王西平

摘要：隨著社會(huì)經(jīng)濟(jì)的高速發(fā)展，科學(xué)技術(shù)帶動(dòng)社會(huì)效益顯著提升，我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展開始進(jìn)入大數(shù)據(jù)階段，數(shù)字化已涵蓋了社會(huì)活動(dòng)的各個(gè)領(lǐng)域和所有環(huán)節(jié)，經(jīng)濟(jì)社會(huì)的大數(shù)據(jù)化發(fā)展速度越來(lái)越快。目前，銀行業(yè)已經(jīng)成為中國(guó)現(xiàn)代化發(fā)展程度最大的領(lǐng)域之一，計(jì)算機(jī)技術(shù)的應(yīng)用極大促進(jìn)了商業(yè)銀行金融服務(wù)品種與業(yè)務(wù)的革新，同時(shí)累積了一大批涉及用戶與行業(yè)自身的關(guān)鍵信息，但也因此帶來(lái)了信息領(lǐng)域的安全難題，安全管理變得越來(lái)越重要。

關(guān)鍵詞：數(shù)據(jù)安全管理;銀行發(fā)展;數(shù)據(jù)資產(chǎn)

DOI：10.12433/zgkjtz.20232035

2021年6月10日，《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱《數(shù)據(jù)安全法》）由我國(guó)十三屆全國(guó)人民代表大會(huì)第二十九次會(huì)議審議通過，并于今年9月1日起實(shí)施，未來(lái)將與《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》共同構(gòu)筑我國(guó)網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人隱私保護(hù)的重要框架。另外，2018年，銀保監(jiān)會(huì)發(fā)布了《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》（以下簡(jiǎn)稱《指引》），對(duì)銀行如何規(guī)范使用業(yè)務(wù)開展過程中獲得的客戶信息作出了詳細(xì)而具體的規(guī)定，要求商業(yè)銀行建立數(shù)據(jù)安全策略與標(biāo)準(zhǔn)并落地執(zhí)行，保障商業(yè)銀行數(shù)據(jù)的完整性、準(zhǔn)確性和連續(xù)性。

一、數(shù)據(jù)安全管理概述

金融數(shù)據(jù)安全管理系統(tǒng)的基礎(chǔ)是技術(shù)安全。從信息安全中繼承的財(cái)務(wù)數(shù)據(jù)的技術(shù)安全，旨在通過技術(shù)手段確保數(shù)據(jù)安全，包括數(shù)據(jù)的完整性、可用性、保密性的應(yīng)用、傳輸和存儲(chǔ)。

二、加強(qiáng)數(shù)據(jù)安全管理的重要性

大數(shù)據(jù)時(shí)代，數(shù)據(jù)是把握公司命脈的重要信息，詳盡地記載著公司所有產(chǎn)品的交易情況，其承載的數(shù)據(jù)中蘊(yùn)含著許多可以提高公司價(jià)值的重要信息，它在市場(chǎng)中占據(jù)著愈來(lái)愈大的比例，發(fā)揮著日益關(guān)鍵的作用。數(shù)據(jù)已成為企業(yè)的關(guān)鍵財(cái)富，具備及時(shí)性和經(jīng)濟(jì)價(jià)值的特征。由于企業(yè)的數(shù)據(jù)中蘊(yùn)藏著大量用戶需求或產(chǎn)品偏好，確保這些數(shù)據(jù)的安全性至關(guān)重要，如果任何一個(gè)資金流轉(zhuǎn)過程發(fā)生問題，整個(gè)體系的正常運(yùn)作都將遭受巨大沖擊，甚至出現(xiàn)全局性的損失，給自身、企業(yè)乃至企業(yè)的整體財(cái)富造成巨大的沖擊與損失，所以對(duì)數(shù)據(jù)的正確處理與恰當(dāng)運(yùn)用就顯得十分關(guān)鍵。加強(qiáng)對(duì)商業(yè)數(shù)據(jù)安全技術(shù)問題的深入研究，有助于企業(yè)在大數(shù)據(jù)背景下對(duì)精細(xì)化經(jīng)營(yíng)、業(yè)務(wù)創(chuàng)新和風(fēng)險(xiǎn)控制問題進(jìn)行深入探討，從而推動(dòng)企業(yè)長(zhǎng)期、安全、平穩(wěn)、健康成長(zhǎng)。

