銀行業(yè)數(shù)據(jù)安全治理三部曲

數(shù)據(jù)安全治理已經(jīng)上升到國(guó)家安全高度。銀行業(yè)是典型的數(shù)據(jù)密集型行業(yè)，銀行業(yè)數(shù)據(jù)安全治理任重道遠(yuǎn)。本文通過(guò)系統(tǒng)性梳理，結(jié)合銀行業(yè)務(wù)場(chǎng)景需求和實(shí)際情況，總結(jié)出一套適用于銀行業(yè)機(jī)構(gòu)落地實(shí)施的數(shù)據(jù)安全防護(hù)體系建設(shè)三部曲。

數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)時(shí)代最核心、最具價(jià)值的生產(chǎn)要素，正在加速成為全球經(jīng)濟(jì)增長(zhǎng)的新動(dòng)力、新引擎。然而，當(dāng)前數(shù)據(jù)泄露事件頻發(fā)，2020年全球數(shù)據(jù)泄露事件數(shù)超過(guò)去15年總和，數(shù)據(jù)安全保護(hù)亟須加強(qiáng)。《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》中明確指出，要建立健全數(shù)據(jù)要素市場(chǎng)規(guī)則，強(qiáng)化數(shù)據(jù)的安全保障；《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》相繼發(fā)布實(shí)施，數(shù)據(jù)安全治理已經(jīng)上升到國(guó)家安全高度。2022年的政府工作報(bào)告中，提到要推進(jìn)國(guó)家安全和能力建設(shè)，強(qiáng)化網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)。

銀行業(yè)數(shù)據(jù)安全治理任重道遠(yuǎn)

銀行業(yè)是典型的數(shù)據(jù)密集型行業(yè)，資產(chǎn)數(shù)字化和鏈路數(shù)字化已經(jīng)相對(duì)成熟，數(shù)據(jù)可謂是銀行業(yè)發(fā)展的根基，有效利用數(shù)據(jù)并發(fā)揮出數(shù)據(jù)的價(jià)值已成為銀行機(jī)構(gòu)的核心競(jìng)爭(zhēng)力之一。客戶畫像構(gòu)建、風(fēng)險(xiǎn)防控、效率優(yōu)化等業(yè)務(wù)都需要數(shù)據(jù)的支撐，保障數(shù)據(jù)的安全是銀行業(yè)務(wù)發(fā)展的底線。據(jù)報(bào)道，2021年銀保監(jiān)會(huì)開出的第一張罰單就直指銀行機(jī)構(gòu)的數(shù)據(jù)安全問(wèn)題。據(jù)畢馬威統(tǒng)計(jì)，2022年上半年，人民銀行及銀保監(jiān)會(huì)向銀行、保險(xiǎn)和非銀行支付公司等金融機(jī)構(gòu)共開出數(shù)據(jù)罰單685張，罰款金額為6.2億元，同比增長(zhǎng)67.5%。因此，銀行業(yè)數(shù)據(jù)安全，必須嚴(yán)守?cái)?shù)據(jù)安全合規(guī)的底線，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。

數(shù)據(jù)安全治理誕生在全球數(shù)字化轉(zhuǎn)型的大背景下，能夠?yàn)榛跀?shù)據(jù)的新興產(chǎn)業(yè)發(fā)展提供安全有序良性的發(fā)展環(huán)境，解決企業(yè)或組織無(wú)法逃避的數(shù)據(jù)安全挑戰(zhàn)，滿足數(shù)據(jù)安全保護(hù)、合規(guī)性和敏感數(shù)據(jù)管理三個(gè)需求目標(biāo)，同時(shí)能夠在數(shù)據(jù)資產(chǎn)開發(fā)利用和價(jià)值實(shí)現(xiàn)與安全保護(hù)和履行合規(guī)義務(wù)之間實(shí)現(xiàn)平衡。數(shù)據(jù)安全治理不是強(qiáng)調(diào)數(shù)據(jù)的絕對(duì)安全，而是兼顧發(fā)展與安全，達(dá)到“讓數(shù)據(jù)使用更安全”的目的。

