《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 观点 | 加强数据安全管理,促进银行数据资产创造价值

观点 | 加强数据安全管理,促进银行数据资产创造价值

2021-08-17
来源: 中国信息安全

  落实《数据安全法》等法规面临的挑战和机遇

  1.《数据安全法》对商业银行数据安全保护的规定

  对商业银行而言,《数据安全法》等法规立足数据安全工作实际,聚焦数据安全领域的突出问题,确立了数据分级分类管理、数据资产管控、数据安全风险评估、监测预警、安全审查等基本要求,明确了相关主体的数据安全保护义务。《数据安全法》的实施要求商业银行采取合法、正当方式收集数据,依法合理利用数据,在开展数据处理活动时确保建立、健全全流程数据安全管理制度,采取相应的技术措施等保障数据安全,并对重要数据的处理需明确数据安全负责人和管理机构,落实数据安全保护责任。《数据安全法》确立数据分级分类保护制度和重要数据界定范围,将进一步激发商业银行主动合规开展数据资产盘点,建立全流程数据安全管理制度,充分发挥数据要素价值的动力。

  2.实施《数据安全法》对商业银行的挑战

  商业银行作为数据密集型机构,存储了海量的金融基础数据,《数据安全法》的实施对商业银行的数据管理工作带来了挑战,主要表现在商业银行数据规模庞大、业务系统多,彼此相互独立但又联系密切,数据生产部门、数据使用部门、数据管理部门、安全管理部门之间角色和职责难以清晰界定,人员安全意识不均衡,当前数据分级分类和重要数据目录的建设也存在难点,最终会导致数据的安全保护、流转控制难度加大,数据安全合规管理成本高。

  3.实施《数据安全法》对商业银行的机遇

  《数据安全法》在规范数据活动的同时,坚持安全与发展并重,对推进政务数据开放利用、促进交易数据自由流动、保障数据出境安全等方面做出相应规定,让数据安全有法可依、有章可循,为数字经济的安全健康发展提供了有力支撑,也为商业银行提供了机遇。一是《数据安全法》倡导数据安全与价值创造的平衡发展,统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,鼓励和支持数据在各行业、各领域的创新应用,大力推动政务数据安全与开放,为商业银行深化“政银”数据合作,促进内外部数据共享和数据要素依法有序流动,激活数据要素价值,加快数字化转型提供了政策依据。二是《数据安全法》倡导和鼓励数据开发应用及新技术的研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,为商业银行通过人工智能、区块链技术创新开展数据安全管理提供了良好的导向效应。

  落实《数据安全法》等法规的方法探讨

  面对以上挑战及机遇,商业银行应从组织、制度、技术等层面建立数据安全闭环管理体系,全面保障数据安全的基础上,促进金融数据有效利用。

  1.做好商业银行数据安全管理的顶层设计

  一是商业银行应在顶层建立数据安全管理的领导机构,总行与各级分行应设置数据安全管理牵头部门,各数据应用部门是集团数据安全管理工作的主要责任部门,各机构应在数据安全管理领导机构的指引下密切配合、协同开展集团数据安全管理工作。二是要建立完善涵盖全范围、全周期数据安全管理制度体系,明确数据采集、存储、传输、处理、销毁等各个环节、全场景的数据安全管理要求。三是要打造数据安全闭环管理体系,推动数据安全治理体系持续改善。

  2.建立完善数据分级分类管理体系与流程管控机制

  一是商业银行应对现有敏感业务数据进行识别和分级分类,建立统一的数据分级管理制度和重要数据目录,明确数据安全定级的要素、原则,针对不同数据安全级别的数据采取不同的控制手段。二是建立完善数据资产安全属性注册机制,明确数据产生部门、数据应用部门、数据管理部门、系统研发部门职责范围,将数据安全管控深度嵌入系统需求、研发和应用全流程,防止出现安全漏洞,将数据安全措施在制度、系统、流程和管理中落到实处。

  3.提升数据安全管理能力与共享应用能力

  利用机器学习、人工智能、大数据分析等新兴技术对敏感数据进行自动识别和标注,对不同类型敏感数据执行差异化算法加密,积极研究包含联邦学习、多方安全计算、区块链在内的数字化技术,推动数据安全管理能力提升,提高数据合规共享水平。

  4.加强数据安全人才培养和文化变革

  一是加大人才与文化的培育。持续开展专职和兼职数据安全管理人员和技术类人员培训,构建数据安全人才体系。在集团内部做好数据安全文化的宣贯,提升保密意识,筑牢数据安全防线。二是开展数据安全检查与评估,明确数据安全审计任务,定期对银行数据安全工作开展检查,做好数据安全问题排查,尽早发现问题、解决问题。三是开展数据安全能力模型评估,从组织、平台、制度等方面全面提升银行数据安全保障能力。

  基于以上商业银行数据安全管理理念,总结提出如下数据安全管理框架(见表1所示)。

  表 1 商业银行数据安全管理框架

  工商银行数据安全管理实践

  近年来,工商银行一直努力探索数据安全合规管理理论,大力开展相关实践,积累了一些行之有效的实践成果。

  1.健全数据安全管理组织架构

  根据《数据安全法》《指引》等法律要求,工商银行建立了以金融科技发展委员会为决策层、总行管理信息部及金融科技部牵头负责、总分行各级机构配合执行的全集团数据安全管理组织架构,并明确了各级机构的工作职责,形成了权责明确、配合有效的管理机制。

  2.完善数据安全管理制度机制

  工商银行以大数据服务云平台建设为依托实现各类信息的合规、有效共享,发布了《大数据服务云数据管理办法》《数据共享工作细则》《大数据服务云业务应急预案》等制度办法,明确了数据采集、存储、处理、传输、应用等各环节的数据安全管理要求,建立了数据集成、授权、应用等管理流程和配套机制。

  3.开展数据分级分类及资产确权

  2020年,工商银行启动数据资产管理项目建设,建立了数据资产目录,规范数据资产注册流程,开展数据资产安全属性和部门确权的梳理工作。为提升数据安全管理的全面性、有效性和准确性,工商银行根据人民银行《金融数据安全分级指南》,制定并发布了《数据安全分级分类规范》,明确了全行金融数据安全分级分类的目标、原则、范围、要素和规则,并在此基础上提供各类金融数据分类分级的参考,为开展数据资产梳理及实施有效数据分级分类管理奠定了基础。

  4.强化数据使用管理

  事前,按照“知所必须、最小授权”的使用原则,工商银行建立了大数据服务云数据授权管理体系,采用“两级授权”方式实现对机构、用户的数据权限开展管理,并按照“属地化”原则实现数据访问范围的控制。事中,工商银行对重要信息项采取了屏蔽、脱敏、加密等手段加强安全管理,分级分类设置用户访问策略,强化对重点数据访问的保护。事后,工商银行建立了系统化的用户行为监控模型,建立了邮件、U盘等渠道的数据外发核查机制和动态监测机制,确保依法合规和数据安全。

  5.推动集团数据充分共享

  为推动数据在集团流通,规范集团内部信息共享应用管理,工商银行建立了覆盖需求提出、申请、审核、反馈、效果评价的集团内客户信息共享工作机制,在满足“取得客户授权、业务办理必须”的基础上,基于监管和集团并表管理需要推动信息在集团内部共享应用,发挥数据价值。

  目前,工商银行数据安全管理工作虽然取得了一定的进展,但是距离全面落实好《数据安全法》等法规要求,努力推动数据资产要素创造价值,全面实现数字化转型发展目标,还有很长的路要走。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。