摘要
在数字化转型过程中,民生银行将“数据治理”与“数据安全”深度融合,积极探索数据治理新模式,聚焦不同安全等级数据在生命周期各阶段的保护要求,持续促进数据安全管理工作的提升。2023年,民生银行通过了数据安全能力成熟度三级认证,标志着民生银行在数据安全组织建设、制度流程、技术工具、人员能力等四个维度的管理能力与成熟度达到了较高水平,形成了成熟的数据安全管理体系。
关键词
数据管理 数据治理 数据安全 数据标准
数据作为数字化时代的重要生产要素,为推动经济社会发展及转型注入了新动能,其重要性与日俱增。随着数字化转型的不断深入,监管机构更加重视金融机构的数据安全。国家金融监督管理总局发布《银行保险机构数据安全管理办法(征求意见稿)》,强化对金融机构数据安全的全面监管,并要求金融机构建立数据安全责任制,制定数据分类分级保护制度。
中国民生银行(以下简称“民生银行”)通过建设完善数据安全治理体系和技术体系,认真落实监管政策,重点解决金融行业普遍存在的数据安全保护意识有待提升、新技术攻击手段多样化等主要数据安全风险点。围绕数据全生命周期,按照数据分类分级保护标准,持续优化管理机制、细化管理流程,同步建设安全技术平台、完善安全防护体系,支撑全行数据战略和数据安全、客户隐私保护策略,落实数据安全责任制和集团一体化管理要求,实现数据安全管理提质增效。
持续提升数据治理能力,筑牢数字化转型底座
2023年,民生银行发布了其数据工作的首份纲领性文件《中国民生银行数据战略(2023—2025年)》(以下简称《数据战略》),明确了打造一家数据驱动的银行,全面实现用数据洞察、用数据决策、用数据管理的愿景。遵循《数据战略》,民生银行数据治理工作按照“以用带治,以治促用”的策略和“聚焦、务实、协同、长效”的原则,科技赋能,显著提升全行数字化能力。
(一)强化组织领导,完善统筹管理
组织领导是企业数字化转型成败的关键,也是企业推动数据治理工作落地见效的重要保障。在组织机制层面,民生银行党委和董事会高度重视数据治理工作,建立了“自上而下,协调一致”的组织体系;通过进一步明确数据、科技、业务部门的职责分工,破除部门壁垒,保障资源配置,形成部门相互协同、总分联动协作的运行机制。在统筹管理层面,民生银行借助董事会科技信息管理委员会数据治理工作小组、项目管理办公室(PMO)等机制,检视、督导重点难点工作,有力推动“顶层设计”从总行到附属机构及分支机构见行见效;通过构建价值指标体系,以可视化的方式,用量化数据从供需两端同步提升对数据治理成果价值的感知度和认可度。
(二)坚持标准引领,推动精细管控
数据标准的制定与贯彻是提升数据治理能力的基础保障。民生银行从数据标准体系建设和精细化落标管控两方面双管齐下,“管”“用”结合,将标准的规范与指引作用落细落实。
1.加强基础数据标准建设
一是聚焦企业级基础数据字典建设,优化整合明细数据、主数据、参考数据等数据资源,对企业内部数据元素进行标准化定义和描述,构建统一的数据语言和知识体系,制定了企业级基础数据字典2万余项;二是加强标准落标管控,在模型设计环节,借助企业级数据建模工具部署标准管控举措,并不断提升工具的智能化引标能力,同时加强数据模型评审,针对模型表的引标、合标情况进行审核,管控新增数据模型字段标准化。
2.加强指标标准内容建设
一是持续强化业务部门指标标准建设主体意识,引导业务部门主动开展相关关键指标的梳理和标准制定;二是借助全行级重点工作推进梳理关键指标标准,夯实风险领域、经营管理领域和绩效考核场景的指标口径基础,保障关键指标数据口径定义一致。指标标准落实方面,一是建立健全指标管控机制,以全行关键数据“数出一门”为目标,强化指标口径规则管理审核机制,管理范畴覆盖数据需求管控、线上线下数据应用等主要场景;二是加强指标管理工具支撑,以指标元数据管理为主线,以指标引擎体系构建为抓手,提高指标标准在指标全生命周期的落标效能,提升业务人员对于指标标准的应用体验。
(三)紧盯质量提升,夯实价值基础
数据质量直接决定数据价值,更是数据治理的生命线。随着数字化转型的不断推进,民生银行积累了规模庞大的交易、客户、渠道等数据。民生银行多措并举,将外部约束推力转化为内生发展动力。一是将各监管机构对指标类和明细类报送的数据质量要求融入行内系统业务需求、模型设计、技术规范、研发流程全链条,优化打磨,稳步提升数据报送质量。二是以年度专项治理任务方式对影响面大、重要程度高、复杂度高的突出问题进行重点攻关,通过控增量、治存量的方式实现问题根治。三是通过推进数据质量问题治理工作,常态化开展质量问题收集与协同整改,促进数据质量持续提升。四是建立数据质量评价体系,洞察数据质量态势变化,及时发现和审视短板问题,举一反三,借助知识库持续改善速度、成本、收益,形成良性循环。
