商业银行数据安全保护体系的建设思路(2)

　　管理组织职责主要有根据企业数据保护战略方针完善企业数据保护管理制度，规划数据保护建设项目;并向决策组织定期汇报数据保护管理工作情况;对执行组织数据保护工作进行检查和指导;配合审计组织的监督和检查。

　　执行组织负责具体的数据保护技术工作的实施和执行;并定期向管理组织汇报，接受和配合审计组织监督和检查。

　　审计组织职责主要是对管理组织和执行组织日常数据保护工作进行监督和检查，并将检查结果反馈给决策组织，跟踪审计问题的解决情况等。

　　4.2 对数据进行分类分级保护

　　数据保护和信息系统保护类似，应该分等级，分类别，进行重点保护。如果一味追求大而全，密而精，必然使得数据保护工作的效果难以达到预期。这种保护工作，也不可能得到业务人员或其他部门的支持与认可，自然也就无病而终，不能长期有效的开展下去。

　　因此，商业银行在开展数据保护工作之前，应当有明确的数据分类依据和数据重要程序分级依据。

　　4.2.1 识别现有数据

　　数据识别方法有调研了解，技术手段收集等，一般的，为了数据分级工作的准确性，还需要结访谈调研。步骤如下：

　　1、向各部门分发数据收集表，了解各部门日常工作中所涉及的敏感数据类型。

　　2、访谈各部门，调研了解敏感信息的重要性。

　　根据数据收集表的内容，进行各部门的针对性访谈，了解其对自己所在部门数据重要程序的分级情况，为后期数据分级定义工作做准备。

　　3、通过技术手段，按照数据类型进行敏感数据存储分布调研。

　　依据前两步调研结果，对通过技术手段，对全网的敏感数据进行收集，分析其存储分分布情况，为后期数据保护策略定义提供依据。

　　4.2.2 进行数据分类

　　根据数据识别的结果，依据商业银行自己业务特性或自身情况进行数据分类，一般的分类依据有：

　　1、根据国家标准和监管要求进行数据分类

　　这种分类方式简单明了，但存在与商业银行自身业务不匹配或不完全匹配的情况，可能全出现分类过大或过小，存在重合或遗漏的情况。

　　2、参考同行业进行数据分类;

　　由于行业的相通性，数据分类也有一定的共同性，参考同行业进行数据分类一种简便而又高效的数据分类方式。

　　3、根据业务部门和管理部门的经验分类

　　对于业务形式比较独特的商业银行，如涉及到跨国业务，由于不同国家对数据重要程程度的认识和定义上存在区别，需要业务部门和管理部门进行数据分类时也要考虑其特殊性。

　　数据分类方式没有统一的标准，各商业银行可以选择一种或多种分类方式进行数据分类。但建议在进行数据分类时遵循如下原则，以保护数据分类的合理性，为后期的数据分级工作提供良好的前提保证。

　　原则1：科学性原则

　　分类过程中应当充分考虑数据的业务属性，同时兼顾数据的敏感性级别

　　原则2：实用性原则

　　数据的类目设置应与商业银行现有的管理和分类相兼容，保证员工的数据分类习惯，降低分类和数据保护的难度。

　　原则3：稳定性原则

　　在进行数据分类过程中，应当充分考虑未来的拓展需求，使得分类保护兼容和稳定。

　　4.2.3 进行数据分级

　　数据分级是从数据的机密性角度出发，为了满足数据保护的要求。分级过程可以单独设计，

　　数据分级是为了合理的进行数据保护，防止矫枉过正，防护过度，造成防护资源的浪费以及给员工日常办公带来不便，以至于员工抵抗，保护工作无法继续。

　　4.3 制定数据保护控制策略

　　商业银行在数据保护过程中，应当根据企业文化，业务特点和敏感数据数据面临的风险情况，对不同环境下的敏感数据设计相应的控制策略，如：敏感性标识，授权审批，信息脱敏，安全隔离。

　　制定并推进敏感性标识策略

　　为了让员工在日常工作中，对所产生的数据和接触到数据的重要程度有清晰认知，制定数据敏感性标识策略，并在日常办公过程中推行。

　　数据敏感性标识可以根据分级重新定义标识标志，如：公开信息，内部使用，商业机密等，也可以直接按照密级进行标识。如果有多个分级定义，需要再进一步细化标识，如：公开信息，内部使用，商业机密A，商业机密AA，商业机密AAA等;

　　制定数据标识标志后，再依据不同类型的数据制定不同的标识策略，如：

　　文件，文档类：应当在封面或首页的明显位置标识其使用范围或密级以及期限;

　　非文件、文档类：例如源代码，数据库数据，应建立所在系统的敏感性标识台账，对所存储的数据进行标识;

　　信息载体：如光盘，U盘，移动硬盘等，应在介质明显位置进行标注或标签标示。

　　4.4 制定授权审批策略

　　由于内部办公的需要，数据不可避免的会在各部门或各工作人员之间进行流动，商业银行应根据企业组织特点，规范各级别敏感数据的授权审批流程。

　　4.5 制定敏感数据脱敏策略

　　商业银行应制定严格的数据脱敏策略。商业银行在内部办公，第三方数据交换，测试系统开发过程中，存在大量的数据交互，如果直接使用未脱敏的数据，极有可能造成数据泄露。为此，企业应建立完整的敏感数据脱敏策略来应对数据流转过程中的泄露风险。并结合授权审批策略，强制要求只有数据脱敏，杜绝未脱敏数据泄露。

　　4.5.1 制定安全隔离策略

　　根据数据分级，敏感性标识和密级定义对不同级别的数据进行分区分级别存储。对涉及敏感信息处理的网络、操作系统、中间件，数据库，甚至业务人员的办公电脑进行物理或逻辑上的安全隔离，保证数据处理环境的安全。

　　4.5.2制定第三方数据使用控制策略

　　在商业银行业务高速发展的今天，涉及到大量的第三方外包人员或第三方公司，银行应当设置专门的控制策略来控制这部分人员的数据使用。策略设置过程中应考虑如下因素：根据不同的级别，设置对应的第三方控制要求;根据所接触数据级别，提高第三方准入门槛，缩小数据接触范围;按照“必需知道”和“最小授权”双重原则进行访问授权。并通过服务合同或协议等，明确第三方在安全和数据保密方面的责任。定期通过安全检查，外部评估等方式对第三方公司策略执行情况进行检查，确保第三方控制策略的的效执行。 …… 此处隐藏：733字，全部文档内容请下载后查看。喜欢就下载吧 ……