加強數(shù)據(jù)安全管理 促進銀行數(shù)據(jù)資產(chǎn)創(chuàng)造價值

王西平

摘要：隨著社會經(jīng)濟的高速發(fā)展，科學技術帶動社會效益顯著提升，我國經(jīng)濟社會發(fā)展開始進入大數(shù)據(jù)階段，數(shù)字化已涵蓋了社會活動的各個領域和所有環(huán)節(jié)，經(jīng)濟社會的大數(shù)據(jù)化發(fā)展速度越來越快。目前，銀行業(yè)已經(jīng)成為中國現(xiàn)代化發(fā)展程度最大的領域之一，計算機技術的應用極大促進了商業(yè)銀行金融服務品種與業(yè)務的革新，同時累積了一大批涉及用戶與行業(yè)自身的關鍵信息，但也因此帶來了信息領域的安全難題，安全管理變得越來越重要。

關鍵詞：數(shù)據(jù)安全管理;銀行發(fā)展;數(shù)據(jù)資產(chǎn)

DOI：10.12433/zgkjtz.20232035

2021年6月10日，《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）由我國十三屆全國人民代表大會第二十九次會議審議通過，并于今年9月1日起實施，未來將與《網(wǎng)絡安全法》《個人信息保護法》共同構筑我國網(wǎng)絡安全、數(shù)據(jù)安全和個人隱私保護的重要框架。另外，2018年，銀保監(jiān)會發(fā)布了《銀行業(yè)金融機構數(shù)據(jù)治理指引》（以下簡稱《指引》），對銀行如何規(guī)范使用業(yè)務開展過程中獲得的客戶信息作出了詳細而具體的規(guī)定，要求商業(yè)銀行建立數(shù)據(jù)安全策略與標準并落地執(zhí)行，保障商業(yè)銀行數(shù)據(jù)的完整性、準確性和連續(xù)性。

一、數(shù)據(jù)安全管理概述

金融數(shù)據(jù)安全管理系統(tǒng)的基礎是技術安全。從信息安全中繼承的財務數(shù)據(jù)的技術安全，旨在通過技術手段確保數(shù)據(jù)安全，包括數(shù)據(jù)的完整性、可用性、保密性的應用、傳輸和存儲。

二、加強數(shù)據(jù)安全管理的重要性

大數(shù)據(jù)時代，數(shù)據(jù)是把握公司命脈的重要信息，詳盡地記載著公司所有產(chǎn)品的交易情況，其承載的數(shù)據(jù)中蘊含著許多可以提高公司價值的重要信息，它在市場中占據(jù)著愈來愈大的比例，發(fā)揮著日益關鍵的作用。數(shù)據(jù)已成為企業(yè)的關鍵財富，具備及時性和經(jīng)濟價值的特征。由于企業(yè)的數(shù)據(jù)中蘊藏著大量用戶需求或產(chǎn)品偏好，確保這些數(shù)據(jù)的安全性至關重要，如果任何一個資金流轉(zhuǎn)過程發(fā)生問題，整個體系的正常運作都將遭受巨大沖擊，甚至出現(xiàn)全局性的損失，給自身、企業(yè)乃至企業(yè)的整體財富造成巨大的沖擊與損失，所以對數(shù)據(jù)的正確處理與恰當運用就顯得十分關鍵。加強對商業(yè)數(shù)據(jù)安全技術問題的深入研究，有助于企業(yè)在大數(shù)據(jù)背景下對精細化經(jīng)營、業(yè)務創(chuàng)新和風險控制問題進行深入探討，從而推動企業(yè)長期、安全、平穩(wěn)、健康成長。

三、銀行數(shù)據(jù)安全管理現(xiàn)狀及存在的問題

（一）數(shù)據(jù)安全組織架構不合理

目前，部分銀行的安全管理人員在職位設置上存在重大缺失，部分已設定的安全職位實際上都歸屬信息化部門，且基本由其他崗位工作人員兼任，僅由信息化部門承擔安全管理工作的主要職責。各工作部門一般只在業(yè)務需要時，由分管具體業(yè)務的工作人員暫時開展數(shù)據(jù)安全管理工作。

