1、后疫情时代券商数据安全体系的实践与展望中银证券 蒋琼1政策与法规4063.79事件占比数据量占比中国信息安全数据泄露占比（中国信息安全数据泄露占比（TOP10）中国信息安全数据占比单位：%002020404两高司法解释刑法个人信息保护法数据安全法网络安全法消费者权益保护法法律：法律：人民银行执法案例行业标准金融科技风险排查金融数据分级分类司长：基于API模式的开放银行已成为引领商业银行数字化转型升级人民银行监管：人民银行监管：App检测和通报App行业备案与认证四部委四部委：证券法“自证清白”信息技术管理办法证券行业事件报告与调查制度中的自证充分尽职要求证监会监管证监会监

2、管：互联网公司API漏洞泄露事件，涉及2亿数据暗网贩卖开户/签单客户被骚扰和同行恶意竞争电信大数据营销骚扰诈骗、杀猪盘开放银行新挑战：数据、网络和业务风险风险与事件：风险与事件：证券行业信息技术监管指引发展2差距与实践1数据保护-数据泄露防护体系管理体系制定数据保护管理制度制定日常数据安全检查办法制定数据泄露审计办法责任体系制定持续性保密意识宣传、培训计划进行普通员工和高级管理层的信息安全保密意识培训Work systematically To be effective,things have to be organised in a suitable/practical way and sh

3、ould be done in a certain sequence系统地工作 为了有效，事情必须按合适的/实际的方法进行组织，并以一定的顺序完成体系、系统化和管理体系System-Set of interrelated or interacting elements体系-一系列相关或相互作用的元素Management system system to establish policy and objectivesand to achieve those objectives 管理体系体系是建立方针和目标，并达成这些目标1 传统安全架构 边界清晰，护城河式的管理理念-木桶原理2 零信任安全管理

4、架构 资源的集中管控-基于策略管理 零信任、细粒度权限管理等“正向建设”高度依赖于企业架构成熟度，周期长且需要高层领导力支持，持续地、基于分级分类（固有风险）和实际内、外部威胁的数据访问和泄露事件监控与快速响应，将是安全职能的主营业务之一。威胁在哪？超过85的安全威胁来自公司内部：企业员工，驻厂外包人员，实习生，外协方 信息安全的高危时刻：如电脑维修或变更、新入职/离职/开除员工、外包人员的进离场之际、新样品泄密的发生往往只在不经意的一瞬那！IT外包业的信息安全n 来自不同客户的特殊要求n 行业及上市公司的要求n 客户信息、项目文档、源代码、标书等的机密性n 重要IT系统的可用性，如邮件服务器

5、、源代码、数据库服 务器、配置库服务器等。n 所有储存重要信息系统服务器的授权 访问及权限定期评审，完整性的要求n 其它如人员、软件版本有效性零信任应用访问网关模型零信任应用授权流程零信任架构应用场景实践3持续与展望1 1、识别法律法规依据：、识别法律法规依据：导致入刑、法律义务、行政处罚、影响监管评级、事件后监管措施、法规中实质条款、组织责任、关键控制措施要求以及可被监管措施引用的建议性标准2 2、确立核心工作逻辑：、确立核心工作逻辑：先自证合规，再保障结果3 3、聚焦核心风险：、聚焦核心风险：筛选优先成效和监管执法案例领域4 4、治理、组织与团队：、治理、组织与团队：先建职能和团队，再寻找

6、确立组织责任的机会5 5、项目（群）持续迭代：、项目（群）持续迭代：确立主线职能和能力方向后，项目群对齐职能能力建设，小步快跑6 6、运营驱动平台效能和战斗力：、运营驱动平台效能和战斗力：打胜仗是原则，既要有装备，更要有常态化战斗力有效的BCM程序能够实现的益处 关键的数据资产被系统性识别并保护 有效响应的数据安全事件管理能力 可靠可持续的供应链管理 保护企业声誉风险 有能力管理不被保险的风险 纵深缩小后的平衡留待思考留待思考整体规划、重点突破、分步实施、协调发展方向的选择：最急需的 最重要的 快速见效的相辅相成的人员，流程，技术形成闭环的事前，事中，事后 关于我关于我本次分享本次分享18年信

7、息安全和科技风险管理从业经验，熟悉国内、外银行、证券业大安全环境、生态与实践。国内第一批CISA，DPO。在信息系统安全审计、数据安全管理实践等方面具备丰富经验。曾任中和软件后台合规性检查系统高级工程师、负责人。中银证券ISG参赛团队论文答辩演讲核心成员。民主建国会上海市委信息工作委员会班子成员。作为在信息科技安全领域长期浸润的女性，既有理工科专业人的严谨理性，也有善于总结思考，坚持推动发展的理想主义情怀。果敢、勇气、执着、从容，持续致力于金融证券行业IT治理与安全管理体系的建设与提升。数据安全体系很庞大，法律法规环境持续变化，实现个人信息保护的结果依赖多个领域安全的管理与技术效能、效果思考和梳理一个职能建设逻辑和优先级23知所从来，思所将往知所从来，思所将往12/4/2020感谢聆听感谢聆听