商业银行数据安全保护体系的建设思路
商业银行信息系统安全困境及应对方案
商业银行信息系统安全困境及应对方案商业银行的信息系统安全困境主要包括以下几个方面:技术问题、人员问题和管理问题。
针对这些困境,商业银行可以采取如下应对方案。
一、技术问题1.建立完善的信息系统安全体系商业银行需要建立一套完善的信息系统安全体系,包括网络安全、数据安全、用户身份认证等各个方面的安全措施。
可以引入先进的安全技术和设备,对系统进行加密、防火墙、入侵检测等操作,确保数据和系统的安全性。
2.加强网络安全管理商业银行需要加强对网络的监控,及时发现并处理潜在的安全威胁。
可以进行网络入侵检测、安全审计等操作,对异常行为进行监控和分析,并及时采取相应的对策,避免因网络攻击导致的数据泄露或服务中断。
3.完善数据备份和恢复机制商业银行需要建立完善的数据备份和恢复机制,定期对重要数据进行备份,并将备份数据存储在安全的位置。
一旦数据出现损坏或丢失,可以通过备份数据快速恢复,避免对业务和客户造成较大影响。
二、人员问题1.加强员工安全教育和培训商业银行需要对员工进行信息安全教育和培训,增强员工的安全意识和技能。
包括了解信息安全的重要性、掌握常见的安全漏洞和攻击手段、学习如何正确使用和保护系统以及如何应对安全事件等。
2.规范员工权限管理商业银行需要对员工的权限进行规范和管理,根据不同的岗位和职责划分权限,最小化员工的权限,并严格限制敏感数据的访问和操作权限。
定期审查和更新员工的权限,确保权限控制的有效性。
3.建立安全工作专业团队商业银行可以建立专门的安全工作团队,负责信息安全的规划、管理和应对。
团队成员需要具有丰富的安全经验和技术能力,能够及时发现和处理安全事件,保障系统的安全运行。
三、管理问题1.建立安全能力评估制度商业银行需要定期进行安全能力评估,了解现有安全措施的有效性和薄弱环节,并根据评估结果进行相应调整和改进,提升信息系统的安全性。
商业银行需要加强对第三方合作伙伴的安全管理,包括对其安全措施的审查和监督。
商业银行数据安全管理规范
商业银行数据安全管理规范一、引言数据安全是商业银行信息技术系统运行的基石,也是保障客户资金和个人隐私安全的重要保障措施。
为了规范商业银行数据安全管理工作,保护客户数据安全,提高数据管理水平,制定本《商业银行数据安全管理规范》。
二、数据安全管理的目标1.确保商业银行数据的完整性,防止数据被篡改、丢失或损坏。
2.保护商业银行客户的个人隐私信息,防止信息泄露。
3.提高商业银行数据管理的效率和可靠性,确保数据的及时性和准确性。
4.建立健全的数据安全管理体系,提高商业银行的整体安全水平。
三、数据安全管理的基本原则1.法律合规原则:遵守国家相关法律法规,包括但不限于《网络安全法》、《个人信息保护法》等,保护客户的合法权益。
2.风险管理原则:建立完善的风险管理体系,对数据安全风险进行评估和控制,及时发现和应对潜在威胁。
3.权限控制原则:根据职责和需要,对不同岗位的员工进行权限分级管理,确保数据的访问和使用符合权限要求。
4.技术保障原则:采用先进的信息技术手段,包括加密、防火墙、入侵检测等,保障数据的安全性和可靠性。
5.持续改进原则:不断优化数据安全管理制度和工作流程,提高管理水平和技术能力,适应信息安全形势的变化。
四、数据安全管理的具体措施1.数据分类管理商业银行应根据数据的重要性和敏感性,对数据进行分类管理,划分为不同级别,采取不同的安全措施。
例如,将客户个人身份信息、资金交易信息等敏感数据划分为高级别,采取加密、访问控制等严格的安全措施。
2.权限管理商业银行应建立完善的权限管理制度,对不同岗位的员工进行权限分级控制。
只有经过授权的员工才能访问和使用相应的数据,且权限应根据工作需要进行合理的划分和调整。
3.网络安全商业银行应建立健全的网络安全防护体系,包括防火墙、入侵检测系统、反病毒系统等。
