蔣瓊-后疫情時代券商數據安全體系的實踐與展望（24頁）.pdf

1、后疫情時代券商數據安全體系的實踐與展望中銀證券 蔣瓊1政策與法規4063.79事件占比數據量占比中國信息安全數據泄露占比（中國信息安全數據泄露占比（TOP10）中國信息安全數據占比單位：%01010303050502020404兩高司法解釋刑法個人信息保護法數據安全法網絡安全法消費者權益保護法法律：法律：人民銀行執法案例行業標準金融科技風險排查金融數據分級分類司長：基于API模式的開放銀行已成為引領商業銀行數字化轉型升級人民銀行監管：人民銀行監管：App檢測和通報App行業備案與認證四部委四部委：證券法“自證清白”信息技術管理辦法證券行業事件報告與調查制度中的自證充分盡職要求證監會監管證監會監

2、管：互聯網公司API漏洞泄露事件，涉及2億數據暗網販賣開戶/簽單客戶被騷擾和同行惡意競爭電信大數據營銷騷擾詐騙、殺豬盤開放銀行新挑戰：數據、網絡和業務風險風險與事件：風險與事件：證券行業信息技術監管指引發展2差距與實踐1數據保護-數據泄露防護體系管理體系制定數據保護管理制度制定日常數據安全檢查辦法制定數據泄露審計辦法責任體系制定持續性保密意識宣傳、培訓計劃進行普通員工和高級管理層的信息安全保密意識培訓Work systematically To be effective,things have to be organised in a suitable/practical way and sh

3、ould be done in a certain sequence系統地工作 為了有效，事情必須按合適的/實際的方法進行組織，并以一定的順序完成體系、系統化和管理體系System-Set of interrelated or interacting elements體系-一系列相關或相互作用的元素Management system system to establish policy and objectivesand to achieve those objectives 管理體系體系是建立方針和目標，并達成這些目標1 傳統安全架構 邊界清晰，護城河式的管理理念-木桶原理2 零信任安全管理

4、架構 資源的集中管控-基于策略管理 零信任、細粒度權限管理等“正向建設”高度依賴于企業架構成熟度，周期長且需要高層領導力支持，持續地、基于分級分類（固有風險）和實際內、外部威脅的數據訪問和泄露事件監控與快速響應，將是安全職能的主營業務之一。威脅在哪？超過85的安全威脅來自公司內部：企業員工，駐廠外包人員，實習生，外協方 信息安全的高危時刻：如電腦維修或變更、新入職/離職/開除員工、外包人員的進離場之際、新樣品泄密的發生往往只在不經意的一瞬那！IT外包業的信息安全n 來自不同客戶的特殊要求n 行業及上市公司的要求n 客戶信息、項目文檔、源代碼、標書等的機密性n 重要IT系統的可用性，如郵件服務器

5、、源代碼、數據庫服 務器、配置庫服務器等。n 所有儲存重要信息系統服務器的授權 訪問及權限定期評審，完整性的要求n 其它如人員、軟件版本有效性零信任應用訪問網關模型零信任應用授權流程零信任架構應用場景實踐3持續與展望1 1、識別法律法規依據：、識別法律法規依據：導致入刑、法律義務、行政處罰、影響監管評級、事件后監管措施、法規中實質條款、組織責任、關鍵控制措施要求以及可被監管措施引用的建議性標準2 2、確立核心工作邏輯：、確立核心工作邏輯：先自證合規，再保障結果3 3、聚焦核心風險：、聚焦核心風險：篩選優先成效和監管執法案例領域4 4、治理、組織與團隊：、治理、組織與團隊：先建職能和團隊，再尋找

6、確立組織責任的機會5 5、項目（群）持續迭代：、項目（群）持續迭代：確立主線職能和能力方向后，項目群對齊職能能力建設，小步快跑6 6、運營驅動平臺效能和戰斗力：、運營驅動平臺效能和戰斗力：打勝仗是原則，既要有裝備，更要有常態化戰斗力有效的BCM程序能夠實現的益處 關鍵的數據資產被系統性識別并保護 有效響應的數據安全事件管理能力 可靠可持續的供應鏈管理 保護企業聲譽風險 有能力管理不被保險的風險 縱深縮小后的平衡留待思考留待思考整體規劃、重點突破、分步實施、協調發展方向的選擇：最急需的 最重要的 快速見效的相輔相成的人員，流程，技術形成閉環的事前，事中，事后 關于我關于我本次分享本次分享18年信

7、息安全和科技風險管理從業經驗，熟悉國內、外銀行、證券業大安全環境、生態與實踐。國內第一批CISA，DPO。在信息系統安全審計、數據安全管理實踐等方面具備豐富經驗。曾任中和軟件后臺合規性檢查系統高級工程師、負責人。中銀證券ISG參賽團隊論文答辯演講核心成員。民主建國會上海市委信息工作委員會班子成員。作為在信息科技安全領域長期浸潤的女性，既有理工科專業人的嚴謹理性，也有善于總結思考，堅持推動發展的理想主義情懷。果敢、勇氣、執著、從容，持續致力于金融證券行業IT治理與安全管理體系的建設與提升。數據安全體系很龐大，法律法規環境持續變化，實現個人信息保護的結果依賴多個領域安全的管理與技術效能、效果思考和梳理一個職能建設邏輯和優先級23知所從來，思所將往知所從來，思所將往12/4/2020感謝聆聽感謝聆聽