数据安全管理实践与思考
数字时代银行发展的坚实法律保障
随着互联网、大数据、人工智能、云计算等技术的飞速发展和在经济社会各领域的广泛应用,数字化时代已来。顺应时代发展要求,党的十九大作出建设数字中国、智慧社会的战略部署,十九届四中全会明确将数据与劳动、资本、土地、知识、技术、管理并列视为生产要素,十九届五中全会进一步作出了加快数字化发展,建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用,扩大基础公共信息数据有序开放,保障国家数据安全,加强个人信息保护,推进数据要素市场化改革等更加全面的战略举措。《数据安全法》应运而生,是党中央关于加快数字化发展,坚定不移建设数字中国的系列决策部署的重要部分,既是数据领域的基础性法律,也是国家安全法律体系的重要组成部分。
金融是现代经济的核心,金融安全事关国家安全。银行业作为我国金融体系的重要组成部分,数字化转型迅速。在此进程中,数据要素的价值日益凸显,数据安全事件频发,社会公众个人信息保护意识明显提升,数据安全引起社会舆论普遍关注,数据安全风险越来越大,银行业面临前所未有的新挑战。《数据安全法》的出台,为银行业统筹安全与发展,应对数据安全风险挑战,防范化解数据安全风险,更好发挥数据价值,更好服务数字中国建设和经济高质量发展,提供了强大保障。
农业银行数据安全管理实践探索
农行对数据安全高度重视,立足自身实际和需要,进行了一些实践和探索。
1.明确数据安全内涵与工作定位。确认数据属主,厘清数据安全工作与其他工作的相互关系,从这些关系中找准定位。首先,将数据安全作为信息安全的子集,数据安全目标的实现必然依赖于应用安全、终端安全、网络安全等科技工作。其次,明确数据安全管理是数据治理的重要内容,从安全视角开展数据分类分级,做好数据资产梳理和差异化保护。第三,与保密工作有衔接。保密重点对文件、介质等进行整体管理,数据安全工作更聚焦于非涉密数据,围绕信息系统开展,重点对数据收集、存储、使用等全生命周期的各个环节进行动态管理。
2.确定管理策略和原则。结合实际制定五方面总体策略,包括:严守依法合规红线、安全与发展并重、管理和技术结合、急用先行持续完善、可追溯可审计。拟定三条基本原则,即:全面覆盖、分级分类,统分结合、各负其责,多方融合、整体安全。五个策略和三条原则规定了农行数据安全工作的红线底线,是数据安全管理具体举措和各项工作推进的基本遵循。
3.建立管理框架。农行数据安全管理框架可概括为“两层保障、六项内容、一个基础”。两层保障,是指组织保障和制度保障。组织方面核心是定牵头部门和协作机制,制度方面关键是制定专门办法。六项内容,包括合法合规、分类分级、风险评估、监控应急、教育培训及监督评价。其逻辑是,首先明确根据什么管?即要遵循的法律法规是什么、有哪些?这是数据安全管理的前提和底线。其次明确管什么?简单来说就是管数、管人(意识和行为)、管风险(事前、事中、事后)。对应到六项内容,分级分类是管数,要求厘清数据资产类别和敏感级别,为差异化保护打下基础;教育培训是管人,将培养意识、普及知识、提升能力作为基本目标和实现安全的必要手段;风险评估、监控应急是管风险,不仅要事中事后监控处置,还要开展事前评估预防、事后采取措施缓释风险。再次明确怎么管?通过监督、检查、评价发现薄弱环节,推动落实落细,提升管理水平。一个基础,是指以科技为支撑。把数据安全风险管控住,必须通过系统工具建立刚性约束,才能真落地,落得细、落得实。另外,数据的产生流转与系统建设运行密不可分,要在科技项目建设中同步考虑数据安全事项,落实数据风险防控举措。
