觀點(diǎn) | 加強(qiáng)數(shù)據(jù)安全管理,,促進(jìn)銀行數(shù)據(jù)資產(chǎn)創(chuàng)造價(jià)值
2021-08-17
來(lái)源: 中國(guó)信息安全
落實(shí)《數(shù)據(jù)安全法》等法規(guī)面臨的挑戰(zhàn)和機(jī)遇
1.《數(shù)據(jù)安全法》對(duì)商業(yè)銀行數(shù)據(jù)安全保護(hù)的規(guī)定
對(duì)商業(yè)銀行而言,,《數(shù)據(jù)安全法》等法規(guī)立足數(shù)據(jù)安全工作實(shí)際,,聚焦數(shù)據(jù)安全領(lǐng)域的突出問(wèn)題,確立了數(shù)據(jù)分級(jí)分類(lèi)管理,、數(shù)據(jù)資產(chǎn)管控,、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警,、安全審查等基本要求,,明確了相關(guān)主體的數(shù)據(jù)安全保護(hù)義務(wù)?!稊?shù)據(jù)安全法》的實(shí)施要求商業(yè)銀行采取合法,、正當(dāng)方式收集數(shù)據(jù),依法合理利用數(shù)據(jù),,在開(kāi)展數(shù)據(jù)處理活動(dòng)時(shí)確保建立,、健全全流程數(shù)據(jù)安全管理制度,采取相應(yīng)的技術(shù)措施等保障數(shù)據(jù)安全,,并對(duì)重要數(shù)據(jù)的處理需明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),,落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任?!稊?shù)據(jù)安全法》確立數(shù)據(jù)分級(jí)分類(lèi)保護(hù)制度和重要數(shù)據(jù)界定范圍,,將進(jìn)一步激發(fā)商業(yè)銀行主動(dòng)合規(guī)開(kāi)展數(shù)據(jù)資產(chǎn)盤(pán)點(diǎn),建立全流程數(shù)據(jù)安全管理制度,充分發(fā)揮數(shù)據(jù)要素價(jià)值的動(dòng)力,。
2.實(shí)施《數(shù)據(jù)安全法》對(duì)商業(yè)銀行的挑戰(zhàn)
商業(yè)銀行作為數(shù)據(jù)密集型機(jī)構(gòu),,存儲(chǔ)了海量的金融基礎(chǔ)數(shù)據(jù),《數(shù)據(jù)安全法》的實(shí)施對(duì)商業(yè)銀行的數(shù)據(jù)管理工作帶來(lái)了挑戰(zhàn),,主要表現(xiàn)在商業(yè)銀行數(shù)據(jù)規(guī)模龐大,、業(yè)務(wù)系統(tǒng)多,彼此相互獨(dú)立但又聯(lián)系密切,,數(shù)據(jù)生產(chǎn)部門(mén),、數(shù)據(jù)使用部門(mén)、數(shù)據(jù)管理部門(mén),、安全管理部門(mén)之間角色和職責(zé)難以清晰界定,,人員安全意識(shí)不均衡,當(dāng)前數(shù)據(jù)分級(jí)分類(lèi)和重要數(shù)據(jù)目錄的建設(shè)也存在難點(diǎn),,最終會(huì)導(dǎo)致數(shù)據(jù)的安全保護(hù)、流轉(zhuǎn)控制難度加大,,數(shù)據(jù)安全合規(guī)管理成本高,。
3.實(shí)施《數(shù)據(jù)安全法》對(duì)商業(yè)銀行的機(jī)遇
