徐彤
习近平总书记强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济。数据是国家基础性战略资源,没有数据安全就没有国家安全。近年来,《数字中国建设整体布局规划》《关于构建数据基础制度更好发挥数据要素作用的意见》等一系列重磅文件,均对数据安全建设提出明确要求。商业银行作为数字经济的积极践行者,在提供金融产品和服务过程中,积累了海量的数据,促进数据合法利用与高效流通,防范数据泄露滥用误用风险,亟需加强全方位金融数据信息保护管理与数据安全治理能力提升建设,维护国家安全和金融稳定。
商业银行数据安全治理面临的挑战
国内商业银行在数据安全治理方面进行了积极的实践,从组织建设、制度流程、技术工具、人员能力提升等方面初步构建起数据安全治理框架,取得了一定的成绩,但仍存在需要进一步提升完善之处。
数据安全治理体系有待健全完善。从组织层面来看,数据安全管理往往由单一部门主导,缺少足够的顶层支持和业务驱动,难以构建起全面完善的安全治理组织架构和制度规范体系,存在业务、科技、数据等部门工作职责划分不明确、安全机制难落实等问题。商业银行亟须建立从决策层到执行层,从管理制度到工具流程支撑,自上而下、贯穿整个组织架构的数据安全治理体系。
数据安全未贯穿数据治理全过程。现有数据治理更多关注数据标准、数据质量、数据模型、数据分布、数据存储等领域,对数据安全治理的重视程度不够,未统筹考虑数据安全同数据标准、数据质量、数据模型、数据架构和元数据管理等方面融合。同时,由于端到端数据治理周期长、一致协同难度大、即时价值呈现慢等因素,商业银行数据治理体系较难匹配不断变化的数据安全新形势、新要求,进行持续更新迭代和演进优化。
数据安全管理过程碎片化,整体规划协同不足。数据安全机制的有效落实需要企业级视角的整体规划。当前,商业银行数据安全管理一方面缺乏企业级规划与思考,在实际操作中往往以解决特定数据安全问题为导向,通过发布补丁的方式完成單一指定整改,缺乏企业级整体视角的协同;另一方面,在进行业务、产品等规划设计过程中,缺少对数据安全与个人信息隐私保护的内生嵌入考量,导致在规划设计阶段就存在防护能力缺失的隐患,往往需要投入大量资源进行事后改造和补救,极大地增加了研发成本的投入和数据安全治理的难度。
数据安全防护管控存在短板,自动化运营支撑能力不足。数据本身具有多样性和复杂流动性,且敏感程度不一,数据流转关系复杂,特别是面向海量、多维、碎片化、持续流动的数据处理场景,仅依靠传统信息安全与网络安全建设等无法充分满足以数据为中心的保护要求,需从产品开发、算法设计、业务应用场景等多个维度加强以分类分级为基础的数据全生命周期管控、数据血缘图谱和异常访问检测等技术监测能力的建设。此外,由于银行数据体量庞大,依赖人工很难满足数据安全治理的实际需求,需要建设准确高效的标准化、模型化、智能化的运营支撑技术,提升数据安全治理运营的自动化水平和效能。
金融数据安全面临较大的合规压力。随着数据安全相关法律法规及多项金融行业标准的出台,监管部门针对数据保护的执法频度增加、力度增大、处罚增强,同时由于行业规范与网络空间治理体系监管规范的双重规制,同一数据可能会面临多重监管要求,在联合交叉监管形势下,商业银行数据安全管理面临较大的合规压力。
恒丰银行数据安全治理实践与探索
恒丰银行坚持党管金融的原则不动摇,在数据安全领域,总行党委主动担责,按照党委管数据安全、党委主要负责人抓数据安全的总体方针,开展专题研究,构建责任明确、有机衔接的工作机制。在具体实践中,董事会高度重视数据安全治理工作,自上而下推动相关工作落地实施,坚持“全局统一、总分协同、管理有序、风险可知、技术可控”原则,以全行战略发展愿景为指引,以开展数据治理为载体,以企业级视角规划构建数据安全管理体系为支撑,注重数据安全合规与赋能业务发展的融合。
以全行战略为引领,规划数据安全治理顶层设计。加强数据安全治理、保障数据安全需要从战略高度对数据安全治理进行清晰规划。恒丰银行于2021年发布了“建设一流数字化敏捷银行”新战略,将数据治理、数据安全作为实施全行数字化转型的重要保障,建立了数据治理委员会,负责数据安全治理的推进。2022年制定了《恒丰银行数据战略规划(2022—2025年)》,将安全合规的数据保护能力与数据自治能力、数据分析能力、数据应用能力、数据驱动能力一同纳入数据战略规划体系,建立健全数据安全治理长效机制。