4.坚持抓重点和关键。一是抓基础保障。组织方面,确定了数据安全牵头部门,以及总行部门和一级分行的数据安全牵头处室,一横一纵的架构基本建立。制度方面,正式发布《中国农业银行数据安全管理办法》,以此为核心,推动相关领域制定实施细则,逐步构建数据安全制度体系,以求将数据安全管理融入业务开展之中。技术方面,科技部门夯实基础防护体系,推动SOC平台建设、推广SDL规范、落实7×24小时网络安全值班等措施,健全网络与数据安全的技术体系。
二是抓重点。数据分类分级是数据安全管理的前提。农业银行正在制定数据定级目录,已完成客户主题,制定了客户数据分级规范、客户敏感数据目录、敏感数据保护要点等5份指引文件,涵盖178个数据小类、61项保护要求。各部门各分行都参与目录制定,并以目录为指导在具体项目中制定敏感数据清单,落实差异保护要求。重要数据行为审查是日常数据安全的重要抓手。针对数据出行、出境等重要场景,由于数据安全风险较高,采取扎口管理模式,建立了多部门分工审核的机制流程。数据安全评估是为了准确把握总体情况。以法律法规、监管要求以及行内数据安全制度为标杆,定期组织各单位自评估,通过回顾审视,主动发现不足并及时完善。当前,农行正在开展全系统的数据安全自评估工作。数据安全应急是数据安全风险管理必不可少的内容,针对数据安全重点领域、信息系统,加强监控,及早发现异常行为并进行预警和处置。一旦发生风险或事件,按相关规定及时采取应急处置措施,控制和减少风险损失。
三是抓关键。数据安全关键在人,关键在责任落实。当下银行业暴露出的数据泄露事件,绝大多数因员工有意或无意的违法违规行造成。对员工开展法规政策培训和风险警示教育尤为重要,要有计划性的定期开展,要牢固树立“数据安全,人人有责”的观念。一方面,通过一横一纵做好全辖教育培训。另一方面,各单位做好转培训,将数据安全要求传导至每位员工,融入日常工作。
数据安全管理的体会与思考
农业银行董事长、行长和分管行领导高度重视数据安全工作,在党建与经营工作会等多种场合一再强调并做出具体部署,这为全行数据安全工作营造了良好环境、提供了强大动力。在实践中,笔者体会有以下几点需要注意。
1.要齐抓共管,强化部门协作。数据安全覆盖面广,与每个业务条线、部门都密切相关,所有开展数据活动的单位及相关监督部门都负有数据安全管理责任。部门间分工可从两个层面来看。首先从数据层面看,数据管理部门通常是全行数据的统筹管理者,各主管部门则是领域数据的具体管理者。其次从风控层面看,具体管理和使用数据的各部门是数据安全风险管控的一道防线,内控、法律、风险以及数据管理部门等是二道防线,审计是三道防线。可见,内部各部门都扮演了一种或多种角色,既可能是牵头统筹者,也可能是监督执行者,还可能是数据所有者、数据使用者或数据管理者。因此,既要依一定原则明确职责边界,更需要相互协作补位,确保安全管理不留空白和漏洞。
2.要开门工作,及时关注新技术新情况。目前,数据安全新规章、新标准还在紧锣密鼓制定中,数据安全新方法、新技术也是日新月异。数据安全管理不能闭门造车,要紧盯法律法规和政策变动,紧盯同业动态,及时了解行业最新要求、同业领先经验,学习借鉴好的方法和工具,将显著促进数据安全管理能力的提升。
3.要统筹兼顾,克服与化解实际困难。数据安全管理容易成为矛盾焦点、工作难点,既要解决当前难题,又要确保持续推进,坚持实事求是解决问题的好方法。要注意拿捏好管控尺度和方法,避免“一管就死”和“一放就乱”的极端。坚持“安全与发展并重”理念,才会细致了解现实、精准管理施策、循序渐进行动,才容易得到业务理解,才能把安全工作真正做细做实做好,做到以安全保障发展,实现以发展促进安全。
《数据安全法》为数据安全工作提供了基本的法律遵循。农行下一步将抓好《数据安全法》的学习、宣传、贯彻、执行,持续关注政府和行业监管部门推出的法律法规并及时落地执行,认真努力做好数据安全工作,保护好数据相关主体权益。
(来源:金融电子化)
