數(shù)字時代銀行發(fā)展的堅實法律保障

　　隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、云計算等技術的飛速發(fā)展和在經(jīng)濟社會各領域的廣泛應用，數(shù)字化時代已來。順應時代發(fā)展要求，黨的十九大作出建設數(shù)字中國、智慧社會的戰(zhàn)略部署，十九屆四中全會明確將數(shù)據(jù)與勞動、資本、土地、知識、技術、管理并列視為生產要素，十九屆五中全會進一步作出了加快數(shù)字化發(fā)展，建立數(shù)據(jù)資源產權、交易流通、跨境傳輸和安全保護等基礎制度和標準規(guī)范，推動數(shù)據(jù)資源開發(fā)利用，擴大基礎公共信息數(shù)據(jù)有序開放，保障國家數(shù)據(jù)安全，加強個人信息保護，推進數(shù)據(jù)要素市場化改革等更加全面的戰(zhàn)略舉措?！稊?shù)據(jù)安全法》應運而生，是黨中央關于加快數(shù)字化發(fā)展，堅定不移建設數(shù)字中國的系列決策部署的重要部分，既是數(shù)據(jù)領域的基礎性法律，也是國家安全法律體系的重要組成部分。

　　金融是現(xiàn)代經(jīng)濟的核心，金融安全事關國家安全。銀行業(yè)作為我國金融體系的重要組成部分，數(shù)字化轉型迅速。在此進程中，數(shù)據(jù)要素的價值日益凸顯，數(shù)據(jù)安全事件頻發(fā)，社會公眾個人信息保護意識明顯提升，數(shù)據(jù)安全引起社會輿論普遍關注，數(shù)據(jù)安全風險越來越大，銀行業(yè)面臨前所未有的新挑戰(zhàn)?！稊?shù)據(jù)安全法》的出臺，為銀行業(yè)統(tǒng)籌安全與發(fā)展，應對數(shù)據(jù)安全風險挑戰(zhàn)，防范化解數(shù)據(jù)安全風險，更好發(fā)揮數(shù)據(jù)價值，更好服務數(shù)字中國建設和經(jīng)濟高質量發(fā)展，提供了強大保障。

　　農業(yè)銀行數(shù)據(jù)安全管理實踐探索

　　農行對數(shù)據(jù)安全高度重視，立足自身實際和需要，進行了一些實踐和探索。

　　1.明確數(shù)據(jù)安全內涵與工作定位。確認數(shù)據(jù)屬主，厘清數(shù)據(jù)安全工作與其他工作的相互關系，從這些關系中找準定位。首先，將數(shù)據(jù)安全作為信息安全的子集，數(shù)據(jù)安全目標的實現(xiàn)必然依賴于應用安全、終端安全、網(wǎng)絡安全等科技工作。其次，明確數(shù)據(jù)安全管理是數(shù)據(jù)治理的重要內容，從安全視角開展數(shù)據(jù)分類分級，做好數(shù)據(jù)資產梳理和差異化保護。第三，與保密工作有銜接。保密重點對文件、介質等進行整體管理，數(shù)據(jù)安全工作更聚焦于非涉密數(shù)據(jù)，圍繞信息系統(tǒng)開展，重點對數(shù)據(jù)收集、存儲、使用等全生命周期的各個環(huán)節(jié)進行動態(tài)管理。

　　2.確定管理策略和原則。結合實際制定五方面總體策略，包括：嚴守依法合規(guī)紅線、安全與發(fā)展并重、管理和技術結合、急用先行持續(xù)完善、可追溯可審計。擬定三條基本原則，即：全面覆蓋、分級分類，統(tǒng)分結合、各負其責，多方融合、整體安全。五個策略和三條原則規(guī)定了農行數(shù)據(jù)安全工作的紅線底線，是數(shù)據(jù)安全管理具體舉措和各項工作推進的基本遵循。

