数据安全治理白皮书5.0——行业数据安全治理实践集

信联盟数据 信联盟数据安全治理专委会 委会 中关村网 安全治理专委会 中关村网信联盟数据安全治理专 安全治理专委会 中关村网 安全治理专 中关村网信联盟数据 中关村网信联盟数据 数据安全治理白皮书5.0 中关村网信联盟数据安全治理专委会 委会 中关村网络安全与信息化产业联盟数据安全治理专业委员会编著2023 信联盟数据 中关村网信联盟数据 信联盟数据安全治理专委会 中关村网信联盟数据 委会 中关村网信联盟数据安全治理专委会 中关村网 安全治理专委会 中关村网信联盟数据安全治理专 安全治理专委会 中关村网 委会 安全治理专 信联盟数据 中关村网信联盟数据 信联盟数据安全治理专委会 中关村网信联盟数据 委会 中关村网 安全治理专委会 中关村网信联盟数据安全治理专 安全治理专委会 中关村网 安全治理专 目录 Catalog 委会 金融数据安全治理实践1 政务数据安全治理实践55 电信数据安全治理实践107 电力数据安全治理实践139 中关村网信联盟数据安全治理专委会 教育数据安全治理实践165 工业数据安全治理实践213 信联盟数据 中关村网信联盟数据 信联盟数据安全治理专委会 中关村网信联盟数据 委会 中关村网信联盟数据安全治理专委会 中关村网 安全治理专委会 中关村网信联盟数据安全治理专 安全治理专委会 中关村网 委会 安全治理专 信联盟数据 中关村网信联盟数据 信联盟数据安全治理专委会 中关村网信联盟数据 委会 中关村网信联盟数据安全治理专委会 中关村网 安全治理专委会 中关村网信联盟数据安全治理专 安全治理专委会 中关村网 安全治理专 委会 金融数据安全治理实践 信联盟数据 信联盟数据安全治理专委会 中关村网 中关村网信联盟数据安全治理专 中关村网 安全治理专 致谢 中关村网信联盟数据 中关村网信联盟数据 感谢以下人员及单位为《数据安全治理白皮书5.0—金融数据安全治理实践》编制付出的辛勤劳动。 委会 指导专家 李吉慧向小佳 编审专家 陈聪蔚晨李斌崔媛媛魏力 参编专家（按姓氏笔画排序，排名不分先后） 中关村网信联盟数据安全治理专委会 丁莹王逸君王巍申浩文白倩朱晓东刘畅孙亚东李松涛李振杨波宋士明张野张澍张耀峰陈菲琪金晨周扬施志晖袁靖高强裔顾飞飞郭铮铮黄进隆峰葛菊平 参编单位 国家金融科技测评中心中国民生银行股份有限公司北京安华金和科技有限公司工银科技有限公司中国工商银行安全攻防实验室中金金融认证中心有限公司北京国家金融科技认证中心有限公司光大科技有限公司山东高速信联科技股份有限公司晋商银行股份有限公司江苏苏宁银行股份有限公司东吴证券股份有限公司南京证券股份有限公司 委会 版权声明 安全治理专委会 安全治理专委会 白皮书版权属于中关村网络安全与信息化产业联盟数据安全治理专业委员会（简称数据安全治理专业委员会），并受法律保护。转载、摘编或利用其他方式使用本白皮书文字或观点的，应注明“来源：中关村网络安全与信息化产业联盟数据安全治理专业委会编著《数据安全治理白皮书5.0》”，违者将被追究法律责任。 信联盟数据 信联盟数据安全治理专委会 中关村网 中关村网信联盟数据安全治理专 中关村网 安全治理专 目录 Catalog 中关村网信联盟数据 中关村网信联盟数据 1.金融业数据安全治理现状5 1.1.金融数据安全应用概况5 委会 1.1.1.应用背景5 1.1.2.政策背景5 1.2.金融数据安全治理痛点8 1.2.1.管理层面8 1.2.2.技术层面9 1.2.3.运营层面10 2.金融数据安全治理需求及内容11 中关村网信联盟数据安全治理专委会 2.1.需求分析11 2.1.1.加强金融数据资产管理能力11 2.1.2.提升金融数据安全合规水平11 2.1.3.促进金融数据赋能金融服务11 2.1.4.保障金融业数字化转型发展11 2.2.治理思路12 2.2.1.数据资产管理12 2.2.2.基础能力建设13 2.2.3.