(四)探索智能化应用,驱动“智”理变革
在数字经济时代,以生成式人工智能为代表的前沿技术为数字化转型带来了颠覆性变革,民生银行注重发挥创新科技的赋能效应,积极探索数据治理领域的智能化应用。在数据安全管理、数据质量管理、数据标准管理、数据模型管理、数据资源管理、元数据管理等多领域探索构建了智能化模型工具,对数据治理具体场景进行赋能,提升了治理质效。2024年民生银行的“AI赋能助力企业级数据字典建设提质增效项目”在行业数据治理峰会上获得“数据治理创新奖”,智能化应用成效初显。
数据安全管理与技术双管齐下同步强化
(一)完善数据安全治理体系,提升数据安全管理水平
1.建立健全数据安全组织架构和制度体系
对标监管数据安全制度要求,发布《中国民生银行数据安全管理办法》,明确个人信息和数据安全保护决策机构与统筹管理机构,构建业务部门、数据部门、科技部门、消保部门、风险部门、法律合规部门、审计部门等多部门协同联动数据安全管理机制;建立“总体策略、管理规范、标准细则、操作流程”四级数据安全制度体系,各级机构设置数据安全管家,配备数据安全专职岗位和人员,推进执行数据安全管理措施和技术保护工作。
2.强化数据安全宣贯教育和监督考核
针对不同类型员工定期开展数据安全专题面授、线上或直播课程,提升全员数据安全专业技能和意识水平;依托网络安全工作责任制考核机制,设定数据安全考核指标,定期对各级机构的数据安全保护能力开展检查、考核和评价,确保数据安全管理责任落实到位。
(二)推进数据分类分级工作,夯实数据安全保护基础
1.优化数据分类分级标准和工具流程
对标监管数据安全制度和标准,发布《数据分类分级管理办法》,明确组织职责、框架规则、分级标准、工作流程等;优化数据治理平台,构建和训练基于大模型的个人客户数据分类分级智能标注模型,提升整体准确率。
2.实施数据定级流程和标注审核
制定增量和存量数据定级流程和系统管控方案,采取分阶段、分批次、分重点对个人信息类、经营管理类、资金交易类等数据实施定级标注和审核,培养包括模块负责人、数据管家、业务专家等在内的定级角色队伍。
(三)筑牢数据安全技术保护体系,切实防范数据泄露风险
1.实施数据生命周期安全保护
在数据采集、传输、存储、使用、删除、销毁等环节保障数据完整性、保密性和可用性。数据采集通过数字签名等鉴别数据源,遵循最小必要原则采集个人信息,取得客户合法有效的授权同意;通过可信物理通道、加密传输通信协议、签名技术等实现数据传输安全;通过加密等技术实施数据存储保护,重要业务系统实现多级数据备份和数据恢复能力;采取终端安全管控、打印操作审计、屏幕水印、展示脱敏、日志脱敏等措施保障数据使用安全;通过数据不脱离系统使用专项治理、终端敏感文件扫描与清理等措施确保数据删除。
2.把控数据生命周期保护落实到位
通过等保测评、风险评估、安全检查等措施确保全行落实基线要求;在业务需求论证和研发流水线中嵌入数据安全评审,设置投产安全门禁,实施漏洞扫描、人工渗透、源代码安全检测等;明确开源软件、商业软件引入的安全管控标准和流程;维护开源和商业合法软件台账及安全可靠的软件下载路径;持续加强互联网资产和暴露面管控,建立重要互联网应用系统资产台账并动态更新,互联网出口统一管理并实施互联网出访管控策略。
(四)强化数据安全应急管理体系,提升安全态势感知能力
1.实施应用数据流量监测和投诉处置
部署应用数据风险监测系统,主动发现敏感访问、可疑访问等,运用大数据、威胁情报等研判数据安全风险隐患,加强与国家主管部门的联动与信息共享,形成工作合力;设立多渠道投诉受理流程,配置专线受理个人服务、对公服务、小微服务、信用卡服务等客户投诉,对涉及数据安全、客户隐私的投诉实施统筹管理,实施数据泄露、仿冒欺诈等负面舆情的自动化监测以及跨部门协同处置。
2.加强数据安全事件响应和经验积累
将数据安全事件应急管理纳入信息系统突发事件应急管理体系中,发布《信息安全事件管理办法》《信息安全应急预案管理办法》《数据安全事件应急预案》等;建立由科技部门、数据部门、业务部门、办公室、法规部门等协同联动的数据安全事件应急小组,按照监测预警、分析研判、通报预警、应急处置、协同联动、追踪溯源等流程实施应急响应,关注重点场景并定期开展应急演练。
下一步,民生银行将深化数字化转型,坚持数据和科技双轮驱动,强化数据治理的顶层设计,注重数据安全法规的遵循、落实,在确保合规的前提下,实现数据价值的最大化,赋能业务高质量发展。