《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 觀點 | 加強數(shù)據(jù)安全管理,促進銀行數(shù)據(jù)資產(chǎn)創(chuàng)造價值

觀點 | 加強數(shù)據(jù)安全管理,,促進銀行數(shù)據(jù)資產(chǎn)創(chuàng)造價值

2021-08-17
來源: 中國信息安全

  落實《數(shù)據(jù)安全法》等法規(guī)面臨的挑戰(zhàn)和機遇

  1.《數(shù)據(jù)安全法》對商業(yè)銀行數(shù)據(jù)安全保護的規(guī)定

  對商業(yè)銀行而言,《數(shù)據(jù)安全法》等法規(guī)立足數(shù)據(jù)安全工作實際,聚焦數(shù)據(jù)安全領域的突出問題,,確立了數(shù)據(jù)分級分類管理、數(shù)據(jù)資產(chǎn)管控,、數(shù)據(jù)安全風險評估,、監(jiān)測預警、安全審查等基本要求,,明確了相關(guān)主體的數(shù)據(jù)安全保護義務,。《數(shù)據(jù)安全法》的實施要求商業(yè)銀行采取合法,、正當方式收集數(shù)據(jù),,依法合理利用數(shù)據(jù),在開展數(shù)據(jù)處理活動時確保建立,、健全全流程數(shù)據(jù)安全管理制度,,采取相應的技術(shù)措施等保障數(shù)據(jù)安全,并對重要數(shù)據(jù)的處理需明確數(shù)據(jù)安全負責人和管理機構(gòu),,落實數(shù)據(jù)安全保護責任,。《數(shù)據(jù)安全法》確立數(shù)據(jù)分級分類保護制度和重要數(shù)據(jù)界定范圍,,將進一步激發(fā)商業(yè)銀行主動合規(guī)開展數(shù)據(jù)資產(chǎn)盤點,,建立全流程數(shù)據(jù)安全管理制度,充分發(fā)揮數(shù)據(jù)要素價值的動力,。

  2.實施《數(shù)據(jù)安全法》對商業(yè)銀行的挑戰(zhàn)

  商業(yè)銀行作為數(shù)據(jù)密集型機構(gòu),,存儲了海量的金融基礎數(shù)據(jù),《數(shù)據(jù)安全法》的實施對商業(yè)銀行的數(shù)據(jù)管理工作帶來了挑戰(zhàn),,主要表現(xiàn)在商業(yè)銀行數(shù)據(jù)規(guī)模龐大,、業(yè)務系統(tǒng)多,彼此相互獨立但又聯(lián)系密切,,數(shù)據(jù)生產(chǎn)部門,、數(shù)據(jù)使用部門、數(shù)據(jù)管理部門、安全管理部門之間角色和職責難以清晰界定,,人員安全意識不均衡,,當前數(shù)據(jù)分級分類和重要數(shù)據(jù)目錄的建設也存在難點,最終會導致數(shù)據(jù)的安全保護,、流轉(zhuǎn)控制難度加大,,數(shù)據(jù)安全合規(guī)管理成本高。

  3.實施《數(shù)據(jù)安全法》對商業(yè)銀行的機遇

  《數(shù)據(jù)安全法》在規(guī)范數(shù)據(jù)活動的同時,,堅持安全與發(fā)展并重,,對推進政務數(shù)據(jù)開放利用、促進交易數(shù)據(jù)自由流動,、保障數(shù)據(jù)出境安全等方面做出相應規(guī)定,,讓數(shù)據(jù)安全有法可依、有章可循,,為數(shù)字經(jīng)濟的安全健康發(fā)展提供了有力支撐,,也為商業(yè)銀行提供了機遇。一是《數(shù)據(jù)安全法》倡導數(shù)據(jù)安全與價值創(chuàng)造的平衡發(fā)展,,統(tǒng)籌發(fā)展和安全,,堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全,鼓勵和支持數(shù)據(jù)在各行業(yè),、各領域的創(chuàng)新應用,,大力推動政務數(shù)據(jù)安全與開放,為商業(yè)銀行深化“政銀”數(shù)據(jù)合作,,促進內(nèi)外部數(shù)據(jù)共享和數(shù)據(jù)要素依法有序流動,,激活數(shù)據(jù)要素價值,加快數(shù)字化轉(zhuǎn)型提供了政策依據(jù),。二是《數(shù)據(jù)安全法》倡導和鼓勵數(shù)據(jù)開發(fā)應用及新技術(shù)的研究,,鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領域的技術(shù)推廣和商業(yè)創(chuàng)新,為商業(yè)銀行通過人工智能,、區(qū)塊鏈技術(shù)創(chuàng)新開展數(shù)據(jù)安全管理提供了良好的導向效應,。

