风险网络安全管理办法/网络安全风险-入门白帽子指南

风险网络安全管理办法/网络安全风险-入门白帽子指南

一、引言

为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规，推动建立我市网络数据安全风险评估机制，提升全市数据安全防护能力和水平，2023年8月至12月，市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组，组织开展了网络数据安全风险评估试点工作，遴选出一批试点优秀单位和试点优秀案例。

今天分享海通证券股份有限公司试点工作经验，供大家学习参考。

二、试点优秀单位工作经验

数据安全探索与实践——风险评估与安全建设的双向提升

在数字化浪潮的推动下，数据安全已成为企业发展不可忽视的一环。传统数据安全建设往往由合规或事件驱动，缺乏对数据安全的全局视角，安全体系有效性也缺乏验证。而数据安全风险评估则是一个较好的切入点，可以弥补传统数据安全建设的不足，发现安全管理和技术体系中存在的薄弱点。通过本次数据安全风险评估，既帮我们发现了安全隐患，也让我们对自身数据安全管理和技术体系有了一次重新的审视，并开始探索风险评估与安全建设双向提升的可能，在此总结了以下几点经验。

（一）建立评估工作机制

数据安全工作涉及多部门沟通协作，在评估工作之初，确定牵头部门建立工作机制尤为重要。本次评估工作公司领导高度重视，明确了由网络和信息安全领导小组办公室及数据治理工作办公室为领导机构，成立由数据中心、运营中心、各业务和数据处理部门共同组建的数据安全风险评估工作小组；形成由安全部门牵头、数据治理部门协助，各业务和数据处理部门协同配合的工作模式；同时定期召开专题会议，跟踪评估进度，审议评估问题，保障评估工作顺利开展。在公司领导的积极推动和整体工作机制的保障下，相关工作得以突破部门沟通壁垒，在多部门内得到快速反馈和落实，并为后续在公司内部常态化开展相关数据安全风险评估工作建立了良好的基础。

建立工作机制可以为数据安全风险评估提供过程保障，但想要真正做好评估工作则与日常的安全建设紧密相关。风险评估结果可以作为安全建设的依据促进安全水位提升，而安全建设的成果又能使评估过程优化，提升评估的效率和质量。两者之间相辅相成，密不可分。

（二）建设数据安全管理体系

1、明确数据安全组织架构

为有效落实数据安全工作，压实数据安全工作责任制。公司确立了包括决策层、管理层、执行层和监督层在内的多层数据安全组织架构。决策层包括以董事长和总经理为组长的网络和信息安全领导小组以及以CIO为主任的信息技术治理委员会；管理层包括下设的网络和信息安全领导小组办公室及数据治理办公室；执行层包括各部门、分子公司相关负责人；监督层包括公司稽核部门。通过上述组织架构的设置，构建了一个由“一把手”牵头，多部门协同的数据安全组织架构体系。

同时公司也明确了个人信息保护组织架构，由数据治理办公室负责个人信息保护相关工作，下设个人信息保护专项工作组，具体负责公司个人信息保护工作的执行落实。由公司负责个人信息保护的分管领导担任公司个人信息保护负责人。同时建立了个人信息影响评估机制，从系统上线需求审核、系统使用控制以及应用端使用情况等多方面，对个人信息保护执行情况进行核查。

2、建立数据安全制度体系

公司管理层依据公司根据国家法律法规、行业标准规范，结合公司实际要求，发布了一系列数据安全管理制度，形成了以《数据安全管理办法》为纲领，《数据分类分级管理办法》《数据生命周期安全规范》《个人信息和隐私安全保护管理办法》《网络安全事件应急预案》等为指导性管理办法，各相关部门制定部门内部管理细则的多层制度体系。

3、牢抓数据安全意识培训

为加强员工数据安全意识，公司会定期组织开展专题培训。充分利用微信公众号、学习平台、电子广告屏等多种宣传媒介，采用线上线下、动态静态宣传相结合方式。通过邮件推送电子图说、摆放知识宣导易拉宝、发放宣传手册、轮播宣传视频、开展培训讲座、举办知识竞赛等多元化的培训手段，面向全体员工开展立体化、多层次的数据安全主题培训，有效提升员工数据安全意识。

（三）强化数据安全技术体系

1、优化数据资产管理

公司内部业务系统众多，数据资产庞杂，想要切实落地资产梳理和分类分级工作，只依赖人工进行是难以完成的。通过技术平台建设，可以有效减少数据资产管理盲点，提升分类分级工作效率和质量。本次评估，面对数据平台海量数据，依托于公司自建的数据资产管理和分类分级平台快速完成了数据资产调研工作。

公司自研了“e海智数”数据资产管理系统，将组织内部的数据进行汇总，已囊括了公司内部130余个业务系统，形成了规模庞大的数据资产网。该系统与多套内部管理系统关联，多维度富化数据资产信息，同时具备自动识别敏感信息并对个人信息等字段进行标记的能力。通过该系统完成了数据资产的统一管理和梳理，实现了数据的可问、可查、可见、可用和好用。让全公司更深入地参与数据治理工作，提升数据的应用广度和深度。

同时公司依据《证券期货业数据分类分级指引》，制定并发布了《分类分级管理办法》。同时为满足分类分级工作落地需要，公司自建了数据分类分级管理平台，对数据分类分级信息进行统一管理。平台具有数据分类框架、数据定级规则、数据分类分级清单等功能，支撑了业务系统敏感数据自动识别等日常维护工作，提供了数据分类分级的展示、查询和管理服务。

2、落实风险控制措施

数据资产梳理和分类分级是数据安全工作的基础，在此基础上需要对不同级别的数据资产落实对应的技术防护措施。以分类分级结果为依据，结合数据加密、脱敏、防泄漏等技术手段，在数据的存储、传输、使用、加工、共享、销毁等各个阶段加以应用，切实落地数据安全技术防护措施。

根据本次试点工作的问题项，我们结合数据平台现状开展了风险项整改工作。一是数据安全访问管理系统建设，通过该系统可以实现权限管理、动态脱敏、操作审计功能，使得业务人员查看敏感数据时有完善的脱敏规则和管控机制，极大的减少数据泄露风险；二是为解决大数据平台海量数据场景下数据备份难的问题，经多方调研和评估，决定采取迭代优化策略，根据实际情况对可预见的几种安全事件发生场景进行评估，制定适合公司当前数据平台的备份方案。

（四）总结

近年来，公司积极践行金融国企的职责担当，在集团层面不断深化网络安全和数据安全工作。通过本次网络数据安全风险评估试点工作，帮助我们发现薄弱和不足，增长落地的经验，是对自身数据安全工作很好的检验。在日后的工作中，我们将进一步加强风险评估与日常数据安全工作的结合，全面提升数据安全整体能力。

~

网络安全学习，我们一起交流

~