三、銀行數(shù)據(jù)安全管理現(xiàn)狀及存在的問題

（一）數(shù)據(jù)安全組織架構(gòu)不合理

目前，部分銀行的安全管理人員在職位設(shè)置上存在重大缺失，部分已設(shè)定的安全職位實(shí)際上都?xì)w屬信息化部門，且基本由其他崗位工作人員兼任，僅由信息化部門承擔(dān)安全管理工作的主要職責(zé)。各工作部門一般只在業(yè)務(wù)需要時(shí)，由分管具體業(yè)務(wù)的工作人員暫時(shí)開展數(shù)據(jù)安全管理工作。

保障安全性、維護(hù)服務(wù)連續(xù)性，也是國(guó)家信息安全科技部的主要工作之一。但是從數(shù)據(jù)分析信息認(rèn)責(zé)的視角上來(lái)看，國(guó)家信息安全科學(xué)技術(shù)部門并不進(jìn)行大數(shù)據(jù)分析，不編輯數(shù)據(jù)分析，也不定義數(shù)據(jù)，而只是保證數(shù)據(jù)在信息系統(tǒng)中正確落地，從科技層次上維護(hù)安全性，是大數(shù)據(jù)分析的受托者。業(yè)務(wù)主管部門才是數(shù)據(jù)分析信息真正的主人，管理定義了數(shù)據(jù)分析信息的收集、利用、資源共享和銷毀的基本規(guī)則和范疇，要確定安全等級(jí)和信息敏感性，是數(shù)據(jù)分析信息的創(chuàng)造者、用戶和領(lǐng)導(dǎo)者。但是銀行內(nèi)部在信息安全的管理方法和管理職能分工方面的定位并不清晰，從而產(chǎn)生管理錯(cuò)位問題，缺乏科學(xué)合理的信息安全管理組織結(jié)構(gòu)。

（二）數(shù)據(jù)安全管理制度缺失

一些企業(yè)在數(shù)據(jù)生命周期的許多環(huán)節(jié)均面臨著信息管理系統(tǒng)不足的問題，不能幫助企業(yè)按照各自的流程，實(shí)現(xiàn)具體環(huán)境下信息的獲取、傳遞、保存、處置、銷毀的標(biāo)準(zhǔn)化，使得數(shù)據(jù)保護(hù)要求不能得到有效貫徹，信息資源保障普遍缺失。

一是缺少國(guó)家主導(dǎo)的數(shù)據(jù)安全機(jī)制設(shè)計(jì)。部分商業(yè)銀行并沒有設(shè)立數(shù)據(jù)安全主管，也沒有實(shí)行內(nèi)部協(xié)調(diào)的信息安全管理，以至于不能在安全管理工作的整體規(guī)劃上加以整合，而原來(lái)的數(shù)據(jù)安全管理體系已不能對(duì)越來(lái)越精細(xì)的安全管理工作提供全面、科學(xué)、合理的指導(dǎo)，所以必須建立一種更加全面的數(shù)據(jù)化安全管理系統(tǒng)框架。

二是安全管理制度尚未全部涵蓋整個(gè)數(shù)據(jù)生命周期。通過對(duì)這些商業(yè)銀行現(xiàn)有安全管理體系的研究與總結(jié)，以及按照有關(guān)監(jiān)管部門的法規(guī)和行業(yè)要求，這些商業(yè)銀行也已建立并出臺(tái)了安全管理體系，包括《數(shù)據(jù)采集信息安全合規(guī)管理?xiàng)l例》《安全性運(yùn)輸辦法》《儲(chǔ)存介質(zhì)安全性管理?xiàng)l例》《存儲(chǔ)系統(tǒng)安全配置規(guī)范》《數(shù)據(jù)接口開發(fā)規(guī)范》《媒介銷毀制度》等。有些銀行的安全管理體系對(duì)數(shù)據(jù)生命周期內(nèi)各階段的管控要求、標(biāo)準(zhǔn)和細(xì)則均存在漏洞，造成各層管理人員存在對(duì)安全管理工作職能范圍不清楚、職責(zé)流程不清晰、檢查工作不落實(shí)等管理缺陷。

