數(shù)字時(shí)代銀行發(fā)展的堅(jiān)實(shí)法律保障

　　隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、云計(jì)算等技術(shù)的飛速發(fā)展和在經(jīng)濟(jì)社會(huì)各領(lǐng)域的廣泛應(yīng)用，數(shù)字化時(shí)代已來。順應(yīng)時(shí)代發(fā)展要求，黨的十九大作出建設(shè)數(shù)字中國、智慧社會(huì)的戰(zhàn)略部署，十九屆四中全會(huì)明確將數(shù)據(jù)與勞動(dòng)、資本、土地、知識(shí)、技術(shù)、管理并列視為生產(chǎn)要素，十九屆五中全會(huì)進(jìn)一步作出了加快數(shù)字化發(fā)展，建立數(shù)據(jù)資源產(chǎn)權(quán)、交易流通、跨境傳輸和安全保護(hù)等基礎(chǔ)制度和標(biāo)準(zhǔn)規(guī)范，推動(dòng)數(shù)據(jù)資源開發(fā)利用，擴(kuò)大基礎(chǔ)公共信息數(shù)據(jù)有序開放，保障國家數(shù)據(jù)安全，加強(qiáng)個(gè)人信息保護(hù)，推進(jìn)數(shù)據(jù)要素市場化改革等更加全面的戰(zhàn)略舉措。《數(shù)據(jù)安全法》應(yīng)運(yùn)而生，是黨中央關(guān)于加快數(shù)字化發(fā)展，堅(jiān)定不移建設(shè)數(shù)字中國的系列決策部署的重要部分，既是數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律，也是國家安全法律體系的重要組成部分。

　　金融是現(xiàn)代經(jīng)濟(jì)的核心，金融安全事關(guān)國家安全。銀行業(yè)作為我國金融體系的重要組成部分，數(shù)字化轉(zhuǎn)型迅速。在此進(jìn)程中，數(shù)據(jù)要素的價(jià)值日益凸顯，數(shù)據(jù)安全事件頻發(fā)，社會(huì)公眾個(gè)人信息保護(hù)意識(shí)明顯提升，數(shù)據(jù)安全引起社會(huì)輿論普遍關(guān)注，數(shù)據(jù)安全風(fēng)險(xiǎn)越來越大，銀行業(yè)面臨前所未有的新挑戰(zhàn)。《數(shù)據(jù)安全法》的出臺(tái)，為銀行業(yè)統(tǒng)籌安全與發(fā)展，應(yīng)對數(shù)據(jù)安全風(fēng)險(xiǎn)挑戰(zhàn)，防范化解數(shù)據(jù)安全風(fēng)險(xiǎn)，更好發(fā)揮數(shù)據(jù)價(jià)值，更好服務(wù)數(shù)字中國建設(shè)和經(jīng)濟(jì)高質(zhì)量發(fā)展，提供了強(qiáng)大保障。

　　農(nóng)業(yè)銀行數(shù)據(jù)安全管理實(shí)踐探索

　　農(nóng)行對數(shù)據(jù)安全高度重視，立足自身實(shí)際和需要，進(jìn)行了一些實(shí)踐和探索。

　　1.明確數(shù)據(jù)安全內(nèi)涵與工作定位。確認(rèn)數(shù)據(jù)屬主，厘清數(shù)據(jù)安全工作與其他工作的相互關(guān)系，從這些關(guān)系中找準(zhǔn)定位。首先，將數(shù)據(jù)安全作為信息安全的子集，數(shù)據(jù)安全目標(biāo)的實(shí)現(xiàn)必然依賴于應(yīng)用安全、終端安全、網(wǎng)絡(luò)安全等科技工作。其次，明確數(shù)據(jù)安全管理是數(shù)據(jù)治理的重要內(nèi)容，從安全視角開展數(shù)據(jù)分類分級，做好數(shù)據(jù)資產(chǎn)梳理和差異化保護(hù)。第三，與保密工作有銜接。保密重點(diǎn)對文件、介質(zhì)等進(jìn)行整體管理，數(shù)據(jù)安全工作更聚焦于非涉密數(shù)據(jù)，圍繞信息系統(tǒng)開展，重點(diǎn)對數(shù)據(jù)收集、存儲(chǔ)、使用等全生命周期的各個(gè)環(huán)節(jié)進(jìn)行動(dòng)態(tài)管理。

