动态网站开发教程 表单程序/优化设计卷子答案
夯实银行数据安全,需“规划先行、谋定后动”,首要工作是确立管理工作的行动纲要,并据此建立制度保障体系以贯彻纲要,而后才是具体的行动措施和日常检查、监测。从银行数据安全建设实践路径来说,我认为可以用“盘现状、订总纲、建细则、贯行动”这十二个字来概括。
——东台农商银行信息科技部总经理 王劲松
在数据安全日益升级趋势下,一场加强数据安全保障能力的行动在银行全面铺开。
江苏东台农商银行与美创科技携手,在数据安全治理方向先行先试充分探索,统筹建立面向所有业务岗的数据安全管理体系和流程规范要求,充分发挥行内监督管理作用,取得保障业务开展与数据安全之间的平衡状态,该项目曾获得“2022金融业信息安全建设突出贡献奖”。
近日,数世咨询与东台农商银行信息科技部总经理王劲松,开启了一场关于“数据安全”的对话。
以下为对话实录:
Q1:我国强化数据合规监管已是势在必行,尤其在金融业,银保监会连续两年将数据安全管理问题列为“1号罚单”的主要处罚依据。对此,您怎么看待数据安全?东台农商行的应对思路是什么?
王劲松:夯实信息安全管理工作,我行的一贯思路是“规划先行、谋定后动”,首要工作是确立管理工作的行动纲要,并据此建立制度保障体系以贯彻纲要,而后才是具体的行动措施和日常检查、监测。对于我行的数据安全管理建设来说亦是如此,落实数据安全,其首要在于如何能够确保数据资产清晰化、风险监测常态化、安全工作流程化等。
其次,按照银行业“三道防线”的思想,我们也对两法进行了深度的解读,从数据安全保护义务来看,既有一道防线的自我约束性诉求,更多有二道防线履行数据安全组织及人员的保障、风险评估及风险监测、安全防护以及检查监督等尽责性控制的要求。而且总体来看二道防线在数据安全和个人信息保护中更显主要地位。因此要求我们科技部主动建立数据安全管理及教育机制,主动寻求数据安全管理和技术技能的提升,同时还要履行好全行数据安全意识和流程规范等宣贯教育的职责。
信息安全工作是一项“三分技术、七分管理”的工程。为符合数据合规监管要求以及满足金融数据安全风险管控的诉求,东台农商行的数据安全和个人信息保护工作离不开来自一线业务的深度参与,为此建立一套为东台农商行量身打造、使用业务实际的数据安全管理工作机制尤为重要。
正是在这样的背景下,我行多番交流比选后决定携手美创科技,于2022年正式启动以健全数据安全管理制度保障体系为核心的数据安全一期建设项目,在通过针对全行详尽的数据安全与制度管理流程的现状评估、排查,调研,风险定性分析等基础上,实现全行的数据安全管理体系制度框架的出台与落地。
Q2:那么,东台农商行如何进行建设规划的?
王劲松:从建设规划路径来说,我认为可以用“盘现状、订总纲、建细则、贯行动”这十二个字来概括,其中:
盘现状:关于这点,我们没有直接开始内部盘点,而是先是对社会上和行业内的数据安全建设普遍情况做了了解,期望能够厘清主要矛盾以便更有针对性地指导工作开展,因此也发现了这样一个普遍规律:
缺乏体系的数据安全管理保障机制,数据合规管理存在较大“盲区”;
缺乏有效的数据安全建设保障机制,多为点对点式的安全建设之路,常疲于应付;
缺乏明晰的数据安全组织保障机制,数据安全建设工作难以有效开展和快速推进;
缺乏数据安全监督管理机制,数据安全的建设工作难以考核、成果无法衡量;
缺乏持续、动态的数据安全风险评估机制,数据安全是否存在风险、是否满足外部合规要求,难以判定。
用这五项作为盘点框架,通过对我行的数据安全工作开展全面的管理现状调研和分析工作、并对既有成效和问题进行深度审视,发现我行在数据安全上亦概莫能外。
订总纲:鉴于上述情况,因此从社会和行业上来看,首要就是确定数据安全和个人信息保护工作的总路线和行动纲要。为此我行以三法的合规要求为红线,以网络安全等级保护和关键信息基础设施安全保护相关要求为基线,以金融行业相关规范要求和数据安全相关国家标准为范本,以江苏省内地方数据安全相关条例和管理办法为指引,制订了符合东台农商行业务管理目标的数据安全和个人信息保护总纲。
