• 快捷搜索
  • 全站搜索

建立智能灵活的网络安全保障体系

2019-02-20 18:33:55作者:中国建设银行信息技术管理部副总经理 郭汉利编辑:金融咨询网
建设银行将以《网络安全法》及配套法律法规为指引,坚持“穿透性原则”,聚焦数据安全保护本质,持续加大客户个人隐私保护和云安全技术应用,建立更加智能灵活的数据安全保障体系,全面履行保障客户数据安全社会责任。

商业银行既是《中华人民共和国网络安全法》(简称《网络安全法》)的获益者,也是《网络安全法》的坚定贯彻者和实践者。2017年,我们监测发现网络上针对建行的钓鱼欺诈攻击数量五年来首次出现下降趋势,一方面与公安部门开展“侵犯用户个人信息犯罪”专项打击密不可分,同时也说明法律的效力开始显现。

图片7.jpg
中国建设银行信息技术管理部副总经理 郭汉利

  建设银行作为国有大型商业银行,始终坚持安全与发展并重,在贯彻落实《网络安全法》的过程中,夯基础、上水平,以保护客户数据安全和资金账户安全为中心,构建全面的网络安全保障体系。同时积极思考、主动迎接金融科技浪潮带来的新挑战,按照“穿透式原则”聚焦客户数据安全保护本身,推动建立更加智能、灵活、高效的网络安全保障体系。

管理与技术并重,强化数据全生命周期保护

  按照《网络安全法》及网络安全主管部门配套印发的系列制度标准,建设银行坚持管理和技术并重,建立了覆盖数据全生命周期的安全管理体系、安全技术保障机制、网络防欺诈机制,切实保护客户数据和资金账户安全。

  1.完善制度体系,优化内控环境。建设银行建立了信息安全制度重检机制,每年跟踪学习国家网络安全最新制度标准,对照修订行内信息安全管理制度标准,使之能够有效传导落实最新监管要求。按照《网络安全法》以及《国家网络空间安全战略》《网络产品和服务安全审查办法》《国家网络安全事件应急预案》等新要求,建行不断细化自身信息安全管理制度,进一步强化全行在信息安全管理体系、数据安全、运维安全、终端安全、风险通报信息排查与应对等管理要求。在金融数据安全保护方面,遵照国家网络安全等级保护要求,按照信息资产损失、差错或失效对企业、客户及社会的影响,将数据划分为高、中、低三个安全等级,并明确不同安全等级数据的产生、存储、使用、传输、备份、销毁等全生命周期安全保护要求。其中:对于用户密码、密钥、证书、磁条等高安全等级数据必须在系统中加密存储,任何情况下严禁脱离系统生产环境使用;开发测试用数据必须经过工具脱敏、匿名化后方可使用;设立数据应用需求审核岗、合规审核岗、数据操作岗、稽核审计岗,严格执行数据应用的合规审核和安全操作监控,禁止违规查询、下载、复制、保存客户数据信息和重要业务信息。通过明确责任主体、优化工作流程、加强系统机控等措施将制度要求内嵌到全行日常经营活动中,形成了“人人知晓安全、人人重视合规”的企业内控环境。

  2.明示用户告知,透明增进互信。人不信不立、业无信不兴。《网络安全法》倡导