保障安全性、維護服務連續(xù)性，也是國家信息安全科技部的主要工作之一。但是從數(shù)據(jù)分析信息認責的視角上來看，國家信息安全科學技術部門并不進行大數(shù)據(jù)分析，不編輯數(shù)據(jù)分析，也不定義數(shù)據(jù)，而只是保證數(shù)據(jù)在信息系統(tǒng)中正確落地，從科技層次上維護安全性，是大數(shù)據(jù)分析的受托者。業(yè)務主管部門才是數(shù)據(jù)分析信息真正的主人，管理定義了數(shù)據(jù)分析信息的收集、利用、資源共享和銷毀的基本規(guī)則和范疇，要確定安全等級和信息敏感性，是數(shù)據(jù)分析信息的創(chuàng)造者、用戶和領導者。但是銀行內(nèi)部在信息安全的管理方法和管理職能分工方面的定位并不清晰，從而產(chǎn)生管理錯位問題，缺乏科學合理的信息安全管理組織結構。

（二）數(shù)據(jù)安全管理制度缺失

一些企業(yè)在數(shù)據(jù)生命周期的許多環(huán)節(jié)均面臨著信息管理系統(tǒng)不足的問題，不能幫助企業(yè)按照各自的流程，實現(xiàn)具體環(huán)境下信息的獲取、傳遞、保存、處置、銷毀的標準化，使得數(shù)據(jù)保護要求不能得到有效貫徹，信息資源保障普遍缺失。

一是缺少國家主導的數(shù)據(jù)安全機制設計。部分商業(yè)銀行并沒有設立數(shù)據(jù)安全主管，也沒有實行內(nèi)部協(xié)調(diào)的信息安全管理，以至于不能在安全管理工作的整體規(guī)劃上加以整合，而原來的數(shù)據(jù)安全管理體系已不能對越來越精細的安全管理工作提供全面、科學、合理的指導，所以必須建立一種更加全面的數(shù)據(jù)化安全管理系統(tǒng)框架。

二是安全管理制度尚未全部涵蓋整個數(shù)據(jù)生命周期。通過對這些商業(yè)銀行現(xiàn)有安全管理體系的研究與總結，以及按照有關監(jiān)管部門的法規(guī)和行業(yè)要求，這些商業(yè)銀行也已建立并出臺了安全管理體系，包括《數(shù)據(jù)采集信息安全合規(guī)管理條例》《安全性運輸辦法》《儲存介質(zhì)安全性管理條例》《存儲系統(tǒng)安全配置規(guī)范》《數(shù)據(jù)接口開發(fā)規(guī)范》《媒介銷毀制度》等。有些銀行的安全管理體系對數(shù)據(jù)生命周期內(nèi)各階段的管控要求、標準和細則均存在漏洞，造成各層管理人員存在對安全管理工作職能范圍不清楚、職責流程不清晰、檢查工作不落實等管理缺陷。

（三）數(shù)據(jù)安全技術手段落后

“三分靠技術，七分靠管理”是經(jīng)過多個行業(yè)在長期的管理實踐中提出的理論，這一原則對數(shù)據(jù)安全行業(yè)同樣適用。在數(shù)據(jù)技術日益發(fā)達的今天，技術手段是企業(yè)管理策略與制度的高效實施，是企業(yè)克服管理缺陷的關鍵。部分商業(yè)銀行的安全管理手段還存在嚴重不足，但隨著行業(yè)的發(fā)展，部分商業(yè)銀行已經(jīng)開始把工作重心轉(zhuǎn)移到業(yè)務體系的構建與發(fā)展上，但忽視了對內(nèi)部安全管理相關體系的構建與運用。

