資料安全治理體系如何建？看頭部銀行最佳實踐

近年來我國在資料安全和個人資訊保護方面的法律法規密集出臺，資料安全和資料隱私保護成為企業資料應用的合規前提。

銀行作為強監管的行業，資料安全和個人資訊保護的壓力巨大，一旦違法收集和處理個人資訊，將使銀行面臨刑事處罰、民事處罰、行政處罰三重法律責任，導致業務暫緩、資金流失、聲譽受損、業績銳減等負面影響。

銀行高度重視資料安全治理建設工作，從組織、制度、技術三個層面出發保障資料安全體系落地。沙丘社群以中國建設銀行、中國工商銀行、平安銀行作為標杆物件，研究頭部銀行的資料安全體系建設實踐，旨在為其他金融機構提供參考。

01

組織保障

資料由業務產生且時刻發生變化，有效的組織保障是資料安全體系成功的關鍵。平安銀行根據資料生命週期內的關鍵安全工作事項並結合行內的部門職責和組織架構進行RACI分析，並構建三大類職責，橫向聯動，保障資料安全責任落地。

第一，個人資訊保護委員會，負責業務過程中對客戶敏感資訊和消費者權益的保護。由業務部門牽頭(風險管理部)，在所有客戶觸達層面滿足合規要求，包括資料收集、授權、告知等義務，以及落實與第三方機構合作中的資料安全責任。

第二，資料治理工作組，負責資料質量和服務。藉助資料治理工作完成資料認責、資料分類分級和打標等。

第三，網路與資訊保安管理委員會，負責資料安全管理責任。從技術層面制定資料安全相關的技術規範。

參考材料：平安銀行資料安全體系建設實踐

02

制度保障

在制度保障層面，中國建設銀行充分對標相關法律法規要求，梳理形成資料安全專項規章制度，並做好與科技、業務、管理規章的銜接。目前已擬定《資料安全管理辦法》，並推動各項實施細則的制定。

參考材料：中國建設銀行資料安全治理實踐

03

技術保障

為築牢資料安全保障防線，中國工商銀行搭建資料安全平臺，圍繞資料全生命週期，實現智慧敏感資料識別、動態控權、統一資料脫敏引擎、資料水印溯源以及資料安全監控審計五大核心能力，為行內資料資產管理類應用、各業務系統提供資料安全標準服務，實現資料安全從區域性防護到整體防護、從靜態防護到動態防護、從單點防護到協同聯防。