同时,定期进行网络安全漏洞扫描和安全评估,及时修复和更新系统,防止黑客攻击和数据泄露。
4.加密技术商业银行应采用加密技术对重要数据进行保护,包括数据传输加密、数据存储加密等。
如何保护银行工作中的敏感数据和个人信息
如何保护银行工作中的敏感数据和个人信息在银行工作中,敏感数据和个人信息的保护至关重要。
这些数据包括客户的账户信息、身份证号码以及其他敏感信息。
如果这些数据被黑客攻击或泄露,将会给客户和银行带来巨大的损失和法律风险。
因此,银行工作人员必须采取一系列措施来保护敏感数据和个人信息的安全。
一、建立信息安全管理体系银行应建立完善的信息安全管理体系,确保保护敏感数据和个人信息的措施得到有效实施。
这个体系应包括以下要素:1. 制定安全政策和规程:银行应制定详细的安全政策和规程,明确员工在处理敏感数据和个人信息时应遵守的行为准则和操作规范。
2. 分配权限和限制访问:银行需要根据员工的职责和需求,分配不同的权限,实施访问控制,确保只有授权的人员能够访问敏感数据和个人信息。
3. 加密存储和传输:银行应采用加密技术,对敏感数据和个人信息进行加密存储和传输,以防止数据在传输和存储过程中的泄露和篡改。
4. 定期备份和恢复:银行需要定期备份敏感数据和个人信息,并建立完善的恢复机制,以防止数据丢失或损坏,并能够在出现问题时及时恢复。
二、加强员工安全意识培训银行工作中的每个员工都应该接受信息安全意识培训,提高他们对于保护敏感数据和个人信息的重要性的认识,以及掌握正确的操作方法。
具体来说,培训内容应包括以下方面:1. 控制访问权限:员工需了解不同权限级别的含义以及自己所责任领域的权限设置,确保遵循最小权限原则。
2. 防范社会工程学攻击:员工需要警惕来自电话、电子邮件和短信等渠道的钓鱼式攻击,并学会辨别和回避可疑的链接和附件。
3. 强化密码保护:员工应了解密码的安全要求,学会设置强密码,并定期更换。
4. 审计和监控:员工需要了解信息系统的审计和监控措施,以及自身行为被记录的可能性,确保按规定进行工作。
三、加强技术安全保障除了信息安全管理体系和员工安全意识培训之外,银行还应加强技术安全保障,采用现代化的安全技术手段,保护敏感数据和个人信息。
银行工作中的数据安全保护措施与方法
银行工作中的数据安全保护措施与方法随着信息技术的发展,银行作为金融服务的重要载体,承载着大量客户的财务和个人信息。
数据安全保护成为了银行工作中的重要任务。
本文将介绍银行工作中的数据安全保护措施与方法,旨在提高银行的数据安全性和防御能力。
一、加强物理安全措施物理安全是银行数据保护的基础,主要包括门禁控制、监控系统、防火措施等。
银行应建立完善的门禁系统,设置身份验证,并严格限制员工进入敏感区域。
此外,银行还应安装监控摄像头,实时监控敏感区域,将数据存档以备后续调查。
防火措施也非常重要,银行应建立灭火系统,并定期进行演练和维护,以确保系统的可靠性。
二、加强网络安全保护银行系统的网络安全是数据保护的核心。
首先,银行应建立健全的网络安全架构,对外部网络进行层层防护,采用防火墙、入侵检测系统等技术手段,减少网络攻击的风险。
其次,银行要加强对内网的管控,设置网络隔离,限制员工权限,确保只有授权人员能够访问重要数据和系统。
另外,银行还应对网络进行定期漏洞扫描和安全评估,及时修补漏洞,提高网络安全性。
三、加强员工意识教育员工是银行数据安全的第一防线,他们直接接触到大量敏感数据。
因此,银行应加强员工的数据安全意识教育,培养他们的数据保护意识和紧急事件应对能力。
银行可以定期组织培训,提供关于数据保护的知识和案例,引导员工正确处理数据,不泄露或滥用客户信息。
同时,银行还应建立监督机制,对员工的数据处理行为进行监控和审计,及时发现和纠正问题。
四、加强数据备份与恢复数据备份与恢复是应对数据丢失或损坏的重要手段。
