国信证券 | 面向个人客户信息保护的数据安全治理体系建设 - 新鲜讯息

随着数据成为数字经济发展的核心生产要素，数据安全成为事关国家安全与经济社会发展的重大问题。在国家顶层战略引导下，数据安全相关法律法规相继发布实施。企业如何在生产经营中落实数据安全成为一个重要课题，国信证券做出了自己的探索，并已收录于。

背景

随着“数据驱动业务”成为共识，各种新兴技术如云计算、人工智能、区块链、联邦学习快速发展，对数据价值的挖掘成为双刃剑，个人客户信息等重要数据信息化后，既可以得到快速、便捷、有效的利用，也面临着被非法收集、窃取、泄露、篡改、破坏等风险。

2021年以来，《数据安全法》、《个人信息保护法》、新版《网络安全审查办法》相继出台，国家法规、行业监管和规范指引多个层面明确提出应建立数据分类分级保护制度，压实企业数据安全责任。

为落实数据安全保护和个人信息保护义务，保证数据在业务中的合规使用及流转，国信证券开展了数据安全治理项目。项目以个人客户数据为切入点，建设数据安全治理体系，对数据资产开展分类分级管理、风险评估，建设覆盖数据全生命周期的安全管理制度和技术防护体系。

项目介绍

1. 数据安全治理框架

数据安全治理是一个持续性的工作，需要分阶段从管理、技术和运营三个方面建立有效的数据安全治理体系，推动内外部数据的合规使用、有序开放和共享。国信证券以交易类重要系统的个人客户数据为中心，自上而下搭建公司数据安全的管理、技术和运营体系，并贯穿数据的采集、存储、传输、使用、共享、销毁全生命周期。

数据安全管理体系包括数据安全战略、组织架构、制度规范。数据安全战略指明了企业数据安全工作的愿景、目标、规划、和工作框架，是开展数据安全工作的纲领，也是数据安全的顶层设计工作。

基于自上而下、统筹管理的思路，国信证券在前期数据治理工作开展中已经成立了决策层、管理层、执行层三层治理组织架构，本次数据安全治理项目也沿用该组织架构。

基于数据安全战略和组织架构，将数据安全管理制度分为三级，分别是数据安全总则、管理办法和各项细则。数据安全管理总则与数据安全战略相契合，是通过决策层审定的数据安全工作的指导文件。数据安全管理办法明确了数据安全的组织与人员、数据确权、各生命周期的保护策略、应急响应、监控预警、审计评估、培训宣导等制度。数据安全各项细则属于流程规范性文件，偏向流程落地和操作指引，包括数据分类分级模板、敏感数据申请流程、数据安全事件响应工单等流程模板和表单文件。