《數(shù)據(jù)安全法》在規(guī)范數(shù)據(jù)活動(dòng)的同時(shí),堅(jiān)持安全與發(fā)展并重,,對(duì)推進(jìn)政務(wù)數(shù)據(jù)開(kāi)放利用,、促進(jìn)交易數(shù)據(jù)自由流動(dòng)、保障數(shù)據(jù)出境安全等方面做出相應(yīng)規(guī)定,,讓數(shù)據(jù)安全有法可依,、有章可循,為數(shù)字經(jīng)濟(jì)的安全健康發(fā)展提供了有力支撐,,也為商業(yè)銀行提供了機(jī)遇,。一是《數(shù)據(jù)安全法》倡導(dǎo)數(shù)據(jù)安全與價(jià)值創(chuàng)造的平衡發(fā)展,統(tǒng)籌發(fā)展和安全,,堅(jiān)持以數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全,,鼓勵(lì)和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用,,大力推動(dòng)政務(wù)數(shù)據(jù)安全與開(kāi)放,,為商業(yè)銀行深化“政銀”數(shù)據(jù)合作,促進(jìn)內(nèi)外部數(shù)據(jù)共享和數(shù)據(jù)要素依法有序流動(dòng),,激活數(shù)據(jù)要素價(jià)值,,加快數(shù)字化轉(zhuǎn)型提供了政策依據(jù)。二是《數(shù)據(jù)安全法》倡導(dǎo)和鼓勵(lì)數(shù)據(jù)開(kāi)發(fā)應(yīng)用及新技術(shù)的研究,,鼓勵(lì)數(shù)據(jù)開(kāi)發(fā)利用和數(shù)據(jù)安全等領(lǐng)域的技術(shù)推廣和商業(yè)創(chuàng)新,,為商業(yè)銀行通過(guò)人工智能、區(qū)塊鏈技術(shù)創(chuàng)新開(kāi)展數(shù)據(jù)安全管理提供了良好的導(dǎo)向效應(yīng)。
落實(shí)《數(shù)據(jù)安全法》等法規(guī)的方法探討
面對(duì)以上挑戰(zhàn)及機(jī)遇,,商業(yè)銀行應(yīng)從組織,、制度、技術(shù)等層面建立數(shù)據(jù)安全閉環(huán)管理體系,,全面保障數(shù)據(jù)安全的基礎(chǔ)上,,促進(jìn)金融數(shù)據(jù)有效利用。
1.做好商業(yè)銀行數(shù)據(jù)安全管理的頂層設(shè)計(jì)
一是商業(yè)銀行應(yīng)在頂層建立數(shù)據(jù)安全管理的領(lǐng)導(dǎo)機(jī)構(gòu),,總行與各級(jí)分行應(yīng)設(shè)置數(shù)據(jù)安全管理牽頭部門(mén),,各數(shù)據(jù)應(yīng)用部門(mén)是集團(tuán)數(shù)據(jù)安全管理工作的主要責(zé)任部門(mén),各機(jī)構(gòu)應(yīng)在數(shù)據(jù)安全管理領(lǐng)導(dǎo)機(jī)構(gòu)的指引下密切配合,、協(xié)同開(kāi)展集團(tuán)數(shù)據(jù)安全管理工作,。二是要建立完善涵蓋全范圍、全周期數(shù)據(jù)安全管理制度體系,,明確數(shù)據(jù)采集,、存儲(chǔ)、傳輸,、處理,、銷(xiāo)毀等各個(gè)環(huán)節(jié)、全場(chǎng)景的數(shù)據(jù)安全管理要求,。三是要打造數(shù)據(jù)安全閉環(huán)管理體系,,推動(dòng)數(shù)據(jù)安全治理體系持續(xù)改善。
2.建立完善數(shù)據(jù)分級(jí)分類(lèi)管理體系與流程管控機(jī)制