（四）數(shù)據(jù)安全管理隊伍整體能力不足

長期以來，一些銀行僅由技術人員負責企業(yè)安全的管理工作，數(shù)據(jù)技術崗位的安全管理技術人員面臨著多重工作，且常常身兼多職，很難全方位適應數(shù)據(jù)信息安全管控，也無法保證安全工作的高效實施，更無法適應企業(yè)安全管理系統(tǒng)進一步開發(fā)、成熟的需求。同時，信息技術員工大多是純技術出身，對行業(yè)并不是特別了解，但負責數(shù)據(jù)安全技術的專門人才必須掌握三個領域的專業(yè)知識，即技術領域、信息化領域和具體的業(yè)務知識，一些商業(yè)銀行特別缺乏這類復合型高級人才。

四、銀行數(shù)據(jù)安全管理策略

（一）提升數(shù)據(jù)安全認知

一是高層管理要提高重視程度。在一些企業(yè)數(shù)據(jù)安全的構建過程中，高級管理者的作用十分關鍵，他們必須認識到數(shù)據(jù)對于企業(yè)的意義。在構建安全管理體系的進程中，一定要優(yōu)先進行頂層設計，確定必須保護的客體、被保護客體的級別界定以及相應的安全保護措施。然后，再合理地設置團隊結構和分配崗位職責，通過自上而下的方法，合理調(diào)動人力資源，使所有人員都能投入到安全管理體系的構建中，進而達到安全管理體系的預定要求。

二是做好數(shù)據(jù)知識普及。數(shù)據(jù)傳播的目標是商業(yè)銀行的全體員工，數(shù)據(jù)傳播的主要目的是使每位員工都知道數(shù)據(jù)的科學意義，了解安全管理的基本宗旨，并以此提升員工的意識，從而自覺規(guī)范自己的安全管理行為，進而加強對某些商業(yè)銀行的安全管理制度及規(guī)章執(zhí)行力。可以通過制定數(shù)據(jù)傳播知識指南，讓全體員工深入掌握有關數(shù)據(jù)的科學意義、數(shù)據(jù)戰(zhàn)略意義、安全形勢、有關規(guī)章制度、部分商業(yè)銀行數(shù)據(jù)總體規(guī)劃、部分商業(yè)銀行安全管理規(guī)定、其對觸犯數(shù)據(jù)傳播可能產(chǎn)生的影響等信息，切實把安全觀念融入到銀行文化中，通過教育讓所有人員深切的了解到安全與個人、公司的發(fā)展密切相關，意識到“安全創(chuàng)造效益，合規(guī)創(chuàng)造價值”，帶動各級員工由被動預防向主動防范的轉(zhuǎn)化，以學習型團隊的組織形式促使員工自覺、主動地掌握安全工作技術。

三是增強行內(nèi)的安全氛圍。安全氛圍是一個共同意識，是由銀行全體員工形成的對工作環(huán)境的整體風險意識。因此，要使全員在行為準則方面與企業(yè)安全目標一致，從而有效保障公司數(shù)據(jù)的安全性。

（二）加強部門間的協(xié)作

安全部門與組織中各機構間都有十分密切的聯(lián)系，在組織結構的頂層設計方面，業(yè)務部門、信息機構、法務與規(guī)范機構、人力資本機構、風險管理部門等機構，均要介入戰(zhàn)略目標和重大事件的制定，同時還要廣泛參與、配合底層建設、工作流程體系的執(zhí)行、安全工具配置、個人安全控制、企業(yè)安全合規(guī)、信息的對外公布等領域。因此，安全部門要加強有相關部門的溝通聯(lián)系，充分利用有關部門的業(yè)務優(yōu)勢，加強安全保障。例如，行政部門在提供服務、確保組織的持續(xù)成長方面發(fā)揮著不可替代的作用，人力資源部門在員工的招聘、調(diào)崗、辭職等工作流程中起著主導作用，安全部門只有與相關部門保持良好聯(lián)系，實現(xiàn)資源共享，才能更好地進行安全保障。在銀行進行大數(shù)字化工作的流程中，安全部門要負責對銀行不同數(shù)據(jù)關聯(lián)的管理，這也就要求必須要與有關部門開展溝通協(xié)作，只有這樣，安全管理部門才能把大數(shù)據(jù)工作整合到對銀行的各種方面的安全控制中。