（三）數(shù)據(jù)安全技術(shù)手段落后

“三分靠技術(shù)，七分靠管理”是經(jīng)過多個(gè)行業(yè)在長(zhǎng)期的管理實(shí)踐中提出的理論，這一原則對(duì)數(shù)據(jù)安全行業(yè)同樣適用。在數(shù)據(jù)技術(shù)日益發(fā)達(dá)的今天，技術(shù)手段是企業(yè)管理策略與制度的高效實(shí)施，是企業(yè)克服管理缺陷的關(guān)鍵。部分商業(yè)銀行的安全管理手段還存在嚴(yán)重不足，但隨著行業(yè)的發(fā)展，部分商業(yè)銀行已經(jīng)開始把工作重心轉(zhuǎn)移到業(yè)務(wù)體系的構(gòu)建與發(fā)展上，但忽視了對(duì)內(nèi)部安全管理相關(guān)體系的構(gòu)建與運(yùn)用。

（四）數(shù)據(jù)安全管理隊(duì)伍整體能力不足

長(zhǎng)期以來(lái)，一些銀行僅由技術(shù)人員負(fù)責(zé)企業(yè)安全的管理工作，數(shù)據(jù)技術(shù)崗位的安全管理技術(shù)人員面臨著多重工作，且常常身兼多職，很難全方位適應(yīng)數(shù)據(jù)信息安全管控，也無(wú)法保證安全工作的高效實(shí)施，更無(wú)法適應(yīng)企業(yè)安全管理系統(tǒng)進(jìn)一步開發(fā)、成熟的需求。同時(shí)，信息技術(shù)員工大多是純技術(shù)出身，對(duì)行業(yè)并不是特別了解，但負(fù)責(zé)數(shù)據(jù)安全技術(shù)的專門人才必須掌握三個(gè)領(lǐng)域的專業(yè)知識(shí)，即技術(shù)領(lǐng)域、信息化領(lǐng)域和具體的業(yè)務(wù)知識(shí)，一些商業(yè)銀行特別缺乏這類復(fù)合型高級(jí)人才。

四、銀行數(shù)據(jù)安全管理策略

（一）提升數(shù)據(jù)安全認(rèn)知

一是高層管理要提高重視程度。在一些企業(yè)數(shù)據(jù)安全的構(gòu)建過程中，高級(jí)管理者的作用十分關(guān)鍵，他們必須認(rèn)識(shí)到數(shù)據(jù)對(duì)于企業(yè)的意義。在構(gòu)建安全管理體系的進(jìn)程中，一定要優(yōu)先進(jìn)行頂層設(shè)計(jì)，確定必須保護(hù)的客體、被保護(hù)客體的級(jí)別界定以及相應(yīng)的安全保護(hù)措施。然后，再合理地設(shè)置團(tuán)隊(duì)結(jié)構(gòu)和分配崗位職責(zé)，通過自上而下的方法，合理調(diào)動(dòng)人力資源，使所有人員都能投入到安全管理體系的構(gòu)建中，進(jìn)而達(dá)到安全管理體系的預(yù)定要求。

二是做好數(shù)據(jù)知識(shí)普及。數(shù)據(jù)傳播的目標(biāo)是商業(yè)銀行的全體員工，數(shù)據(jù)傳播的主要目的是使每位員工都知道數(shù)據(jù)的科學(xué)意義，了解安全管理的基本宗旨，并以此提升員工的意識(shí)，從而自覺規(guī)范自己的安全管理行為，進(jìn)而加強(qiáng)對(duì)某些商業(yè)銀行的安全管理制度及規(guī)章執(zhí)行力?？梢酝ㄟ^制定數(shù)據(jù)傳播知識(shí)指南，讓全體員工深入掌握有關(guān)數(shù)據(jù)的科學(xué)意義、數(shù)據(jù)戰(zhàn)略意義、安全形勢(shì)、有關(guān)規(guī)章制度、部分商業(yè)銀行數(shù)據(jù)總體規(guī)劃、部分商業(yè)銀行安全管理規(guī)定、其對(duì)觸犯數(shù)據(jù)傳播可能產(chǎn)生的影響等信息，切實(shí)把安全觀念融入到銀行文化中，通過教育讓所有人員深切的了解到安全與個(gè)人、公司的發(fā)展密切相關(guān)，意識(shí)到“安全創(chuàng)造效益，合規(guī)創(chuàng)造價(jià)值”，帶動(dòng)各級(jí)員工由被動(dòng)預(yù)防向主動(dòng)防范的轉(zhuǎn)化，以學(xué)習(xí)型團(tuán)隊(duì)的組織形式促使員工自覺、主動(dòng)地掌握安全工作技術(shù)。

