农业银行专家：数据安全管理实践与思考

2021年6月10日，十三届全国人大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》（下称《数据安全法》），并决定于今年9月1日起正式施行。《数据安全法》的通过与施行，意义重大、影响深远。

中国农业银行信息管理部副总经理  汪学军

数字时代银行发展的坚实法律保障

随着互联网、大数据、人工智能、云计算等技术的飞速发展和在经济社会各领域的广泛应用，数字化时代已来。顺应时代发展要求，党的十九大作出建设数字中国、智慧社会的战略部署，十九届四中全会明确将数据与劳动、资本、土地、知识、技术、管理并列视为生产要素，十九届五中全会进一步作出了加快数字化发展，建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范，推动数据资源开发利用，扩大基础公共信息数据有序开放，保障国家数据安全，加强个人信息保护，推进数据要素市场化改革等更加全面的战略举措。《数据安全法》应运而生，是党中央关于加快数字化发展，坚定不移建设数字中国的系列决策部署的重要部分，既是数据领域的基础性法律，也是国家安全法律体系的重要组成部分。

金融是现代经济的核心，金融安全事关国家安全。银行业作为我国金融体系的重要组成部分，数字化转型迅速。在此进程中，数据要素的价值日益凸显，数据安全事件频发，社会公众个人信息保护意识明显提升，数据安全引起社会舆论普遍关注，数据安全风险越来越大，银行业面临前所未有的新挑战。《数据安全法》的出台，为银行业统筹安全与发展，应对数据安全风险挑战，防范化解数据安全风险，更好发挥数据价值，更好服务数字中国建设和经济高质量发展，提供了强大保障。

农业银行数据安全管理实践探索

农行对数据安全高度重视，立足自身实际和需要，进行了一些实践和探索。

1.明确数据安全内涵与工作定位。确认数据属主，厘清数据安全工作与其他工作的相互关系，从这些关系中找准定位。首先，将数据安全作为信息安全的子集，数据安全目标的实现必然依赖于应用安全、终端安全、网络安全等科技工作。其次，明确数据安全管理是数据治理的重要内容，从安全视角开展数据分类分级，做好数据资产梳理和差异化保护。第三，与保密工作有衔接。保密重点对文件、介质等进行整体管理，数据安全工作更聚焦于非涉密数据，围绕信息系统开展，重点对数据收集、存储、使用等全生命周期的各个环节进行动态管理。

2.确定管理策略和原则。结合实际制定五方面总体策略，包括：严守依法合规红线、安全与发展并重、管理和技术结合、急用先行持续完善、可追溯可审计。拟定三条基本原则，即：全面覆盖、分级分类，统分结合、各负其责，多方融合、整体安全。五个策略和三条原则规定了农行数据安全工作的红线底线，是数据安全管理具体举措和各项工作推进的基本遵循。

3.建立管理框架。农行数据安全管理框架可概括为“两层保障、六项内容、一个基础”。两层保障，是指组织保障和制度保障。组织方面核心是定牵头部门和协作机制，制度方面关键是制定专门办法。六项内容，包括合法合规、分类分级、风险评估、监控应急、教育培训及监督评价。其逻辑是，首先明确根据什么管？即要遵循的法律法规是什么、有哪些？这是数据安全管理的前提和底线。其次明确管什么？简单来说就是管数、管人（意识和行为）、管风险（事前、事中、事后）。对应到六项内容，分级分类是管数，要求厘清数据资产类别和敏感级别，为差异化保护打下基础；教育培训是管人，将培养意识、普及知识、提升能力作为基本目标和实现安全的必要手段；风险评估、监控应急是管风险，不仅要事中事后监控处置，还要开展事前评估预防、事后采取措施缓释风险。再次明确怎么管？通过监督、检查、评价发现薄弱环节，推动落实落细，提升管理水平。一个基础，是指以科技为支撑。把数据安全风险管控住，必须通过系统工具建立刚性约束，才能真落地，落得细、落得实。另外，数据的产生流转与系统建设运行密不可分，要在科技项目建设中同步考虑数据安全事项，落实数据风险防控举措。