監(jiān)管層面高度重視銀行業(yè)的數(shù)據(jù)安全問(wèn)題?！稊?shù)據(jù)安全法》將數(shù)據(jù)安全上升到國(guó)家安全層面，規(guī)定各行業(yè)主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)，并賦予其處罰權(quán)力，對(duì)不履行數(shù)據(jù)安全保護(hù)義務(wù)的依法進(jìn)行相應(yīng)的處罰?！稊?shù)據(jù)安全法》頒布實(shí)施后，各行業(yè)均在推進(jìn)落實(shí)各自行業(yè)的數(shù)據(jù)安全管理制度。銀保監(jiān)會(huì)先后在2018年、2020年發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》（簡(jiǎn)稱《指引》）和《中國(guó)銀保監(jiān)會(huì)監(jiān)管數(shù)據(jù)安全管理辦法（試行）》（簡(jiǎn)稱《辦法》），《指引》要求銀行業(yè)金融機(jī)構(gòu)將數(shù)據(jù)治理納入公司治理范疇，并將數(shù)據(jù)治理情況與公司治理評(píng)價(jià)和監(jiān)管評(píng)級(jí)掛鉤；《辦法》主要是針對(duì)銀保監(jiān)會(huì)的監(jiān)管數(shù)據(jù)，規(guī)定了監(jiān)管數(shù)據(jù)的安全管理要求，推動(dòng)銀保監(jiān)會(huì)有關(guān)業(yè)務(wù)部門、各級(jí)派出機(jī)構(gòu)、受托機(jī)構(gòu)等共同參與監(jiān)管數(shù)據(jù)安全保護(hù)工作。2022年年初，中國(guó)人民銀行印發(fā)《金融科技發(fā)展規(guī)劃（2022—2025年）》，強(qiáng)調(diào)在保障安全和隱私的前提下推動(dòng)數(shù)據(jù)有序共享與綜合應(yīng)用，充分激活數(shù)據(jù)要素潛能，有力提升金融服務(wù)質(zhì)效。在標(biāo)準(zhǔn)方面，全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)相繼在2020年、2021年發(fā)布《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》（簡(jiǎn)稱《指南》）和《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》（簡(jiǎn)稱《規(guī)范》），《指南》根據(jù)金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭受破壞后的影響對(duì)象和影響程度，將數(shù)據(jù)安全級(jí)別分為5級(jí)；《規(guī)范》對(duì)不同等級(jí)金融數(shù)據(jù)的生命周期安全防護(hù)進(jìn)行了相應(yīng)的要求，為金融機(jī)構(gòu)開展金融數(shù)據(jù)安全保護(hù)工作提供指導(dǎo)。未來(lái)，銀行業(yè)在數(shù)據(jù)安全方面的規(guī)定會(huì)更全面、更明確。

然而，當(dāng)前銀行業(yè)數(shù)據(jù)安全治理面臨以下問(wèn)題：

銀行數(shù)據(jù)盤點(diǎn)較為復(fù)雜。數(shù)據(jù)梳理是數(shù)據(jù)安全治理的前提，只有具備快速摸清銀行數(shù)據(jù)底賬的能力，才能進(jìn)一步制定數(shù)據(jù)的安全防護(hù)策略。然而銀行數(shù)據(jù)梳理和盤點(diǎn)本身就是一項(xiàng)大工程，主要表現(xiàn)在以下三個(gè)方面：一是從數(shù)據(jù)量角度考慮，隨著銀行業(yè)務(wù)全面線上化以及系統(tǒng)上云，內(nèi)外部數(shù)據(jù)量激增，既有傳統(tǒng)的交易、資產(chǎn)數(shù)據(jù)，也有客戶行為數(shù)據(jù)、外部場(chǎng)景信息，不僅有原始數(shù)據(jù)，而且有用于精準(zhǔn)營(yíng)銷、風(fēng)控等目的的經(jīng)過(guò)加工處理的數(shù)據(jù)；二是銀行機(jī)構(gòu)的數(shù)據(jù)與第三方平臺(tái)互聯(lián)互通、跨界合作，數(shù)據(jù)流轉(zhuǎn)共享路徑錯(cuò)綜復(fù)雜，使得數(shù)據(jù)邊界難以界定；三是數(shù)據(jù)的權(quán)屬不清晰，銀行機(jī)構(gòu)與合作方、第三方平臺(tái)共享數(shù)據(jù)時(shí)，數(shù)據(jù)的使用權(quán)、所有權(quán)等尚缺乏明確的標(biāo)準(zhǔn)定義。

