深度融合數(shù)據(jù)治理與數(shù)據(jù)安全打造民生銀行數(shù)字化轉(zhuǎn)型的堅實基座

摘要：在數(shù)字化轉(zhuǎn)型過程中，民生銀行將“數(shù)據(jù)治理”與“數(shù)據(jù)安全”深度融合，積極探索數(shù)據(jù)治理新模式，聚焦不同安全等級數(shù)據(jù)在生命周期各階段的保護要求，持續(xù)促進數(shù)據(jù)安全管理工作的提升。2023年，民生銀行通過了數(shù)據(jù)安全能力成熟度三級認證，標志著民生銀行在數(shù)據(jù)安全組織建設(shè)、制度流程、技術(shù)工具、人員能力等四個維度的管理能力與成熟度達到了較高水平，形成了成熟的數(shù)據(jù)安全管理體系。

關(guān)鍵詞：數(shù)據(jù)管理 數(shù)據(jù)治理 數(shù)據(jù)安全 數(shù)據(jù)標準

數(shù)據(jù)作為數(shù)字化時代的重要生產(chǎn)要素，為推動經(jīng)濟社會發(fā)展及轉(zhuǎn)型注入了新動能，其重要性與日俱增。隨著數(shù)字化轉(zhuǎn)型的不斷深入，監(jiān)管機構(gòu)更加重視金融機構(gòu)的數(shù)據(jù)安全。國家金融監(jiān)督管理總局發(fā)布《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法（征求意見稿）》，強化對金融機構(gòu)數(shù)據(jù)安全的全面監(jiān)管，并要求金融機構(gòu)建立數(shù)據(jù)安全責任制，制定數(shù)據(jù)分類分級保護制度。

中國民生銀行（以下簡稱“民生銀行”）通過建設(shè)完善數(shù)據(jù)安全治理體系和技術(shù)體系，認真落實監(jiān)管政策，重點解決金融行業(yè)普遍存在的數(shù)據(jù)安全保護意識有待提升、新技術(shù)攻擊手段多樣化等主要數(shù)據(jù)安全風險點。圍繞數(shù)據(jù)全生命周期，按照數(shù)據(jù)分類分級保護標準，持續(xù)優(yōu)化管理機制、細化管理流程，同步建設(shè)安全技術(shù)平臺、完善安全防護體系，支撐全行數(shù)據(jù)戰(zhàn)略和數(shù)據(jù)安全、客戶隱私保護策略，落實數(shù)據(jù)安全責任制和集團一體化管理要求，實現(xiàn)數(shù)據(jù)安全管理提質(zhì)增效。

持續(xù)提升數(shù)據(jù)治理能力，筑牢數(shù)字化轉(zhuǎn)型底座

2023年，民生銀行發(fā)布了其數(shù)據(jù)工作的首份綱領(lǐng)性文件《中國民生銀行數(shù)據(jù)戰(zhàn)略（2023—2025年）》（以下簡稱《數(shù)據(jù)戰(zhàn)略》），明確了打造一家數(shù)據(jù)驅(qū)動的銀行，全面實現(xiàn)用數(shù)據(jù)洞察、用數(shù)據(jù)決策、用數(shù)據(jù)管理的愿景。遵循《數(shù)據(jù)戰(zhàn)略》，民生銀行數(shù)據(jù)治理工作按照“以用帶治，以治促用”的策略和“聚焦、務(wù)實、協(xié)同、長效”的原則，科技賦能，顯著提升全行數(shù)字化能力。

（一）強化組織領(lǐng)導(dǎo)，完善統(tǒng)籌管理

組織領(lǐng)導(dǎo)是企業(yè)數(shù)字化轉(zhuǎn)型成敗的關(guān)鍵，也是企業(yè)推動數(shù)據(jù)治理工作落地見效的重要保障。在組織機制層面，民生銀行黨委和董事會高度重視數(shù)據(jù)治理工作，建立了“自上而下，協(xié)調(diào)一致”的組織體系；通過進一步明確數(shù)據(jù)、科技、業(yè)務(wù)部門的職責分工，破除部門壁壘，保障資源配置，形成部門相互協(xié)同、總分聯(lián)動協(xié)作的運行機制。在統(tǒng)籌管理層面，民生銀行借助董事會科技信息管理委員會數(shù)據(jù)治理工作小組、項目管理辦公室（PMO）等機制，檢視、督導(dǎo)重點難點工作，有力推動“頂層設(shè)計”從總行到附屬機構(gòu)及分支機構(gòu)見行見效；通過構(gòu)建價值指標體系，以可視化的方式，用量化數(shù)據(jù)從供需兩端同步提升對數(shù)據(jù)治理成果價值的感知度和認可度。

