安全牛联合发布《中小银行数据安全治理研究报(2)

未采用正确的工作方法

不少的银行紧跟监管指引，在人行和银保监会的指导下开展工作，这是正确的。但是，基于目前监管部门并未发布明确的、完整的、成体系的数据安全治理方法，有些银行的行动表现出片面性和盲目性。有限的数据梳理、基于经验的风险识别、未能有效使用的防护工具、缺失的运营管理等等，将导致银行既无法对当前的数据安全风险有效防控，而且在将来的体系建设中重复投资，造成浪费。

数据安全治理人才极度匮乏

调研结果显示，拥有数据安全治理专业资格认证的人员只占15%。绝大部分银行的数据安全治理岗是由科技安全岗位转岗或兼岗，这些人员的技术性强于管理性，对数据安全治理的知识储备不足，没有掌握建设数据安全风险评估、体系建立、体系运营的能力，无法保障数据安全治理的成效。

数据安全防护技术和工具不适合

数据安全治理的成果落地，一部分体现在数据安全保护技术和工具的实施上。数据安全保护技术和工具至少包括IAM、数据脱敏、数据防泄漏、数据加密、数据库审计、数据库防火墙、数据库运维管理、用户行为分析、数据资产梳理等，不同厂商的工具在功能上和性能上也有较大的差异，银行在工具选型上确实面临较大的困难，选择了并不适合本行需求的工具，导致数据安全防护的效果不佳。

中小银行数据安全治理的十点建议

本报告的建议是基于调研结果、课题组专家对中小银行的了解、对数据安全治理的了解、对数据安全防护产品的了解给出的。由于银行的数据安全治理情况各异，建议不可能适用于所有银行，所以，仅供银行参考。

1、缺少银行领导的直接指导，数据安全治理难以成功。强烈建议银行领导在项目方案阶段、项目启动阶段、重大项目里程碑阶段、项目完成阶段，听取汇报并给出指导意见。尤其是在项目启动阶段，银行领导必须要求所有部门支持和配合数据安全治理工作。

2、数据安全治理团队拥有清晰和足够的权限，才能够开展相应的工作。银行应该在项目启动会上宣布对团队基本的授权，在项目开展的过程中完善数据安全治理的组织架构和职责。

3、为数据安全治理人员提供充分的专业培训，使之掌握必要的知识和技能。银行数据安全治理人员需要了解相关的法律法规、数据安全治理方法论、数据安全防护技术和工具等，参加专业培训机构的课程是直接有效的方法，收集、整理、学习相关的资料也是一种提升途径。

4、在本行人员和经验不足的情况下，借助外部专业资源协助开展数据安全治理工作。在诸如风险管理、审计管理、反洗钱管理、业务连续性管理等比较专业的领域，银行多采用引入外部专业机构的方式开展工作，数据安全治理也具有较强的专业特性，外部资源能够快速有效地帮助银行搭建管理体系，节省管理成本。

5、结合数据安全治理最佳实践和行业监管指引，采用科学的方法论，逐步开展治理工作。Gartner的DSG架构、人行的《个人信息保护技术规范》、《金融数据安全 数据安全分级指南》、银保监会的《银行业金融机构数据治理指引》是中小银行需要重点关注的最佳实践和行业监管指引，对银行的数据安全治理有很大帮助。

6、以重点数据为突破口，建立完善的数据安全治理体系。全面的数据梳理是银行的总体目标，但是需要投入较长的时间和较多的人力，影响数据安全体系建设的速度。所以，选取最重要的数据为突破口，以此为数据基础，搭建数据安全治理的整体框架，是行之有效的方法。

7、全面识别数据安全风险，防止木桶效应。数据安全风险的识别是基于数据的生命周期来分析和判断的，科技人员凭借经验就能够指出明显的安全风险点，但是，没有识别出全面的数据风险，就可能导致敏感数据通过其他渠道泄露，如同木桶效应。

8、整体评估数据安全防护技术和工具的需求，按照优先级逐步完善。银行都需求哪些数据安全防护技术和工具？对这些技术和工具的功能和性能的要求是什么？哪些需求立刻部署哪些可以暂缓？银行在获得这些问题的答案之后，才能够制定出合理的方案。

9、制定数据安全管理运维体系，循环优化。数据安全防护的控制体系由阻止、探测、响应、预测四个部分组成，并不断的优化，以达到持续有效的防护效果。建立数据安全管理运维体系可以保障四部分的持续优化，形成数据安全保护的长效机制。

10、加强数据安全意识教育，形成银行的数据安全保护文化。数据安全的文化建设是一个长期的过程，数据安全意识教育是文化建设的关键手段，形式多样、内容丰富的意识教育能够加速员工对数据安全的深入理解，起到很好的效果。

文章来源：《治理研究》 网址: http://www.zlyjzz.cn/zonghexinwen/2020/0803/336.html