數據安全管理實踐與思考
數字時代銀行發展的堅實法律保障
隨著互聯網、大數據、人工智能、云計算等技術的飛速發展和在經濟社會各領域的廣泛應用,數字化時代已來。順應時代發展要求,黨的十九大作出建設數字中國、智慧社會的戰略部署,十九屆四中全會明確將數據與勞動、資本、土地、知識、技術、管理并列視為生產要素,十九屆五中全會進一步作出了加快數字化發展,建立數據資源產權、交易流通、跨境傳輸和安全保護等基礎制度和標準規范,推動數據資源開發利用,擴大基礎公共信息數據有序開放,保障國家數據安全,加強個人信息保護,推進數據要素市場化改革等更加全面的戰略舉措。《數據安全法》應運而生,是黨中央關于加快數字化發展,堅定不移建設數字中國的系列決策部署的重要部分,既是數據領域的基礎性法律,也是國家安全法律體系的重要組成部分。
金融是現代經濟的核心,金融安全事關國家安全。銀行業作為我國金融體系的重要組成部分,數字化轉型迅速。在此進程中,數據要素的價值日益凸顯,數據安全事件頻發,社會公眾個人信息保護意識明顯提升,數據安全引起社會輿論普遍關注,數據安全風險越來越大,銀行業面臨前所未有的新挑戰。《數據安全法》的出臺,為銀行業統籌安全與發展,應對數據安全風險挑戰,防范化解數據安全風險,更好發揮數據價值,更好服務數字中國建設和經濟高質量發展,提供了強大保障。
農業銀行數據安全管理實踐探索
農行對數據安全高度重視,立足自身實際和需要,進行了一些實踐和探索。
1.明確數據安全內涵與工作定位。確認數據屬主,厘清數據安全工作與其他工作的相互關系,從這些關系中找準定位。首先,將數據安全作為信息安全的子集,數據安全目標的實現必然依賴于應用安全、終端安全、網絡安全等科技工作。其次,明確數據安全管理是數據治理的重要內容,從安全視角開展數據分類分級,做好數據資產梳理和差異化保護。第三,與保密工作有銜接。保密重點對文件、介質等進行整體管理,數據安全工作更聚焦于非涉密數據,圍繞信息系統開展,重點對數據收集、存儲、使用等全生命周期的各個環節進行動態管理。
2.確定管理策略和原則。結合實際制定五方面總體策略,包括:嚴守依法合規紅線、安全與發展并重、管理和技術結合、急用先行持續完善、可追溯可審計。擬定三條基本原則,即:全面覆蓋、分級分類,統分結合、各負其責,多方融合、整體安全。五個策略和三條原則規定了農行數據安全工作的紅線底線,是數據安全管理具體舉措和各項工作推進的基本遵循。
3.建立管理框架。農行數據安全管理框架可概括為“兩層保障、六項內容、一個基礎”。兩層保障,是指組織保障和制度保障。組織方面核心是定牽頭部門和協作機制,制度方面關鍵是制定專門辦法。六項內容,包括合法合規、分類分級、風險評估、監控應急、教育培訓及監督評價。其邏輯是,首先明確根據什么管?即要遵循的法律法規是什么、有哪些?這是數據安全管理的前提和底線。其次明確管什么?簡單來說就是管數、管人(意識和行為)、管風險(事前、事中、事后)。對應到六項內容,分級分類是管數,要求厘清數據資產類別和敏感級別,為差異化保護打下基礎;教育培訓是管人,將培養意識、普及知識、提升能力作為基本目標和實現安全的必要手段;風險評估、監控應急是管風險,不僅要事中事后監控處置,還要開展事前評估預防、事后采取措施緩釋風險。再次明確怎么管?通過監督、檢查、評價發現薄弱環節,推動落實落細,提升管理水平。一個基礎,是指以科技為支撐。把數據安全風險管控住,必須通過系統工具建立剛性約束,才能真落地,落得細、落得實。另外,數據的產生流轉與系統建設運行密不可分,要在科技項目建設中同步考慮數據安全事項,落實數據風險防控舉措。