（二）堅持標準引領(lǐng)，推動精細管控

數(shù)據(jù)標準的制定與貫徹是提升數(shù)據(jù)治理能力的基礎(chǔ)保障。民生銀行從數(shù)據(jù)標準體系建設(shè)和精細化落標管控兩方面雙管齊下，“管”“用”結(jié)合，將標準的規(guī)范與指引作用落細落實。

1. 加強基礎(chǔ)數(shù)據(jù)標準建設(shè)

一是聚焦企業(yè)級基礎(chǔ)數(shù)據(jù)字典建設(shè)，優(yōu)化整合明細數(shù)據(jù)、主數(shù)據(jù)、參考數(shù)據(jù)等數(shù)據(jù)資源，對企業(yè)內(nèi)部數(shù)據(jù)元素進行標準化定義和描述，構(gòu)建統(tǒng)一的數(shù)據(jù)語言和知識體系，制定了企業(yè)級基礎(chǔ)數(shù)據(jù)字典2萬余項；二是加強標準落標管控，在模型設(shè)計環(huán)節(jié)，借助企業(yè)級數(shù)據(jù)建模工具部署標準管控舉措，并不斷提升工具的智能化引標能力，同時加強數(shù)據(jù)模型評審，針對模型表的引標、合標情況進行審核，管控新增數(shù)據(jù)模型字段標準化。

2. 加強指標標準內(nèi)容建設(shè)

一是持續(xù)強化業(yè)務(wù)部門指標標準建設(shè)主體意識，引導(dǎo)業(yè)務(wù)部門主動開展相關(guān)關(guān)鍵指標的梳理和標準制定；二是借助全行級重點工作推進梳理關(guān)鍵指標標準，夯實風險領(lǐng)域、經(jīng)營管理領(lǐng)域和績效考核場景的指標口徑基礎(chǔ)，保障關(guān)鍵指標數(shù)據(jù)口徑定義一致。指標標準落實方面，一是建立健全指標管控機制，以全行關(guān)鍵數(shù)據(jù)“數(shù)出一門”為目標，強化指標口徑規(guī)則管理審核機制，管理范疇覆蓋數(shù)據(jù)需求管控、線上線下數(shù)據(jù)應(yīng)用等主要場景；二是加強指標管理工具支撐，以指標元數(shù)據(jù)管理為主線，以指標引擎體系構(gòu)建為抓手，提高指標標準在指標全生命周期的落標效能，提升業(yè)務(wù)人員對于指標標準的應(yīng)用體驗。

（三）緊盯質(zhì)量提升，夯實價值基礎(chǔ)

數(shù)據(jù)質(zhì)量直接決定數(shù)據(jù)價值，更是數(shù)據(jù)治理的生命線。隨著數(shù)字化轉(zhuǎn)型的不斷推進，民生銀行積累了規(guī)模龐大的交易、客戶、渠道等數(shù)據(jù)。民生銀行多措并舉，將外部約束推力轉(zhuǎn)化為內(nèi)生發(fā)展動力。一是將各監(jiān)管機構(gòu)對指標類和明細類報送的數(shù)據(jù)質(zhì)量要求融入行內(nèi)系統(tǒng)業(yè)務(wù)需求、模型設(shè)計、技術(shù)規(guī)范、研發(fā)流程全鏈條，優(yōu)化打磨，穩(wěn)步提升數(shù)據(jù)報送質(zhì)量。二是以年度專項治理任務(wù)方式對影響面大、重要程度高、復(fù)雜度高的突出問題進行重點攻關(guān)，通過控增量、治存量的方式實現(xiàn)問題根治。三是通過推進數(shù)據(jù)質(zhì)量問題治理工作，常態(tài)化開展質(zhì)量問題收集與協(xié)同整改，促進數(shù)據(jù)質(zhì)量持續(xù)提升。四是建立數(shù)據(jù)質(zhì)量評價體系，洞察數(shù)據(jù)質(zhì)量態(tài)勢變化，及時發(fā)現(xiàn)和審視短板問題，舉一反三，借助知識庫持續(xù)改善速度、成本、收益，形成良性循環(huán)。