全面深入推进数据治理,筑牢数据安全管理底座。恒丰银行以全行数字化战略为引领,围绕“共建、共管、共治、共享”的数据理念,以实现数据、数据资源、数据资源配置、数据资产“四本账”为目标,深入推进数据治理工作,同时将数据安全作为重要必要项原则,贯穿落实到需求分析、应用研发、需求测试、生产运维保障各个环节;通过数据安全风险评估、数据安全审计等方式,推进全行范围内的数据安全生命周期保护技术规范贯标的实施。2022年,恒丰银行启动“数芯”工程,建立了企业级数据资产分类体系,初步建成了涵盖规范数据资产、基础数据资产、集成数据资产、萃取数据资产、应用数据资产等五类数据资产的全行数据“一本账”,并在此基础上形成全行统一的敏感数据资产清单,完成相关数据分类分级打标,筑牢数据安全管理底座。
不断完善数据安全治理体系建设规划,做好全局谋划。恒丰银行从企业级视角审视数据安全治理,立足全局层面整合资源、科学规划,建立适用于全行实际的企业级数据安全治理框架。在架构设计层面,建立了自上而下的覆盖决策、管理、执行、监督四个层面的数据安全治理体系,厘清数据安全管理一二三道防线的职责,建立了多层次、相互衔接、协同联动的运行机制。在实施层面,遵循“依法合规、分级管理”及“谁主管、谁使用、谁负责”的原则,对数据及数据归属系统安全进行全面合规审慎管理,以此推动实现安全与业务的复合、管理与技术的复合,充分发挥复合协同效能,形成安全治理合力,促进数据安全治理工作的规范化、体系化开展。
重塑数据安全管理建设思路,注重为业务应用发展赋能。传统的网络安全、信息安全技术建设手段,与实际业务应用场景属于松耦合特性,一般不考虑业务特性。在银行数字化转型驱动下,数据安全需要转变管理思路,以赋能业务作为出发点。恒丰银行结合具体的业务场景,通过敏感识别,分层分类分级资源访问控制,数据取证溯源能力以及数据监测审计与应急响应恢复五大服务能力,将数据安全防护支撑能力与大数据应用场景深度融合,保障业务部门取数用数安全。同时,在全行各部门及各分行设置数据安全管理员,充分发挥各环节的联动反馈效应与应用场景实战牵引作用,不断提升全员主动参与的积极性,持续推动联防共治管理机制有效运转。
重视数据安全治理新技术新理念的关键破局作用。恒丰银行不断探索数据安全建设新框架,以“数据资产为核心”,形成数据资产级与数据级的元数据统一管理,实现对数据资产的基础属性管理、安全共享使用、安全风险监测、安全防护等数据安全场景的联动,打破“单品堆砌+独立功能点拼凑”的传统安全建设思路,结合实际业务场景构建数据应用“需求端至供给端”一体化全链路行之有效的解决方案。
恒丰银行目前已通过了国家数据管理能力成熟度评估量化管理级认证,下一步将全力对标监管要求,进一步完善全行企業级数据安全治理体系建设。
关于数据安全未来发展趋势的思考
随着商业银行数字化转型不断深化,数据规模与日俱增,数据安全管理能力愈发重要。未来商业银行数据安全管理主要呈现以下三大特点。
数据安全由监管驱动转向监管合规与业务需求双轮驱动。随着数字经济的迅猛发展,数据驱动的业务创新将成为商业银行重要的营收来源,凭借强大的数据安全管理能力作为支撑,商业银行可以基于数据资产和数字化技术开展金融创新,提升个性化、差异化、定制化产品和服务开发能力,提升金融服务质量和效率。以监管合规驱动结合业务发展需求才可为企业数据安全建设提供全新动力。基于业务发展需求的数据安全在推动业务合规运营方面的作用愈加明显,商业银行数据安全建设的驱动力也将逐渐由监管合规的单一驱动转向监管合规与业务需求的双轮驱动。
数据安全领域将由产业政策与新技术带动形成新的突破。在监管合规和业务需求的双轮驱动下,未来数据安全领域将由产业政策与新技术带动形成新的突破。例如,通过数据建模、知识图谱、机器学习等新技术,智能分析数据流向,自动识别并实施阻拦敏感数据风险;将传统的数据防泄漏(DLP)、脱敏工具、数据溯源、加密软件等安全产品与大数据平台、数据管理工具以及数据处理流程实现深度融合,将传统数据安全技术内嵌融入数据开发与数据使用流转之中;充分利用联邦学习、同态加密、多方计算、隐私计算等新技术,对敏感数据进行模糊化或相关计算,在保证数据安全的同时,实现“数据可用不可见,数据不动模型动”,满足业务对数据日益增长的普惠化、规模化利用需求。未来银行业数据安全管理能力很大程度上将取决于对新技术的应用能力。
数据安全风险治理能力将成为商业银行的重要竞争力。由于数据本身具备流动性、泛在性、不确定性、可无限复制利用等特点,导致数据在不同的网络区域、业务场景、应用系统流转时,有可能被不同角色、权限的用户采取不同的方式处理、访问、使用;过长的流转链条、过大的威胁暴露面、过多的数据处理活动,导致数据安全风险的触发源和不可控性显著增加。为了进一步防范数据被泄露、被篡改等安全事件的发生,在实际业务应用场景落实风险源头管控,始终坚持常态化做好数据安全外部威胁性与内部脆弱性风险评估,不断提升数据安全风险管控运营能力应成为商业银行关注的重点。
(作者系恒丰银行首席信息官)
责任编辑:董 治
Yhj_dz@126.com