随着我国各类银行业务的不断发展,不少银行已经在包括纽约、伦敦、法兰克福、巴黎、新加坡、香港等在内的国外城市设立分支机构,这些分支机构需要满足境外对于数据安全的银行业监管要求,也经常接受境外金融监管机构的检查。为了确保自身数据安全管理工作切实满足境内外合规要求,除此之外,国内监管机构也开始重视数据保护工作的开展和落实情况。国内各家银行开始陆续聘请专业机构为其提供数据安全专项评估服务,并出具由注册信息系统审计师(cisa)签署的专项评估报告。
安言咨询作为国内知名的信息安全和it风险管理服务机构,能够为客户提供专业的数据安全评估服务。
在数据安全专项评估实施期间,安言咨询将针对以下领域开展工作:
1. 数据安全专项评估的依据
安言咨询在开展数据安全专项评估前,会识别银行需要满足的数据安全相关外部合规要求,主要包括境内外监管机构发布的监管要求、gdpr(欧盟通用数据保护规则)、nist800相关要求、iso27001等相关内容。
2. 数据安全治理评估
在数据安全治理评估方面,安言咨询重点关注银行内部的数据安全治理架构,包括全行层面的数据安全治理组织架构、数据安全治理职责分配、数据安全治理相关策略制度的制定和发布等内容。
3. 数据分类分级标准及保护要求制定
在此阶段,安言咨询将关注银行内部的数据分类分级标准以及各类别、各级别数据的具体保护策略和保护要求制定情况。重点围绕数据分类分级标准的全面性、适用性、可执行性以及各类保护要求的合规性、全面性以及可操作性进行分析。
4. 数据全生命周期管控评估
在此阶段,安言咨询将识别银行内部的各类业务场景,重点关注数据从生成/收集、存储、传输、处理、销毁等涵盖数据全生命周期各阶段的安全保护措施,验证数据分级保护措施的落实情况,并最终据此编写数据安全专项评估报告。