（四）探索智能化應(yīng)用，驅(qū)動“智”理變革

在數(shù)字經(jīng)濟時代，以生成式人工智能為代表的前沿技術(shù)為數(shù)字化轉(zhuǎn)型帶來了顛覆性變革，民生銀行注重發(fā)揮創(chuàng)新科技的賦能效應(yīng)，積極探索數(shù)據(jù)治理領(lǐng)域的智能化應(yīng)用。在數(shù)據(jù)安全管理、數(shù)據(jù)質(zhì)量管理、數(shù)據(jù)標準管理、數(shù)據(jù)模型管理、數(shù)據(jù)資源管理、元數(shù)據(jù)管理等多領(lǐng)域探索構(gòu)建了智能化模型工具，對數(shù)據(jù)治理具體場景進行賦能，提升了治理質(zhì)效。2024年民生銀行的“AI賦能助力企業(yè)級數(shù)據(jù)字典建設(shè)提質(zhì)增效項目”在行業(yè)數(shù)據(jù)治理峰會上獲得“數(shù)據(jù)治理創(chuàng)新獎”，智能化應(yīng)用成效初顯。

數(shù)據(jù)安全管理與技術(shù)雙管齊下同步強化

（一）完善數(shù)據(jù)安全治理體系，提升數(shù)據(jù)安全管理水平

1. 建立健全數(shù)據(jù)安全組織架構(gòu)和制度體系

對標監(jiān)管數(shù)據(jù)安全制度要求，發(fā)布《中國民生銀行數(shù)據(jù)安全管理辦法》，明確個人信息和數(shù)據(jù)安全保護決策機構(gòu)與統(tǒng)籌管理機構(gòu)，構(gòu)建業(yè)務(wù)部門、數(shù)據(jù)部門、科技部門、消保部門、風險部門、法律合規(guī)部門、審計部門等多部門協(xié)同聯(lián)動數(shù)據(jù)安全管理機制；建立“總體策略、管理規(guī)范、標準細則、操作流程”四級數(shù)據(jù)安全制度體系，各級機構(gòu)設(shè)置數(shù)據(jù)安全管家，配備數(shù)據(jù)安全專職崗位和人員，推進執(zhí)行數(shù)據(jù)安全管理措施和技術(shù)保護工作。

2. 強化數(shù)據(jù)安全宣貫教育和監(jiān)督考核

針對不同類型員工定期開展數(shù)據(jù)安全專題面授、線上或直播課程，提升全員數(shù)據(jù)安全專業(yè)技能和意識水平；依托網(wǎng)絡(luò)安全工作責任制考核機制，設(shè)定數(shù)據(jù)安全考核指標，定期對各級機構(gòu)的數(shù)據(jù)安全保護能力開展檢查、考核和評價，確保數(shù)據(jù)安全管理責任落實到位。

（二）推進數(shù)據(jù)分類分級工作，夯實數(shù)據(jù)安全保護基礎(chǔ)

1. 優(yōu)化數(shù)據(jù)分類分級標準和工具流程

對標監(jiān)管數(shù)據(jù)安全制度和標準，發(fā)布《數(shù)據(jù)分類分級管理辦法》，明確組織職責、框架規(guī)則、分級標準、工作流程等；優(yōu)化數(shù)據(jù)治理平臺，構(gòu)建和訓(xùn)練基于大模型的個人客戶數(shù)據(jù)分類分級智能標注模型，提升整體準確率。

2. 實施數(shù)據(jù)定級流程和標注審核

制定增量和存量數(shù)據(jù)定級流程和系統(tǒng)管控方案，采取分階段、分批次、分重點對個人信息類、經(jīng)營管理類、資金交易類等數(shù)據(jù)實施定級標注和審核，培養(yǎng)包括模塊負責人、數(shù)據(jù)管家、業(yè)務(wù)專家等在內(nèi)的定級角色隊伍。

（三）筑牢數(shù)據(jù)安全技術(shù)保護體系，切實防范數(shù)據(jù)泄露風險

1. 實施數(shù)據(jù)生命周期安全保護

在數(shù)據(jù)采集、傳輸、存儲、使用、刪除、銷毀等環(huán)節(jié)保障數(shù)據(jù)完整性、保密性和可用性。數(shù)據(jù)采集通過數(shù)字簽名等鑒別數(shù)據(jù)源，遵循最小必要原則采集個人信息，取得客戶合法有效的授權(quán)同意；通過可信物理通道、加密傳輸通信協(xié)議、簽名技術(shù)等實現(xiàn)數(shù)據(jù)傳輸安全；通過加密等技術(shù)實施數(shù)據(jù)存儲保護，重要業(yè)務(wù)系統(tǒng)實現(xiàn)多級數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)能力；采取終端安全管控、打印操作審計、屏幕水印、展示脫敏、日志脫敏等措施保障數(shù)據(jù)使用安全；通過數(shù)據(jù)不脫離系統(tǒng)使用專項治理、終端敏感文件掃描與清理等措施確保數(shù)據(jù)刪除。

