数据是组织最重要的资产
案例 | 华泰证券数据安全治理实践

案例 | 华泰证券数据安全治理实践

导读:证券行业是产生和积累数据量最大、数据类型最丰富的领域之一,随着证券行业数字化转型、深化,证券业数据有着更加广泛的应用场景、应用范围,有着更高的应用价值。随着证券业数据的价值日益凸显,数据非法采集、数据贩卖、数据篡改、数据攻击、数据权限滥用等安全问题也层出不穷。如何更加安全地保障企业的数字化转型,降低数据安全风险,释放数据价值,成为了诸多转型企业中的重点工作。


华泰证券数据安全治理建设思路

(1) 厘清数据安全风险,明确安全治理方向面对新形势带来的安全挑战,华泰证券积极应对,从外部攻击风险、内部数据滥用风险、外部渠道数据泄露风险三个方面,厘清当前面临的数据安全风险,梳理的风险点覆盖管理体系、制度流程、技术手段、运营机制四个层面。

面对上述的数据安全风险,华泰证券开展了新一轮的数据安全治理工作。从完善数据安全制度管理体系、建立数据安全风险评估机制、建设分层分级的数据权限管控体系、提升数据安全风险监测和响应能力、强化外部渠道数据泄露跟踪调查能力五个方面着手,全方位保护公司重要数据资产以及客户信息,为公司数字化转型保驾护航。

(2)构建数据安全治理体系,夯实数字化转型基础华泰证券从顶层明确公司数据安全管理战略,强化公司数据安全管理体系,以贯彻国家网络空间安全战略、满足政策合规要求、统筹全体系数据安全为目标,推进公司整体安全管控水平不断提升,为业务发展保驾护航。

华泰证券以数字化转型战略为指引,以数据安全管理为保障,以技术体系为支撑,建立了覆盖数据全生命周期的企业级数据安全治理体系,如图1所示。

图1 华泰证券数据安全治理体系

华泰证券对标国家行业标准,并结合自身数据安全战略、数据安全管理体系,建立了基于数据全生命周期的数据安全管理三层框架体系,从管控层、技术支撑层、运营层三个维度开展数据全生命周期安全管理工作。

(3)共享行业经验,共建数据安全生态华泰证券作为数据安全推进计划成员单位,积极参与行业数据安全交流,分享数据安全治理经验,参加业界数据安全相关标准建设工作,如参与编写《证券期货业数据安全风险防控 数据分类分级指引》,共同推进行业数据安全生态建设。

华泰证券数据安全治理实践及亮点

华泰证券严格按照国家《数据安全法》《个人信息保护法》等法律法规、行业规范和监管规定落实数据安全相关工作,通过建立健全数据安全管理机制,基于“制度、组织、人员、技术”为核心的管理框架,规范数据处理活动,强化公司经营活动中相关数据处理的合法合规性,从数据安全管理体系、数据安全技术体系、数据安全运营体系等方面推进数据安全治理实践,打造证券行业数据安全治理标杆。

(1)建立规范化的数据安全管理体系华泰证券从数据安全组织架构、数据安全制度体系两个方面开展数据安全治理工作以满足监管要求以及风险管理需要。

组织架构方面,华泰证券建立了完备的数据安全组织架构体系,设立公司数据治理委员会,在经营管理层的领导下,负责统筹和领导数据安全工作;数据治理委员会下辖数据安全与个人信息保护工作小组,由信息技术部门、业务部门、合规风控部门派员参与,多部门协同推进数据安全工作,将数据安全责任落实到每个部门、每个业务、每个系统和每个员工。加强数据安全人才培养,建立起一支具备数据安全管理、数据安全建设、数据安全运营等专业安全能力的自有人才队伍。

制度体系方面,华泰证券深入研究国家关于数据安全、个人信息保护相关的法律法规和标准,结合公司实际情况,建立了公司的数据安全三层制度体系,包括:顶层的公司级数据安全管理办法、围绕数据全生命周期的安全管理规范、以及细化的各类数据安全细则,对数据安全管理职责分工、数据全生命周期安全保护要求、个人信息保护要求、数据安全实施细则等进行了明确,实现对数据全生命周期安全防护保障以及对数据安全管理和运营的支撑。

(2)建设覆盖数据全生命周期的数据安全技术体系华泰证券以防范外部数据窃取、防范内部数据滥用和防范外部渠道泄露为抓手,依托数据安全可视化能力、数据安全运营能力、数据安全平台能力,构建如图2所示的公司数据安全三层技术体系,进一步加强数据安全保护能力,防范信息泄露。

图2 华泰证券数据安全技术体系

数据安全平台能力,基于IPDR框架,部署各类数据安全技术手段,覆盖网络、平台、应用、终端,形成事前、事中、事后的数据安全技术能力,并通过各技术能力组合形成风险识别、安全评估、安全防御、安全监测、安全响应五大服务能力。

数据安全运营能力,包括数据安全管理、能力运营、策略管理、安全事件分析四个方面。数据安全管理方面,通过深度分析各类法律法规和标准,形成数据安全基线和风险矩阵,为能力运营、策略管理和安全事件分析提供指引。能力运营方面,基于数据安全平台能力,开展安全评估、安全监测、安全检测和应急处置。策略管理方面,根据公司数据安全态势,动态调整数据安全管控策略,保障数据安全高效流转。安全事件分析方面,对数据安全告警、数据流转记录、用户行为日志等进行分析溯源,发现数据安全风险。

数据安全可视化能力,基于数据安全平台能力和运营能力,绘制展示公司数据地图、数据流向图,依托态势感知能力展现数据安全风险态势、用户行为画像。

(3)实施精细化的数据安全运营体系华泰证券从风险防范、监控预警、应急处置三个方面,构建“感知风险、看见威胁、抵御攻击”的数据安全运营体系,为公司数字化转型保驾护航。

风险防范,采用“基线化”+“工程化”+“技术化”理念,以法律法规、行业标准、实践指南为切入点,将数据安全评估过程嵌入业务原有生产流程并在早期介入风险管理,降低业务数据安全风险,如图3所示。

图3 数据安全评估基线化方案

监控预警,依托数据安全技术体系,动态监控公司内部数据跨网、跨域、跨实体流转的数据,实时发现数据安全威胁并预警,快速溯源处置安全事件。

应急处置建立数据安全事件应急响应机制,编制应急预案,开展应急演练,确保事件发生后可以快速响应,及时恢复,最大程度上减少损失,并降低事件造成的消极影响。

注:华泰证券凭借自身数据安全治理建设参与中国信息通信研究院组织的首批DSG金融专项评估,成为首家达到三级(目前开放最高等级)的证券企业!

本文转载自微信数据安全推进计划公众号。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注