背景介绍：

徽商银行作为安徽省地方的金融主力军，在助力区域经济实现高质量发展中起到了关键作用。随着其业务的不断拓宽，徽商银行面临着各个业务系统数据量增多，数据安全评估能力不足，数据安全管控能力不完善等诸多难点，亟需搭建完善的数据安全治理体系进而提升其数据安全风险评估能力，为徽商银行数字化转型跃升，顺应数字经济发展新趋势提供强有力支撑。

解决方案：

对于徽商银行而言，摸清家底是整个数据安全评估工作的第一步；在摸清家底后，分析现状，找到风险点，针对风险梳理应对策略；再根据整体行内现状，从“管理”、“技术”两方面综合考虑，统一规划，以最终的持续运营为目标，形成“管理、技术、运营”三个体系相辅相成的整体解决方案，进而根据规划方案，结合现状、工作难度、风险重要性，分解建设任务，分步推动整体解决方案落地实践。最终建立起以“技术体系、管理体系、运营体系“为核心的数据安全管理链，自上而下，由下往上地形成战略规划、执行落地、改进优化、监督运营的协同及迭代，共同组建成徽商银行的总体安全策略。

01全面评估数据安全现状

本次评估主要以个人敏感信息为主，参考《金融数据安全数据生命周期安全规范（JR/T 0223—2021）》及2021年底发布的《金融数据安全 数据安全评估规范（征求意见稿）》，评估范围主要包含数据安全管理（S1）、数据安全保护（S2）、数据安全运维（S3）三方面内容，涵盖了数据安全的组织架构、制度建设、分类分级、全生命周期管理、技术工具情况、访问控制情况、安全监测情况、安全审计情况、边界管控情况及应急响应与事件处置。为了评估有效落地，针对数据安全全生命周期管理，通过前期调研分析，选取行内60多个典型系统作为重点，通过与相关业务人员及开发人员访谈、旁站验证技术工具功能及查验管理制度资料等手段，力求最大程度了解行内整体现状。

02识别数据资产，完善制度体系

敏感数据发现及数据分类分级是数据安全管控落地的前期及基础。通过敏感数据识别及分类分级平台的建设，按照《JR/T0197-2020金融数据安全数据安全分级指南》要求，形成数据分类分级模板，实现对数据的快速分类，建立统一、准确、完善的数据架构基础，实现集中化、专业化、标准化的数据管理，并全面厘清数据资产，对数据资产实现规范化管理。数据分级有助于徽商银行根据数据的不同级别，确定数据在其生命周期的各个环节采取的数据安全防护策略和管控措施，进而提高机构的数据管理和安全防护水平，确保数据的完整性、保密性和可用性。梳理徽商银行现有的组织架构及规章制度情况，依据评估发现风险，结合行内现状，针对行内落地管控措施进行完善，形成了覆盖数据安全管理、数据安全防护、数据安全运维三方面的可落地制度规范。主要内容包含数据安全场景评估规范、数据安全自查表、信息系统权限管理细则、数据安全生命周期管理规范、分类分级操作指南、数据脱敏技术规范、数据安全事件应急预案等，形成了覆盖制度、规范、细则、操作指南的全方位数据安全管理制度体系。 

03针对不同场景的防护技术规划

在数据应用场景上，对典型的监管报送、系统数据交互、用户访问、安全用数、存储安全、安全运维等进行有针对性的数据安全规划。在场景中数据的全生命周期环节，结合管理策略与技术工具给出合理化、可落地的建设意见，充分发挥事前预防、事中管控，事后审计的策略，保障数据使用安全。

04全面规划数据安全体系

重点围绕实现徽商银行数据安全治理体系建设规划管理体系、技术体系和运营体系。

在安全管理体系上，包含组织架构、制度建设、人员管理、合作管理、技术管理等，目前徽商银行已经搭建了数据安全管理组织架构，并颁布了高层级的数据安全管理制度。本次规划结合数据安全管理现状及数据安全技术现状，基于可落地、可执行的原则，健全、完善实施细则方案，并结合技术体系建设路线，制定后期的完善计划。

在技术防护体系上，围绕终端安全、网络安全、应用安全、数据安全等层面，基于IPDR能力框架，从数据资产识别、数据安全防护、数据安全响应处置到数据溯源进行合规性全面的建设和加固，对现有数据安全措施，经过风险评估，综合考虑技术成熟度、实际管控效果、后续扩展性、建设成本等情况进行利旧或优化，对当前尚未建设的部分，提出相应的建设方案。

在安全运营体系上，规划建立数据安全监测预警与处置中心，将数据资产管理、数据分类分级、合规管控、数据风险监测与响应处置等结合为一体，形成数据安全闭环。通过将数据安全生命周期中相关的安全设备和平台进行整合，配合行内数据安全管理制度和规范，构建基于数据感知、安全合规、事件稽核、风险感知四个维度的运营管控体系，实现数据资产管理、合规指标策略下发、事件稽核处理、数据流转监测、风险分析监测的常态化持续运营体系。

在落地实施建议中通过风险等级、建设难易、业务需求和实际情况对规划建设内容进行排序，进行分布建设、逐步完善，最终实现一体化运营的效果。

数据安全进入快速迭代、迅猛发展的新时代，商业银行在数字化转型的的浪潮中，只有不断汲取能量加强数据安全管理，提升数据安全防护能力，才能确保数字化转型的成功，勇立于数字化时代的潮头。