客户信息安全防护通知邮件
近日总公司信息技术部收到外部监管部门和公司领导对加强公司客户信息安全防护提出了一系列要求,并内部通报了部分客户个人信息泄露案列。公司总经理殷总对公司明确信息安全责任和加强信息安全防护提出了相关要求,为了将这些要求落实到具体工作中,防止出现客户信息泄露安全责任事故,现就几个客户信息安全防护相关工作与公司各部门进行沟通,请各部门IT联络员及部门领导予以支持。
一、个人信息安全外部监管不断强化趋势
近年来,随着大数据产业的蓬勃发展,金融与信息科技的不断融合,个人信息在新的金融产业链中的应用场景和流转范围逐步突破传统认知,如何在金融业新业态下保护客户的个人信息引发立法和执法部门的关注。
2010年以来,金融监管部门出台一系列的政策新规,还从不同维度开展多项治理活动,使得个人信息保护成为金融业产业链的合规重点问题。
中国人民银行和其他的金融行业监管机构已经在不同的文件中提出了个人金融信息保护的要求:中国银行业监督管理委员会(原)在2010年发布《银行业金融机构外包风险管理指引》、2013年《银行业消费则权益保护工作指引》,中国人民银行2011年《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、2012年《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》、2016年《中国人民银行金融消费则权益保护实施办法》、2019年《个人金融信息(数据)保护实行办法(初稿)》、《中国人民银行金融消费者权益保费实施办法(征求意见稿)》,中国银行保险监督管理委员会2018年《银行业金融机构数据治理指引》,中国互联网金融协会2019年《关于增强个人信息保护意识依法开展业务的通知》。
中国人民银行和全国金融标准化技术委员会于2020年2月发布了《个人金融信息保护技术规范》。主要从安全技术和安全管理两个维度,对收集、传输、使用、存储、共享、删除、销毁等各环节中的个人金融信息保护提出细致的要求。从效力上看,《规范》属于推荐性行业标准,本质上属于对本行业企业在个人金融信息保护方面的建议。但在实践中,不排除《规范》会成为监管机构在监督检查或开展执法活动时的重要参考依据,因此,《规范》对金融企业仍然具有比较强的指导意义。
二、个人金融信息定义及分类分级说明
个人金融信息是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息等7大类。
《个人金融信息保护技术规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。
三、各部门涉及个人信息关键岗位梳理工作
为保障公司合规经营,满足外部监管部门及公司领导对我公司客户信息数据管理的规范要求,信息技术部计划对公司内部涉及《个人金融信息保护技术规范》要求中涉及的客户信息的关键岗位人员信息进行收集,如果各部门日常工作中经常接触、或有不定时提取相关客户信息数据需求以及其他涉及到以上述个人金融信息相关资源的部门工作人员,请大家按照要求填写附件中的《客户信息关键岗位人员反馈表》,并于5月X日(星期X)下班前反馈。
四、信息技术部下一步的工作安排
信息技术部会根据大家反馈的关键岗位人员表,按照之前DLP产品的推广经验,给关键岗位人员分批逐步部署数据安全防护软件,逐步落实公司客户数据安全防护要求。
DLP设备是以统一策略为基础,采用深层内容分析、对静态数据、动态数据及使用中的数据进行即时的识别、监控、保护的成熟网络产品。
信息技术部从2019年3月份开始引入了网络DLP设备,对公司的内网中的敏感数据进行了旁路监控,发现了部分涉及公司企业内部数据传输的问题,设备上线使用起到了较好的警示、预警、审计作用。2019年下半年在公司领导的安排下,信息部扩展了DLP项目的实施范围,引入了终端管理加强了对外包厂商中的日常终端操作、数据传输中可能存在的数据泄露问题进行防护工作,经过半年多的运行,也达到了项目建设初期设计要求。
经过一年多实际测试,DLP网络及终端软件的运行在保障公司数据安全前提下,不会对员工的实际工作产生其他影响。
信息安全事关每个人的切身利益,不容小觑,特别是在使用有关客户个人家庭信息、身份信息等方面更要加强管理,切勿触碰法律底线。
再次感谢各部门对信息技术部工作的理解和支持,让我们一起做好公司客户信息安全防护工作,为公司客户信息数据保驾护航。
信息技术部
2020年5月12日星期二