一是商業(yè)銀行應(yīng)對(duì)現(xiàn)有敏感業(yè)務(wù)數(shù)據(jù)進(jìn)行識(shí)別和分級(jí)分類(lèi),,建立統(tǒng)一的數(shù)據(jù)分級(jí)管理制度和重要數(shù)據(jù)目錄,,明確數(shù)據(jù)安全定級(jí)的要素、原則,,針對(duì)不同數(shù)據(jù)安全級(jí)別的數(shù)據(jù)采取不同的控制手段,。二是建立完善數(shù)據(jù)資產(chǎn)安全屬性注冊(cè)機(jī)制,明確數(shù)據(jù)產(chǎn)生部門(mén),、數(shù)據(jù)應(yīng)用部門(mén),、數(shù)據(jù)管理部門(mén)、系統(tǒng)研發(fā)部門(mén)職責(zé)范圍,,將數(shù)據(jù)安全管控深度嵌入系統(tǒng)需求,、研發(fā)和應(yīng)用全流程,防止出現(xiàn)安全漏洞,,將數(shù)據(jù)安全措施在制度,、系統(tǒng)、流程和管理中落到實(shí)處,。
3.提升數(shù)據(jù)安全管理能力與共享應(yīng)用能力
利用機(jī)器學(xué)習(xí),、人工智能,、大數(shù)據(jù)分析等新興技術(shù)對(duì)敏感數(shù)據(jù)進(jìn)行自動(dòng)識(shí)別和標(biāo)注,對(duì)不同類(lèi)型敏感數(shù)據(jù)執(zhí)行差異化算法加密,,積極研究包含聯(lián)邦學(xué)習(xí),、多方安全計(jì)算、區(qū)塊鏈在內(nèi)的數(shù)字化技術(shù),,推動(dòng)數(shù)據(jù)安全管理能力提升,,提高數(shù)據(jù)合規(guī)共享水平。
4.加強(qiáng)數(shù)據(jù)安全人才培養(yǎng)和文化變革
一是加大人才與文化的培育,。持續(xù)開(kāi)展專(zhuān)職和兼職數(shù)據(jù)安全管理人員和技術(shù)類(lèi)人員培訓(xùn),,構(gòu)建數(shù)據(jù)安全人才體系。在集團(tuán)內(nèi)部做好數(shù)據(jù)安全文化的宣貫,,提升保密意識(shí),,筑牢數(shù)據(jù)安全防線。二是開(kāi)展數(shù)據(jù)安全檢查與評(píng)估,,明確數(shù)據(jù)安全審計(jì)任務(wù),,定期對(duì)銀行數(shù)據(jù)安全工作開(kāi)展檢查,做好數(shù)據(jù)安全問(wèn)題排查,,盡早發(fā)現(xiàn)問(wèn)題,、解決問(wèn)題。三是開(kāi)展數(shù)據(jù)安全能力模型評(píng)估,,從組織、平臺(tái),、制度等方面全面提升銀行數(shù)據(jù)安全保障能力,。
基于以上商業(yè)銀行數(shù)據(jù)安全管理理念,總結(jié)提出如下數(shù)據(jù)安全管理框架(見(jiàn)表1所示),。
表 1 商業(yè)銀行數(shù)據(jù)安全管理框架
工商銀行數(shù)據(jù)安全管理實(shí)踐
近年來(lái),,工商銀行一直努力探索數(shù)據(jù)安全合規(guī)管理理論,大力開(kāi)展相關(guān)實(shí)踐,,積累了一些行之有效的實(shí)踐成果,。
1.健全數(shù)據(jù)安全管理組織架構(gòu)
根據(jù)《數(shù)據(jù)安全法》《指引》等法律要求,工商銀行建立了以金融科技發(fā)展委員會(huì)為決策層,、總行管理信息部及金融科技部牽頭負(fù)責(zé),、總分行各級(jí)機(jī)構(gòu)配合執(zhí)行的全集團(tuán)數(shù)據(jù)安全管理組織架構(gòu),并明確了各級(jí)機(jī)構(gòu)的工作職責(zé),,形成了權(quán)責(zé)明確,、配合有效的管理機(jī)制。
2.完善數(shù)據(jù)安全管理制度機(jī)制
工商銀行以大數(shù)據(jù)服務(wù)云平臺(tái)建設(shè)為依托實(shí)現(xiàn)各類(lèi)信息的合規(guī),、有效共享,,發(fā)布了《大數(shù)據(jù)服務(wù)云數(shù)據(jù)管理辦法》《數(shù)據(jù)共享工作細(xì)則》《大數(shù)據(jù)服務(wù)云業(yè)務(wù)應(yīng)急預(yù)案》等制度辦法,,明確了數(shù)據(jù)采集、存儲(chǔ),、處理,、傳輸、應(yīng)用等各環(huán)節(jié)的數(shù)據(jù)安全管理要求,,建立了數(shù)據(jù)集成,、授權(quán)、應(yīng)用等管理流程和配套機(jī)制,。
