更多
引言:監(jiān)管利劍出鞘,數(shù)據(jù)安全治理從“選擇題”變?yōu)椤氨卮痤}”
2025年底,國家金融監(jiān)督管理總局辦公廳一紙《關(guān)于開展金融機構(gòu)數(shù)據(jù)安全管理能力提升專項行動的通知》(金辦發(fā)〔2025〕93號),猶如一道驚雷,在金融行業(yè)數(shù)據(jù)安全領域劃定了清晰的時間線與高壓線。通知明確,2026年監(jiān)管將圍繞數(shù)據(jù)安全“發(fā)現(xiàn)一批、整改一批、通報一批、處罰一批!”,標志著金融數(shù)據(jù)安全監(jiān)管已從定性的原則指導,全面轉(zhuǎn)向定量的精細化考核與閉環(huán)問責。
此次專項行動并非空穴來風,其核心依據(jù)正是2024年底發(fā)布的《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》(金規(guī)〔2024〕24號)。《辦法》與《專項行動通知》共同構(gòu)成了當前金融機構(gòu)數(shù)據(jù)安全建設的“根本大法”與“行動指南”,設定了涵蓋治理架構(gòu)、數(shù)據(jù)分類分級、全生命周期管控、技術(shù)防護、個人信息保護及風險監(jiān)測等六大維度、百余項具體考核指標。合規(guī),已成為金融機構(gòu)生存與發(fā)展的生命線。
核心解讀:93號文與《辦法》勾勒的六大維度、百余項考核指標全景圖
本次專項行動的考核范圍,深度融合了《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》的核心要求,聚焦六大能力維度,下設百余項具體檢查指標,構(gòu)成了一個立體、嚴密的考核網(wǎng)絡:
數(shù)據(jù)安全治理架構(gòu):核心是“責任到人”。要求建立覆蓋黨委(黨組)、董事會、高管層至各業(yè)務條線的全層級責任體系,明確“誰管業(yè)務、誰管業(yè)務數(shù)據(jù)、誰管數(shù)據(jù)安全”,并設立專職歸口管理部門。自查要點中明確要求檢查是否設立數(shù)據(jù)安全管理委員會、明確第一與直接責任人。
數(shù)據(jù)分類分級管理:要求從“有制度”到“能運營”。不僅需要制定數(shù)據(jù)分類分級標準,更關(guān)鍵的是建立動態(tài)更新的數(shù)據(jù)資產(chǎn)目錄,并根據(jù)核心、重要、一般(含敏感)不同級別,落地差異化的安全保護措施,且需建立動態(tài)調(diào)整審批機制。
數(shù)據(jù)全生命周期安全管理:覆蓋內(nèi)部管控與外部交互。從數(shù)據(jù)收集的“合法、正當、必要”,到加工處理時的脫敏、去標識化,再到外部合作、數(shù)據(jù)共享、數(shù)據(jù)出境的全鏈條合同與安全評估要求,強調(diào)建立閉環(huán)管理流程。
數(shù)據(jù)安全技術(shù)保護:強調(diào)縱深防御與精準防護。這是檢查的重點與難點,要求技術(shù)措施必須覆蓋數(shù)據(jù)全生命周期及多元技術(shù)環(huán)境(如數(shù)據(jù)湖、大數(shù)據(jù)平臺)。特別強化對核心、重要、敏感數(shù)據(jù)的訪問控制、傳輸存儲加密、操作審計(日志保存不少于3年),以及對開發(fā)測試環(huán)境隔離脫敏、API接口安全、新技術(shù)(如AI)應用治理的要求。
個人信息保護:作為專項檢查重點,監(jiān)管緊盯“告知-同意”原則的實質(zhì)落地。要求嚴格履行處理前告知義務,執(zhí)行最小范圍收集,對自動化決策等重大處理活動進行保護影響評估(報告保存至少3年),并嚴格規(guī)范個人信息出境與共享流程。
數(shù)據(jù)安全風險監(jiān)測與處置:要求建立主動防御體系。將數(shù)據(jù)安全風險納入全面風險管理,建立常態(tài)化的監(jiān)測預警機制(覆蓋內(nèi)部異常訪問、第三方泄露等九大類威脅),并制定專項應急預案,定期演練。事件報告時限極為嚴格,特別重大事件需立即報告。