建细则:以数据安全和个人信息保护总纲为基准,同步参考DSG、DSMM模型以及CARTA、IPDRR、PDCA实践方法论,我行从组织建设、风险评估、技术保障、教育培训、应急响应等各方面建立健全安全细则规范。其次,鉴于业务应用场景具备多样性,数据安全流程规范也下沉到真实的应用场景,因此我们同时建立了场景化的安全规范,如个人信息处理、数据跨境传输等。
贯行动:良好的制度也是需要贯彻到位才能体现其价值,因此当包括总纲和细则在内的东台农商行数据安全管理制度保障体系建成后,我们所做的第一步就是宣贯教育,从人员的安全意识和制度所要求的安全技能抓起,让本行所有的员工意识到数据安全和个人信息保护与每个人的日常工作息息相关、是每个人履行法律义务,同时也建立了相应覆盖技术防护、应急处置、考核评估及教育培训等全面评价考核清单,落实责任到人,以此提升贯彻落实数据安全管理制度的主动性和行动力。
当然,还有非常重要、也是可能影响制度贯彻效果的技术保障体系的建设与优化工作,我们也是同步启动。首先是梳理了现有的安全技术和产品工具,与制度要求相匹配,当然本着可持续发展的理念,依照“充分利旧”的经济性原则,优先通过加固的方式优化现有技术措施,其次才是通过建设新增的方式来弥补技术措施上的空缺。
以上就是我行在数据安全和个人信息保护工作上的实践路径规划,也是我们科技部的一致行动路线。经过一期的建设,我们目前也处在了“贯行动”的阶段。
Q3:贵行所建立的数据安全管理制度规范能否在这里简要叙述下,让大家能够有更直观的感受?
王劲松:我行的数据安全管理制度并不是完全重新开始,也是在现有的信息安全管理制度体系上进行衍生,故也是遵照ISO/IEC 27001信息安全管理体系框架国际标准进行数据安全管理制度文件结构设计,每类管理文件都将涵盖四个层级,以方针、战略为一级,以制度、办法为二级,以规范、细则为三级,以表单、模板等文件为四级。因此共建立51个制度文件,包括1个一级文件、3个二级文件、11个三级文件、36个四级文件。所有制度均已面向全行发布,目前正在持续的培训宣贯中。
Q4:您认为银行科技部在数据安全管理建设上会面临哪些难点,是否可以为大家提供一些解决这些问题的宝贵经验?
王劲松:数据安全管理制度也好、技术保障措施也罢,因为其所保护对象——即数据的特性,与业务高度耦合,因此与全行所有的部门和人员都息息相关。在制订过程中,业务部门的配合支持至关重要。这就需要我们科技部门与业务部门通力合作,尽可能获得他们的支持。对于数据安全和个人信息保护工作,可根据法律要求,通过建议高层和各部门领导成立数据安全委员会之类的虚拟管理和责任组织的形式将数据安全管理责任上升和泛化。
其次,虽然我们能够通过解读法律法规及政策要求和评估梳理业务的逻辑等一系列措施来满足制度的当下适用性,但任何一个管理制度并不是一成不变的,会随着外部环境和要求的变化、业务逻辑的调整以及制度本身的自我演进而动态变化,也就说我们无法在一开始就完全确定制度内容。因此一级和二级管理文件应尽量抽象,以减少因业务等调整而造成的制度修订频率,具象化的流程规范等应在三级细则以及四级配套表单文件中去落实,如此才可保障制度的当下适用性。
相关文章:
听客户说|东台农商银行:建立健全数据安全管理制度的探索与实践
夯实银行数据安全,需“规划先行、谋定后动”,首要工作是确立管理工作的行动纲要,并据此建立制度保障体系以贯彻纲要,而后才是具体的行动措施和日常检查、监测。从银行数据安全建设实践路径来说,我认为可以用“盘现状、…...
Benchbot环境安装记录
https://github.com/qcr/benchbot 第一次安装这种复合型的环境,包括了各种CUDA/NVIDA驱动、Docker环境、python环境等等。因此,遇到了一大堆的问题,在此记录一下亲测有效的博客: https://zhuanlan.zhihu.com/p/378894743 https:/…...
