加强数据安全管理 促进银行数据资产创造价值

王西平

摘要：随着社会经济的高速发展，科学技术带动社会效益显著提升，我国经济社会发展开始进入大数据阶段，数字化已涵盖了社会活动的各个领域和所有环节，经济社会的大数据化发展速度越来越快。目前，银行业已经成为中国现代化发展程度最大的领域之一，计算机技术的应用极大促进了商业银行金融服务品种与业务的革新，同时累积了一大批涉及用户与行业自身的关键信息，但也因此带来了信息领域的安全难题，安全管理变得越来越重要。

关键词：数据安全管理;银行发展;数据资产

DOI：10.12433/zgkjtz.20232035

2021年6月10日，《中华人民共和国数据安全法》（以下简称《数据安全法》）由我国十三届全国人民代表大会第二十九次会议审议通过，并于今年9月1日起实施，未来将与《网络安全法》《个人信息保护法》共同构筑我国网络安全、数据安全和个人隐私保护的重要框架。另外，2018年，银保监会发布了《银行业金融机构数据治理指引》（以下简称《指引》），对银行如何规范使用业务开展过程中获得的客户信息作出了详细而具体的规定，要求商业银行建立数据安全策略与标准并落地执行，保障商业银行数据的完整性、准确性和连续性。

一、数据安全管理概述

金融数据安全管理系统的基础是技术安全。从信息安全中继承的财务数据的技术安全，旨在通过技术手段确保数据安全，包括数据的完整性、可用性、保密性的应用、传输和存储。

二、加强数据安全管理的重要性

大数据时代，数据是把握公司命脉的重要信息，详尽地记载着公司所有产品的交易情况，其承载的数据中蕴含着许多可以提高公司价值的重要信息，它在市场中占据着愈来愈大的比例，发挥着日益关键的作用。数据已成为企业的关键财富，具备及时性和经济价值的特征。由于企业的数据中蕴藏着大量用户需求或产品偏好，确保这些数据的安全性至关重要，如果任何一个资金流转过程发生问题，整个体系的正常运作都将遭受巨大冲击，甚至出现全局性的损失，给自身、企业乃至企业的整体财富造成巨大的冲击与损失，所以对数据的正确处理与恰当运用就显得十分关键。加强对商业数据安全技术问题的深入研究，有助于企业在大数据背景下对精细化经营、业务创新和风险控制问题进行深入探讨，从而推动企业长期、安全、平稳、健康成长。

三、银行数据安全管理现状及存在的问题

（一）数据安全组织架构不合理

目前，部分银行的安全管理人员在职位设置上存在重大缺失，部分已设定的安全职位实际上都归属信息化部门，且基本由其他岗位工作人员兼任，仅由信息化部门承担安全管理工作的主要职责。各工作部门一般只在业务需要时，由分管具体业务的工作人员暂时开展数据安全管理工作。

保障安全性、维护服务连续性，也是国家信息安全科技部的主要工作之一。但是从数据分析信息认责的视角上来看，国家信息安全科学技术部门并不进行大数据分析，不编辑数据分析，也不定义数据，而只是保证数据在信息系统中正确落地，从科技层次上维护安全性，是大数据分析的受托者。业务主管部门才是数据分析信息真正的主人，管理定义了数据分析信息的收集、利用、资源共享和销毁的基本规则和范畴，要确定安全等级和信息敏感性，是数据分析信息的创造者、用户和领导者。但是银行内部在信息安全的管理方法和管理职能分工方面的定位并不清晰，从而产生管理错位问题，缺乏科学合理的信息安全管理组织结构。

（二）数据安全管理制度缺失

一些企业在数据生命周期的许多环节均面临着信息管理系统不足的问题，不能帮助企业按照各自的流程，实现具体环境下信息的获取、传递、保存、处置、销毁的标准化，使得数据保护要求不能得到有效贯彻，信息资源保障普遍缺失。

一是缺少国家主导的数据安全机制设计。部分商业银行并没有设立数据安全主管，也没有实行内部协调的信息安全管理，以至于不能在安全管理工作的整体规划上加以整合，而原来的数据安全管理体系已不能对越来越精细的安全管理工作提供全面、科学、合理的指导，所以必须建立一种更加全面的数据化安全管理系统框架。

二是安全管理制度尚未全部涵盖整个数据生命周期。通过对这些商业银行现有安全管理体系的研究与总结，以及按照有关监管部门的法规和行业要求，这些商业银行也已建立并出台了安全管理体系，包括《数据采集信息安全合规管理条例》《安全性运输办法》《储存介质安全性管理条例》《存储系统安全配置规范》《数据接口开发规范》《媒介销毁制度》等。有些银行的安全管理体系对数据生命周期内各阶段的管控要求、标准和细则均存在漏洞，造成各层管理人员存在对安全管理工作职能范围不清楚、职责流程不清晰、检查工作不落实等管理缺陷。

（三）数据安全技术手段落后

“三分靠技术，七分靠管理”是经过多个行业在长期的管理实践中提出的理论，这一原则对数据安全行业同样适用。在数据技术日益发达的今天，技术手段是企业管理策略与制度的高效实施，是企业克服管理缺陷的关键。部分商业银行的安全管理手段还存在严重不足，但随着行业的发展，部分商业银行已经开始把工作重心转移到业务体系的构建与发展上，但忽视了对内部安全管理相关体系的构建与运用。