　　3.建立管理框架。農行數(shù)據(jù)安全管理框架可概括為“兩層保障、六項內容、一個基礎”。兩層保障，是指組織保障和制度保障。組織方面核心是定牽頭部門和協(xié)作機制，制度方面關鍵是制定專門辦法。六項內容，包括合法合規(guī)、分類分級、風險評估、監(jiān)控應急、教育培訓及監(jiān)督評價。其邏輯是，首先明確根據(jù)什么管？即要遵循的法律法規(guī)是什么、有哪些？這是數(shù)據(jù)安全管理的前提和底線。其次明確管什么？簡單來說就是管數(shù)、管人（意識和行為）、管風險（事前、事中、事后）。對應到六項內容，分級分類是管數(shù)，要求厘清數(shù)據(jù)資產類別和敏感級別，為差異化保護打下基礎；教育培訓是管人，將培養(yǎng)意識、普及知識、提升能力作為基本目標和實現(xiàn)安全的必要手段；風險評估、監(jiān)控應急是管風險，不僅要事中事后監(jiān)控處置，還要開展事前評估預防、事后采取措施緩釋風險。再次明確怎么管？通過監(jiān)督、檢查、評價發(fā)現(xiàn)薄弱環(huán)節(jié)，推動落實落細，提升管理水平。一個基礎，是指以科技為支撐。把數(shù)據(jù)安全風險管控住，必須通過系統(tǒng)工具建立剛性約束，才能真落地，落得細、落得實。另外，數(shù)據(jù)的產生流轉與系統(tǒng)建設運行密不可分，要在科技項目建設中同步考慮數(shù)據(jù)安全事項，落實數(shù)據(jù)風險防控舉措。

　　4.堅持抓重點和關鍵。一是抓基礎保障。組織方面，確定了數(shù)據(jù)安全牽頭部門，以及總行部門和一級分行的數(shù)據(jù)安全牽頭處室，一橫一縱的架構基本建立。制度方面，正式發(fā)布《中國農業(yè)銀行數(shù)據(jù)安全管理辦法》，以此為核心，推動相關領域制定實施細則，逐步構建數(shù)據(jù)安全制度體系，以求將數(shù)據(jù)安全管理融入業(yè)務開展之中。技術方面，科技部門夯實基礎防護體系，推動SOC平臺建設、推廣SDL規(guī)范、落實7×24小時網(wǎng)絡安全值班等措施，健全網(wǎng)絡與數(shù)據(jù)安全的技術體系。

　　二是抓重點。數(shù)據(jù)分類分級是數(shù)據(jù)安全管理的前提。農業(yè)銀行正在制定數(shù)據(jù)定級目錄，已完成客戶主題，制定了客戶數(shù)據(jù)分級規(guī)范、客戶敏感數(shù)據(jù)目錄、敏感數(shù)據(jù)保護要點等5份指引文件，涵蓋178個數(shù)據(jù)小類、61項保護要求。各部門各分行都參與目錄制定，并以目錄為指導在具體項目中制定敏感數(shù)據(jù)清單，落實差異保護要求。重要數(shù)據(jù)行為審查是日常數(shù)據(jù)安全的重要抓手。針對數(shù)據(jù)出行、出境等重要場景，由于數(shù)據(jù)安全風險較高，采取扎口管理模式，建立了多部門分工審核的機制流程。數(shù)據(jù)安全評估是為了準確把握總體情況。以法律法規(guī)、監(jiān)管要求以及行內數(shù)據(jù)安全制度為標桿，定期組織各單位自評估，通過回顧審視，主動發(fā)現(xiàn)不足并及時完善。當前，農行正在開展全系統(tǒng)的數(shù)據(jù)安全自評估工作。數(shù)據(jù)安全應急是數(shù)據(jù)安全風險管理必不可少的內容，針對數(shù)據(jù)安全重點領域、信息系統(tǒng)，加強監(jiān)控，及早發(fā)現(xiàn)異常行為并進行預警和處置。一旦發(fā)生風險或事件，按相關規(guī)定及時采取應急處置措施，控制和減少風險損失。