  落實《數(shù)據(jù)安全法》等法規(guī)的方法探討

  面對以上挑戰(zhàn)及機遇,商業(yè)銀行應從組織,、制度,、技術(shù)等層面建立數(shù)據(jù)安全閉環(huán)管理體系,全面保障數(shù)據(jù)安全的基礎上,,促進金融數(shù)據(jù)有效利用。

  1.做好商業(yè)銀行數(shù)據(jù)安全管理的頂層設計

  一是商業(yè)銀行應在頂層建立數(shù)據(jù)安全管理的領導機構(gòu),,總行與各級分行應設置數(shù)據(jù)安全管理牽頭部門,,各數(shù)據(jù)應用部門是集團數(shù)據(jù)安全管理工作的主要責任部門,各機構(gòu)應在數(shù)據(jù)安全管理領導機構(gòu)的指引下密切配合、協(xié)同開展集團數(shù)據(jù)安全管理工作,。二是要建立完善涵蓋全范圍,、全周期數(shù)據(jù)安全管理制度體系,明確數(shù)據(jù)采集,、存儲,、傳輸、處理,、銷毀等各個環(huán)節(jié),、全場景的數(shù)據(jù)安全管理要求。三是要打造數(shù)據(jù)安全閉環(huán)管理體系,,推動數(shù)據(jù)安全治理體系持續(xù)改善,。

  2.建立完善數(shù)據(jù)分級分類管理體系與流程管控機制

  一是商業(yè)銀行應對現(xiàn)有敏感業(yè)務數(shù)據(jù)進行識別和分級分類,建立統(tǒng)一的數(shù)據(jù)分級管理制度和重要數(shù)據(jù)目錄,,明確數(shù)據(jù)安全定級的要素,、原則,針對不同數(shù)據(jù)安全級別的數(shù)據(jù)采取不同的控制手段,。二是建立完善數(shù)據(jù)資產(chǎn)安全屬性注冊機制,,明確數(shù)據(jù)產(chǎn)生部門、數(shù)據(jù)應用部門,、數(shù)據(jù)管理部門,、系統(tǒng)研發(fā)部門職責范圍,將數(shù)據(jù)安全管控深度嵌入系統(tǒng)需求,、研發(fā)和應用全流程,,防止出現(xiàn)安全漏洞,將數(shù)據(jù)安全措施在制度,、系統(tǒng),、流程和管理中落到實處。

  3.提升數(shù)據(jù)安全管理能力與共享應用能力

  利用機器學習,、人工智能,、大數(shù)據(jù)分析等新興技術(shù)對敏感數(shù)據(jù)進行自動識別和標注,對不同類型敏感數(shù)據(jù)執(zhí)行差異化算法加密,,積極研究包含聯(lián)邦學習,、多方安全計算、區(qū)塊鏈在內(nèi)的數(shù)字化技術(shù),,推動數(shù)據(jù)安全管理能力提升,,提高數(shù)據(jù)合規(guī)共享水平。

  4.加強數(shù)據(jù)安全人才培養(yǎng)和文化變革

  一是加大人才與文化的培育,。持續(xù)開展專職和兼職數(shù)據(jù)安全管理人員和技術(shù)類人員培訓,,構(gòu)建數(shù)據(jù)安全人才體系,。在集團內(nèi)部做好數(shù)據(jù)安全文化的宣貫,提升保密意識,,筑牢數(shù)據(jù)安全防線,。二是開展數(shù)據(jù)安全檢查與評估,明確數(shù)據(jù)安全審計任務,,定期對銀行數(shù)據(jù)安全工作開展檢查,,做好數(shù)據(jù)安全問題排查,盡早發(fā)現(xiàn)問題,、解決問題,。三是開展數(shù)據(jù)安全能力模型評估,從組織,、平臺,、制度等方面全面提升銀行數(shù)據(jù)安全保障能力。

