景具備多樣性,數(shù)據(jù)安全流程規(guī)范也下沉到真實的應(yīng)用場景,因此我們同時建立了場景化的安全規(guī)范,如個人信息處理、數(shù)據(jù)跨境傳輸?shù)取?/span> 貫行動:良好的制度也是需要貫徹到位才能體現(xiàn)其價值,因此當(dāng)包括總綱和細則在內(nèi)的東臺農(nóng)商行數(shù)據(jù)安全管理制度保障體系建成后,我們所做的第一步就是宣貫教育,從人員的安全意識和制度所要求的安全技能抓起,讓本行所有的員工意識到數(shù)據(jù)安全和個人信息保護與每個人的日常工作息息相關(guān)、是每個人履行法律義務(wù),同時也建立了相應(yīng)覆蓋技術(shù)防護、應(yīng)急處置、考核評估及教育培訓(xùn)等全面評價考核清單,落實責(zé)任到人,以此提升貫徹落實數(shù)據(jù)安全管理制度的主動性和行動力。 當(dāng)然,還有非常重要、也是可能影響制度貫徹效果的技術(shù)保障體系的建設(shè)與優(yōu)化工作,我們也是同步啟動。首先是梳理了現(xiàn)有的安全技術(shù)和產(chǎn)品工具,與制度要求相匹配,當(dāng)然本著可持續(xù)發(fā)展的理念,依照“充分利舊”的經(jīng)濟性原則,優(yōu)先通過加固的方式優(yōu)化現(xiàn)有技術(shù)措施,其次才是通過建設(shè)新增的方式來彌補技術(shù)措施上的空缺。 以上就是我行在數(shù)據(jù)安全和個人信息保護工作上的實踐路徑規(guī)劃,也是我們科技部的一致行動路線。經(jīng)過一期的建設(shè),我們目前也處在了“貫行動”的階段。 Q3:貴行所建立的數(shù)據(jù)安全管理制度規(guī)范能否在這里簡要敘述下,讓大家能夠有更直觀的感受? 王勁松:我行的數(shù)據(jù)安全管理制度并不是完全重新開始,也是在現(xiàn)有的信息安全管理制度體系上進行衍生,故也是遵照ISO/IEC 27001信息安全管理體系框架國際標準進行數(shù)據(jù)安全管理制度文件結(jié)構(gòu)設(shè)計,每類管理文件都將涵蓋四個層級,以方針、戰(zhàn)略為一級,以制度、辦法為二級,以規(guī)范、細則為三級,以表單、模板等文件為四級。因此共建立51個制度文件,包括1個一級文件、3個二級文件、11個三級文件、36個四級文件。所有制度均已面向全行發(fā)布,目前正在持續(xù)的培訓(xùn)宣貫中。 Q4:您認為銀行科技部在數(shù)據(jù)安全管理建設(shè)上會面臨哪些難點,是否可以為大家提供一些解決這些問題的寶貴經(jīng)驗? 王勁松:數(shù)據(jù)安全管理制度也好、技術(shù)保障措施也罷,因為其所保護對象——即數(shù)據(jù)的特性,與業(yè)務(wù)高度耦合,因此與全行所有的部門和人員都息息相關(guān)。在制訂過程中,業(yè)務(wù)部門的配合支持至關(guān)重要。這就需要我們科技部門與業(yè)務(wù)部門通力合作,盡可能獲得他們的支持。對于數(shù)據(jù)安全和個人信息保護工作,可根據(jù)法律要求,通過建議高層和各部門領(lǐng)導(dǎo)成立數(shù)據(jù)安全委員會之類的虛擬管理和責(zé)任組織的形式將數(shù)據(jù)安全管理責(zé)任上升和泛化。 其次,雖然我們能夠通過解讀法律法規(guī)及政策要求和評估梳理業(yè)務(wù)的邏輯等一系列措施來滿足制度的當(dāng)下適用性,但任何一個管理制度并不是一成不變的,會隨著外部環(huán)境和要求的變化、業(yè)務(wù)邏輯的調(diào)整以及制度本身的自我演進而動態(tài)變化,也就說我們無法在一開始就完全確定制度內(nèi)容。因此一級和二級管理文件應(yīng)盡量抽象,以減少因業(yè)務(wù)等調(diào)整而造成的制度修訂頻率,具象化的流程規(guī)范等應(yīng)在三級細則以及四級配套表單文件中去落實,如此才可保障制度的當(dāng)下適用性。
官方訂閱號
官方服務(wù)號
第59號
浙公網(wǎng)安備 33010502006954號 
