安全牛联合发布《中小银行数据安全治理研究报

随着金融科技和数据驱动的银行业务数字化转型因疫情而提速，同时由于自身科技能力、数据安全治理策略、方法和成熟度存在严重滞后，我国中小银行数据安全风险已经进入“深水雷区”，危机四伏，一触即发。近日，由谷安研究院和安全牛联合编写的《中小银行数据安全治理报告》显示，虽然92.5%的银行已经开展了数据安全治理工作，但是，采用成熟的国际方法论的居然是0%。

此外，《报告》还发现，60%的银行没有全行层面的数据安全保护策略，25%的银行对数据进行了全面的梳理，12.5%的银行全面识别了数据安全的风险点。

随着《中华人民共和国网络安全法》、《银行业金融机构数据治理指引》、《个人金融信息保护技术规范》等法律法规的发布，银行的数据安全面临着重大的法律风险，同时，数据价值驱使银行越来越广泛的使用数据来支持甚至引领业务的发展，安全用数的需求十分强烈。

《报告》指出，目前中国中小银行数据安全治理的总体态势存在三大短板：数据安全体系建设成效参差不齐；未遵循科学的方法论；知识和能力不足。

报告通过收集整理中小银行数据安全治理的现状，分享专业数据安全技术公司在数据安全治理体系建设和技术工具应用的知识与经验，为银行开展和完善数据安全风险管控提出十点建议。以下为报告内容摘要：

报告研究和分析的范围

1、中小银行的数据安全治理环境：

1) 银行领导层对数据安全的重视程度；

2) 银行的数据安全管理面临的挑战；

3) 银行在数据安全保护方面的痛点；

4) 数据安全治理的组织架构；

5) 数据安全治理相关法律法规及监管要求；

6) 数据安全治理的开展方式；

7) 数据安全治理的牵头部门；

8) 数据安全治理人员的专业能力。

2、中小银行的数据安全治理的方法：

1) 数据安全治理的方法论；

2) 数据安全策略；

3) 数据分类分级标准；

4) 敏感数据的全面梳理；

5) 数据生命周期的安全风险评估。

3、中小银行的数据安全治理的运维：

1) 数据安全管理的监控；

2) 数据安全事件的响应机制；

3) 数据安全意识教育。

4、中小银行的数据安全保护技术和工具的应用：

1) 数据加密存储；

2) 数据加密传输；

3) 数据库审计；

4) 数据脱敏；

5) 数据防泄漏；

6) 用户行为分析。

中小银行数据安全治理的总体态势：三大短板

1、对数据安全治理的重视程度高，但是数据安全体系建设的成效参差不齐；

1) 高达97.5%的银行领导对数据安全给与了较高的重视，对数据安全主管人员产生了积极的影响。

2) 60%的银行没有全行层面的数据安全保护策略，25%的银行对数据进行了全面的梳理，12.5%的银行全面识别了数据安全的风险点。

统计数字表明，中小银行的数据安全治理建设刚刚起步，任重而道远。

2、银行纷纷开展数据安全治理，但是未遵循科学的方法论；

采用科学的、正确的方法，才能少走弯路，更容易成功。通过调研发现，92.5%的银行已经开展了数据安全治理工作，但是，采用成熟的国际方法论的居然是0%。尽管银行可以自由地采用适合本行的方法，但是这一惊人的数字也一定程度地表明了大部分银行对数据安全治理领域的方法论是不了解的。这些银行很可能在错误的方向上越走越远，重复投资。

3、知识和能力的不足，是数据安全治理和管理的最大隐患。

数据安全治理是一项管理和技术相结合的工作，而且需要公司治理、风险管理、外包管理、业务连续性等综合知识。中小银行在数据安全治理岗位设置上通常存在人员数量不足的情况，而缺少数据安全治理专业技能的培训，则更为常见。中小银行必须格外重视对专业团队的培养，才能形成数据安全风险管控的长效机制。

中小银行数据安全治理的四大问题：

认为数据安全治理是科技部门工作

数据安全治理的核心工作是数据梳理，包括对数据库和电子文件的整理、设计和实施安全防控的时候会部署数据安全保护工具，从这些工作内容来看，数据安全治理的确带有“科技”属性，很多银行的数据安全治理由科技部门牵头也是合理的。但是，数据安全级别的认定、数据安全风险的识别、数据泄露渠道的防

文章来源：《治理研究》 网址: http://www.zlyjzz.cn/zonghexinwen/2020/0803/336.html