（三）加強培訓手段和考核力度

第一，完善培訓手段與途徑。培訓方式包括但不限于定期采用宣傳冊或電子郵件進行宣傳，開展安全培訓、舉辦安全講座、組織專家講座、與國外專業(yè)培訓組織合作培訓、聘請國家數(shù)據(jù)與安全領域相關人員開展講座等。另外，安全培訓教學可在網(wǎng)絡上開展，定向?qū)θw工作人員推送相應的安全內(nèi)容；也可利用移動客戶端應用程序進行在線教學，對員工進行培訓，使銀行全體人員可以利用碎片時間，隨時完成培訓，還可以在培訓中，通過交流的方式強化印象，如案例剖析、互動小游戲等，從而更好地調(diào)動員工的主觀能動性，減少形式主義。

第二，加大數(shù)據(jù)安全考核工作。完成集中培訓及網(wǎng)絡課程后，要做好學習成效的考評與驗證，實現(xiàn)增強風險防范認識和職責、提高經(jīng)營風險辨識技能和管理水平的學習效果。（1）數(shù)據(jù)考核全面覆蓋。銀行錄用新人后，要把數(shù)據(jù)安全投入筆試及面試的考核項目內(nèi)，并在員工上崗前對其進行數(shù)據(jù)安全專業(yè)知識與技能培訓，并實施考評，業(yè)績合格者才能錄用。（2）加強教學效果考核。通過集中測試、知識競賽、定期評估等方法，綜合考核教學效果，使員工不斷提高數(shù)據(jù)安全知識，查缺補漏。（3）強化考評力度。為提升培訓轉(zhuǎn)化效果、量化培訓質(zhì)量與成效，在線下、線上的培訓完成后，要對員工進行綜合考評，將考評成績作為績效考核的一項重要指標，以幫助全體員工增強數(shù)據(jù)安全意識。

（四）增加數(shù)據(jù)安全科技預算

銀行應不斷完善數(shù)據(jù)安全管理平臺、態(tài)勢監(jiān)測系統(tǒng)、脫敏系統(tǒng)、數(shù)據(jù)泄露防范系統(tǒng)等數(shù)據(jù)安全技術，確保數(shù)據(jù)安全。一些銀行每年都在信息系統(tǒng)建設方面投入巨資，大部分預算用于與數(shù)據(jù)安全相關的系統(tǒng)建設或升級，然而，建立與數(shù)據(jù)安全有關的信息系統(tǒng)不需要財政撥款。根據(jù)一些銀行在數(shù)據(jù)安全領域的成熟度和數(shù)據(jù)安全管理的要求，數(shù)據(jù)安全制度的完善不容忽視。如果是緊急項目，可以要求追加預算，提高數(shù)據(jù)安全管理的效率。

五、結束語

隨著商業(yè)銀行采集和存儲數(shù)據(jù)的能力的快速提升，逐步沉淀大量原始數(shù)據(jù)。如何安全存儲、處理和使用這些大量重要數(shù)據(jù)是當下銀行等金融機構所面臨的重要問題，如果處理不當，可能會引起重大的問題。因此，銀行必須要對數(shù)據(jù)安全問題予以足夠的重視，避免發(fā)生安全問題，只有做好安全保障，才能更好地利用數(shù)據(jù)，推動銀行業(yè)發(fā)展。本文結合實際情況，提出了銀行數(shù)據(jù)安全管理策略，希望可以對相關機構和個人提供有益的幫助。

參考文獻：

[1]邵世敏.推進農(nóng)發(fā)行數(shù)據(jù)治理[J].農(nóng)業(yè)發(fā)展與金融，2020（8）：89-91.

[2]王軍強.大數(shù)據(jù)金融：現(xiàn)狀、問題與對策[J].經(jīng)濟師，2021（12）：144-145.