4.坚持抓重点和关键。一是抓基础保障。组织方面，确定了数据安全牵头部门，以及总行部门和一级分行的数据安全牵头处室，一横一纵的架构基本建立。制度方面，正式发布《中国农业银行数据安全管理办法》，以此为核心，推动相关领域制定实施细则，逐步构建数据安全制度体系，以求将数据安全管理融入业务开展之中。技术方面，科技部门夯实基础防护体系，推动SOC平台建设、推广SDL规范、落实7×24小时网络安全值班等措施，健全网络与数据安全的技术体系。

二是抓重点。数据分类分级是数据安全管理的前提。农业银行正在制定数据定级目录，已完成客户主题，制定了客户数据分级规范、客户敏感数据目录、敏感数据保护要点等5份指引文件，涵盖178个数据小类、61项保护要求。各部门各分行都参与目录制定，并以目录为指导在具体项目中制定敏感数据清单，落实差异保护要求。重要数据行为审查是日常数据安全的重要抓手。针对数据出行、出境等重要场景，由于数据安全风险较高，采取扎口管理模式，建立了多部门分工审核的机制流程。数据安全评估是为了准确把握总体情况。以法律法规、监管要求以及行内数据安全制度为标杆，定期组织各单位自评估，通过回顾审视，主动发现不足并及时完善。当前，农行正在开展全系统的数据安全自评估工作。数据安全应急是数据安全风险管理必不可少的内容，针对数据安全重点领域、信息系统，加强监控，及早发现异常行为并进行预警和处置。一旦发生风险或事件，按相关规定及时采取应急处置措施，控制和减少风险损失。

三是抓关键。数据安全关键在人，关键在责任落实。当下银行业暴露出的数据泄露事件，绝大多数因员工有意或无意的违法违规行造成。对员工开展法规政策培训和风险警示教育尤为重要，要有计划性的定期开展，要牢固树立“数据安全，人人有责”的观念。一方面，通过一横一纵做好全辖教育培训。另一方面，各单位做好转培训，将数据安全要求传导至每位员工，融入日常工作。

数据安全管理的体会与思考

农业银行董事长、行长和分管行领导高度重视数据安全工作，在党建与经营工作会等多种场合一再强调并做出具体部署，这为全行数据安全工作营造了良好环境、提供了强大动力。在实践中，笔者体会有以下几点需要注意。

1.要齐抓共管，强化部门协作。数据安全覆盖面广，与每个业务条线、部门都密切相关，所有开展数据活动的单位及相关监督部门都负有数据安全管理责任。部门间分工可从两个层面来看。首先从数据层面看，数据管理部门通常是全行数据的统筹管理者，各主管部门则是领域数据的具体管理者。其次从风控层面看，具体管理和使用数据的各部门是数据安全风险管控的一道防线，内控、法律、风险以及数据管理部门等是二道防线，审计是三道防线。可见，内部各部门都扮演了一种或多种角色，既可能是牵头统筹者，也可能是监督执行者，还可能是数据所有者、数据使用者或数据管理者。因此，既要依一定原则明确职责边界，更需要相互协作补位，确保安全管理不留空白和漏洞。

2.要开门工作，及时关注新技术新情况。目前，数据安全新规章、新标准还在紧锣密鼓制定中，数据安全新方法、新技术也是日新月异。数据安全管理不能闭门造车，要紧盯法律法规和政策变动，紧盯同业动态，及时了解行业最新要求、同业领先经验，学习借鉴好的方法和工具，将显著促进数据安全管理能力的提升。

3.要统筹兼顾，克服与化解实际困难。数据安全管理容易成为矛盾焦点、工作难点，既要解决当前难题，又要确保持续推进，坚持实事求是解决问题的好方法。要注意拿捏好管控尺度和方法，避免“一管就死”和“一放就乱”的极端。坚持“安全与发展并重”理念，才会细致了解现实、精准管理施策、循序渐进行动，才容易得到业务理解，才能把安全工作真正做细做实做好，做到以安全保障发展，实现以发展促进安全。

《数据安全法》为数据安全工作提供了基本的法律遵循。农行下一步将抓好《数据安全法》的学习、宣传、贯彻、执行，持续关注政府和行业监管部门推出的法律法规并及时落地执行，认真努力做好数据安全工作，保护好数据相关主体权益。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。