西骏数据 何泽松：对照数据安全管理办法-多快好省筑牢数据安全保护基线.pdf

1、GOPS 全球运维大会2021上海站目录数据安全管理办法新要求新亮点多快好省补齐银保机构数据安全短板以DAMS建设为抓手筑牢数据安全保护基线银行保险机构4个应用场景实践分享1243GOPS 全球运维大会2021上海站数据安全管理办法(征求意见稿)行业细则即将落地网络安全法通过等保2.0落地数据安全法、个人信息保护法涉及应用，由各行业条线的管理办法具体落地GOPS 全球运维大会2021上海站新要求新亮点(一)明确了管理架构体系(第二章)数据安全管理办法提出的数据安全管理体系架构数据安全文化建设数据安全技术保护部门信息科技部门纳入风险管理体系开展审计监督检查风控合规审计部门各业务部门按归属落实管理

2、责任明确数据安全归口部门规划机制报告 典型数据安全管理闭环规划风控合规审计部建设监督使用数据管理部信息科技部各业务部门GOPS 全球运维大会2021上海站新要求新亮点(二)提供了更多场景化数据安全具体要求(第三、四章）依据“业务必需、最小权限”原则，采取有效措施对接口设计、开发、服务、运行等进行集中安全保护管理个人信息防泄露和滥用。第五十三条第六十一条建立大数据服务访问授权机制，动态监测与审计大数据访问行为第四十九条对集团内部数据共享提供集中安全管控；建立数据安全隔离防火墙第二十九条权限管控、数据访问闭环管理、访问行为审计、提取数据审批流程、使用期限管控、密码保护等。第二十八条按照核心数据、重

3、要数据、敏感数据、一般数据进行了划分。不过各单位还需要根据实际情况进行具体落实。第十八条除了数据按生命周期安全管理的要求外，办法更多结合银保实际需求提出了较多应用场景，或者解答了一些疑惑GOPS 全球运维大会2021上海站新要求新亮点(三)技术保护层面提出了数据安全保护基线(第五章)数据销毁管理 终端和移动存储介质内的敏感级及以上数据应当采取技术保护措施，确保受控安全访问。存储空间数据应当完全清除并不可恢复数据传输保护 参与数据交换的相关机构应当采取有效措施保障信息数据传输和存储的保密性、完整性、准确性、及时性、安全性数据存储保护 防止勒索病毒、木马后门等攻击。个人身份鉴别数据不得明文存储、传

4、输和展示数据访问控制 制定用户对数据的访问策略，采取有效的用户认证和访问控制技术措施，规范数据操作行为 定期对数据操作行为进行审计结合当前数据安全保护的现状，大部分银保机构数据安全保护基线的关键缺失，还在于数据访问控制部分信息系统保护 将敏感级及以上数据纳入信息系统保护 在数据全生命周期内采取有效的访问控制管理措施GOPS 全球运维大会2021上海站数据安全管理办法(征求意见稿)监督落地紧迫性(第七、八章)实现常态化监测第六十六条（风险评估与审计）银行保险机构应当每年开展一次数据安全风险评估。审计部门应当每三年至少开展一次数据安全全面审计，发生重大数据安全事件后应当开展专项审计每年开展一次数据

5、安全风险评估第七十四条（机构报告）银行保险机构应当于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告，报告内容包括数据安全治理、技术保护、数据安全风险监测及处置措施、数据安全事件及处置情况、委托和共同处理、数据出境、数据安全评估与审查情况.等每年1月15日前提供上一年数据安全风险评估报告第七十七条（监管措施与法律责任）根据违规情况，.给予纪律处分；银行业金融机构的行为尚不构成犯罪的，对直接负责的董事、高级管理人员和其他直接责任人员给予警告，处五万元以上五十万元以下罚款；取消.终身的任职资格。.依法追究刑事责任对银保机构及直接责任人等有较为严厉的处罚措施第六十

6、五条 风险监测银行保险机构应当对数据银行保险机构应当对数据安全威胁进行有效监测，实施监督检查，主动评估风险，防止数据篡改、破坏、泄露、非法利用等安全事件发生。监测内容包括：（一）超范围授权或者使用系统特权账号；（二）内部人员异常访问、使用数据；（三）对数据集中共享的系统或者平台的网络安全、数据安全威胁；（四）敏感级及以上数据在不同区域的异常流动；（五）移动存储介质的异常使用；（六）外包、第三方合作中的数据处理异常或者数据泄露、丢失和篡改；（七）客户有关数据安全的投诉；（八）数据泄露、仿冒欺诈等负面舆情；（九）其他可能导致数据安全事件发生的情况。GOPS 全球运维大会2021上海站目录数据安全管