來源:銀行家雜志
習近平總書記強調,數據基礎制度建設事關國家發展和安全大局,要維護國家數據安全,保護個人信息和商業秘密,促進數據高效流通使用、賦能實體經濟。數據是國家基礎性戰略資源,沒有數據安全就沒有國家安全。近年來,《數字中國建設整體布局規劃》《關于構建數據基礎制度更好發揮數據要素作用的意見》等一系列重磅文件,均對數據安全建設提出明確要求。商業銀行作為數字經濟的積極踐行者,在提供金融產品和服務過程中,積累了海量的數據,促進數據合法利用與高效流通,防范數據泄露濫用誤用風險,亟需加強全方位金融數據信息保護管理與數據安全治理能力提升建設,維護國家安全和金融穩定。
商業銀行數據安全治理面臨的挑戰
國內商業銀行在數據安全治理方面進行了積極的實踐,從組織建設、制度流程、技術工具、人員能力提升等方面初步構建起數據安全治理框架,取得了一定的成績,但仍存在需要進一步提升完善之處。
數據安全治理體系有待健全完善。從組織層面來看,數據安全管理往往由單一部門主導,缺少足夠的頂層支持和業務驅動,難以構建起全面完善的安全治理組織架構和制度規范體系,存在業務、科技、數據等部門工作職責劃分不明確、安全機制難落實等問題。商業銀行亟須建立從決策層到執行層,從管理制度到工具流程支撐,自上而下、貫穿整個組織架構的數據安全治理體系。
數據安全未貫穿數據治理全過程。現有數據治理更多關注數據標準、數據質量、數據模型、數據分布、數據存儲等領域,對數據安全治理的重視程度不夠,未統籌考慮數據安全同數據標準、數據質量、數據模型、數據架構和元數據管理等方面融合。同時,由于端到端數據治理周期長、一致協同難度大、即時價值呈現慢等因素,商業銀行數據治理體系較難匹配不斷變化的數據安全新形勢、新要求,進行持續更新迭代和演進優化。
數據安全管理過程碎片化,整體規劃協同不足。數據安全機制的有效落實需要企業級視角的整體規劃。當前,商業銀行數據安全管理一方面缺乏企業級規劃與思考,在實際操作中往往以解決特定數據安全問題為導向,通過發布補丁的方式完成單一指定整改,缺乏企業級整體視角的協同;另一方面,在進行業務、產品等規劃設計過程中,缺少對數據安全與個人信息隱私保護的內生嵌入考量,導致在規劃設計階段就存在防護能力缺失的隱患,往往需要投入大量資源進行事后改造和補救,極大地增加了研發成本的投入和數據安全治理的難度。
數據安全防護管控存在短板,自動化運營支撐能力不足。數據本身具有多樣性和復雜流動性,且敏感程度不一,數據流轉關系復雜,特別是面向海量、多維、碎片化、持續流動的數據處理場景,僅依靠傳統信息安全與網絡安全建設等無法充分滿足以數據為中心的保護要求,需從產品開發、算法設計、業務應用場景等多個維度加強以分類分級為基礎的數據全生命周期管控、數據血緣圖譜和異常訪問檢測等技術監測能力的建設。此外,由于銀行數據體量龐大,依賴人工很難滿足數據安全治理的實際需求,需要建設準確高效的標準化、模型化、智能化的運營支撐技術,提升數據安全治理運營的自動化水平和效能。
金融數據安全面臨較大的合規壓力。隨著數據安全相關法律法規及多項金融行業標準的出臺,監管部門針對數據保護的執法頻度增加、力度增大、處罰增強,同時由于行業規范與網絡空間治理體系監管規范的雙重規制,同一數據可能會面臨多重監管要求,在聯合交叉監管形勢下,商業銀行數據安全管理面臨較大的合規壓力。
恒豐銀行數據安全治理實踐與探索
恒豐銀行堅持黨管金融的原則不動搖,在數據安全領域,總行黨委主動擔責,按照黨委管數據安全、黨委主要負責人抓數據安全的總體方針,開展專題研究,構建責任明確、有機銜接的工作機制。在具體實踐中,董事會高度重視數據安全治理工作,自上而下推動相關工作落地實施,堅持“全局統一、總分協同、管理有序、風險可知、技術可控”原則,以全行戰略發展愿景為指引,以開展數據治理為載體,以企業級視角規劃構建數據安全管理體系為支撐,注重數據安全合規與賦能業務發展的融合。
以全行戰略為引領,規劃數據安全治理頂層設計。加強數據安全治理、保障數據安全需要從戰略高度對數據安全治理進行清晰規劃。恒豐銀行于2021年發布了“建設一流數字化敏捷銀行”新戰略,將數據治理、數據安全作為實施全行數字化轉型的重要保障,建立了數據治理委員會,負責數據安全治理的推進。2022年制定了《恒豐銀行數據戰略規劃(2022—2025年)》,將安全合規的數據保護能力與數據自治能力、數據分析能力、數據應用能力、數據驅動能力一同納入數據戰略規劃體系,建立健全數據安全治理長效機制。
