加強數據安全管理,促進銀行數據資產創造價值
落實《數據安全法》等法規面臨的挑戰和機遇
1.《數據安全法》對商業銀行數據安全保護的規定
對商業銀行而言,《數據安全法》等法規立足數據安全工作實際,聚焦數據安全領域的突出問題,確立了數據分級分類管理、數據資產管控、數據安全風險評估、監測預警、安全審查等基本要求,明確了相關主體的數據安全保護義務。《數據安全法》的實施要求商業銀行采取合法、正當方式收集數據,依法合理利用數據,在開展數據處理活動時確保建立、健全全流程數據安全管理制度,采取相應的技術措施等保障數據安全,并對重要數據的處理需明確數據安全負責人和管理機構,落實數據安全保護責任。《數據安全法》確立數據分級分類保護制度和重要數據界定范圍,將進一步激發商業銀行主動合規開展數據資產盤點,建立全流程數據安全管理制度,充分發揮數據要素價值的動力。
2.實施《數據安全法》對商業銀行的挑戰
商業銀行作為數據密集型機構,存儲了海量的金融基礎數據,《數據安全法》的實施對商業銀行的數據管理工作帶來了挑戰,主要表現在商業銀行數據規模龐大、業務系統多,彼此相互獨立但又聯系密切,數據生產部門、數據使用部門、數據管理部門、安全管理部門之間角色和職責難以清晰界定,人員安全意識不均衡,當前數據分級分類和重要數據目錄的建設也存在難點,最終會導致數據的安全保護、流轉控制難度加大,數據安全合規管理成本高。
3.實施《數據安全法》對商業銀行的機遇
《數據安全法》在規范數據活動的同時,堅持安全與發展并重,對推進政務數據開放利用、促進交易數據自由流動、保障數據出境安全等方面做出相應規定,讓數據安全有法可依、有章可循,為數字經濟的安全健康發展提供了有力支撐,也為商業銀行提供了機遇。一是《數據安全法》倡導數據安全與價值創造的平衡發展,統籌發展和安全,堅持以數據開發利用和產業發展促進數據安全,鼓勵和支持數據在各行業、各領域的創新應用,大力推動政務數據安全與開放,為商業銀行深化“政銀”數據合作,促進內外部數據共享和數據要素依法有序流動,激活數據要素價值,加快數字化轉型提供了政策依據。二是《數據安全法》倡導和鼓勵數據開發應用及新技術的研究,鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新,為商業銀行通過人工智能、區塊鏈技術創新開展數據安全管理提供了良好的導向效應。
落實《數據安全法》等法規的方法探討
面對以上挑戰及機遇,商業銀行應從組織、制度、技術等層面建立數據安全閉環管理體系,全面保障數據安全的基礎上,促進金融數據有效利用。
1.做好商業銀行數據安全管理的頂層設計
一是商業銀行應在頂層建立數據安全管理的領導機構,總行與各級分行應設置數據安全管理牽頭部門,各數據應用部門是集團數據安全管理工作的主要責任部門,各機構應在數據安全管理領導機構的指引下密切配合、協同開展集團數據安全管理工作。二是要建立完善涵蓋全范圍、全周期數據安全管理制度體系,明確數據采集、存儲、傳輸、處理、銷毀等各個環節、全場景的數據安全管理要求。三是要打造數據安全閉環管理體系,推動數據安全治理體系持續改善。
2.建立完善數據分級分類管理體系與流程管控機制
一是商業銀行應對現有敏感業務數據進行識別和分級分類,建立統一的數據分級管理制度和重要數據目錄,明確數據安全定級的要素、原則,針對不同數據安全級別的數據采取不同的控制手段。二是建立完善數據資產安全屬性注冊機制,明確數據產生部門、數據應用部門、數據管理部門、系統研發部門職責范圍,將數據安全管控深度嵌入系統需求、研發和應用全流程,防止出現安全漏洞,將數據安全措施在制度、系統、流程和管理中落到實處。