　　三是抓關鍵。數(shù)據(jù)安全關鍵在人，關鍵在責任落實。當下銀行業(yè)暴露出的數(shù)據(jù)泄露事件，絕大多數(shù)因員工有意或無意的違法違規(guī)行造成。對員工開展法規(guī)政策培訓和風險警示教育尤為重要，要有計劃性的定期開展，要牢固樹立“數(shù)據(jù)安全，人人有責”的觀念。一方面，通過一橫一縱做好全轄教育培訓。另一方面，各單位做好轉培訓，將數(shù)據(jù)安全要求傳導至每位員工，融入日常工作。

　　數(shù)據(jù)安全管理的體會與思考

　　農業(yè)銀行董事長、行長和分管行領導高度重視數(shù)據(jù)安全工作，在黨建與經(jīng)營工作會等多種場合一再強調并做出具體部署，這為全行數(shù)據(jù)安全工作營造了良好環(huán)境、提供了強大動力。在實踐中，筆者體會有以下幾點需要注意。

　　1.要齊抓共管，強化部門協(xié)作。數(shù)據(jù)安全覆蓋面廣，與每個業(yè)務條線、部門都密切相關，所有開展數(shù)據(jù)活動的單位及相關監(jiān)督部門都負有數(shù)據(jù)安全管理責任。部門間分工可從兩個層面來看。首先從數(shù)據(jù)層面看，數(shù)據(jù)管理部門通常是全行數(shù)據(jù)的統(tǒng)籌管理者，各主管部門則是領域數(shù)據(jù)的具體管理者。其次從風控層面看，具體管理和使用數(shù)據(jù)的各部門是數(shù)據(jù)安全風險管控的一道防線，內控、法律、風險以及數(shù)據(jù)管理部門等是二道防線，審計是三道防線?？梢姡瑑炔扛鞑块T都扮演了一種或多種角色，既可能是牽頭統(tǒng)籌者，也可能是監(jiān)督執(zhí)行者，還可能是數(shù)據(jù)所有者、數(shù)據(jù)使用者或數(shù)據(jù)管理者。因此，既要依一定原則明確職責邊界，更需要相互協(xié)作補位，確保安全管理不留空白和漏洞。

　　2.要開門工作，及時關注新技術新情況。目前，數(shù)據(jù)安全新規(guī)章、新標準還在緊鑼密鼓制定中，數(shù)據(jù)安全新方法、新技術也是日新月異。數(shù)據(jù)安全管理不能閉門造車，要緊盯法律法規(guī)和政策變動，緊盯同業(yè)動態(tài)，及時了解行業(yè)最新要求、同業(yè)領先經(jīng)驗，學習借鑒好的方法和工具，將顯著促進數(shù)據(jù)安全管理能力的提升。

　　3.要統(tǒng)籌兼顧，克服與化解實際困難。數(shù)據(jù)安全管理容易成為矛盾焦點、工作難點，既要解決當前難題，又要確保持續(xù)推進，堅持實事求是解決問題的好方法。要注意拿捏好管控尺度和方法，避免“一管就死”和“一放就亂”的極端。堅持“安全與發(fā)展并重”理念，才會細致了解現(xiàn)實、精準管理施策、循序漸進行動，才容易得到業(yè)務理解，才能把安全工作真正做細做實做好，做到以安全保障發(fā)展，實現(xiàn)以發(fā)展促進安全。

　　《數(shù)據(jù)安全法》為數(shù)據(jù)安全工作提供了基本的法律遵循。農行下一步將抓好《數(shù)據(jù)安全法》的學習、宣傳、貫徹、執(zhí)行，持續(xù)關注政府和行業(yè)監(jiān)管部門推出的法律法規(guī)并及時落地執(zhí)行，認真努力做好數(shù)據(jù)安全工作，保護好數(shù)據(jù)相關主體權益。