银行应定期进行数据备份,并将备份数据存储在安全的地方,以避免数据遗失的风险。
同时,银行还应建立完善的数据恢复机制,保证在数据损毁时能够迅速恢复到正常工作状态,减少数据损失和服务中断对客户的影响。
五、加强安全合规监管银行在数据保护方面要严守法律法规和监管要求。
银行应建立合规部门,负责数据保护政策和流程的制定和执行。
合规部门应及时了解相关法律法规和标准的更新,确保银行的数据处理符合要求。
银行数据安全保护方法与技巧
银行数据安全保护方法与技巧在当今数字化时代,银行数据安全的重要性愈发凸显出来。
随着互联网的普及和移动支付的兴起,银行客户的个人信息和交易数据面临着前所未有的威胁。
为了保护客户的利益和银行的声誉,银行业必须采取措施保障数据的安全性。
本文将介绍一些银行数据安全的方法与技巧,以帮助银行提高数据安全水平。
一、加强网络安全防护网络安全是银行数据安全的首要问题。
银行需要建立强大的防火墙,防止黑客入侵和网络攻击。
同时,采用最新的防病毒软件和安全系统,及时更新补丁和软件版本,防范已知的安全漏洞。
此外,银行应加强对员工的网络安全培训,提高员工的安全意识,防止社会工程学攻击。
二、强化身份验证机制为了确保客户的身份安全,银行需要采用严格的身份验证机制。
传统的用户名和密码已经不足以保证安全,应考虑使用多因素身份验证,比如指纹识别、声纹识别、面部识别等。
通过引入生物指标识别技术,可以大大提高身份验证的准确性和安全性。
三、加密敏感数据银行数据中包含大量的敏感信息,比如客户的银行账号、交易记录等。
为了防止这些数据被窃取或篡改,银行应采用加密技术进行数据保护。
可以通过使用SSL(Secure Socket Layer)协议加密数据传输通道,或者采用端到端加密技术,确保敏感数据的安全性。
四、建立数据备份与恢复机制数据丢失是银行数据安全的一大威胁。
银行应建立完善的数据备份与恢复机制,定期将重要数据备份到离线设备,并进行离线存储。
同时,可以建立实时备份系统,将数据实时同步到远程服务器,以防止数据丢失和灾害恢复。
五、加强内部安全管理内部员工的错误操作和不当行为可能导致银行数据的泄露和被盗用。
银行应建立严格的内部安全管理制度,规定员工在处理客户数据时的责任和权限。
同时,应加强对员工的安全培训,提高他们的安全意识和技能,并建立监控系统以监督员工的行为。
六、定期进行安全审计和风险评估银行应定期进行安全审计和风险评估,发现潜在的安全问题和漏洞,并及时采取措施修复。
商业银行如何应对数据隐私保护的挑战
商业银行如何应对数据隐私保护的挑战随着现代科技的快速发展,数据日益成为商业银行最为宝贵的资产之一。
然而,随之而来的是数据隐私保护的挑战,商业银行面临着如何确保客户数据的安全、合规性和隐私保护的重大责任。
本文将就商业银行应对数据隐私保护挑战的方法和策略展开讨论。
一、建立完善的数据隐私保护制度商业银行应以保护客户数据隐私为核心,建立健全的数据隐私保护制度。
首先,银行应明确数据隐私保护的法律法规要求,在内部制度中规定数据采集、处理、存储、传输和使用的具体要求,确保所有员工严格遵守保密规定。
其次,商业银行应成立数据隐私保护专门委员会,负责制定数据隐私保护的策略、规范和流程,并与相关部门协同合作,确保有效实施。
二、投资优质的数据安全技术和设备商业银行需要投资并使用最先进的数据安全技术和设备,以确保客户的个人和敏感信息不被未经授权的访问和滥用。
首先,银行应建立强大的防火墙和入侵检测系统,及时发现并阻止任何潜在的安全威胁。
其次,商业银行应采用强大的加密技术,对客户敏感信息进行加密处理,确保数据在传输和存储过程中的安全性。
此外,商业银行还应定期进行安全性评估和渗透测试,以发现潜在的漏洞和弱点,并及时进行修复。
三、加强员工的数据保护意识和培训商业银行应认识到员工是数据泄露的主要风险源之一,因此,加强员工的数据保护意识和培训是至关重要的。