現(xiàn)實挑戰(zhàn):金融機構(gòu)在落實中普遍面臨的“三重門”
面對如此系統(tǒng)、深入且緊迫的監(jiān)管要求,金融機構(gòu)在內(nèi)部落地時普遍遭遇嚴峻挑戰(zhàn):
昂楷方案:體系化“自查-整改-提升”服務,賦能金融機構(gòu)打贏合規(guī)攻堅戰(zhàn)
昂楷科技深刻理解監(jiān)管導向與機構(gòu)痛點,基于服務眾多金融機構(gòu)的實踐經(jīng)驗,推出體系化的 “金融機構(gòu)數(shù)據(jù)安全管理能力提升”專項服務方案,以此幫助客戶不僅通過檢查,更構(gòu)建長遠的安全能力。
圖 1 能力提升自查與整改服務框架
第一階段:精準自查,全面“體檢”
我們依據(jù)93號文附件自查要點,融合《辦法》、相關(guān)國家標準及行業(yè)標準(如JR/T 0223、JR/T 0171等)進行深度解讀,形成專屬《數(shù)據(jù)安全管理自查表》。通過“文檔查驗、人員訪談、安全核查、技術(shù)測試”四位一體的方法,幫助機構(gòu)系統(tǒng)性地完成信息調(diào)研與問題識別,產(chǎn)出清晰的《數(shù)據(jù)安全管理自查報告》與《問題清單》,精準定位合規(guī)差距,風險等級與整改優(yōu)先級。
圖 2 《數(shù)據(jù)安全管理自查報告》
第二階段:科學整改,規(guī)劃“路徑”
針對發(fā)現(xiàn)的問題,我們從治理、管理、技術(shù)、人員等多維度進行根因分析與風險評估,協(xié)助機構(gòu)制定《數(shù)據(jù)安全管理自查問題整改方案》與分階段實施路線圖。方案不僅聚焦具體問題點的修補,更注重幫助機構(gòu)構(gòu)建或優(yōu)化四大核心體系:
圖 3 數(shù)據(jù)安全治理體系框架
治理與制度體系:協(xié)助設計分層分級的制度框架(從總方針到操作指南),明確常態(tài)化工作機制。
數(shù)據(jù)分類分級運營體系:運用AI數(shù)據(jù)分類分級系統(tǒng),提升資產(chǎn)梳理與定級準確性,并確保結(jié)果動態(tài)更新,為差異化防護奠定基礎。
技術(shù)防護體系:對包括但不限于開發(fā)測試數(shù)據(jù)脫敏、API接口安全、供應鏈人員管控、敏感數(shù)據(jù)加密審計等典型場景,提供從管理制度到技術(shù)工具(靜態(tài)/動態(tài)脫敏、數(shù)據(jù)庫審計、防火墻、水印等)的閉環(huán)解決方案。
監(jiān)測運營體系:通過數(shù)據(jù)安全運營駕駛艙,整合各類安全能力,實現(xiàn)資產(chǎn)態(tài)勢可視化、風險聯(lián)防聯(lián)控,并協(xié)助建立周期性風險評估機制。
第三階段:長效提升,夯實“能力”
我們的服務不止于整改。通過協(xié)助開展周期性風險評估、應急演練、全員培訓、制度宣貫,我們將幫助機構(gòu)將數(shù)據(jù)安全要求融入業(yè)務流程與文化,最終實現(xiàn)從“被動合規(guī)”到“主動防控”,從“項目化建設”到“常態(tài)化運營”的根本轉(zhuǎn)變。
當前我們已為銀行、證券、財務公司等眾多金融機構(gòu)提供專業(yè)服務,在數(shù)據(jù)分類分級、管理體系建設、風險評估、數(shù)據(jù)安全治理體系整體建設等核心場景積累了大量成熟落地案例,深刻理解并擅長將監(jiān)管合規(guī)要求與業(yè)務實際場景深度融合,為客戶提供安全、高效、可落地的數(shù)據(jù)安全治理解決方案。
結(jié)語
金管局93號文專項行動,是挑戰(zhàn),更是金融機構(gòu)系統(tǒng)性夯實數(shù)據(jù)安全底座、化數(shù)據(jù)風險為競爭優(yōu)勢的戰(zhàn)略機遇。面對百日攻堅,昂楷科技愿以深厚的行業(yè)認知、成熟的方法論與領先的技術(shù)產(chǎn)品,成為您最可靠的合作伙伴,共同筑牢金融數(shù)據(jù)安全防線,穩(wěn)健邁向數(shù)字化未來。
