一、项目背景及目标

近年来，以习近平同志为核心的党中央坚持从发展中国特色社会主义、实现中华民族伟大复兴中国梦的战略高度，系统部署和全面推进网络安全和信息化工作。为落实习总书记精神，国家已经出台了一系列法律法规和监管政策持续完善网络空间安全体系。2017年《中华人民共和国网络安全法》正式施行，2021年《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》相继出台，正式宣告了网络安全与数据合规领域“铁三角”的诞生。

可预见的是，网络安全监管将面临着更加严格化、体系化的管理要求，违反将可能导致业务暂停。2021年，因信息安全违规，国内一批互联网APP被下架，无不说明了持续强化信息安全管理，严格落实管控责任，坚守合规底线，是企业可持续发展的必要条件。

平安信托致力于构建智慧信息安全生态体系，坚守合规，树立行业安全标杆，引领行业安全发展，助力行业金融创新。

整体规划，从组织、制度、技术、运行、监督五大方面建立健全信息安全管控体系。组织体系上，压实责任，遵循“三道防线”原则，坚持一把手负责制。制度体系上，守好底线，满足法律法规、监管政策、国家标准、行业自律公约等要求。技术体系上，逐步进阶，具备信息安全技术特性能力，实现各层面纵深防御和控制管理。运营体系上，安全前置，安全控制融入企业经营和系统全生命周期，具备应急响应能力。监督体系上，强化监督，充分利用内外部资源实施审计。

从全局视角加强隐私数据的全生命周期管理，分类实施，重点聚焦隐私数据使用管理和风险监测。通过信息系统前端展示脱敏，强化敏感数据查阅和使用。通过数据库存储加密，防范人员操作风险及网络威胁攻击。通过信息系统敏感页面日志标准化，对敏感数据使用行为实施监督监测。强化涉外数据报备审核和外发管控，防范合规风险。

智能运营，打造一批隐私数据安全管控系统，将制度建立在流程上、流程建立在系统中。通过建设SDLC软件安全开发支持系统，将SDLC安全开发理念嵌入到信息系统开发流程中，将传统的线下管控措施转为线上管控。通过数据资产管理平台，建立数据字典和数据集市，统一数据标准，从源头管理元数据，收缩敏感数据使用范围。通过建设敏感数据查询平台，避免直连数据库查询敏感数据。通过建设智能风险预警平台，利用个体行为分析（UEBA）的AI技术，施行先知、先决、先行，强化事前风险预警处置和事中风险控制。

拓展交流，积极以自身为样板开展实践，赋能行业安全生态体系建设。通过课题研究，以理论指导实践。通过技术实践，夯实管控。   

二、创新点

项目方案在信托行业内是一次较大的尝试与创新，对推动和提升行业信息安全水平、保障客户隐私权益有较大的助益，能够形成自己的品牌影响力。

项目方案能够成功，在行业内具有较大的创新意义。其中关于数据库存存储加密实施，目前国内针对数据库存储加密的方案十分有限，包括数据库文件加密、数据库封装加密等，并没有非常好的针对数据库字段和表级的加密方案可供参考和借鉴。在此背景下，平安信托依托集团的科技资源，自研了一套针对表和字段级的数据库存储加密方案，具有非常大的挑战.

项目能够为监管单位强化金融信息安全监管提供参考样例。当前金融监管没有专门针对信托公司的信息安全监管细则，对信托公司信息安全监管要求通常都是参照银行标准执行。如行业能够结合信托业务实际建立信托行业信息安全标准并开展行业推广，对于监管机构后续出台更加适用于信托公司的信息安全监管要求，提升信托公司信息安全监管效率，降低监管成本，促进信托公司业务开展，具有较大的参考价值。

三、项目技术方案

项目规划、实施及有可能涉及到的技术架构、业务模式、商业模式等

1）目标：完善个人信息保护体系，加强客户权益保障，强化合规

2)措施：基于ISO27001框架构建个人信息保护体系，保障客户权益。

3）风险评估：对标法律法规《个人信息保护法》和国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》开展风险评估和差距分析，并开展整改。

4）技术平台：打造智能运营系统，实施数据库存储加密。

①SDLC软件安全开发支持系统。

安全前置，将SDLC安全开发理念嵌入到信息系统开发流程中，从需求规划阶段即介入进行安全管控并延续至信息系统全生命周期流程，将传统的线下管控措施转为线上管控。

②数据资产管控平台。

通过收集业务系统元数据，并对数据进行分类标识，捋清数据之间的关系，产出数据流转图。对数据安全进行统一管控，产出全局的敏感数据分布图、关键岗位涉密雷达图等安全视图。

③敏感数据脱敏查询平台。

在打造数据库查询平台，对查询的敏感数据进行展示脱敏，避免IT运行维护过程中直连数据库查询敏感数据。

④数据库加解密方案。

在梳理完成敏感数据的清单列表后，通过实施五步法即生产数据增量加密、存量数据清洗加密、信息系统切换使用密文、上下游系统切换使用密文、删除明文五个步骤实施数据库存储加密。

⑤智能风险预警平台。

智能风险预警平台集成机器学习模型、系统画像等分析手段，依托不同业务场景，通过规则模型对高危行为进行风险识别、预警，监测输出可疑的风险事件。通过智能AI风控平台从风险内控的方向，有的放矢，价值大化信息安全的投入产出。