首先,银行应建立完善的员工管理制度,对员工进行全面背景调查,并建立起严格的权限管理制度,确保员工只能获得其工作所需的最低权限。
其次,商业银行应定期组织数据保护培训,加强员工对数据隐私保护的理解和意识,培养员工正确处理和保护客户数据的能力。
四、加强与监管机构的合作与沟通商业银行应积极与监管机构保持合作与沟通,及时了解最新的数据隐私保护政策和要求,确保自身的数据隐私保护措施符合法律法规的要求。
同时,商业银行还应与相关行业协会和专业机构保持合作,共同研究和探索数据隐私保护的最佳实践,分享技术和经验。
商业银行数据安全保护体系的建设思路
商业银行数据安全保护体系的建设思路一.前言我们结合目前数据保护技术现状及个人数据保护建设经验,对商业银行数据保护建设思路进行梳理。
二.商业银行数据保护的困境2.1数据存在形式多、访问人员多、存储分散、易传播2.2数据泄露途径多从数据泄露人员来看,商业银行内部办公人员,外部黑客,第三方外包人员以及合作单位或设备维护人员都有可能造成数据泄露。
2.3数据价值定义不明确,保护工作重点不突出数据价值定义不明确的另外一个弊端就是数据保护人员的工作重心不突出,采用大而全的数据安全保护策略,不但自己的工作量大,成效低,不好开展,业务人员或其他部门人员的工作效率也因此而降低,数据保护工作得不到其他部门的认可,推进十分缓慢,甚至终止。
三.数据保护建设步骤3.1建立信息安全防护基础商业银行数据保护建设是信息安全防护中的一部分。
因此,在进行数据安全防护建设过程中,需要商业银行有良好的信息安全防护基础,例如机房物理安全,各安全域之间的访问控制,人员安全等。
并已经建立完整的信息安全组织,和信息安全策略方针。
目前来讲,国内大部分商业银行之部分建立已经基本完成,也就是说,大部分商业银行已经具备建立数据安全防护体系的基础条件。
3.2建立数据安全防护体系数据安全防护体系的建设是商业银行数据安全保护的必经之路,整体规划,分步建设,有助于商业银行在逐步提高数据安全保护水平的同时避免资源的浪费,降低数据保护成本和工作难度。
一般包括数据保护组织的建立,数据分类分级,数据保护控制策略制定,数据保护技术手段选取,数据全生命周期管理,以及审计与持续改进等内容。
3.3对信息流进行风险管理在商业银行数据安全防护体系建设完成后,为了更加精细的控制企业数据的流转并防止泄露,一般会建立以业务流为中心的敏感数据动态流转风险管理,进一步防止敏感数据外泄。
其内容包括敏感数据分布状况调研;明确业务系统使用管理人员;确定数据流转和处理方式;并借助第三方安全机构进行数据流转各环节的风险评估,发现薄弱环节,进行加固和修复,长期持续改进等内容。
商业银行数据安全管理规范
商业银行数据安全管理规范随着互联网和移动支付的快速发展,商业银行在数据安全管理方面面临着越来越大的挑战。
为了确保客户的资金和信息安全,商业银行需要建立严格的数据安全管理规范。
本文将介绍商业银行数据安全管理规范的重要性,并从数据保护、内部控制、风险管理、员工培训和技术应用五个方面详细阐述。
一、数据保护1.1 加密技术:商业银行应采用先进的加密技术对客户的敏感信息进行加密保护,确保数据在传输和存储过程中不被窃取。
1.2 数据备份:商业银行应建立完善的数据备份机制,定期对重要数据进行备份,并将备份数据存储在安全可靠的地方,以应对数据丢失或损坏的情况。
1.3 数据隔离:商业银行应对不同类型的数据进行隔离存储,确保敏感信息不被非授权人员访问,同时建立权限管理机制,对员工的数据访问权限进行严格控制。
二、内部控制2.1 访问控制:商业银行应建立严格的访问控制机制,对员工的数据访问权限进行细分和控制,确保只有经过授权的人员才能访问敏感信息。
2.2 审计监控:商业银行应定期对系统和数据进行审计监控,及时发现异常行为和安全漏洞,并采取相应的措施进行处理。