完整体系构建14 2.3.实施路径20 2.3.1.整体规划20 委会 2.3.2.建设实施20 2.3.3.运营推广21 安全治理专委会 安全治理专委会 2.3.4.绩效评估22 2.3.5.改进优化22 3.5.工商银行数据安全审计实施项目43 3.5.1.案例背景43 3.5.2.实施方案44 3.5.3.方案落地及成效46 附录：常用数据安全技术及典型金融应用场景47 信联盟数据 信联盟数据安全治理专委会 委会 中关村网 安全治理专委会 中关村网信联盟数据安全治理专 安全治理专委会 中关村网 安全治理专 3.金融数据安全治理案例23 3.1.江苏苏宁银行数据安全分类分级项目23 3.1.1.案例背景23 3.1.2.实施方案23 3.1.3.方案落地及成效29 3.2.徽商银行数据安全风险评估与分类分级项目30 中关村网信联盟数据 中关村网信联盟数据 3.2.1.案例背景30 3.2.2.实施方案31 委会 3.2.3.方案落地及成效33 3.3.南京证券数据安全运营防护项目33 3.3.1.案例背景33 3.3.2.实施方案34 3.3.3.方案落地及成效39 3.4.光大银行个人信息保护安全技术体系及数据安全监测实施项目40 3.4.1.案例背景40 中关村网信联盟数据安全治理专委会 3.4.2.实施方案40 3.4.3.方案落地及成效42 信联盟数据 中关村网信联盟数据 信联盟数据安全治理专委会 中关村网信联盟数据 中关村网 中关村网信联盟数据安全治理专 中关村网 安全治理专 1.金融业数据安全治理现状 1.1.金融数据安全应用概况 1.1.1.应用背景 委会 数字经济发展速度之快、辐射范围之广、影响程度之深前所未有，正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。党的十八大以来，党中央高度重视发展数字经济，将其上升为国家战略。数据是数字经济时代的新生产要素，在全球经济运转中的价值日益凸显，国际间抢夺数据经济制高点的竞争日趋激烈，各国加速推进数据要素领域布局。国内不少金融机构已经开始尝试利用数据驱动业务运营，如中信银行信用卡中心使用大数据技术实现了实时营销，光大银行建立了社交网络信息数据库，招商银行则利用大数据发展小微贷款等。主流数据应用可分为四大方向： 一是客户画像。主要分为个人客户画像和企业客户画像。个人客户画像包括人口统计学特征、消费能力数据、兴趣数据、风险偏好等；企业客户画像包括企业的生产、流通、运营、财务、销售和客户数据、相关产业链上下游等。 中关村网信联盟数据安全治理专委会 二是精准营销。金融机构精准营销主要指根据客户的实时状态来进行营销。根据客户交易记录缝隙，有效识别小微企业客户，用客户端实施不同业务或产品的交叉营销对客户群进行精准定位，分析潜在金融服务需求，进而有针对性的开展个性化推荐，以及涵盖新客户获取、客户防流失、客户赢回的客户生命周期管理。 三是风险管控。金融机构通过企业的生产、流通、销售、财务等相关信息结合大数据挖掘方法进行业务风险分析，或者利用客户基本信息、历史行为模式、交易历史等，结合智能规则引擎，进行实时交易反欺诈与反洗钱分析等。 四是运营优化。金融机构可以监控不同市场推广渠道的质量，从而进行合作渠道的调整和优化。也可以将客户行为转化为信息流，并从中分析客户的个性特征和风险偏好，深层次理解客户习惯，智能化分析和预测客户需求，从而进行产品创新和服务优化。此外还可以通过相关信息开展舆情分析，及时发现和处理问题。 委会 当前，数字经济浪潮势不可挡，“数据赋能金融业提质增效”逐步成为行业共识。金融数据已在金融产品和服务创新发展、金融业加速推进数字化转型的过程中，与机构整体业务发展、机构运营管理、科技创新应用等实现了深度融合，金融领域“科技金融+数字金融”双轮驱动的发展模式已悄然成型。金融数据的创新应用为金融机构突破性发展输入新鲜血液，不断为金融业稳定、高效发展带来新动能、新活力。 1.1.2.