Barrett模乘与蒙哥马利模乘算法
一、背景 公钥密码学(Public-Key Cryptography, PKC)由Diffie与Hellman于1970年代提出,在现代信息社会中得到了广泛应用。此后基于各种数学困难问题,越来越多的公钥密码算法被设计出来,比如RSA、ElGamal、椭圆曲线ECC算法等。在RSA算法中,模幂(modular exponentiation)…...
slice方法
slice方法与splice方法相比slice方法不会修改原数组一、语法以及描述说明:通过start 和 end对原数组进行浅拷贝(提取 start 至 end 索引的数组元素)语法:Array.slice([start[, end])参数:start : 开始索引end : 结束索…...
DevOps工具集合
简介 DevOps(Development和Operations的组合词)是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。 它是一种重视“软件开…...
手把手教你安装Linux!!!
文章目录Linux简述它们的区别安装CentOS①下载CentOS②安装Linux有两种方式③下载模拟软件④安装vmware⑤创建虚拟机⑥安装操作系统Linux简述 在国内比较流行的两款Linux发行版本CentOS和ubuntu 它们的区别 ubuntu:页面更加的华丽比较漂亮,它对计算机…...
图像分割(Unet算法学习笔记)
知识提要 数据集使用VOC2012 CNN 卷积神经网络Convolutional Neural Network GPU图像处理单元Graphic Processing Unit)图形处理器 convolution 卷积 ReLU全名Rectified Linear Unit,意思是修正线性单元 bn全称Batch Normalization批标准化 FC全连接神经网络是一种…...
Fortinet 发布《2022下半年度全球威胁态势研究报告》,七大发现值得关注
全球网络与安全融合领域领导者Fortinet(NASDAQ:FTNT),近日发布《2022 下半年度全球威胁态势研究报告》。报告指出,相对于组织攻击面的不断扩大以及全球威胁态势的持续演进,网络犯罪分子设计、优化技术与战术…...
ThinkPHP 6.1 模板篇之循环和选择标签
本文主要介绍在视图模板中,如何使用循环和选择标签去渲染变量及常用循环和选择标签。 目录 循环标签 foreach 标签 for 标签 volist 标签 选择标签 switch 标签 if 标签 范围标签 原生标签 总结 循环标签 foreach 标签 将查找到的数组或数据集ÿ…...
Jetpack太香了,让开发效率提升了不少
作者:Jingle_zhang 第三方App使用Jetpack等开源框架非常流行,在Gradle文件简单指定即可。然而ROM内置的系统App在源码环境下进行开发,与第三方App脱节严重,采用开源框架的情况并不常见。但如果系统App也集成了Jetpack或第三方框架…...
【软考中级信安】第四章--网络安全体系与网络安全模型
1.网络安全体系概述1.1 网络安全体系概念网络安全体系:是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。1.2 网络安全体系特性整体性:网络安全单元按照一定规则࿰…...
四、GC分析内存调优
文章目录(持续更新中... ...)GC分析&内存调优工具篇JDK自带的工具jconsolejvisualvm第三方工具arthas(重要)jprofiler(收费的)MAT、GChisto、gcviewer、GC Easy(待完善)参数、命…...
如何快速开发一套分布式IM系统
架构说明: 1)CIM 中的各个组件均采用 SpringBoot 构建;2)采用 Netty Google Protocol Buffer 构建底层通信;3)Redis 存放各个客户端的路由信息、账号信息、在线状态等;4)Zookeeper …...
W806|CKLINK LITE|调试|elf文件模板|CSDK|Debug|学习(4):CKLINK调试W806
一、硬件连接 接线方式 (连线颜色供参考,本例中采用图示颜色): 注意:CKLINK LITE的3V3须与W806的3V3相连,或者给W806开发板单独供电,两种方式均可。 否则,会提示“the referenc…...
【100个 Unity实用技能】 ☀️ | 脚本无需挂载到游戏对象上也可执行的方法
Unity 小科普 老规矩,先介绍一下 Unity 的科普小知识: Unity是 实时3D互动内容创作和运营平台 。包括游戏开发、美术、建筑、汽车设计、影视在内的所有创作者,借助 Unity 将创意变成现实。Unity 平台提供一整套完善的软件解决方案ÿ…...
「IT女神勋章」挑战赛#
缓存 本地缓存 本地缓存为了保证线程安全问题,一般使用ConcurrentMap的方式保存在内存之中 分布式缓存。 常见的分布式缓存则有Redis,MongoDB等。 一致性:本地缓存由于数据存储于内存之中,每个实例都有自己的副本,…...
易优cms user 登录注册标签
user 登录注册标签 user 登录注册入口标签 [基础用法] 标签:user 描述:动态显示购物车、登录、注册、退出、会员中心的入口; 用法: {eyou:user typeuserinfo} <div id"{$field.htmlid}"> …...