2.3 内部审计:商业银行应定期进行内部审计,对数据安全管理规范的执行情况进行评估,及时发现问题并进行整改。
三、风险管理3.1 风险评估:商业银行应定期进行风险评估,识别和评估可能存在的数据安全风险,并制定相应的应对措施。
3.2 风险防范:商业银行应建立健全的风险防范机制,加强对网络安全和数据泄露等风险的监控和预防,确保客户数据的安全。
3.3 应急响应:商业银行应建立完善的数据安全事件应急响应机制,对可能发生的数据安全事件进行预案设计和演练,提高应对突发事件的能力。
四、员工培训4.1 安全意识培训:商业银行应定期开展员工数据安全意识培训,提高员工对数据安全的重视程度,增强员工的安全意识和防范能力。
4.2 技能培训:商业银行应对员工进行数据安全技能培训,提高员工对数据安全管理规范的理解和执行能力,确保员工能够正确操作系统和数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行数据安全保护体系的建设思路一、前言近年来,随着商业银行信息化的发展,信息系统越来越多的使用于日常工作,成为不可或缺的工具和手段。
银行通过信息化大大提高其生产效率,从传统的柜面银行与24小时自助银行,再到手机银行,微信银行。
银行的业务受理无论在空间和时间上都得到了极大的拓展,依赖于信息系统的发展而运行发展并壮大。
但是当银行正在利用信息化技术高效率的进行跨地域、跨国家的信息交流时,海量的如客户资料、营销方案、财务报表、研发数据等关乎企业核心竞争力的机密数据也随之被传输。
信息技术本身的双刃剑特性也在组织网络中不断显现:强大的开放性和互通性催生了商业泄密、网络间谍等众多灰色名词,“力拓案”、“维基泄密”等事件让信息安全事件迅速升温,信息防泄密成为商业银行越来越关注的焦点。
我们结合目前数据保护技术现状及个人数据保护建设经验,对商业银行数据保护建设思路进行梳理。
二、商业银行数据保护的困境2.1数据存在形式多、访问人员多、存储分散、易传播在商业银行内部,有海量电子数据,纸质数据,且一直处于动态增长状态,如用户基本信息,账户信息;应用系统源码,需求说明,设计说明文档:系统的用户名和密码;系统交付及规划资料:网络拓扑图、IP地址清单;安全设备的告警和自动生成的报告、日志;甚至于一些管理决策支撑信息:如银行经营状况分析报表、某分行业务经营报告、风险管理报告;市场推广活动情况、后督工作记录、拆借操作记录、贷款审批与发放记录、客户征信、董事会、股东会议等会议纪要等等。
这些数据大部分数据被分散存储在全行办公人员PC电脑中,移动存储介质中或个人邮箱中。
这种分散的数据存储方式给商业银行数据保护工作带来很大的困扰,同时,人员办公又存在地域上的不集中,一旦发生数据泄露,会很快在全省及至全国范围内扩散。
再者,每个机构对员工日常要求和管理的标准高低不一,人员安全意识不均衡,进一步增加了数据保护的难度。
2.2数据泄露途径多从数据存储侧泄露来看,这些数据被存放于办公PC,个人笔记本,个人邮箱,移动办公设备以及移动存储设备中。
尤其是可移动办公设备和移动存储设备,容易因丢失或失窃发生数据泄露。
从数据泄露手段角度看,互联网邮箱,公有云网盘,WEB类应用都会成为用户存储和传播企业数据的工具。
如某银行为了防止内部数据外泄,将所有办公终端U口全部进行了禁用。
但其有一个办公业务应用,是内外网互通的,允许用户上传文档。
为了便于日常文件传输,很多用户将大量的数据上传到了此平台。
结果,这台应用服务器被攻击,上面存储的大量敏感数据被下载。
从数据泄露人员来看,商业银行内部办公人员,外部黑客,第三方外包人员以及合作单位或设备维护人员都有可能造成数据泄露。
2.3数据价值定义不明确,保护工作重点不突出在有些商业银行没有明确的数据价值定义标准,或者数据价值宣传教育不到位,致使工作人员对手里掌握和拥有的数据不能进行很好的估值,自然而然,对其泄露后产生的后果也就无从评估了。
