銀行數據安全治理方案

劉永春 王仰東

摘要：數據安全治理方案架構以管理制度為綱領、立足于數據標準為基礎，貫穿數據全生命周期為核心，運用主要的支撐技術，來構建面向應用場景的數據安全治理道路。落實數據治理指引，結合銀行數據使用情況，摸清數據安全現狀，按照規范的標準對數據資產進行梳理并進行分級分類。提出構建以數據全生命周期為核心、及時發現、主動防護、有效稽核的動態數據安全防護體系，完善數據安全管控體系建設，運用不同的技術手段與管理辦法給予有效管控，最終實現數據安全治理。

關鍵詞：數據安全;數據治理;治理方案;治理框架;數據標準;分級分類

背景

從數據安全的重要性來看，作為銀行積累的數據，運用數據產生價值，使用數據過程中，保證數據安全至關重要！同時金融行業內，為提升數據治理水平，實現數據分類和安全定級，強化不同安全級別數據的有效管控，根據《銀行業金融機構數據治理指引》（銀保監發〔2018〕22號），也在逐步落實數據治理工作，同時對于數據安全也抓緊落實。

問題

為了更好地進行數據安全治理，首先梳理一下數據安全方面的問題[1]。

（一）因數據底賬不清造成管理困難

銀行的分支機構和數據庫普遍較多，對保護這些數據庫中的敏感信息造成管理上的困難;不清楚狀況的運行并使用這些數據庫以及其中的敏感數據，其風險可想而知。

（二）軟件開發測試環境的數據脫敏

測試環境中使用到的客戶銀行卡號、姓名、金額、聯系方式等大量未經脫敏的真實數據，數據容易外泄。

（三）特定場景下的數據庫運維需求

由于銀行的特殊性，在對眾多數據庫進行安全防護時需要做出差異化處理，例如：當銀行臨時需要進行審計工作或上級單位緊急需要一份數據時（相關數據平時是禁止訪問的），現有數據安全產品不能針對這種隨機時間、隨機操作的需求執行有效的差異化防護策略。

數據安全治理框架

從銀行經營戰略的角度出發，提出六項基本原則：分級分類、確保安全、統一實施、目的明確、最少溝通、責任明確。

依據數據治理原則及體系[3]，參考銀行業數據指引數據治理架構[2]，制定出數據安全治理框架：

立足于數據標準

數據標準是數據安全的基石。首先對數據標準的梳理，要從業務出發，進行數據標準制定，對數據進行分級分類管理。涉及業務主管部門要做如下事情：

建立數據分級分類，業務主管部門負責認、定兩件事。

（一）認：對數據標準進行確認，識別是不是歸屬于本部門。

（二）定：對數據標準進行數據定級，需要結合參考人行提供的定級參考表，來確定自己的數據標準對應的數據等級，通過定級，形成資產。

以數據全生命周期為核心

為了構建涵蓋“事前-事中-事后”全生命周期的數據安全防護體系，嚴格執行數據分級分類，然后進行全程監控數據安全狀況。

?數據分級分類及安全級別設置

首先，進行數據環境安全級別策略管理維護。

策略提供方：一般由科技部或數據管理與應用部協助提供。

然后，策略配置完成后，可以自動生成數據環境安全策略方案。

?全程監控數據安全狀況

根據數據標準分級分類，確定數據環境安全策略方案，通過方案中約定的操作。在不同環節進行權限控制、進行脫敏要求處理。

（一）在數據采集過程中，對新產生的敏感數據進行梳理;通過制定檢核規則，可以對數據采集過程進行監控檢測。

（二）在數據存儲過程中，進行數據加密;要根據安全級別來確定是否需要進行加解密操作。

（三）在數據借用或數據提取時，前提條件就是必須符合配置的安全保護策略。在數據使用過程中，進行數據梳理、數據外發的安全檢查及敏感檢查等，確保能夠對數據做到追根溯源。

面向應用場景

可對數據全生命周期歸納成三個應用場景階段：數據采集、數據處理、數據服務。

●數據采集

運用數據質量監控體系，建立監控規則，用于檢測數據采集過程中數據是否一致，數據是否正確，及數據的完整性。

●數據處理

數據流轉處理中，通過數據庫安全評估系統和數據資產梳理系統，實現事前安全巡檢與敏感數據梳理，建立數據庫安全使用環境。通過數據脫敏系統，防止數據泄露。

●數據服務

服務更多的是涉及數據使用安全。根據數據安全分級分類，需要加強從業務系統層面進行控制，防范非授權訪問和下載打印客戶數據信息;建立完善的數據安全管理體系，建立數據安全規范制度體系，組建數據安全管理組織機構，建立有效的數據安全審查機制;對于生產及研發測試過程中使用的各類敏感數據進行嚴密管理;嚴格與外單位合作中的個人客戶信息安全管理等。

數據安全治理分階段

保證數據安全，離不開數據治理。數據安全相關治理階段如下：

?階段一

推進元數據采集，通過數據標準梳理，實現數據的分級分類，數據標準、業務術語管理，落實系統功能。建立數據質量監控檢測功能，發現問題。

?階段二

建立元數據血統分析、影響分析。通過影響分析，可以分析得到數據庫某一字段變化調整，可以得到影響的下游系統有哪些，讓數據庫運維工作有條理、有依據、更可靠地進行開展。

?階段三

建立數據治理、數據質量等方面的考核機制，落實數據治理制度;支持考核方案和指標的定義，支持考核執行情況監控，定期發布數據治理考核結果;保障數據治理制度的落實和治理工作的有效開展。

總結愿景

數據安全要治理好，這并非一朝一夕的事。需要各部門明確數據安全管理職責：一方面，確保業務部門數據收集與數據使用工作的正常進行，依據數據安全管理制度與技術標準，推動相關部門建立針對數據全生命周期的安全管理操作流程;另一方面，需要各部門通力協作，分階段實施，對數據使用過程中的安全狀況及使用效果進行準確的檢查、評估并督促整改，從而保障數據安全工作的有效落地。

參考文獻：

[1]機房360.數據安全的5個問題和解決方案[EB/OL].http：//security.qianjia.com/html/2020-03/11_362353.html，2020-03-11.

[2]DAMA中國分會翻譯組.DAMA數據管理知識體系指南（原書第2版）[M].機械工業出版社：中國，2020-5-28

[3]中國銀行保險監督管理委員會.發布《銀行業金融機構數據治理指引》[EB/OL].http：//www.gov.cn/xinwen/2018-05/23/content_5292938.htm，2018-05-23.