天融信：以數據為核心，構建金融機構數據全生命周期管理體系

近日，北京金融科技產業聯盟圍繞中國人民銀行印發的《金融科技發展規劃（2022—2025年）》（以下簡稱《規劃》），開展了第三期解讀專題研討活動。在《規劃》第三期解讀專題 “交流研討”環節中，天融信科技集團就金融數據安全建設的難點、痛點以及體系化建設思路與經驗等，同參會單位進行了交流與分享。

本次活動以“充分釋放數據要素潛能”為專題，由北京金融信息化研究所承辦，北京國家金融科技認證中心協辦。金融信息化研究所負責人習輝博士主持本期活動并致辭，人民銀行科技司《規劃》編制組專家解讀《規劃》內容，聯盟數據專委會主任委員單位成方金融信息技術服務有限公司、區塊鏈專委會主任委員單位中國人民銀行數字貨幣研究所介紹落實《規劃》相關工作情況。

天融信數據安全專家鐘誠圍繞規劃中提出的“數據安全治理”和“數據安全防護”兩方面的能力要求，闡述了天融信以數據為核心的安全體系框架，以及“六步走”的建設思路，并結合在實際項目中碰到的難點、痛點等問題，對數據安全建設提出了參考經驗分享。

天融信以數據為核心的安全體系框架以及“六步走”的建設思路，緊緊圍繞數據安全治理評估、數據安全組織建設、數據安全管理制度規范建設、數據安全技術保護體系建設、數據安全運營管控建設、數據安全監管建設等進行有序、全方位展開。

金融行業數據安全建設不是單一的數據安全產品能力建設，而是應該建立一套完善的數據安全體系，包含數據安全治理和數據安全防護兩個方面。通過數據安全體系化建設，實現 管理與技術的融合、多方協作的融合、業務與安全的融合，建立起符合數據安全監管要求的保障體系。從數據安全治理出發，建設管理組織和制度，為數據安全防護技術落地提供依據，通過不斷的數據安全運營，持續對數據安全建設進行審計、分析，完成PDCA閉環化的數據安全建設，最終完成建立合規、有效的數據安全防護體系。

鐘誠還針對項目實踐過程中遇到的難題，對數據安全建設提出了如下參考經驗。

金融機構在向監管單位進行數據采集報送時，如何保證既要考慮數據的真實、準確、有效，又要考慮敏感數據信息不會被泄露？

這需要對數據資產進行準確分類分級，并對不同類別、級別的數據資產進行合理的安全防護。鐘誠認為，在實際項目中更傾向于細化不同的場景需求，結合數據字段本身以及該字段會應用的不同場景，綜合判斷其級別，并對不同場景進行分類分級規范和策略的設計，從而更好地解決類似問題。

此外，開展數據資產梳理是落實數據分類分級的基礎，根據數據資產的不同類別和級別制定不同的安全防護策略，在數據安全治理過程中，通過對機構現狀的全面的摸底，掌握機構當前的數據安全現狀，再結合《GBT 37988-2019 信息安全技術 數據安全能力成熟度模型》，開展差距性分析，根據差距評估結果來建立針對性的改進建議。

數據只有流動才能使數據價值和數據要素潛能得到全面釋放，伴隨著數據的流動，如何對數據全生命周期過程的安全風險進行識別、防護、檢測、響應？

鐘誠認為，當前基于數據全生命周期進行識別、防護、檢測、響應，不是單一的安全防護產品就可以實現的，需要對多個安全防護手段進行統一、協同管理，并將數據安全治理融入到數據生命周期各個過程中。比較現實可落地的措施是建立起支撐數據安全治理的集中運營管控，在完成數據全生命周期定義和風險定義后，通過建設數據安全智能管控平臺，納管所有數據安全組件，完成全生命周期的風險全面管控，并從數據資產管理、分類分級管理、風險識別、風險處置、安全審計等多個方面建立一套完善的運營體系，為金融機構提供長期的安全運營能力。

數據安全智能管控技術架構

目前，天融信已參與 國標《GB/T 37988-2019 信息安全技術 數據安全能力成熟度模型》、金融行標《JR/T 0223-2021金融數據安全 數據生命周期安全規范》以及《JR/T 0071—2020金融行業網絡安全等級保護實施指引》等金融等保2.0系列標準的制定。天融信作為國內數據安全領域的先導者，將在金融行業主管單位相關政策要求的引領下， 積極參與金融行業數據安全咨詢、建設、運營維護、培訓等工作。此外，天融信還積極支撐中國信息安全測評中心進行 CISP-DSG和CISP-DPO數據安全專項人才培養課程的開發，深化數據安全專業人才培養。

TOPSEC

天融信作為國內數據安全領域的先導者，從率先提出“以數據為中心的安全技術架構”，到“以數據安全治理為基礎、數據全生命周期為核心、數據安全防護為手段、數據安全運營為支撐”的方法論，一直致力于數據安全建設。未來，天融信將持續深耕數據安全領域，助力我國金融數據全生命周期管理體系建設，推動數字化轉型高質量發展。