一、完善数据保护组织架构
近年来,伴随着商业竞争的加剧,数据保护工作已经越来越得到企业的重视。随之在市场上已经产生了数据间谍这类职业,他们受雇于某个企业,对其竞争对手的数据进行针对性的窃取。在很多企业也产生了专门的部门或职位来进行单位数据保护工作,可以预见,在不久的将来,这一职位或部门将出现在越来越多的企业中。
数据保护工作涉及到商业银行各个部门及所有业务系统和全行工作人员,因此,数据保护组织的建立过程中应该充分考虑到数据保护工作的系统性,建立完备的组织架构。一般分为决策组织,管理组织,执行组织和审计组织。
决策组织职责主要有根据公司发展战略,结合企业信息安全策略方针,制定符合企业业务发展的数据保护战略方针;并授权指派管理组织开展数据保护工作;对管理组织的工作进行指导和定期检查;对审计组织反馈的问题进行督导问责和解决。
管理组织职责主要有根据企业数据保护战略方针完善企业数据保护管理制度,规划数据保护建设项目;并向决策组织定期汇报数据保护管理工作情况;对执行组织数据保护工作进行检查和指导;配合审计组织的监督和检查。
执行组织负责具体的数据保护技术工作的实施和执行;并定期向管理组织汇报,接受和配合审计组织监督和检查。
审计组织职责主要是对管理组织和执行组织日常数据保护工作进行监督和检查,并将检查结果反馈给决策组织,跟踪审计问题的解决情况等。
二、对数据进行分类分级保护
数据保护和信息系统保护类似,应该分等级,分类别,进行重点保护。如果一味追求大而全,密而精,必然使得数据保护工作的效果难以达到预期。这种保护工作,也不可能得到业务人员或其他部门的支持与认可,自然也就无病而终,不能长期有效的开展下去。
因此,商业银行在开展数据保护工作之前,应当有明确的数据分类依据和数据重要程序分级依据。
识别现有数据
数据识别方法有调研了解,技术手段收集等,一般的,为了数据分级工作的准确性,还需要结访谈调研。步骤如下:
1、 向各部门分发数据收集表,了解各部门日常工作中所涉及的敏感数据类型。
2、访谈各部门,调研了解敏感信息的重要性。
根据数据收集表的内容,进行各部门的针对性访谈,了解其对自己所在部门数据重要程序的分级情况,为后期数据分级定义工作做准备。
3、通过技术手段,按照数据类型进行敏感数据存储分布调研。
依据前两步调研结果,对通过技术手段,对全网的敏感数据进行收集,分析其存储分分布情况,为后期数据保护策略定义提供依据。
进行数据分类
根据数据识别的结果,依据商业银行自己业务特性或自身情况进行数据分类,一般的分类依据有:
1、根据国家标准和监管要求进行数据分类
这种分类方式简单明了,但存在与商业银行自身业务不匹配或不完全匹配的情况,可能全出现分类过大或过小,存在重合或遗漏的情况。
2、参考同行业进行数据分类;
由于行业的相通性,数据分类也有一定的共同性,参考同行业进行数据分类一种简便而又高效的数据分类方式。
3、根据业务部门和管理部门的经验分类
对于业务形式比较独特的商业银行,如涉及到跨国业务,由于不同国家对数据重要程程度的认识和定义上存在区别,需要业务部门和管理部门进行数据分类时也要考虑其特殊性。
数据分类方式没有统一的标准,各商业银行可以选择一种或多种分类方式进行数据分类。但建议在进行数据分类时遵循如下原则,以保护数据分类的合理性,为后期的数据分级工作提供良好的前提保证。
数据分类的原则
1、 科学性原则
分类过程中应当充分考虑数据的业务属性,同时兼顾数据的敏感性级别
2、 实用性原则
数据的类目设置应与商业银行现有的管理和分类相兼容,保证员工的数据分类习惯,降低分类和数据保护的难度。
3、 稳定性原则
在进行数据分类过程中,应当充分考虑未来的拓展需求,使得分类保护兼容和稳定。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。