2.把控數(shù)據(jù)生命周期保護落實到位

通過等保測評、風險評估、安全檢查等措施確保全行落實基線要求；在業(yè)務(wù)需求論證和研發(fā)流水線中嵌入數(shù)據(jù)安全評審，設(shè)置投產(chǎn)安全門禁，實施漏洞掃描、人工滲透、源代碼安全檢測等；明確開源軟件、商業(yè)軟件引入的安全管控標準和流程；維護開源和商業(yè)合法軟件臺賬及安全可靠的軟件下載路徑；持續(xù)加強互聯(lián)網(wǎng)資產(chǎn)和暴露面管控，建立重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)資產(chǎn)臺賬并動態(tài)更新，互聯(lián)網(wǎng)出口統(tǒng)一管理并實施互聯(lián)網(wǎng)出訪管控策略。

（四）強化數(shù)據(jù)安全應(yīng)急管理體系，提升安全態(tài)勢感知能力

1.實施應(yīng)用數(shù)據(jù)流量監(jiān)測和投訴處置

部署應(yīng)用數(shù)據(jù)風險監(jiān)測系統(tǒng)，主動發(fā)現(xiàn)敏感訪問、可疑訪問等，運用大數(shù)據(jù)、威脅情報等研判數(shù)據(jù)安全風險隱患，加強與國家主管部門的聯(lián)動與信息共享，形成工作合力；設(shè)立多渠道投訴受理流程，配置專線受理個人服務(wù)、對公服務(wù)、小微服務(wù)、信用卡服務(wù)等客戶投訴，對涉及數(shù)據(jù)安全、客戶隱私的投訴實施統(tǒng)籌管理，實施數(shù)據(jù)泄露、仿冒欺詐等負面輿情的自動化監(jiān)測以及跨部門協(xié)同處置。

2.加強數(shù)據(jù)安全事件響應(yīng)和經(jīng)驗積累

將數(shù)據(jù)安全事件應(yīng)急管理納入信息系統(tǒng)突發(fā)事件應(yīng)急管理體系中，發(fā)布《信息安全事件管理辦法》《信息安全應(yīng)急預(yù)案管理辦法》《數(shù)據(jù)安全事件應(yīng)急預(yù)案》等；建立由科技部門、數(shù)據(jù)部門、業(yè)務(wù)部門、辦公室、法規(guī)部門等協(xié)同聯(lián)動的數(shù)據(jù)安全事件應(yīng)急小組，按照監(jiān)測預(yù)警、分析研判、通報預(yù)警、應(yīng)急處置、協(xié)同聯(lián)動、追蹤溯源等流程實施應(yīng)急響應(yīng)，關(guān)注重點場景并定期開展應(yīng)急演練。

下一步，民生銀行將深化數(shù)字化轉(zhuǎn)型，堅持數(shù)據(jù)和科技雙輪驅(qū)動，強化數(shù)據(jù)治理的頂層設(shè)計，注重數(shù)據(jù)安全法規(guī)的遵循、落實，在確保合規(guī)的前提下，實現(xiàn)數(shù)據(jù)價值的最大化，賦能業(yè)務(wù)高質(zhì)量發(fā)展。

參考文獻

[1] 毛斌.民生銀行讓數(shù)字金融和普惠金融“一融俱榮”[J]. 當代金融家，2024（8）.

[2] 沈志勇. 民生銀行數(shù)據(jù)戰(zhàn)略實踐[J]. 中國金融電腦，2024（3）.

[3] IBM商業(yè)價值研究院. 破解數(shù)據(jù)化運營困境：建立價值導(dǎo)向的企業(yè)級數(shù)據(jù)字典體系[EB/OL]. https：//www.ibm.com/downloads/documents/cn-zh/10a99803fe2fde4b.

[4] 戚君賢.數(shù)字化轉(zhuǎn)型下的商業(yè)銀行數(shù)據(jù)安全治理研究[J].中國信息化，2021（2）.

[5]華為數(shù)據(jù)管理部.華為數(shù)據(jù)之道[M].北京：機械工業(yè)出版社，2023.