　　2.確定管理策略和原則。結(jié)合實(shí)際制定五方面總體策略，包括：嚴(yán)守依法合規(guī)紅線、安全與發(fā)展并重、管理和技術(shù)結(jié)合、急用先行持續(xù)完善、可追溯可審計(jì)。擬定三條基本原則，即：全面覆蓋、分級分類，統(tǒng)分結(jié)合、各負(fù)其責(zé)，多方融合、整體安全。五個(gè)策略和三條原則規(guī)定了農(nóng)行數(shù)據(jù)安全工作的紅線底線，是數(shù)據(jù)安全管理具體舉措和各項(xiàng)工作推進(jìn)的基本遵循。

　　3.建立管理框架。農(nóng)行數(shù)據(jù)安全管理框架可概括為“兩層保障、六項(xiàng)內(nèi)容、一個(gè)基礎(chǔ)”。兩層保障，是指組織保障和制度保障。組織方面核心是定牽頭部門和協(xié)作機(jī)制，制度方面關(guān)鍵是制定專門辦法。六項(xiàng)內(nèi)容，包括合法合規(guī)、分類分級、風(fēng)險(xiǎn)評估、監(jiān)控應(yīng)急、教育培訓(xùn)及監(jiān)督評價(jià)。其邏輯是，首先明確根據(jù)什么管？即要遵循的法律法規(guī)是什么、有哪些？這是數(shù)據(jù)安全管理的前提和底線。其次明確管什么？簡單來說就是管數(shù)、管人（意識(shí)和行為）、管風(fēng)險(xiǎn)（事前、事中、事后）。對應(yīng)到六項(xiàng)內(nèi)容，分級分類是管數(shù)，要求厘清數(shù)據(jù)資產(chǎn)類別和敏感級別，為差異化保護(hù)打下基礎(chǔ)；教育培訓(xùn)是管人，將培養(yǎng)意識(shí)、普及知識(shí)、提升能力作為基本目標(biāo)和實(shí)現(xiàn)安全的必要手段；風(fēng)險(xiǎn)評估、監(jiān)控應(yīng)急是管風(fēng)險(xiǎn)，不僅要事中事后監(jiān)控處置，還要開展事前評估預(yù)防、事后采取措施緩釋風(fēng)險(xiǎn)。再次明確怎么管？通過監(jiān)督、檢查、評價(jià)發(fā)現(xiàn)薄弱環(huán)節(jié)，推動(dòng)落實(shí)落細(xì)，提升管理水平。一個(gè)基礎(chǔ)，是指以科技為支撐。把數(shù)據(jù)安全風(fēng)險(xiǎn)管控住，必須通過系統(tǒng)工具建立剛性約束，才能真落地，落得細(xì)、落得實(shí)。另外，數(shù)據(jù)的產(chǎn)生流轉(zhuǎn)與系統(tǒng)建設(shè)運(yùn)行密不可分，要在科技項(xiàng)目建設(shè)中同步考慮數(shù)據(jù)安全事項(xiàng)，落實(shí)數(shù)據(jù)風(fēng)險(xiǎn)防控舉措。

