近年来我国在数据安全和个人信息保护方面的法律法规密集出台,尤其是《数据安全法》和《个人信息保护法》的发布,将数据安全的重要性提升到一定高度,数据安全和数据隐私保护成为企业数据应用的合规前提。
企业一旦违法收集和处理个人信息,将面临刑事处罚、民事处罚、行政处罚三重法律责任,导致业务暂缓、资金流失、声誉受损、业绩锐减等负面影响。
沙丘社区通过研究中国工商银行、中国建设银行、平安银行、国信证券、中国铁塔、蔚来汽车、江西联通、中国移动等各行业头部企业数据安全治理实践,旨在为其他企业提供参考。
▎案例1:中国工商银行数据安全平台建设实践
为筑牢数据安全保障防线,中国工商银行搭建数据安全平台,围绕数据全生命周期,实现智能敏感数据识别、动态控权、统一数据脱敏引擎、数据水印溯源以及数据安全监控审计五大核心能力,为行内数据资产管理类应用、各业务系统提供数据安全标准服务,实现数据安全从局部防护到整体防护、从静态防护到动态防护、从单点防护到协同联防。
获取完整版案例,可添加微信号zimu738
▎案例2:平安银行数据安全体系建设实践
为了满足政策合规性要求、有效防护安全风险、有效支撑业务发展,平安银行构建有组织、有纪律、有能力、有章法的数据安全体系,组织层面成立个人信息保护委员会、数据治理工作组、网络与信息安全管理委员会三大类职责,横向联动保障数据安全责任,技术层面构建数据分级分类平台、统一用户授权平台、数据第三方交互评估机制、数据安全研发工程等,支撑数据安全体系落地。
获取完整版案例,可添加微信号zimu738
▎案例3:平安银行数据安全分类分级实践
数据分类分级是展开数据安全工作的基础,如果要对数据进行安全保护,首先需要了解哪些数据是需要重点保护的。平安银行数据安全分类分级工作建设思路分为三步走:
第一,做标签。参考法律法规及金融行业标准,结合平安银行实际情况,梳理形成数据安全分类分级标签体系,先分类、再定级。
第二,打标签。人工打标的准确率高但成本也高,平安银行探索智能化的打标手段,经多轮人工打标训练,运用深度学习等算法模型进行数据安全智能打标,并制定人工复核/确认流程,对智能扫描结果进行复核/确认。
第三,用标签。数据安全分类分级结果正式上架数据资产管理平台,统一全行权威数据安全分类分级服务提供方,多形式支撑全行数据安全全生命周期保护。
获取完整版案例,可添加微信号zimu738
▎案例4:中国建设银行数据安全治理实践
自《数据安全法》和《个人信息保护法》发布以来,建设银行高度重视数据安全治理建设工作,结合国标、行标以及行内的数据安全管理现状,建设银行围绕数据安全“管理、保护、运维”三个方面,明确由17个领域组成的数据安全治理体系,形成覆盖前中后台的安全管理三道防线,协同推进实施安全策略。
数据分类分级是保障数据安全的重要基础,建设银行基于行业标准制定了数据安全分级标准规范,并自主研发数据安全自动化定级模型,通过机器学习等方法实现数据安全等级的自动化初判,目前已初步完成数据湖仓、部门业务系统100余万数据项的自动化定级,并推动总行部门对定级结果进行复核和发布。
获取完整版案例,可添加微信号zimu738
▎案例5:中国建设银行数据访问控制安全平台建设实践
中国建设银行构建较为完备的数据安全防护体系,通过密码服务组件解决数据存储和传输安全,基于数据安全组件、虚拟化终端、终端安全、数据防泄漏、数字水印、数据脱敏、零信任云工作平台等安全组件和服务,实现安全可控的数据使用环境。
为实现更细粒度的数据安全访问控制和动态脱敏能力,建设银行搭建数据访问控制平台,以快速应对业务变化和监管合规、快速落地访问控制需求,以企业级平台的方式,为应用提供基于业务逻辑的细颗粒度隐私数据保护能力。
获取完整版案例,可添加微信号zimu738
▎案例6:国信证券数据安全治理实践
为满足监管要求、提高客户信心、提升业务保障,国信证券开展数据安全治理项目,从时间(数据采集->数据存储->数据传输->数据使用->数据共享->数据销毁)和空间(物理层->网络层->存储层->应用层)两个视角开展数据安全防护工作,数据安全贯穿于数据全生命周期和各个物理边界。
获取完整版案例,可添加微信号zimu738
▎案例7:中国铁塔数据安全治理实践
中国铁塔使用多源异构数据治理技术对各业务信息、安全设备信息等,统一标准化数据接口,实现多源数据归集、数据标准化、数据融合,为数据生命周期安全整合分析提供基础技术。
通过构建一套以“数据安全治理”为起点,以“数据安全运营”为目标,“管理+技术”融合的数据安全体系化建设,在满足国家法律合规的要求下,基于多源数据资产的识别、多源数据安全信息的整合,运用大数据底层架构,建立基于数据生命周期的安全风险模型,完成基于数据重要程度的风险监测和安全处置联动能力,解决中国铁塔数据安全体系建设难题。
获取完整版案例,可添加微信号zimu738
▎案例8:蔚来汽车数据安全保护实践
蔚来汽车在数据安全保护主要面临三类问题,第一,非结构化数据量大且保护难度大;第二数据安全风险面广;第三,数据合规成本高。
· 对于非结构化数据,蔚来汽车构建隐私保护算法,在保证用户隐私的同时满足业务的使用诉求;
· 对于数据安全风险面广的问题,蔚来汽车从业务场景和数据资产两方面进行数据安全风险管控,场景端关注数据怎么用,资产端关注数据从哪儿来,通过核心的应用系统桥梁,将场景和数据连接起来;
· 对于高合规成本,蔚来汽车通过关键要素和流程沉淀知识库,并通过智能技术自动匹配实现知识高效复用,降低合规成本,提高评估效率。
获取完整版案例,可添加微信号zimu738
▎案例9:江西联通数据安全分级分类平台建设实践
为解决数据梳理工作中合规要求多、数据变化快、协同工作难等问题,江西联通构建合规和安全双驱动的数据安全体系,包括三大目标、五大体系、八大场景和十五大产品,具体来看:
• 三大目标:包括数据安全防护、数据监管合规和数据安全流通;
• 五大体系:为了满足以上三大目标,需要五大体系作为支撑、实现有效配合,包括数据安全管理体系、数据安全组织体系、数据安全合规体系、数据安全技术体系和数据安全运营体系;
• 八大场景:数据安全与业务场景和流程息息相关,解决方案需要紧贴场景,目前数据安全体系可满足生产、办公、运维、开发、测试、数据内部共享、数据外部流转、数据出境等业务应用场景。
• 十五大产品:包括两大基础平台、九大能力子系统和四大管理平台。
获取完整版案例,可添加微信号zimu738
▎案例10:中国移动个人信息保护体系建设实践
由于业务场景复杂、涉及角色众多,中国移动个人信息保护工作面临诸多痛点,对此,中国移动参考相关国家标准模型,以“明确红线零容忍、安全发展统筹兼顾、分类分级差异化管控、务实求效形成常态”为原则,从组织机制、管理制度、技术能力、运营机制四个维度建立个人信息保护体系,保证对于各项业务活动中个人信息保护的全面性、规范性和适宜性,保障大数据安全合规有序地为中国移动转型发展助治赋能,同时推动实现数据要素市场化,将中国移动大数据服务能力赋能各行各业。
获取完整版案例,可添加微信号zimu738