三是增強(qiáng)行內(nèi)的安全氛圍。安全氛圍是一個(gè)共同意識(shí)，是由銀行全體員工形成的對(duì)工作環(huán)境的整體風(fēng)險(xiǎn)意識(shí)。因此，要使全員在行為準(zhǔn)則方面與企業(yè)安全目標(biāo)一致，從而有效保障公司數(shù)據(jù)的安全性。

（二）加強(qiáng)部門間的協(xié)作

安全部門與組織中各機(jī)構(gòu)間都有十分密切的聯(lián)系，在組織結(jié)構(gòu)的頂層設(shè)計(jì)方面，業(yè)務(wù)部門、信息機(jī)構(gòu)、法務(wù)與規(guī)范機(jī)構(gòu)、人力資本機(jī)構(gòu)、風(fēng)險(xiǎn)管理部門等機(jī)構(gòu)，均要介入戰(zhàn)略目標(biāo)和重大事件的制定，同時(shí)還要廣泛參與、配合底層建設(shè)、工作流程體系的執(zhí)行、安全工具配置、個(gè)人安全控制、企業(yè)安全合規(guī)、信息的對(duì)外公布等領(lǐng)域。因此，安全部門要加強(qiáng)有相關(guān)部門的溝通聯(lián)系，充分利用有關(guān)部門的業(yè)務(wù)優(yōu)勢(shì)，加強(qiáng)安全保障。例如，行政部門在提供服務(wù)、確保組織的持續(xù)成長(zhǎng)方面發(fā)揮著不可替代的作用，人力資源部門在員工的招聘、調(diào)崗、辭職等工作流程中起著主導(dǎo)作用，安全部門只有與相關(guān)部門保持良好聯(lián)系，實(shí)現(xiàn)資源共享，才能更好地進(jìn)行安全保障。在銀行進(jìn)行大數(shù)字化工作的流程中，安全部門要負(fù)責(zé)對(duì)銀行不同數(shù)據(jù)關(guān)聯(lián)的管理，這也就要求必須要與有關(guān)部門開展溝通協(xié)作，只有這樣，安全管理部門才能把大數(shù)據(jù)工作整合到對(duì)銀行的各種方面的安全控制中。

（三）加強(qiáng)培訓(xùn)手段和考核力度

第一，完善培訓(xùn)手段與途徑。培訓(xùn)方式包括但不限于定期采用宣傳冊(cè)或電子郵件進(jìn)行宣傳，開展安全培訓(xùn)、舉辦安全講座、組織專家講座、與國(guó)外專業(yè)培訓(xùn)組織合作培訓(xùn)、聘請(qǐng)國(guó)家數(shù)據(jù)與安全領(lǐng)域相關(guān)人員開展講座等。另外，安全培訓(xùn)教學(xué)可在網(wǎng)絡(luò)上開展，定向?qū)θw工作人員推送相應(yīng)的安全內(nèi)容；也可利用移動(dòng)客戶端應(yīng)用程序進(jìn)行在線教學(xué)，對(duì)員工進(jìn)行培訓(xùn)，使銀行全體人員可以利用碎片時(shí)間，隨時(shí)完成培訓(xùn)，還可以在培訓(xùn)中，通過交流的方式強(qiáng)化印象，如案例剖析、互動(dòng)小游戲等，從而更好地調(diào)動(dòng)員工的主觀能動(dòng)性，減少形式主義。

