徐彤

習(xí)近平總書記強調(diào)，數(shù)據(jù)基礎(chǔ)制度建設(shè)事關(guān)國家發(fā)展和安全大局，要維護國家數(shù)據(jù)安全，保護個人信息和商業(yè)秘密，促進數(shù)據(jù)高效流通使用、賦能實體經(jīng)濟。數(shù)據(jù)是國家基礎(chǔ)性戰(zhàn)略資源，沒有數(shù)據(jù)安全就沒有國家安全。近年來，《數(shù)字中國建設(shè)整體布局規(guī)劃》《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》等一系列重磅文件，均對數(shù)據(jù)安全建設(shè)提出明確要求。商業(yè)銀行作為數(shù)字經(jīng)濟的積極踐行者，在提供金融產(chǎn)品和服務(wù)過程中，積累了海量的數(shù)據(jù)，促進數(shù)據(jù)合法利用與高效流通，防范數(shù)據(jù)泄露濫用誤用風(fēng)險，亟需加強全方位金融數(shù)據(jù)信息保護管理與數(shù)據(jù)安全治理能力提升建設(shè)，維護國家安全和金融穩(wěn)定。

商業(yè)銀行數(shù)據(jù)安全治理面臨的挑戰(zhàn)

國內(nèi)商業(yè)銀行在數(shù)據(jù)安全治理方面進行了積極的實踐，從組織建設(shè)、制度流程、技術(shù)工具、人員能力提升等方面初步構(gòu)建起數(shù)據(jù)安全治理框架，取得了一定的成績，但仍存在需要進一步提升完善之處。

數(shù)據(jù)安全治理體系有待健全完善。從組織層面來看，數(shù)據(jù)安全管理往往由單一部門主導(dǎo)，缺少足夠的頂層支持和業(yè)務(wù)驅(qū)動，難以構(gòu)建起全面完善的安全治理組織架構(gòu)和制度規(guī)范體系，存在業(yè)務(wù)、科技、數(shù)據(jù)等部門工作職責(zé)劃分不明確、安全機制難落實等問題。商業(yè)銀行亟須建立從決策層到執(zhí)行層，從管理制度到工具流程支撐，自上而下、貫穿整個組織架構(gòu)的數(shù)據(jù)安全治理體系。

數(shù)據(jù)安全未貫穿數(shù)據(jù)治理全過程?，F(xiàn)有數(shù)據(jù)治理更多關(guān)注數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)模型、數(shù)據(jù)分布、數(shù)據(jù)存儲等領(lǐng)域，對數(shù)據(jù)安全治理的重視程度不夠，未統(tǒng)籌考慮數(shù)據(jù)安全同數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)模型、數(shù)據(jù)架構(gòu)和元數(shù)據(jù)管理等方面融合。同時，由于端到端數(shù)據(jù)治理周期長、一致協(xié)同難度大、即時價值呈現(xiàn)慢等因素，商業(yè)銀行數(shù)據(jù)治理體系較難匹配不斷變化的數(shù)據(jù)安全新形勢、新要求，進行持續(xù)更新迭代和演進優(yōu)化。

數(shù)據(jù)安全管理過程碎片化，整體規(guī)劃協(xié)同不足。數(shù)據(jù)安全機制的有效落實需要企業(yè)級視角的整體規(guī)劃。當(dāng)前，商業(yè)銀行數(shù)據(jù)安全管理一方面缺乏企業(yè)級規(guī)劃與思考，在實際操作中往往以解決特定數(shù)據(jù)安全問題為導(dǎo)向，通過發(fā)布補丁的方式完成單一指定整改，缺乏企業(yè)級整體視角的協(xié)同；另一方面，在進行業(yè)務(wù)、產(chǎn)品等規(guī)劃設(shè)計過程中，缺少對數(shù)據(jù)安全與個人信息隱私保護的內(nèi)生嵌入考量，導(dǎo)致在規(guī)劃設(shè)計階段就存在防護能力缺失的隱患，往往需要投入大量資源進行事后改造和補救，極大地增加了研發(fā)成本的投入和數(shù)據(jù)安全治理的難度。

數(shù)據(jù)安全防護管控存在短板，自動化運營支撐能力不足。數(shù)據(jù)本身具有多樣性和復(fù)雜流動性，且敏感程度不一，數(shù)據(jù)流轉(zhuǎn)關(guān)系復(fù)雜，特別是面向海量、多維、碎片化、持續(xù)流動的數(shù)據(jù)處理場景，僅依靠傳統(tǒng)信息安全與網(wǎng)絡(luò)安全建設(shè)等無法充分滿足以數(shù)據(jù)為中心的保護要求，需從產(chǎn)品開發(fā)、算法設(shè)計、業(yè)務(wù)應(yīng)用場景等多個維度加強以分類分級為基礎(chǔ)的數(shù)據(jù)全生命周期管控、數(shù)據(jù)血緣圖譜和異常訪問檢測等技術(shù)監(jiān)測能力的建設(shè)。此外，由于銀行數(shù)據(jù)體量龐大，依賴人工很難滿足數(shù)據(jù)安全治理的實際需求，需要建設(shè)準(zhǔn)確高效的標(biāo)準(zhǔn)化、模型化、智能化的運營支撐技術(shù)，提升數(shù)據(jù)安全治理運營的自動化水平和效能。

