数据安全管理和防护能力体系:筑牢数据安全屏障,护航公司高质量发展
陈业坚/信息科技部
在数字化转型深度推进的今天,数据已经成为企业核心战略资产,贯穿生产经营、决策管理、客户服务全流程。随着人工智能、云计算、大数据等技术的广泛深入应用,数据流通场景也更趋多元,攻击手段愈发智能隐蔽,数据安全风险呈现常态化、复杂化态势。
近年来,我司围绕“三法一条例一办法”,坚持“谁管业务、谁管业务数据、谁管数据安全”原则,基本建立了与业务发展、运营相适应的数据安全治理体系,责任体系、技术框架、管理制度已初步成型。为守护数据资产安全,满足监管安全管理要求,有效保障业务合规有序开展,公司也以保障数据“机密性、完整性、可用性”为核心,全面构建“四层防护”的数据安全基础架构,基本实现数据全生命周期的安全管控。
第一层为组织架构层。公司成立数据安全管理工作组,由总经理挂帅担任组长,统筹推动公司数据安全管理体系规划和建设,明确权责分工与协同机制。建立数据安全责任制,明确董事会对数据安全工作负主体责任,公司总经理为公司数据安全第一责任人,分管信息科技的总经理室成员为公司数据安全直接责任人。
第二层为制度流程层。构建覆盖数据全生命周期的制度体系,确保安全防护有章可循。结合《中华人民共
和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求,制定下发《华安财产保险股份有限公司数据安全管理办法》《华安财产保险股份有限公司数据合作安全管理实施细则》等基础制度规范,将数据划分为核心、重要、敏感、一般四个等级,明确不同级别数据的防护标准;针对数据采集、存储、使用、共享、销毁等关键环节,严格落实“最小必要”的权限管理原则,规范数据访问行为;制定数据安全事件应急预案,明确应急响应流程,定期开展演练,提升风险处置能力;此外,通过建立数据合作安全风险审查机制和流程,按要求落实数据引入、对外提供等数据合作安全审查,履行重要数据合作场景和科技外包监管报备,抓实数据处理“首尾”风险,强化数据合作过程监督与管控。
第三层为技术支撑层。一是数据备份与容灾,搭建数据备份平台及异地容灾中心,通过虚拟磁带库、物理带库实现核心关键数据的在线/离线备份保护,关键业务数据每日准实时同步至灾备中心,有效防范数据丢失风险;二是数据防泄漏与安全管控,部署数据库TDE加密、桌面数据操作管控、终端防病毒+HIDS(主机防护)、数据库运维审计等工具,结合信息系统权限管控,实现数据存储、使用、操作、流转全生命周期的安全防护,防范数据泄漏、损坏等风险;三是敏感数据脱敏处理,覆盖生产、开发测试环境等所有涉及客户敏感数据的系统或平台;四是对承保、理赔、客户信息管理等核心及重要业务系统完成内网https改造,进一步加强数据传输安全性;五是积极预研数据API风险监测、数据防泄漏等技术,加强技术储备和应用转化。
第四层为人员能力层。公司设立专职数据安全岗位,负责统筹全公司数据安全制度的建设与实施执行。岗
位人员均持有工信部“数据安全高级工程师”等专业认证,熟悉相关国家法律法规及行业标准,具备安全事件分析与应急处置的专业能力。此外,为提升员工数据安全意识,防范安全风险,公司也已经建立起常态化网络与数据安全培训机制,定期通过企大平台、软文推送、邮件通知等多种形式,向全体员工持续普及数据安全知识,着力营造“人人重安全、人人守安全”的文化氛围。同时,公司也将数据安全纳入绩效考核体系,建立激励与约束并重的机制,引导员工从“被动遵守”向“主动防范”转变。
截止目前,我司未发生重大数据安全泄露事件,有效保障了业务合规开展与核心数据资产安全。但我们也深知,数据安全防护是一项长期任务,面对持续升级的安全威胁与日益复杂的业务场景,体系建设仍需不断优化。下一步,公司将重点推进三方面工作:一是持续迭代技术防护体系,引入数据防泄漏、数据流转风险监测、数据分类分级智能体等前沿技术,提升安全技术防控能力;二是强化敏感数据安全管理,制定各业务数据操作安全管理细则,以及建立数据对外传输审批管理机制,对涉及敏感级及以上的客户个人、业务数据,在传输、使用、存储、共享、销毁等环节实施严格管控,防范重大数据安全事件风险;三是深化全员安全文化建设,常态化开展培训与演练,不断提升全员安全素养。