4.堅持抓重點和關鍵。一是抓基礎保障。組織方面,確定了數據安全牽頭部門,以及總行部門和一級分行的數據安全牽頭處室,一橫一縱的架構基本建立。制度方面,正式發布《中國農業銀行數據安全管理辦法》,以此為核心,推動相關領域制定實施細則,逐步構建數據安全制度體系,以求將數據安全管理融入業務開展之中。技術方面,科技部門夯實基礎防護體系,推動SOC平臺建設、推廣SDL規范、落實7×24小時網絡安全值班等措施,健全網絡與數據安全的技術體系。
二是抓重點。數據分類分級是數據安全管理的前提。農業銀行正在制定數據定級目錄,已完成客戶主題,制定了客戶數據分級規范、客戶敏感數據目錄、敏感數據保護要點等5份指引文件,涵蓋178個數據小類、61項保護要求。各部門各分行都參與目錄制定,并以目錄為指導在具體項目中制定敏感數據清單,落實差異保護要求。重要數據行為審查是日常數據安全的重要抓手。針對數據出行、出境等重要場景,由于數據安全風險較高,采取扎口管理模式,建立了多部門分工審核的機制流程。數據安全評估是為了準確把握總體情況。以法律法規、監管要求以及行內數據安全制度為標桿,定期組織各單位自評估,通過回顧審視,主動發現不足并及時完善。當前,農行正在開展全系統的數據安全自評估工作。數據安全應急是數據安全風險管理必不可少的內容,針對數據安全重點領域、信息系統,加強監控,及早發現異常行為并進行預警和處置。一旦發生風險或事件,按相關規定及時采取應急處置措施,控制和減少風險損失。
三是抓關鍵。數據安全關鍵在人,關鍵在責任落實。當下銀行業暴露出的數據泄露事件,絕大多數因員工有意或無意的違法違規行造成。對員工開展法規政策培訓和風險警示教育尤為重要,要有計劃性的定期開展,要牢固樹立“數據安全,人人有責”的觀念。一方面,通過一橫一縱做好全轄教育培訓。另一方面,各單位做好轉培訓,將數據安全要求傳導至每位員工,融入日常工作。
數據安全管理的體會與思考
農業銀行董事長、行長和分管行領導高度重視數據安全工作,在黨建與經營工作會等多種場合一再強調并做出具體部署,這為全行數據安全工作營造了良好環境、提供了強大動力。在實踐中,筆者體會有以下幾點需要注意。
1.要齊抓共管,強化部門協作。數據安全覆蓋面廣,與每個業務條線、部門都密切相關,所有開展數據活動的單位及相關監督部門都負有數據安全管理責任。部門間分工可從兩個層面來看。首先從數據層面看,數據管理部門通常是全行數據的統籌管理者,各主管部門則是領域數據的具體管理者。其次從風控層面看,具體管理和使用數據的各部門是數據安全風險管控的一道防線,內控、法律、風險以及數據管理部門等是二道防線,審計是三道防線。可見,內部各部門都扮演了一種或多種角色,既可能是牽頭統籌者,也可能是監督執行者,還可能是數據所有者、數據使用者或數據管理者。因此,既要依一定原則明確職責邊界,更需要相互協作補位,確保安全管理不留空白和漏洞。
2.要開門工作,及時關注新技術新情況。目前,數據安全新規章、新標準還在緊鑼密鼓制定中,數據安全新方法、新技術也是日新月異。數據安全管理不能閉門造車,要緊盯法律法規和政策變動,緊盯同業動態,及時了解行業最新要求、同業領先經驗,學習借鑒好的方法和工具,將顯著促進數據安全管理能力的提升。
3.要統籌兼顧,克服與化解實際困難。數據安全管理容易成為矛盾焦點、工作難點,既要解決當前難題,又要確保持續推進,堅持實事求是解決問題的好方法。要注意拿捏好管控尺度和方法,避免“一管就死”和“一放就亂”的極端。堅持“安全與發展并重”理念,才會細致了解現實、精準管理施策、循序漸進行動,才容易得到業務理解,才能把安全工作真正做細做實做好,做到以安全保障發展,實現以發展促進安全。
《數據安全法》為數據安全工作提供了基本的法律遵循。農行下一步將抓好《數據安全法》的學習、宣傳、貫徹、執行,持續關注政府和行業監管部門推出的法律法規并及時落地執行,認真努力做好數據安全工作,保護好數據相關主體權益。
(來源:金融電子化)