源码安装Redis 7.0.9并且systemctl管理
以下是在/usr/local/redis中通过源代码安装Redis 7.0.9并将其加入systemctl管理的步骤: 首先,下载Redis 7.0.9源代码包: wget https://download.redis.io/releases/redis-7.0.9.tar.gz解压缩Redis源代码包: tar xzf redis-7.0.9…...
编写程序:有92号和95号汽油可以选择,选择你需要的汽油,并输入需要加油的升数,点击按钮“`计算总价钱`“在div中可以得到你所需要支付的价格
需求: 有92号汽油和95号可以选择,选择你需要的汽油,并输入需要加油的升数,点击按钮"计算总价钱"在div中可以得到你所需要支付的价格。结构如下图所示: 详细代码如下: <!DOCTYPE html> &l…...
参考文献去哪里查找,参考文献标准格式是什么
1、参考文献类型: 普通图书[M]、期刊文章[J]、报纸文章[N]、论文集[C]、学位论 文[D]、报告[R]、标准[s]、专利[P]、数据库[DB]、计算机程序[CP]、电 子公告[EB]、联机网络[OL]、网上期刊[J/OL]、网上电子公告[EB/OL]、其他未 说明文献[z]。…...
WIFI标签操作步骤
1. 打开并设置手机WIFI热点,设置SSID为ESL,密码为123456789(如下图) 2. 运行APP,设置要接入的WIFI名称密码等信息(如下图) 3. 长按背面按键(长按2-3秒),…...
【Hello Linux】命令行解释器
作者:小萌新 专栏:Linux 作者简介:大二学生 希望能和大家一起进步! 本篇博客简介:使用进程的基础知识和进程控制知识做出一个简单的shell程序 命令行解释器介绍搭架子缓冲区获取命令如何从标准输入中获取字符串解析命令…...
开源一个通用的 HTTP 请求前端组件
像 Postman 这样可视化的 HTTP 请求工具是调试 API 不可或缺的利器。Postman 虽好但也越来越重,而且如果要整合到其他工具中,显然 Postman 又不是一个可行的方案。于是我想打造一个简单的前端组件(widget),它是一个标准…...
等保测评机构资质申请条件是什么?个人可以申请吗?
最近看到不少网友在问,等保测评机构资质申请条件是什么?个人可以申请吗?今天我们小编就来给大家详细回答一下。 等保测评机构资质申请条件是什么?个人可以申请吗? 【回答】:首先需要明确一点的是…...
android 卡顿、ANR优化(1)屏幕刷新机制
前言: 本文通过阅读各种文章和源码总结出来的,如有不对,还望指出 目录 正文 基础概念 视觉暂留 逐行扫描 帧 CPU/GPU/Surface: 帧率、刷新率、画面撕裂 画面撕裂 Android屏幕刷新机制的演变 单缓存(And…...
Landsat8中*_MTL.txt文件详解
01 什么是*_MTL.txt文件?所有的Landsat8 1级数据产品中均包含MTL.txt(Metadata File)文件。Landsat MTL文件包含对数据的系统搜索和归档分类有益的信息。该文件还包含关于数据处理和恶对增强陆地卫星数据有重要价值的信息(例如转换为反射率和辐射亮度&am…...
好的提高代码质量的方法有哪些?有什么经验和技巧?
用于确保代码质量的6个高层策略: 1 编写易于理解的代码 考虑如下这段文本。我们有意地使其变得难以理解,因此,不要浪费太多时间去解读。粗略地读一遍,尽可能吸收其中的内容。 〓ts〓取一个碗,我们现在称之为A。取一…...
yum保留安装包
一. 用downloadonly下载 1.1 处理依赖关系自动下载到/tmp/pages目录,pages这个目录会自动创建 yum install --downloadonly --downloaddir/tmp/pages ceph-deploy注意,如果下载的包包含了任何没有满足的依赖关系,yum将会把所有的依赖关系包下…...
ERP系统哪家比较好?
ERP系统哪家好?在选择ERP系统时,我们可以按照这三个维度,然后再按照需求去选择ERP系统。 市面上ERP软件大概可以分为三大类: ① 标准ERP应用:功能比较固定,难以满足个性化需求,二次开发难度很高…...
Python读写mdb文件的实战代码
大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。喜欢通过博客创作的方式对所学的知识进行总结与归纳,不仅形成深入且独到的理…...