第二，加大數(shù)據(jù)安全考核工作。完成集中培訓(xùn)及網(wǎng)絡(luò)課程后，要做好學(xué)習(xí)成效的考評(píng)與驗(yàn)證，實(shí)現(xiàn)增強(qiáng)風(fēng)險(xiǎn)防范認(rèn)識(shí)和職責(zé)、提高經(jīng)營(yíng)風(fēng)險(xiǎn)辨識(shí)技能和管理水平的學(xué)習(xí)效果。（1）數(shù)據(jù)考核全面覆蓋。銀行錄用新人后，要把數(shù)據(jù)安全投入筆試及面試的考核項(xiàng)目?jī)?nèi)，并在員工上崗前對(duì)其進(jìn)行數(shù)據(jù)安全專業(yè)知識(shí)與技能培訓(xùn)，并實(shí)施考評(píng)，業(yè)績(jī)合格者才能錄用。（2）加強(qiáng)教學(xué)效果考核。通過集中測(cè)試、知識(shí)競(jìng)賽、定期評(píng)估等方法，綜合考核教學(xué)效果，使員工不斷提高數(shù)據(jù)安全知識(shí)，查缺補(bǔ)漏。（3）強(qiáng)化考評(píng)力度。為提升培訓(xùn)轉(zhuǎn)化效果、量化培訓(xùn)質(zhì)量與成效，在線下、線上的培訓(xùn)完成后，要對(duì)員工進(jìn)行綜合考評(píng)，將考評(píng)成績(jī)作為績(jī)效考核的一項(xiàng)重要指標(biāo)，以幫助全體員工增強(qiáng)數(shù)據(jù)安全意識(shí)。

（四）增加數(shù)據(jù)安全科技預(yù)算

銀行應(yīng)不斷完善數(shù)據(jù)安全管理平臺(tái)、態(tài)勢(shì)監(jiān)測(cè)系統(tǒng)、脫敏系統(tǒng)、數(shù)據(jù)泄露防范系統(tǒng)等數(shù)據(jù)安全技術(shù)，確保數(shù)據(jù)安全。一些銀行每年都在信息系統(tǒng)建設(shè)方面投入巨資，大部分預(yù)算用于與數(shù)據(jù)安全相關(guān)的系統(tǒng)建設(shè)或升級(jí)，然而，建立與數(shù)據(jù)安全有關(guān)的信息系統(tǒng)不需要財(cái)政撥款。根據(jù)一些銀行在數(shù)據(jù)安全領(lǐng)域的成熟度和數(shù)據(jù)安全管理的要求，數(shù)據(jù)安全制度的完善不容忽視。如果是緊急項(xiàng)目，可以要求追加預(yù)算，提高數(shù)據(jù)安全管理的效率。

五、結(jié)束語(yǔ)

隨著商業(yè)銀行采集和存儲(chǔ)數(shù)據(jù)的能力的快速提升，逐步沉淀大量原始數(shù)據(jù)。如何安全存儲(chǔ)、處理和使用這些大量重要數(shù)據(jù)是當(dāng)下銀行等金融機(jī)構(gòu)所面臨的重要問題，如果處理不當(dāng)，可能會(huì)引起重大的問題。因此，銀行必須要對(duì)數(shù)據(jù)安全問題予以足夠的重視，避免發(fā)生安全問題，只有做好安全保障，才能更好地利用數(shù)據(jù)，推動(dòng)銀行業(yè)發(fā)展。本文結(jié)合實(shí)際情況，提出了銀行數(shù)據(jù)安全管理策略，希望可以對(duì)相關(guān)機(jī)構(gòu)和個(gè)人提供有益的幫助。

參考文獻(xiàn)：

[1]邵世敏.推進(jìn)農(nóng)發(fā)行數(shù)據(jù)治理[J].農(nóng)業(yè)發(fā)展與金融，2020（8）：89-91.

[2]王軍強(qiáng).大數(shù)據(jù)金融：現(xiàn)狀、問題與對(duì)策[J].經(jīng)濟(jì)師，2021（12）：144-145.