政策背景 安全治理专委会 安全治理专委会 1)行业规章 为推动数据依法、合理、有效利用，保障数据有序自由流动，近年来，我国数据安全相关法律 信联盟数据 信联盟数据安全治理专委会 中关村网 中关村网信联盟数据安全治理专 中关村网 安全治理专 中关村网信联盟数据 中关村网信联盟数据 法规密集发布。随着上位法的相继发布，金融行业的数据安全监管模式正在逐步形成。近几年发布的数据安全行业规章如表1-1所示。 委会 中关村网信联盟数据安全治理专委会 安全治理专委会 安全治理专委会 委会 表1-1金融数据安全相关主要行业规章 序号 发布机构 规章制度 发布时间 主要内容 1 中国人民银行 《金融消费者权益保护实施办法》 2020年9月 保障消费者信息安全权等权利，规制金融机构信息收集处理行为。 2 《征信业务管理办法》 2021年9月 保护信息主体合法权益，保障信息安全，防范信息安全风险。 3 《金融科技发展规划（2022-2025年）》 2022年1月 做好数据安全保护，严格落实数据安全法律法规、标准规范，建立健全数据全生命周期安全管理长效机制和防护措施。 4 《金融标准化“十四五”规划》 2022年1月 健全金融业网络安全与数据安全标准体系，加强金融网络安全能力，助力提升网络安全威胁发现、监测预警、应急处置、攻击溯源能力。 5 银保监会 《银行保险机构信息科技外包风险监管办法》 2021年12月 保障信息科技外包时的信息安全，加强重要数据和个人信息保护。 6 《关于银行业保险业数字化转型的指导意见》 2022年1月 明确完善数据安全管理体系、强化对数据的安全访问控制、加强第三方数据合作安全评估、关注外部数据源合规风险等工作要求。 7 《银行保险机构消费者权益保护管理办法（征求意见稿）》 2022年5月 建立消费者个人信息保护机制，对消费者个人信息实施全流程分级分类管控。 8 证监会 《证券期货业网络安全管理办法（征求意见稿）》 2022年4月 按规定履行数据安全管理责任，采取技术手段保障数据安全，处理重要数据、核心数据应明确负责人并指定管理机构。 2)技术标准 金融数据具有数据体量大、数据价值高的显著特征，需要对其中的高价值、高敏感数据进行重点保护。当前，国家及行业标准分别从全量个人信息、个人信息安全影响、个人金融信息、金融业数据、数据生命周期、网络数据、重要数据以及数据安全评估的维度对金融数据保护做出了规定，具体情况如表1-2所示。 信联盟数据 信联盟数据安全治理专委会 委会 中关村网信联盟数据安全治理专委会 中关村网 安全治理专委会 中关村网信联盟数据安全治理专 安全治理专委会 中关村网 委会 安全治理专 中关村网信联盟数据 中关村网信联盟数据 表1-2金融数据安全相关主要技术标准 序号 发布机构 技术标准 发布时间 主要内容 1 国家市场监督管理总局；国家标准化管理委员会 《信息安全技术个人信息安全规范》（GB/T35273-2020） 2020年3月 规范对个人信息收集、储存、使用做出了明确规定，在各个信息处理环节明确了个人信息处理要权责一致、目的明确、选择同一、最小必要、公开透明、确保安全、主体参与的要求。 2 《信息安全技术个人信息安全影响评估指南》（GB/T39335-2020） 2020年11月 指南给出了个人信息安全影响评估的价值、用途、责任主体、基本原理与实施要素，并从评估必要性、评估准备工作、数据映射分析、风险源识别、个人权益影响分析、安全风险综合分析、报告编写、风险处置和持续改进、报告发布策略等维度提出评估实施的流程指导。 3 《信息安全技术网络数据处理安全要求》（GB/T41479-2022） 2022年11月 要求规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。 4 《信息安全技术移动互联网应用程序（App）收集个人信息基本要求》（GB/T41391-2022） 2022年11月 要求规定了Ap