2016年,沈阳某银行在其装修期间将客户资料当废品进行处理,就是一期对客户资料价值错误评估的典型案例。
设想,如果该行有明确的数据价值定义和评估标准,而工作人员对此标准又很熟悉,那么在对此类资料进行处理时,就有了处理的标准,而不是随心而为。
数据价值定义不明确的另外一个弊端就是数据保护人员的工作重心不突出,采用大而全的数据安全保护策略,不但自己的工作量大,成效低,不好开展,业务人员或其他部门人员的工作效率也因此而降低,数据保护工作得不到其他部门的认可,推进十分缓慢,甚至终止。
三、数据保护建设步骤3.1建立信息安全防护基础商业银行数据保护建设是信息安全防护中的一部分。
因此,在进行数据安全防护建设过程中,需要商业银行有良好的信息安全防护基础,例如机房物理安全,各安全域之间的访问控制,人员安全等。
并已经建立完整的信息安全组织,和信息安全策略方针。
目前来讲,国内大部分商业银行之部分建立已经基本完成,也就是说,大部分商业银行已经具备建立数据安全防护体系的基础条件。
3.2建立数据安全防护体系数据安全防护体系的建设是商业银行数据安全保护的必经之路,整体规划,分步建设,有助于商业银行在逐步提高数据安全保护水平的同时避免资源的浪费,降低数据保护成本和工作难度。
一般包括数据保护组织的建立,数据分类分级,数据保护控制策略制定,数据保护技术手段选取,数据全生命周期管理,以及审计与持续改进等内容。
3.3对信息流进行风险管理在商业银行数据安全防护体系建设完成后,为了更加精细的控制企业数据的流转并防止泄露,一般会建立以业务流为中心的敏感数据动态流转风险管理,进一步防止敏感数据外泄。
其内容包括敏感数据分布状况调研;明确业务系统使用管理人员;确定数据流转和处理方式;并借助第三方安全机构进行数据流转各环节的风险评估,发现薄弱环节,进行加固和修复,长期持续改进等内容。
四、数据安全防护体系建设思路4.1完善数据保护组织架构近年来,伴随着商业竞争的加剧,数据保护工作已经越来越得到企业的重视。
随之在市场上已经产生了数据间谍这类职业,他们受雇于某个企业,对其竞争对手的数据进行针对性的窃取。
在很多企业也产生了专门的部门或职位来进行单位数据保护工作,可以预见,在不久的将来,这一职位或部门将出现在越来越多的企业中。
数据保护工作涉及到商业银行各个部门及所有业务系统和全行工作人员,因此,数据保护组织的建立过程中应该充分考虑到数据保护工作的系统性,建立完备的组织架构。
一般分为决策组织,管理组织,执行组织和审计组织。
决策组织职责主要有根据公司发展战略,结合企业信息安全策略方针,制定符合企业业务发展的数据保护战略方针;并授权指派管理组织开展数据保护工作;对管理组织的工作进行指导和定期检查;对审计组织反馈的问题进行督导问责和解决。
管理组织职责主要有根据企业数据保护战略方针完善企业数据保护管理制度,规划数据保护建设项目;并向决策组织定期汇报数据保护管理工作情况;对执行组织数据保护工作进行检查和指导;配合审计组织的监督和检查。
执行组织负责具体的数据保护技术工作的实施和执行;并定期向管理组织汇报,接受和配合审计组织监督和检查。
审计组织职责主要是对管理组织和执行组织日常数据保护工作进行监督和检查,并将检查结果反馈给决策组织,跟踪审计问题的解决情况等。
4.2对数据进行分类分级保护数据保护和信息系统保护类似,应该分等级,分类别,进行重点保护。
如果一味追求大而全,密而精,必然使得数据保护工作的效果难以达到预期。
这种保护工作,也不可能得到业务人员或其他部门的支持与认可,自然也就无病而终,不能长期有效的开展下去。
因此,商业银行在开展数据保护工作之前,应当有明确的数据分类依据和数据重要程序分级依据。
4.2.1识别现有数据数据识别方法有调研了解,技术手段收集等,一般的,为了数据分级工作的准确性,还需要结访谈调研。