5）监督审计：通过强化第三方监督审计，加强敏感数据风险识别和体系完善。平安信托APP于行业内率先通过CCRC移动互联网应用程序认证（2022年5月）。

6）对外拓展：加强外部交流沟通，分享实践经验，赋能行业安全能力提升（2022年6月）。

四、项目过程管理

项目各阶段的实施周期

阶段一（2021.1~2021.3）：全面梳理信息系统中个人信息敏感数据的使用和功能页面，从全局视角规划隐私数据的全生命周期管理。

阶段二（2021.3~2022.12）：分类实施，重点聚焦隐私数据使用管理和风险监测。

2021.3~2022.6:实施涉外数据报备审核和外发管控，防范合规风险。

2021.3~2021.8:实施信息系统前端展示脱敏，强化敏感数据查阅和使用。

2021.6~2021.12:实施信息系统敏感页面日志标准化，对敏感数据使用行为实施监督监测。

2021.3~2022.12:实施数据库存储加密，防范人员操作风险及网络威胁攻击。根据实施方案，本周期分五个阶段。①2021.3~2021.6生产数据增量加密；②2021.6~2021.9存量数据完成清洗；③2021.9~2022.3生产环境使用密文；④2022.3~2022.6上下游系统使用密文；⑤2022.6~2022.12生产环境去除明文。

阶段三（2021~2022年）：智能运营，打造一批隐私数据安全管控系统，将制度建立在流程上、流程建立在系统中。

①建设SDLC软件安全开发支持系统，将SDLC安全开发理念嵌入到信息系统开发流程中，将传统的线下管控措施转为线上管控。

②建设数据资产管理平台，建立数据字典和数据集市，从源头管理元数据，监测敏感数据使用。

③建设敏感数据查询平台，避免直连数据库查询敏感数据。

④建设智能风险预警平台，利用个体行为分析（UEBA）的AI技术，施行先知、先决、先行，强化事前风险预警处置和事中风险控制。

阶段四（2019~2022年）：拓展交流，积极以自身为样板开展实践，赋能行业安全生态体系建设。

持续开展，包括参加行业课题、金融学会课题、全国网络安全大会交流活动等。平安信托APP于2022年5月率先获得信托行业内CCRC移动互联网应用程序安全认证。平安信托于2022年6月发布信托行业首份信息安全白皮书。

五、运营情况

信息安全管理体系平稳运行，未出现重大信息安全风险事件。

2022年,①平安信托APP于2022年5月率先获得信托行业内CCRC移动互联网应用程序安全认证。②平安信托于2022年6月发布信托行业首份信息安全白皮书。③平安信托共申请信息安全专利30余项，均已进入公开阶段。

2021年，①平安信托在工信部下属国家级期刊《网络空间安全》发表信息安全论文2篇，分别为《新形势下金融科技信息安全管理体系研究》、《对于UEBA数据安全内控风险管理的研究》。②课题《关于AI技术在信托公司信息安全合规内控领域的研究》入围深圳经济特区金融学会2021年度重点研究课题名单，并终荣获优秀奖。③联合公安部第三研究所发布《2020~2021金融行业网络安全研究报告》。④参与编纂中国网络安全审查技术与认证中心《网络安全应急管理与技术实践》教科书，并终于2023年3月出版。⑤受邀参加成都网络安全大会，并进行《构建智慧信息安全生态体系，助力行业金融创新》主题分享。⑥受邀参加测评机构DNV举办的深圳隐私安全管理研讨会，并进行主题分享。

六、项目成效

信息科技和信息安全作为中后台支持平台。通过公司数字化转型过程中的信息安全保障，有力的支持了公司业务转型，如家族信托等本源业务对高净值客户的隐私安全保障等。

2022年公司实现营业收入194.48亿元，手续费及佣金净收入103.74亿元，净利润65.27亿元，归属母公司所有者净利润41.56亿元，整体经营业绩保持稳健增长，持续处于行业领先地位。

截至2022年底，公司资产管理总规模达5520亿元，同比增加907亿元，增长率为19.66%，其中，主动管理型信托资产规模较上年增长24.85%， 在整体业务中占比达82.7%。战略业务稳健增长，家族信托、保险金信托、证券投资类信托等业务规模净增长近2000亿元，业务转型取得显著成效。

七、经验总结

信息安全管理不是一蹴而就的工程，要坚持顶层设计，进行持续不断的投入。为保持信息安全体系的有效性，要坚持PDCA原则，通过先管控、后优化，不断健全信息安全管控策略，不断适配企业信息安全管理要求。当前，国家层面正在通过持续立法完善网络安全生态，强化企业内控管理和人民权益保障。为保障行业的健康稳健发展，企业需自强，通过不断探索实践、积极创新，夯实信息安全基础，输出经验。行业需自律，通过强化自律，保障行业的可持续发展。监管需引领，通过积极引领，搭建平台，联动各种资源共建网络安全生态。

网络安全环境，需要依靠企业安全生态、行业安全生态、社会安全生态来共同保障。社会各界能够联防联控，共建标准，共设门槛，才能守护清朗网络环境，共赢未来。