　　4.堅(jiān)持抓重點(diǎn)和關(guān)鍵。一是抓基礎(chǔ)保障。組織方面，確定了數(shù)據(jù)安全牽頭部門，以及總行部門和一級分行的數(shù)據(jù)安全牽頭處室，一橫一縱的架構(gòu)基本建立。制度方面，正式發(fā)布《中國農(nóng)業(yè)銀行數(shù)據(jù)安全管理辦法》，以此為核心，推動(dòng)相關(guān)領(lǐng)域制定實(shí)施細(xì)則，逐步構(gòu)建數(shù)據(jù)安全制度體系，以求將數(shù)據(jù)安全管理融入業(yè)務(wù)開展之中。技術(shù)方面，科技部門夯實(shí)基礎(chǔ)防護(hù)體系，推動(dòng)SOC平臺(tái)建設(shè)、推廣SDL規(guī)范、落實(shí)7×24小時(shí)網(wǎng)絡(luò)安全值班等措施，健全網(wǎng)絡(luò)與數(shù)據(jù)安全的技術(shù)體系。

　　二是抓重點(diǎn)。數(shù)據(jù)分類分級是數(shù)據(jù)安全管理的前提。農(nóng)業(yè)銀行正在制定數(shù)據(jù)定級目錄，已完成客戶主題，制定了客戶數(shù)據(jù)分級規(guī)范、客戶敏感數(shù)據(jù)目錄、敏感數(shù)據(jù)保護(hù)要點(diǎn)等5份指引文件，涵蓋178個(gè)數(shù)據(jù)小類、61項(xiàng)保護(hù)要求。各部門各分行都參與目錄制定，并以目錄為指導(dǎo)在具體項(xiàng)目中制定敏感數(shù)據(jù)清單，落實(shí)差異保護(hù)要求。重要數(shù)據(jù)行為審查是日常數(shù)據(jù)安全的重要抓手。針對數(shù)據(jù)出行、出境等重要場景，由于數(shù)據(jù)安全風(fēng)險(xiǎn)較高，采取扎口管理模式，建立了多部門分工審核的機(jī)制流程。數(shù)據(jù)安全評估是為了準(zhǔn)確把握總體情況。以法律法規(guī)、監(jiān)管要求以及行內(nèi)數(shù)據(jù)安全制度為標(biāo)桿，定期組織各單位自評估，通過回顧審視，主動(dòng)發(fā)現(xiàn)不足并及時(shí)完善。當(dāng)前，農(nóng)行正在開展全系統(tǒng)的數(shù)據(jù)安全自評估工作。數(shù)據(jù)安全應(yīng)急是數(shù)據(jù)安全風(fēng)險(xiǎn)管理必不可少的內(nèi)容，針對數(shù)據(jù)安全重點(diǎn)領(lǐng)域、信息系統(tǒng)，加強(qiáng)監(jiān)控，及早發(fā)現(xiàn)異常行為并進(jìn)行預(yù)警和處置。一旦發(fā)生風(fēng)險(xiǎn)或事件，按相關(guān)規(guī)定及時(shí)采取應(yīng)急處置措施，控制和減少風(fēng)險(xiǎn)損失。

　　三是抓關(guān)鍵。數(shù)據(jù)安全關(guān)鍵在人，關(guān)鍵在責(zé)任落實(shí)。當(dāng)下銀行業(yè)暴露出的數(shù)據(jù)泄露事件，絕大多數(shù)因員工有意或無意的違法違規(guī)行造成。對員工開展法規(guī)政策培訓(xùn)和風(fēng)險(xiǎn)警示教育尤為重要，要有計(jì)劃性的定期開展，要牢固樹立“數(shù)據(jù)安全，人人有責(zé)”的觀念。一方面，通過一橫一縱做好全轄教育培訓(xùn)。另一方面，各單位做好轉(zhuǎn)培訓(xùn)，將數(shù)據(jù)安全要求傳導(dǎo)至每位員工，融入日常工作。

