中國光大銀行信息科技部總經理助理邵理煜

近年來，因數據泄露遭到非法侵害釀成嚴重后果的社會事件層出不窮，國家法規和監管機構不斷加強數據安全要求。為提升光大銀行數據安全管理能力，信息科技部正致力于研究推進“以數據為中心”的全維度、全覆蓋、全生命周期的數據安全管理體系，并在數據安全和數據合規領域開展了全面細致的落地工作，包括加強組織建設、豐富管理辦法、打造安全名品、營造安全文化。以上工作初見成效，日后將持續為我行數字化轉型升級提供保障。

我行數據安全發展階段

我行數據安全的發展經歷了數據應用、數據管理和數據安全管理體系三個階段。

在數據應用階段，我行主要集中在數據倉庫和數據集市的建設、數據分析和數據挖掘應用平臺的構建上。數據安全方面主要關注數據權限的分配和控制。

在數據管理階段，我行逐步建設了企業級數據模型、數據標準、元數據、數據質量等數據管理領域，奠定了良好的數據管理基礎。該階段我行主要關注網絡信息安全的建設。

現在我行處在數據安全管理體系階段，正在推進建設符合光大實際情況的數據安全管理體系。

現階段數據安全工作目標

現階段，圍繞“打造以數據為中心的安全體系，保障數字化轉型升級”的工作目標，我行數據安全小組正在研究推進“全維度、全覆蓋、全生命周期”的數據安全工作方案（見圖1）。

圖1 三維立體數據安全管理

全維度-四個層次。從組織建設、制度流程、技術工具、基礎保障四個層次構建我行數據安全體系。

全覆蓋-四個環境。全面覆蓋我行生產、開發、測試、辦公四個環境。

全生命周期-六個階段。在數據采集、加工、傳輸、使用、存儲和銷毀六個階段建構和落地我行數據安全管理要求。

現階段數據安全工作成果

在數據安全工作目標的指引下，我行數據安全小組正在進行數據安全體系（見圖2）初探，并圍繞數據安全體系逐步開展數據安全落地工作。

圖2 數據安全體系

1、明確數據安全工作組織架構。我行已建立信息科技與數據管理委員會、數據管理工作小組、各部門及其數據安全崗的三層數據安全組織結構。

2、豐富數據安全管理制度。我行建立了以《中國光大銀行數據政策》為指導、《中國光大銀行數據安全管理辦法》為核心。各項管理細則和規范為操作規范的安全制度體系。每年會對各項管理制度進行重檢修訂。在原有基礎上，今年在《中國光大銀行數據安全管理辦法》中明確了四個環境的安全第一責任人及各部門數據安全崗職責；在原有加工、傳輸、使用、存儲與銷毀階段的基礎上，新增數據采集階段的安全管理要求，形成覆蓋六個階段的全生命周期管理；補充個人信息隱私保護管理要求，并針對個人敏感信息安全處理我行建立了安全技術標準《個人敏感信息安全處理技術規范》。針對重要且泄露風險較高的辦公環境，我行建立了《辦公環境安全管理細則》。針對其他管理制度提出數據安全管理要求，將數據安全和隱私保護要求落實到全行各管理環節中。

3、打造數據安全名品。我行通過打造“五大名品工具”，將數據安全管理要求落地：一是數據保管箱和數據偵探名品，推進實現辦公環境敏感數據“零存放”；二是云桌面名品，實現開發、測試環境敏感數據“安全隔離”；三是加密平臺和脫敏平臺名品，確保生產環境敏感數據“安全使用”。

4、加強個人隱私保護。我行通過個人信息安全合規工作小組的機制，推動個人信息保護相關工作方案的實施。在組織建設、制度流程、技術工具及基礎保障層面構建個人信息保護的多重保障。針對GPPR的合規，我行歐盟區域海外分行盧森堡分行積極應對，已完成GDPR咨詢，正在積極推進合規工作。

5、培養數據安全文化。我行注重數據安全文化建設，通過多渠道、多形式落實數據安全宣傳，培養員工數據安全意識，為我行營造一個保障業務良好運轉的數據安全環境。在具體操作層面，我行已經建立了從網絡宣傳、行內集中培訓到現場數據安全檢查等三位一體的數據安全宣傳檢查機制。

總結及展望

我行已初步形成了數據安全管理體系，在個人信息隱私保護方面也做了大量工作，為我行下一步數據安全工作奠定了堅實的基礎。為將數據安全做得更扎實可靠，一方面我行將持續完善數據安全體系建設，另一方面我行將從以下兩方面進行研究和部署。

數據安全與數據管理的融合：在我行數據管理體系基礎上，將數據安全管理要求融入到數據管理環節中，豐富數據管理要求并提升數據安全落地程度。

大數據與人工智能技術在數據安全方面的應用：我行數據積累越來越大、時效性要求越來越高，對數據安全工作提出了更高的要求。通過研究大數據與人工智能技術在數據安全方面的應用，以構建智能高效的數據安全防控網，為我行數據安全工作添加智慧雙翼。

責任編輯：韓希宇