金融數(shù)據(jù)安全面臨較大的合規(guī)壓力。隨著數(shù)據(jù)安全相關(guān)法律法規(guī)及多項金融行業(yè)標(biāo)準(zhǔn)的出臺，監(jiān)管部門針對數(shù)據(jù)保護的執(zhí)法頻度增加、力度增大、處罰增強，同時由于行業(yè)規(guī)范與網(wǎng)絡(luò)空間治理體系監(jiān)管規(guī)范的雙重規(guī)制，同一數(shù)據(jù)可能會面臨多重監(jiān)管要求，在聯(lián)合交叉監(jiān)管形勢下，商業(yè)銀行數(shù)據(jù)安全管理面臨較大的合規(guī)壓力。

恒豐銀行數(shù)據(jù)安全治理實踐與探索

恒豐銀行堅持黨管金融的原則不動搖，在數(shù)據(jù)安全領(lǐng)域，總行黨委主動擔(dān)責(zé)，按照黨委管數(shù)據(jù)安全、黨委主要負(fù)責(zé)人抓數(shù)據(jù)安全的總體方針，開展專題研究，構(gòu)建責(zé)任明確、有機銜接的工作機制。在具體實踐中，董事會高度重視數(shù)據(jù)安全治理工作，自上而下推動相關(guān)工作落地實施，堅持“全局統(tǒng)一、總分協(xié)同、管理有序、風(fēng)險可知、技術(shù)可控”原則，以全行戰(zhàn)略發(fā)展愿景為指引，以開展數(shù)據(jù)治理為載體，以企業(yè)級視角規(guī)劃構(gòu)建數(shù)據(jù)安全管理體系為支撐，注重數(shù)據(jù)安全合規(guī)與賦能業(yè)務(wù)發(fā)展的融合。

以全行戰(zhàn)略為引領(lǐng)，規(guī)劃數(shù)據(jù)安全治理頂層設(shè)計。加強數(shù)據(jù)安全治理、保障數(shù)據(jù)安全需要從戰(zhàn)略高度對數(shù)據(jù)安全治理進行清晰規(guī)劃。恒豐銀行于2021年發(fā)布了“建設(shè)一流數(shù)字化敏捷銀行”新戰(zhàn)略，將數(shù)據(jù)治理、數(shù)據(jù)安全作為實施全行數(shù)字化轉(zhuǎn)型的重要保障，建立了數(shù)據(jù)治理委員會，負(fù)責(zé)數(shù)據(jù)安全治理的推進。2022年制定了《恒豐銀行數(shù)據(jù)戰(zhàn)略規(guī)劃（2022—2025年）》，將安全合規(guī)的數(shù)據(jù)保護能力與數(shù)據(jù)自治能力、數(shù)據(jù)分析能力、數(shù)據(jù)應(yīng)用能力、數(shù)據(jù)驅(qū)動能力一同納入數(shù)據(jù)戰(zhàn)略規(guī)劃體系，建立健全數(shù)據(jù)安全治理長效機制。

全面深入推進數(shù)據(jù)治理，筑牢數(shù)據(jù)安全管理底座。恒豐銀行以全行數(shù)字化戰(zhàn)略為引領(lǐng)，圍繞“共建、共管、共治、共享”的數(shù)據(jù)理念，以實現(xiàn)數(shù)據(jù)、數(shù)據(jù)資源、數(shù)據(jù)資源配置、數(shù)據(jù)資產(chǎn)“四本賬”為目標(biāo)，深入推進數(shù)據(jù)治理工作，同時將數(shù)據(jù)安全作為重要必要項原則，貫穿落實到需求分析、應(yīng)用研發(fā)、需求測試、生產(chǎn)運維保障各個環(huán)節(jié)；通過數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全審計等方式，推進全行范圍內(nèi)的數(shù)據(jù)安全生命周期保護技術(shù)規(guī)范貫標(biāo)的實施。2022年，恒豐銀行啟動“數(shù)芯”工程，建立了企業(yè)級數(shù)據(jù)資產(chǎn)分類體系，初步建成了涵蓋規(guī)范數(shù)據(jù)資產(chǎn)、基礎(chǔ)數(shù)據(jù)資產(chǎn)、集成數(shù)據(jù)資產(chǎn)、萃取數(shù)據(jù)資產(chǎn)、應(yīng)用數(shù)據(jù)資產(chǎn)等五類數(shù)據(jù)資產(chǎn)的全行數(shù)據(jù)“一本賬”，并在此基礎(chǔ)上形成全行統(tǒng)一的敏感數(shù)據(jù)資產(chǎn)清單，完成相關(guān)數(shù)據(jù)分類分級打標(biāo)，筑牢數(shù)據(jù)安全管理底座。