3.開(kāi)展數(shù)據(jù)分級(jí)分類(lèi)及資產(chǎn)確權(quán)
2020年,,工商銀行啟動(dòng)數(shù)據(jù)資產(chǎn)管理項(xiàng)目建設(shè),建立了數(shù)據(jù)資產(chǎn)目錄,,規(guī)范數(shù)據(jù)資產(chǎn)注冊(cè)流程,,開(kāi)展數(shù)據(jù)資產(chǎn)安全屬性和部門(mén)確權(quán)的梳理工作。為提升數(shù)據(jù)安全管理的全面性,、有效性和準(zhǔn)確性,,工商銀行根據(jù)人民銀行《金融數(shù)據(jù)安全分級(jí)指南》,制定并發(fā)布了《數(shù)據(jù)安全分級(jí)分類(lèi)規(guī)范》,,明確了全行金融數(shù)據(jù)安全分級(jí)分類(lèi)的目標(biāo),、原則、范圍,、要素和規(guī)則,,并在此基礎(chǔ)上提供各類(lèi)金融數(shù)據(jù)分類(lèi)分級(jí)的參考,為開(kāi)展數(shù)據(jù)資產(chǎn)梳理及實(shí)施有效數(shù)據(jù)分級(jí)分類(lèi)管理奠定了基礎(chǔ),。
4.強(qiáng)化數(shù)據(jù)使用管理
事前,,按照“知所必須、最小授權(quán)”的使用原則,,工商銀行建立了大數(shù)據(jù)服務(wù)云數(shù)據(jù)授權(quán)管理體系,,采用“兩級(jí)授權(quán)”方式實(shí)現(xiàn)對(duì)機(jī)構(gòu)、用戶的數(shù)據(jù)權(quán)限開(kāi)展管理,,并按照“屬地化”原則實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)范圍的控制,。事中,工商銀行對(duì)重要信息項(xiàng)采取了屏蔽,、脫敏,、加密等手段加強(qiáng)安全管理,分級(jí)分類(lèi)設(shè)置用戶訪問(wèn)策略,,強(qiáng)化對(duì)重點(diǎn)數(shù)據(jù)訪問(wèn)的保護(hù),。事后,工商銀行建立了系統(tǒng)化的用戶行為監(jiān)控模型,,建立了郵件,、U盤(pán)等渠道的數(shù)據(jù)外發(fā)核查機(jī)制和動(dòng)態(tài)監(jiān)測(cè)機(jī)制,,確保依法合規(guī)和數(shù)據(jù)安全。
5.推動(dòng)集團(tuán)數(shù)據(jù)充分共享
為推動(dòng)數(shù)據(jù)在集團(tuán)流通,,規(guī)范集團(tuán)內(nèi)部信息共享應(yīng)用管理,,工商銀行建立了覆蓋需求提出、申請(qǐng),、審核,、反饋、效果評(píng)價(jià)的集團(tuán)內(nèi)客戶信息共享工作機(jī)制,,在滿足“取得客戶授權(quán),、業(yè)務(wù)辦理必須”的基礎(chǔ)上,基于監(jiān)管和集團(tuán)并表管理需要推動(dòng)信息在集團(tuán)內(nèi)部共享應(yīng)用,,發(fā)揮數(shù)據(jù)價(jià)值,。
目前,工商銀行數(shù)據(jù)安全管理工作雖然取得了一定的進(jìn)展,,但是距離全面落實(shí)好《數(shù)據(jù)安全法》等法規(guī)要求,,努力推動(dòng)數(shù)據(jù)資產(chǎn)要素創(chuàng)造價(jià)值,全面實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型發(fā)展目標(biāo),,還有很長(zhǎng)的路要走,。