數據安全防護體系落地實踐

數據安全面臨的挑戰

數據是銀行最本質、最核心、最關鍵的生產要素。近年來，隨著數據安全風險關注度顯著提升，保護數據安全的需求日益凸顯。當前，《數據安全法》《個人信息保護法》已正式實施，《金融科技（FinTech）發展規劃（2019-2021）》《銀行業金融機構數據治理指引》《個人金融信息保護技術規范》都對數據安全管理提出了明確要求，《金融數據安全數據生命周期安全規范》《金融數據安全數據安全分級指南》也在金融領域發布實施，無疑都在考驗各商業銀行的數據安全防護能力。

數據安全防護的難點首先是數據存在形式多種多樣。在銀行內部，存在海量電子數據、紙質數據，且一直處于動態增長狀態。同時，數據流轉過程復雜，數據通過業務采集或多種外部來源渠道匯聚，由實際業務驅動全方位動態流轉、不斷變化，時刻被大量的系統、人員進行使用和消費，數據泄露的風險點眾多。

數據定義不清也是一個難題。數據規模龐大、種類龐雜導致很多數據無法被準確定義。一是數據資產，特別是數據流動地圖很難梳理清楚；二是數據所有者、使用者無法被清晰界定；三是數據價值、用途無法評估，分類分級難以實施，保護重點無法明確。

數據安全領域法律法規不斷出臺，銀行業數據安全合規要求越來越嚴，數據安全事件時有發生，這些都在不斷強調數據安全管理的必要性，數據資產安全防護問題已經刻不容緩。銀行的數據安全除保密、完整、可靠、可用之外，也關系到對數據的增值分析、利用而帶來的衍生價值。數據安全管理工作，不是一個單純的IT問題，而是科技和業務共同面臨的挑戰。

數據安全防護體系建設規劃

在DT時代，數據只有流動起來，被深入地挖掘、分析才能創造新的價值。因此，數據安全防護體系不僅是一套用工具組合的產品級解決方案，而是從決策層到技術層，從管理制度到工具支撐，自上而下貫穿整個組織的完整鏈條。針對數據安全防護的各種難點，既要滿足數據安全防護要求，保護敏感數據，又要平衡數據保護和業務發展之間的關系，實現數據價值。

渤海銀行參考國內外相關標準及最佳實踐，通過系統性研究和思考，以“讓數據使用更安全”為目標，制定了具有渤海特色的數據安全防護體系建設規劃（見圖1）。以數據生命周期為主線，數據分類分級為抓手，從數據安全管理和安全技術兩方面開展數據安全防護體系建設工作。

圖1 數據安全防護體系建設

在數據安全技術架構方面，我行以數據資產為核心，建設“云管端”三道數據防線，構筑數據安全流動邊界，實現數據全生命周期安全。

數據安全體系落地建設情況

數據安全體系建設并非從零開始，我行已建立由安全治理、安全管理、安全技術、安全開發、安全運營、安全驗證六個領域組成的網絡安全體系（見圖2）。數據安全是以數據為核心，圍繞數據安全生命周期進行建設以提高數據安全保障能力，所以需要與當前網絡安全體系緊密融合，是網絡安全體系不可或缺的組成部分。

圖2 安全體系架構

基于實踐，我行聚焦數據安全相關的四大能力：組織建設、制度流程、人員能力、技術工具，有的放矢地提升數據安全能力。

第一，明確數據安全管理組織架構。基于渤海銀行現有組織架構，明確每個部門的職責與分工，每個崗位的權利與義務，建立決策、管理、執行、監督四層數據保護組織，確保數據安全防護體系有效執行。由網絡安全和信息化領導小組、數據治理委員會負責數據安全方針政策及重大事項的決策；由各信息科技部門、業務主管部門、風險管理部門、法律部門等負責數據安全管理工作；由各科技職能團隊、業務數據管理團隊聚焦每個數據安全場景，落實數據安全管理要求；由內控合規部、審計部負責數據安全防護工作的監督檢查。

第二，建立健全數據安全制度體系。根據金融合規、風險管理、業務發展、個人隱私等各方面要求，制定數據安全管理政策，確定數據安全防護控制策略。按照方針政策、管理辦法、實施細則、手冊表單四層制度體系，制定或修訂數據安全管理辦法、客戶個人金融信息保護工作管理辦法、零售數據管理辦法、數據安全分類分級原則及方法、數據銷毀技術規范、隱私政策、客戶個人信息保護突發事件應急預案等規章制度，將數據安全管理要求融入各項業務及科技制度之中。

第三，開展形式多樣的數據安全培訓。一方面，在渤海E學堂、大數據學苑課程、新員工入職培訓等活動中增加數據安全培訓內容，同時邀請專業律師、行業專家開展專題講座，提升員工數據安全防護意識和防護技能。另一方面，安排數據安全專職人員參加各類專項培訓與考核，確保數據安全崗具備執行數據安全工作所需的數據安全管理能力、運營能力、技術能力和合規能力。

第四，提升數據安全防護技術支撐能力。以數據資產為中心，在現有的網絡安全防護體系的基礎上部署各類數據安全工具，并將這些工具融合到整個數據安全防護體系當中，確保安全、體驗、效率并存，以有效實現對數據的安全管控。近年來，實施的主要項目如下。

一是建設終端安全沙箱。為提升終端數據保護能力，同時滿足行內員工開展日常工作對數據的訪問和使用需求，啟動終端安全沙箱建設項目。安全沙箱通過在終端上創建一個與原桌面環境完全邏輯隔離的環境，實現對沙箱中運行軟件的操作管控，并對沙箱中存儲的文檔與數據進行加密隔離。

二是建設應用流量數據安全監測系統。該系統通過監測與分析業務系統數據流動情況，實現對業務系統的數據接口梳理、數據流動感知、敏感數據自動發現、用戶訪問行為審計，掌控敏感數據流動態勢，及時發現敏感數據明文傳輸、敏感數據非授權訪問、賬號異常登錄等風險，快速對數據泄露等安全事件進行溯源分析。

三是建設郵件防泄漏系統。為切實加強郵件外發數據安全管理，防止商業秘密及客戶信息泄露和盜用，建設部署郵件防泄漏系統，并在全行范圍內啟用郵件外發審批機制，僅為部分員工開通郵件外發權限，且外發郵件須由其上級領導作為審核人進行審批。

四是在項目建設中落實數據安全管理要求。結合《金融數據安全數據生命周期安全規范》《個人金融信息保護技術規范》，在開發安全體系中專門增加數據安全相關要求，從源頭推動數據安全管控，確保應用系統數據生命周期符合安全技術規范。在項目立項階段，要求項目組開展應用系統數據等級、涉及三方交互客戶信息、敏感數據傳輸、個人隱私保護、文件傳輸等自評估，并制定應對措施。

結    語

數據安全體系建設不是一蹴而就的，需要持續改進，不斷完善。要緊跟最新的數據安全法律法規、標準規范及信息安全趨勢，定期對數據安全組織架構、規章制度、標準流程、控制策略、技術工具等方面的落地和執行情況進行審查，對發現的問題加以整改，不斷提升數據安全防護能力。