全面深入推進數據治理,筑牢數據安全管理底座。恒豐銀行以全行數字化戰略為引領,圍繞“共建、共管、共治、共享”的數據理念,以實現數據、數據資源、數據資源配置、數據資產“四本賬”為目標,深入推進數據治理工作,同時將數據安全作為重要必要項原則,貫穿落實到需求分析、應用研發、需求測試、生產運維保障各個環節;通過數據安全風險評估、數據安全審計等方式,推進全行范圍內的數據安全生命周期保護技術規范貫標的實施。2022年,恒豐銀行啟動“數芯”工程,建立了企業級數據資產分類體系,初步建成了涵蓋規范數據資產、基礎數據資產、集成數據資產、萃取數據資產、應用數據資產等五類數據資產的全行數據“一本賬”,并在此基礎上形成全行統一的敏感數據資產清單,完成相關數據分類分級打標,筑牢數據安全管理底座。
不斷完善數據安全治理體系建設規劃,做好全局謀劃。恒豐銀行從企業級視角審視數據安全治理,立足全局層面整合資源、科學規劃,建立適用于全行實際的企業級數據安全治理框架。在架構設計層面,建立了自上而下的覆蓋決策、管理、執行、監督四個層面的數據安全治理體系,厘清數據安全管理一二三道防線的職責,建立了多層次、相互銜接、協同聯動的運行機制。在實施層面,遵循“依法合規、分級管理”及“誰主管、誰使用、誰負責”的原則,對數據及數據歸屬系統安全進行全面合規審慎管理,以此推動實現安全與業務的復合、管理與技術的復合,充分發揮復合協同效能,形成安全治理合力,促進數據安全治理工作的規范化、體系化開展。
重塑數據安全管理建設思路,注重為業務應用發展賦能。傳統的網絡安全、信息安全技術建設手段,與實際業務應用場景屬于松耦合特性,一般不考慮業務特性。在銀行數字化轉型驅動下,數據安全需要轉變管理思路,以賦能業務作為出發點。恒豐銀行結合具體的業務場景,通過敏感識別,分層分類分級資源訪問控制,數據取證溯源能力以及數據監測審計與應急響應恢復五大服務能力,將數據安全防護支撐能力與大數據應用場景深度融合,保障業務部門取數用數安全。同時,在全行各部門及各分行設置數據安全管理員,充分發揮各環節的聯動反饋效應與應用場景實戰牽引作用,不斷提升全員主動參與的積極性,持續推動聯防共治管理機制有效運轉。
重視數據安全治理新技術新理念的關鍵破局作用。恒豐銀行不斷探索數據安全建設新框架,以“數據資產為核心”,形成數據資產級與數據級的元數據統一管理,實現對數據資產的基礎屬性管理、安全共享使用、安全風險監測、安全防護等數據安全場景的聯動,打破“單品堆砌+獨立功能點拼湊”的傳統安全建設思路,結合實際業務場景構建數據應用“需求端至供給端”一體化全鏈路行之有效的解決方案。
恒豐銀行目前已通過了國家數據管理能力成熟度評估量化管理級認證,下一步將全力對標監管要求,進一步完善全行企業級數據安全治理體系建設。
關于數據安全未來發展趨勢的思考
隨著商業銀行數字化轉型不斷深化,數據規模與日俱增,數據安全管理能力愈發重要。未來商業銀行數據安全管理主要呈現以下三大特點。
數據安全由監管驅動轉向監管合規與業務需求雙輪驅動。隨著數字經濟的迅猛發展,數據驅動的業務創新將成為商業銀行重要的營收來源,憑借強大的數據安全管理能力作為支撐,商業銀行可以基于數據資產和數字化技術開展金融創新,提升個性化、差異化、定制化產品和服務開發能力,提升金融服務質量和效率。以監管合規驅動結合業務發展需求才可為企業數據安全建設提供全新動力。基于業務發展需求的數據安全在推動業務合規運營方面的作用愈加明顯,商業銀行數據安全建設的驅動力也將逐漸由監管合規的單一驅動轉向監管合規與業務需求的雙輪驅動。
數據安全領域將由產業政策與新技術帶動形成新的突破。在監管合規和業務需求的雙輪驅動下,未來數據安全領域將由產業政策與新技術帶動形成新的突破。例如,通過數據建模、知識圖譜、機器學習等新技術,智能分析數據流向,自動識別并實施阻攔敏感數據風險;將傳統的數據防泄漏(DLP)、脫敏工具、數據溯源、加密軟件等安全產品與大數據平臺、數據管理工具以及數據處理流程實現深度融合,將傳統數據安全技術內嵌融入數據開發與數據使用流轉之中;充分利用聯邦學習、同態加密、多方計算、隱私計算等新技術,對敏感數據進行模糊化或相關計算,在保證數據安全的同時,實現“數據可用不可見,數據不動模型動”,滿足業務對數據日益增長的普惠化、規模化利用需求。未來銀行業數據安全管理能力很大程度上將取決于對新技術的應用能力。
數據安全風險治理能力將成為商業銀行的重要競爭力。由于數據本身具備流動性、泛在性、不確定性、可無限復制利用等特點,導致數據在不同的網絡區域、業務場景、應用系統流轉時,有可能被不同角色、權限的用戶采取不同的方式處理、訪問、使用;過長的流轉鏈條、過大的威脅暴露面、過多的數據處理活動,導致數據安全風險的觸發源和不可控性顯著增加。為了進一步防范數據被泄露、被篡改等安全事件的發生,在實際業務應用場景落實風險源頭管控,始終堅持常態化做好數據安全外部威脅性與內部脆弱性風險評估,不斷提升數據安全風險管控運營能力應成為商業銀行關注的重點。
作者系恒豐銀行首席信息官
責任編輯:張文
VIP課程推薦
APP專享直播
熱門推薦
收起
24小時滾動播報最新的財經資訊和視頻,更多粉絲福利掃描二維碼關注(sinafinance)