不斷完善數(shù)據(jù)安全治理體系建設(shè)規(guī)劃，做好全局謀劃。恒豐銀行從企業(yè)級視角審視數(shù)據(jù)安全治理，立足全局層面整合資源、科學(xué)規(guī)劃，建立適用于全行實際的企業(yè)級數(shù)據(jù)安全治理框架。在架構(gòu)設(shè)計層面，建立了自上而下的覆蓋決策、管理、執(zhí)行、監(jiān)督四個層面的數(shù)據(jù)安全治理體系，厘清數(shù)據(jù)安全管理一二三道防線的職責(zé)，建立了多層次、相互銜接、協(xié)同聯(lián)動的運行機制。在實施層面，遵循“依法合規(guī)、分級管理”及“誰主管、誰使用、誰負(fù)責(zé)”的原則，對數(shù)據(jù)及數(shù)據(jù)歸屬系統(tǒng)安全進行全面合規(guī)審慎管理，以此推動實現(xiàn)安全與業(yè)務(wù)的復(fù)合、管理與技術(shù)的復(fù)合，充分發(fā)揮復(fù)合協(xié)同效能，形成安全治理合力，促進數(shù)據(jù)安全治理工作的規(guī)范化、體系化開展。

重塑數(shù)據(jù)安全管理建設(shè)思路，注重為業(yè)務(wù)應(yīng)用發(fā)展賦能。傳統(tǒng)的網(wǎng)絡(luò)安全、信息安全技術(shù)建設(shè)手段，與實際業(yè)務(wù)應(yīng)用場景屬于松耦合特性，一般不考慮業(yè)務(wù)特性。在銀行數(shù)字化轉(zhuǎn)型驅(qū)動下，數(shù)據(jù)安全需要轉(zhuǎn)變管理思路，以賦能業(yè)務(wù)作為出發(fā)點。恒豐銀行結(jié)合具體的業(yè)務(wù)場景，通過敏感識別，分層分類分級資源訪問控制，數(shù)據(jù)取證溯源能力以及數(shù)據(jù)監(jiān)測審計與應(yīng)急響應(yīng)恢復(fù)五大服務(wù)能力，將數(shù)據(jù)安全防護支撐能力與大數(shù)據(jù)應(yīng)用場景深度融合，保障業(yè)務(wù)部門取數(shù)用數(shù)安全。同時，在全行各部門及各分行設(shè)置數(shù)據(jù)安全管理員，充分發(fā)揮各環(huán)節(jié)的聯(lián)動反饋效應(yīng)與應(yīng)用場景實戰(zhàn)牽引作用，不斷提升全員主動參與的積極性，持續(xù)推動聯(lián)防共治管理機制有效運轉(zhuǎn)。

重視數(shù)據(jù)安全治理新技術(shù)新理念的關(guān)鍵破局作用。恒豐銀行不斷探索數(shù)據(jù)安全建設(shè)新框架，以“數(shù)據(jù)資產(chǎn)為核心”，形成數(shù)據(jù)資產(chǎn)級與數(shù)據(jù)級的元數(shù)據(jù)統(tǒng)一管理，實現(xiàn)對數(shù)據(jù)資產(chǎn)的基礎(chǔ)屬性管理、安全共享使用、安全風(fēng)險監(jiān)測、安全防護等數(shù)據(jù)安全場景的聯(lián)動，打破“單品堆砌+獨立功能點拼湊”的傳統(tǒng)安全建設(shè)思路，結(jié)合實際業(yè)務(wù)場景構(gòu)建數(shù)據(jù)應(yīng)用“需求端至供給端”一體化全鏈路行之有效的解決方案。

恒豐銀行目前已通過了國家數(shù)據(jù)管理能力成熟度評估量化管理級認(rèn)證，下一步將全力對標(biāo)監(jiān)管要求，進一步完善全行企業(yè)級數(shù)據(jù)安全治理體系建設(shè)。

關(guān)于數(shù)據(jù)安全未來發(fā)展趨勢的思考

隨著商業(yè)銀行數(shù)字化轉(zhuǎn)型不斷深化，數(shù)據(jù)規(guī)模與日俱增，數(shù)據(jù)安全管理能力愈發(fā)重要。未來商業(yè)銀行數(shù)據(jù)安全管理主要呈現(xiàn)以下三大特點。