步骤如下:1、向各部门分发数据收集表,了解各部门日常工作中所涉及的敏感数据类型。
2、访谈各部门,调研了解敏感信息的重要性。
根据数据收集表的内容,进行各部门的针对性访谈,了解其对自己所在部门数据重要程序的分级情况,为后期数据分级定义工作做准备。
3、通过技术手段,按照数据类型进行敏感数据存储分布调研。
依据前两步调研结果,对通过技术手段,对全网的敏感数据进行收集,分析其存储分分布情况,为后期数据保护策略定义提供依据。
4.2.2进行数据分类根据数据识别的结果,依据商业银行自己业务特性或自身情况进行数据分类,一般的分类依据有:1、根据国家标准和监管要求进行数据分类这种分类方式简单明了,但存在与商业银行自身业务不匹配或不完全匹配的情况,可能全出现分类过大或过小,存在重合或遗漏的情况。
2、参考同行业进行数据分类;由于行业的相通性,数据分类也有一定的共同性,参考同行业进行数据分类一种简便而又高效的数据分类方式。
3、根据业务部门和管理部门的经验分类对于业务形式比较独特的商业银行,如涉及到跨国业务,由于不同国家对数据重要程程度的认识和定义上存在区别,需要业务部门和管理部门进行数据分类时也要考虑其特殊性。
数据分类方式没有统一的标准,各商业银行可以选择一种或多种分类方式进行数据分类。
但建议在进行数据分类时遵循如下原则,以保护数据分类的合理性,为后期的数据分级工作提供良好的前提保证。
原则1:科学性原则分类过程中应当充分考虑数据的业务属性,同时兼顾数据的敏感性级别原则2:实用性原则数据的类目设置应与商业银行现有的管理和分类相兼容,保证员工的数据分类习惯,降低分类和数据保护的难度。
原则3:稳定性原则在进行数据分类过程中,应当充分考虑未来的拓展需求,使得分类保护兼容和稳定。
4.2.3进行数据分级数据分级是从数据的机密性角度出发,为了满足数据保护的要求。
分级过程可以单独设计,数据分级是为了合理的进行数据保护,防止矫枉过正,防护过度,造成防护资源的浪费以及给员工日常办公带来不便,以至于员工抵抗,保护工作无法继续。
4.3制定数据保护控制策略商业银行在数据保护过程中,应当根据企业文化,业务特点和敏感数据数据面临的风险情况,对不同环境下的敏感数据设计相应的控制策略,如:敏感性标识,授权审批,信息脱敏,安全隔离。
制定并推进敏感性标识策略为了让员工在日常工作中,对所产生的数据和接触到数据的重要程度有清晰认知,制定数据敏感性标识策略,并在日常办公过程中推行。
数据敏感性标识可以根据分级重新定义标识标志,如:公开信息,内部使用,商业机密等,也可以直接按照密级进行标识。
如果有多个分级定义,需要再进一步细化标识,如:公开信息,内部使用,商业机密A,商业机密AA,商业机密AAA等;制定数据标识标志后,再依据不同类型的数据制定不同的标识策略,如:文件,文档类:应当在封面或首页的明显位置标识其使用范围或密级以及期限;非文件、文档类:例如源代码,数据库数据,应建立所在系统的敏感性标识台账,对所存储的数据进行标识;信息载体:如光盘,U盘,移动硬盘等,应在介质明显位置进行标注或标签标示。
4.4制定授权审批策略由于内部办公的需要,数据不可避免的会在各部门或各工作人员之间进行流动,商业银行应根据企业组织特点,规范各级别敏感数据的授权审批流程。
4.5制定敏感数据脱敏策略商业银行应制定严格的数据脱敏策略。
商业银行在内部办公,第三方数据交换,测试系统开发过程中,存在大量的数据交互,如果直接使用未脱敏的数据,极有可能造成数据泄露。
为此,企业应建立完整的敏感数据脱敏策略来应对数据流转过程中的泄露风险。
并结合授权审批策略,强制要求只有数据脱敏,杜绝未脱敏数据泄露。
4.5.1制定安全隔离策略根据数据分级,敏感性标识和密级定义对不同级别的数据进行分区分级别存储。
对涉及敏感信息处理的网络、操作系统、中间件,数据库,甚至业务人员的办公电脑进行物理或逻辑上的安全隔离,保证数据处理环境的安全。