　　數(shù)據(jù)安全管理的體會(huì)與思考

　　農(nóng)業(yè)銀行董事長、行長和分管行領(lǐng)導(dǎo)高度重視數(shù)據(jù)安全工作，在黨建與經(jīng)營工作會(huì)等多種場合一再強(qiáng)調(diào)并做出具體部署，這為全行數(shù)據(jù)安全工作營造了良好環(huán)境、提供了強(qiáng)大動(dòng)力。在實(shí)踐中，筆者體會(huì)有以下幾點(diǎn)需要注意。

　　1.要齊抓共管，強(qiáng)化部門協(xié)作。數(shù)據(jù)安全覆蓋面廣，與每個(gè)業(yè)務(wù)條線、部門都密切相關(guān)，所有開展數(shù)據(jù)活動(dòng)的單位及相關(guān)監(jiān)督部門都負(fù)有數(shù)據(jù)安全管理責(zé)任。部門間分工可從兩個(gè)層面來看。首先從數(shù)據(jù)層面看，數(shù)據(jù)管理部門通常是全行數(shù)據(jù)的統(tǒng)籌管理者，各主管部門則是領(lǐng)域數(shù)據(jù)的具體管理者。其次從風(fēng)控層面看，具體管理和使用數(shù)據(jù)的各部門是數(shù)據(jù)安全風(fēng)險(xiǎn)管控的一道防線，內(nèi)控、法律、風(fēng)險(xiǎn)以及數(shù)據(jù)管理部門等是二道防線，審計(jì)是三道防線?？梢姡瑑?nèi)部各部門都扮演了一種或多種角色，既可能是牽頭統(tǒng)籌者，也可能是監(jiān)督執(zhí)行者，還可能是數(shù)據(jù)所有者、數(shù)據(jù)使用者或數(shù)據(jù)管理者。因此，既要依一定原則明確職責(zé)邊界，更需要相互協(xié)作補(bǔ)位，確保安全管理不留空白和漏洞。

　　2.要開門工作，及時(shí)關(guān)注新技術(shù)新情況。目前，數(shù)據(jù)安全新規(guī)章、新標(biāo)準(zhǔn)還在緊鑼密鼓制定中，數(shù)據(jù)安全新方法、新技術(shù)也是日新月異。數(shù)據(jù)安全管理不能閉門造車，要緊盯法律法規(guī)和政策變動(dòng)，緊盯同業(yè)動(dòng)態(tài)，及時(shí)了解行業(yè)最新要求、同業(yè)領(lǐng)先經(jīng)驗(yàn)，學(xué)習(xí)借鑒好的方法和工具，將顯著促進(jìn)數(shù)據(jù)安全管理能力的提升。

　　3.要統(tǒng)籌兼顧，克服與化解實(shí)際困難。數(shù)據(jù)安全管理容易成為矛盾焦點(diǎn)、工作難點(diǎn)，既要解決當(dāng)前難題，又要確保持續(xù)推進(jìn)，堅(jiān)持實(shí)事求是解決問題的好方法。要注意拿捏好管控尺度和方法，避免“一管就死”和“一放就亂”的極端。堅(jiān)持“安全與發(fā)展并重”理念，才會(huì)細(xì)致了解現(xiàn)實(shí)、精準(zhǔn)管理施策、循序漸進(jìn)行動(dòng)，才容易得到業(yè)務(wù)理解，才能把安全工作真正做細(xì)做實(shí)做好，做到以安全保障發(fā)展，實(shí)現(xiàn)以發(fā)展促進(jìn)安全。

　　《數(shù)據(jù)安全法》為數(shù)據(jù)安全工作提供了基本的法律遵循。農(nóng)行下一步將抓好《數(shù)據(jù)安全法》的學(xué)習(xí)、宣傳、貫徹、執(zhí)行，持續(xù)關(guān)注政府和行業(yè)監(jiān)管部門推出的法律法規(guī)并及時(shí)落地執(zhí)行，認(rèn)真努力做好數(shù)據(jù)安全工作，保護(hù)好數(shù)據(jù)相關(guān)主體權(quán)益。