  基于以上商業(yè)銀行數(shù)據(jù)安全管理理念,,總結(jié)提出如下數(shù)據(jù)安全管理框架(見表1所示),。

  表 1 商業(yè)銀行數(shù)據(jù)安全管理框架

  工商銀行數(shù)據(jù)安全管理實踐

  近年來,工商銀行一直努力探索數(shù)據(jù)安全合規(guī)管理理論,,大力開展相關(guān)實踐,,積累了一些行之有效的實踐成果。

  1.健全數(shù)據(jù)安全管理組織架構(gòu)

  根據(jù)《數(shù)據(jù)安全法》《指引》等法律要求,,工商銀行建立了以金融科技發(fā)展委員會為決策層,、總行管理信息部及金融科技部牽頭負責、總分行各級機構(gòu)配合執(zhí)行的全集團數(shù)據(jù)安全管理組織架構(gòu),,并明確了各級機構(gòu)的工作職責,,形成了權(quán)責明確、配合有效的管理機制,。

  2.完善數(shù)據(jù)安全管理制度機制

  工商銀行以大數(shù)據(jù)服務云平臺建設為依托實現(xiàn)各類信息的合規(guī),、有效共享,發(fā)布了《大數(shù)據(jù)服務云數(shù)據(jù)管理辦法》《數(shù)據(jù)共享工作細則》《大數(shù)據(jù)服務云業(yè)務應急預案》等制度辦法,,明確了數(shù)據(jù)采集,、存儲、處理,、傳輸,、應用等各環(huán)節(jié)的數(shù)據(jù)安全管理要求,建立了數(shù)據(jù)集成,、授權(quán),、應用等管理流程和配套機制。

  3.開展數(shù)據(jù)分級分類及資產(chǎn)確權(quán)

  2020年,,工商銀行啟動數(shù)據(jù)資產(chǎn)管理項目建設,,建立了數(shù)據(jù)資產(chǎn)目錄,,規(guī)范數(shù)據(jù)資產(chǎn)注冊流程,開展數(shù)據(jù)資產(chǎn)安全屬性和部門確權(quán)的梳理工作,。為提升數(shù)據(jù)安全管理的全面性、有效性和準確性,,工商銀行根據(jù)人民銀行《金融數(shù)據(jù)安全分級指南》,,制定并發(fā)布了《數(shù)據(jù)安全分級分類規(guī)范》,明確了全行金融數(shù)據(jù)安全分級分類的目標,、原則,、范圍、要素和規(guī)則,,并在此基礎上提供各類金融數(shù)據(jù)分類分級的參考,,為開展數(shù)據(jù)資產(chǎn)梳理及實施有效數(shù)據(jù)分級分類管理奠定了基礎。

  4.強化數(shù)據(jù)使用管理

  事前,,按照“知所必須,、最小授權(quán)”的使用原則,工商銀行建立了大數(shù)據(jù)服務云數(shù)據(jù)授權(quán)管理體系,,采用“兩級授權(quán)”方式實現(xiàn)對機構(gòu),、用戶的數(shù)據(jù)權(quán)限開展管理,并按照“屬地化”原則實現(xiàn)數(shù)據(jù)訪問范圍的控制,。事中,,工商銀行對重要信息項采取了屏蔽、脫敏,、加密等手段加強安全管理,,分級分類設置用戶訪問策略,強化對重點數(shù)據(jù)訪問的保護,。事后,,工商銀行建立了系統(tǒng)化的用戶行為監(jiān)控模型,建立了郵件,、U盤等渠道的數(shù)據(jù)外發(fā)核查機制和動態(tài)監(jiān)測機制,,確保依法合規(guī)和數(shù)據(jù)安全。

  5.推動集團數(shù)據(jù)充分共享

  為推動數(shù)據(jù)在集團流通,,規(guī)范集團內(nèi)部信息共享應用管理,,工商銀行建立了覆蓋需求提出、申請,、審核,、反饋、效果評價的集團內(nèi)客戶信息共享工作機制,,在滿足“取得客戶授權(quán),、業(yè)務辦理必須”的基礎上,,基于監(jiān)管和集團并表管理需要推動信息在集團內(nèi)部共享應用,發(fā)揮數(shù)據(jù)價值,。

  目前,,工商銀行數(shù)據(jù)安全管理工作雖然取得了一定的進展,但是距離全面落實好《數(shù)據(jù)安全法》等法規(guī)要求,,努力推動數(shù)據(jù)資產(chǎn)要素創(chuàng)造價值,,全面實現(xiàn)數(shù)字化轉(zhuǎn)型發(fā)展目標,還有很長的路要走,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]