（四）数据安全管理队伍整体能力不足

长期以来，一些银行仅由技术人员负责企业安全的管理工作，数据技术岗位的安全管理技术人员面临着多重工作，且常常身兼多职，很难全方位适应数据信息安全管控，也无法保证安全工作的高效实施，更无法适应企业安全管理系统进一步开发、成熟的需求。同时，信息技术员工大多是纯技术出身，对行业并不是特别了解，但负责数据安全技术的专门人才必须掌握三个领域的专业知识，即技术领域、信息化领域和具体的业务知识，一些商业银行特别缺乏这类复合型高级人才。

四、银行数据安全管理策略

（一）提升数据安全认知

一是高层管理要提高重视程度。在一些企业数据安全的构建过程中，高级管理者的作用十分关键，他们必须认识到数据对于企业的意义。在构建安全管理体系的进程中，一定要优先进行顶层设计，确定必须保护的客体、被保护客体的级别界定以及相应的安全保护措施。然后，再合理地设置团队结构和分配岗位职责，通过自上而下的方法，合理调动人力资源，使所有人员都能投入到安全管理体系的构建中，进而达到安全管理体系的预定要求。

二是做好数据知识普及。数据传播的目标是商业银行的全体员工，数据传播的主要目的是使每位员工都知道数据的科学意义，了解安全管理的基本宗旨，并以此提升员工的意识，从而自觉规范自己的安全管理行为，进而加强对某些商业银行的安全管理制度及规章执行力。可以通过制定数据传播知识指南，让全体员工深入掌握有关数据的科学意义、数据战略意义、安全形势、有关规章制度、部分商业银行数据总体规划、部分商业银行安全管理规定、其对触犯数据传播可能产生的影响等信息，切实把安全观念融入到银行文化中，通过教育让所有人员深切的了解到安全与个人、公司的发展密切相关，意识到“安全创造效益，合规创造价值”，带动各级员工由被动预防向主动防范的转化，以学习型团队的组织形式促使员工自觉、主动地掌握安全工作技术。

三是增强行内的安全氛围。安全氛围是一个共同意识，是由银行全体员工形成的对工作环境的整体风险意识。因此，要使全员在行为准则方面与企业安全目标一致，从而有效保障公司数据的安全性。

（二）加强部门间的协作

安全部门与组织中各机构间都有十分密切的联系，在组织结构的顶层设计方面，业务部门、信息机构、法务与规范机构、人力资本机构、风险管理部门等机构，均要介入战略目标和重大事件的制定，同时还要广泛参与、配合底层建设、工作流程体系的执行、安全工具配置、个人安全控制、企业安全合规、信息的对外公布等领域。因此，安全部门要加强有相关部门的沟通联系，充分利用有关部门的业务优势，加强安全保障。例如，行政部门在提供服务、确保组织的持续成长方面发挥着不可替代的作用，人力资源部门在员工的招聘、调岗、辞职等工作流程中起着主导作用，安全部门只有与相关部门保持良好联系，实现资源共享，才能更好地进行安全保障。在银行进行大数字化工作的流程中，安全部门要负责对银行不同数据关联的管理，这也就要求必须要与有关部门开展沟通协作，只有这样，安全管理部门才能把大数据工作整合到对银行的各种方面的安全控制中。

（三）加强培训手段和考核力度

第一，完善培训手段与途径。培训方式包括但不限于定期采用宣传册或电子邮件进行宣传，开展安全培训、举办安全讲座、组织专家讲座、与国外专业培训组织合作培训、聘请国家数据与安全领域相关人员开展讲座等。另外，安全培训教学可在网络上开展，定向对全体工作人员推送相应的安全内容；也可利用移动客户端应用程序进行在线教学，对员工进行培训，使银行全体人员可以利用碎片时间，随时完成培训，还可以在培训中，通过交流的方式强化印象，如案例剖析、互动小游戏等，从而更好地调动员工的主观能动性，减少形式主义。

第二，加大数据安全考核工作。完成集中培训及网络课程后，要做好学习成效的考评与验证，实现增强风险防范认识和职责、提高经营风险辨识技能和管理水平的学习效果。（1）数据考核全面覆盖。银行录用新人后，要把数据安全投入笔试及面试的考核项目内，并在员工上岗前对其进行数据安全专业知识与技能培训，并实施考评，业绩合格者才能录用。（2）加强教学效果考核。通过集中测试、知识竞赛、定期评估等方法，综合考核教学效果，使员工不断提高数据安全知识，查缺补漏。（3）强化考评力度。为提升培训转化效果、量化培训质量与成效，在线下、线上的培训完成后，要对员工进行综合考评，将考评成绩作为绩效考核的一项重要指标，以帮助全体员工增强数据安全意识。

（四）增加数据安全科技预算

银行应不断完善数据安全管理平台、态势监测系统、脱敏系统、数据泄露防范系统等数据安全技术，确保数据安全。一些银行每年都在信息系统建设方面投入巨资，大部分预算用于与数据安全相关的系统建设或升级，然而，建立与数据安全有关的信息系统不需要财政拨款。根据一些银行在数据安全领域的成熟度和数据安全管理的要求，数据安全制度的完善不容忽视。如果是紧急项目，可以要求追加预算，提高数据安全管理的效率。

五、结束语

随着商业银行采集和存储数据的能力的快速提升，逐步沉淀大量原始数据。如何安全存储、处理和使用这些大量重要数据是当下银行等金融机构所面临的重要问题，如果处理不当，可能会引起重大的问题。因此，银行必须要对数据安全问题予以足够的重视，避免发生安全问题，只有做好安全保障，才能更好地利用数据，推动银行业发展。本文结合实际情况，提出了银行数据安全管理策略，希望可以对相关机构和个人提供有益的帮助。

参考文献：

[1]邵世敏.推进农发行数据治理[J].农业发展与金融，2020（8）：89-91.

[2]王军强.大数据金融：现状、问题与对策[J].经济师，2021（12）：144-145.