3.提升數據安全管理能力與共享應用能力
利用機器學習、人工智能、大數據分析等新興技術對敏感數據進行自動識別和標注,對不同類型敏感數據執行差異化算法加密,積極研究包含聯邦學習、多方安全計算、區塊鏈在內的數字化技術,推動數據安全管理能力提升,提高數據合規共享水平。
4.加強數據安全人才培養和文化變革
一是加大人才與文化的培育。持續開展專職和兼職數據安全管理人員和技術類人員培訓,構建數據安全人才體系。在集團內部做好數據安全文化的宣貫,提升保密意識,筑牢數據安全防線。二是開展數據安全檢查與評估,明確數據安全審計任務,定期對銀行數據安全工作開展檢查,做好數據安全問題排查,盡早發現問題、解決問題。三是開展數據安全能力模型評估,從組織、平臺、制度等方面全面提升銀行數據安全保障能力。
基于以上商業銀行數據安全管理理念,總結提出如下數據安全管理框架(見表1所示)。
表 1 商業銀行數據安全管理框架
工商銀行數據安全管理實踐
近年來,工商銀行一直努力探索數據安全合規管理理論,大力開展相關實踐,積累了一些行之有效的實踐成果。
1.健全數據安全管理組織架構
根據《數據安全法》《指引》等法律要求,工商銀行建立了以金融科技發展委員會為決策層、總行管理信息部及金融科技部牽頭負責、總分行各級機構配合執行的全集團數據安全管理組織架構,并明確了各級機構的工作職責,形成了權責明確、配合有效的管理機制。
2.完善數據安全管理制度機制
工商銀行以大數據服務云平臺建設為依托實現各類信息的合規、有效共享,發布了《大數據服務云數據管理辦法》《數據共享工作細則》《大數據服務云業務應急預案》等制度辦法,明確了數據采集、存儲、處理、傳輸、應用等各環節的數據安全管理要求,建立了數據集成、授權、應用等管理流程和配套機制。
3.開展數據分級分類及資產確權
2020年,工商銀行啟動數據資產管理項目建設,建立了數據資產目錄,規范數據資產注冊流程,開展數據資產安全屬性和部門確權的梳理工作。為提升數據安全管理的全面性、有效性和準確性,工商銀行根據人民銀行《金融數據安全分級指南》,制定并發布了《數據安全分級分類規范》,明確了全行金融數據安全分級分類的目標、原則、范圍、要素和規則,并在此基礎上提供各類金融數據分類分級的參考,為開展數據資產梳理及實施有效數據分級分類管理奠定了基礎。
4.強化數據使用管理
事前,按照“知所必須、最小授權”的使用原則,工商銀行建立了大數據服務云數據授權管理體系,采用“兩級授權”方式實現對機構、用戶的數據權限開展管理,并按照“屬地化”原則實現數據訪問范圍的控制。事中,工商銀行對重要信息項采取了屏蔽、脫敏、加密等手段加強安全管理,分級分類設置用戶訪問策略,強化對重點數據訪問的保護。事后,工商銀行建立了系統化的用戶行為監控模型,建立了郵件、U盤等渠道的數據外發核查機制和動態監測機制,確保依法合規和數據安全。
5.推動集團數據充分共享
為推動數據在集團流通,規范集團內部信息共享應用管理,工商銀行建立了覆蓋需求提出、申請、審核、反饋、效果評價的集團內客戶信息共享工作機制,在滿足“取得客戶授權、業務辦理必須”的基礎上,基于監管和集團并表管理需要推動信息在集團內部共享應用,發揮數據價值。
目前,工商銀行數據安全管理工作雖然取得了一定的進展,但是距離全面落實好《數據安全法》等法規要求,努力推動數據資產要素創造價值,全面實現數字化轉型發展目標,還有很長的路要走。
(來源:金融電子化)