數(shù)據(jù)安全由監(jiān)管驅(qū)動轉(zhuǎn)向監(jiān)管合規(guī)與業(yè)務(wù)需求雙輪驅(qū)動。隨著數(shù)字經(jīng)濟的迅猛發(fā)展，數(shù)據(jù)驅(qū)動的業(yè)務(wù)創(chuàng)新將成為商業(yè)銀行重要的營收來源，憑借強大的數(shù)據(jù)安全管理能力作為支撐，商業(yè)銀行可以基于數(shù)據(jù)資產(chǎn)和數(shù)字化技術(shù)開展金融創(chuàng)新，提升個性化、差異化、定制化產(chǎn)品和服務(wù)開發(fā)能力，提升金融服務(wù)質(zhì)量和效率。以監(jiān)管合規(guī)驅(qū)動結(jié)合業(yè)務(wù)發(fā)展需求才可為企業(yè)數(shù)據(jù)安全建設(shè)提供全新動力?；跇I(yè)務(wù)發(fā)展需求的數(shù)據(jù)安全在推動業(yè)務(wù)合規(guī)運營方面的作用愈加明顯，商業(yè)銀行數(shù)據(jù)安全建設(shè)的驅(qū)動力也將逐漸由監(jiān)管合規(guī)的單一驅(qū)動轉(zhuǎn)向監(jiān)管合規(guī)與業(yè)務(wù)需求的雙輪驅(qū)動。

數(shù)據(jù)安全領(lǐng)域?qū)⒂僧a(chǎn)業(yè)政策與新技術(shù)帶動形成新的突破。在監(jiān)管合規(guī)和業(yè)務(wù)需求的雙輪驅(qū)動下，未來數(shù)據(jù)安全領(lǐng)域?qū)⒂僧a(chǎn)業(yè)政策與新技術(shù)帶動形成新的突破。例如，通過數(shù)據(jù)建模、知識圖譜、機器學(xué)習(xí)等新技術(shù)，智能分析數(shù)據(jù)流向，自動識別并實施阻攔敏感數(shù)據(jù)風(fēng)險；將傳統(tǒng)的數(shù)據(jù)防泄漏（DLP）、脫敏工具、數(shù)據(jù)溯源、加密軟件等安全產(chǎn)品與大數(shù)據(jù)平臺、數(shù)據(jù)管理工具以及數(shù)據(jù)處理流程實現(xiàn)深度融合，將傳統(tǒng)數(shù)據(jù)安全技術(shù)內(nèi)嵌融入數(shù)據(jù)開發(fā)與數(shù)據(jù)使用流轉(zhuǎn)之中；充分利用聯(lián)邦學(xué)習(xí)、同態(tài)加密、多方計算、隱私計算等新技術(shù)，對敏感數(shù)據(jù)進行模糊化或相關(guān)計算，在保證數(shù)據(jù)安全的同時，實現(xiàn)“數(shù)據(jù)可用不可見，數(shù)據(jù)不動模型動”，滿足業(yè)務(wù)對數(shù)據(jù)日益增長的普惠化、規(guī)?；眯枨蟆Ｎ磥磴y行業(yè)數(shù)據(jù)安全管理能力很大程度上將取決于對新技術(shù)的應(yīng)用能力。

數(shù)據(jù)安全風(fēng)險治理能力將成為商業(yè)銀行的重要競爭力。由于數(shù)據(jù)本身具備流動性、泛在性、不確定性、可無限復(fù)制利用等特點，導(dǎo)致數(shù)據(jù)在不同的網(wǎng)絡(luò)區(qū)域、業(yè)務(wù)場景、應(yīng)用系統(tǒng)流轉(zhuǎn)時，有可能被不同角色、權(quán)限的用戶采取不同的方式處理、訪問、使用；過長的流轉(zhuǎn)鏈條、過大的威脅暴露面、過多的數(shù)據(jù)處理活動，導(dǎo)致數(shù)據(jù)安全風(fēng)險的觸發(fā)源和不可控性顯著增加。為了進一步防范數(shù)據(jù)被泄露、被篡改等安全事件的發(fā)生，在實際業(yè)務(wù)應(yīng)用場景落實風(fēng)險源頭管控，始終堅持常態(tài)化做好數(shù)據(jù)安全外部威脅性與內(nèi)部脆弱性風(fēng)險評估，不斷提升數(shù)據(jù)安全風(fēng)險管控運營能力應(yīng)成為商業(yè)銀行關(guān)注的重點。

（作者系恒豐銀行首席信息官）

責(zé)任編輯：董 治

Yhj_dz@126.com