數(shù)據(jù)安全治理的驅(qū)動(dòng)力有待激發(fā)。從行業(yè)層面看，雖然《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》已頒布，但適用于銀行業(yè)的數(shù)據(jù)安全相關(guān)配套政策和指引尚未出臺(tái)，由于銀行業(yè)務(wù)線條多且系統(tǒng)對(duì)穩(wěn)定性要求高，數(shù)據(jù)安全治理牽一發(fā)而動(dòng)全身，而且需要投入大量人力、物力和財(cái)力，在沒(méi)有成熟的方案之前，金融機(jī)構(gòu)大都處于觀望狀態(tài)；從銀行內(nèi)部看，數(shù)據(jù)安全治理工作尚未提到全行統(tǒng)籌推動(dòng)的高度，目前大多數(shù)依然由信息技術(shù)部門牽頭推進(jìn)和落實(shí)，與行內(nèi)其他部門間信息同步體系不完善，角色分工不清晰問(wèn)題顯著，尤其缺乏高層管理人員的有效參與和統(tǒng)籌協(xié)調(diào)，導(dǎo)致團(tuán)隊(duì)建設(shè)受阻，工作推進(jìn)不暢。

數(shù)據(jù)安全治理水平參差不齊。大型商業(yè)銀行的網(wǎng)絡(luò)安全體系普遍較為完善，但主要通過(guò)被動(dòng)的、靜態(tài)的、離散的、補(bǔ)丁式的防護(hù)技術(shù)保護(hù)數(shù)據(jù)安全，最典型的就是用硬件為主的物理形式對(duì)網(wǎng)絡(luò)分層防護(hù)，而對(duì)數(shù)據(jù)本身的加密、訪問(wèn)控制、安全審計(jì)等事前、事中、事后全覆蓋的主動(dòng)、動(dòng)態(tài)防護(hù)建設(shè)相對(duì)滯后，不能高效地預(yù)防、識(shí)別、應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)；另外，大多數(shù)的防護(hù)能力，比如認(rèn)證、加密、訪問(wèn)控制、審計(jì)、脫敏等都是基于單點(diǎn)能力，“哪里痛就貼哪里”，缺乏治理技術(shù)間的協(xié)調(diào)聯(lián)動(dòng)，不能很好地達(dá)到整體防護(hù)的合力。同時(shí)，“重制定輕落實(shí)”現(xiàn)象明顯，安全管理制度大而全，內(nèi)容寬泛，很難達(dá)到可落地實(shí)施的成效。而中小型銀行問(wèn)題尤為突出，數(shù)據(jù)安全體系多數(shù)處于缺失狀態(tài)，《中小銀行數(shù)據(jù)安全治理報(bào)告》顯示，僅有25%的中小銀行對(duì)數(shù)據(jù)進(jìn)行了全面的梳理，12.5%的銀行全面識(shí)別了數(shù)據(jù)安全的風(fēng)險(xiǎn)點(diǎn)，超過(guò)60%的中小銀行沒(méi)有實(shí)施全行層面的數(shù)據(jù)安全保護(hù)策略。

體系化數(shù)據(jù)安全治理推進(jìn)成效不顯著。當(dāng)前已有針對(duì)數(shù)據(jù)安全治理的體系化理論框架，如Gartner提出的體系化數(shù)據(jù)安全治理（Data Security Governance，簡(jiǎn)稱DSG）框架，包括了從治理前提、具體目標(biāo)到技術(shù)支撐的完整體系，構(gòu)成數(shù)據(jù)安全治理的雙閉環(huán)，是數(shù)據(jù)安全治理的重要參考依據(jù)。然而根據(jù)《中小銀行數(shù)據(jù)安全治理報(bào)告》顯示，雖然92.5%的中小銀行已經(jīng)開展了數(shù)據(jù)安全治理工作，但是采用成熟方法論的幾乎是0%；再者，截至2021年11月底，根據(jù)中國(guó)信通院數(shù)據(jù)安全治理能力評(píng)估結(jié)果顯示，有部分銀行機(jī)構(gòu)已經(jīng)逐漸意識(shí)到數(shù)據(jù)安全治理體系化建設(shè)的重要性，積極地參與評(píng)估試點(diǎn)工作，但尚未有銀行業(yè)金融機(jī)構(gòu)通過(guò)中國(guó)信通院數(shù)據(jù)安全治理能力評(píng)估。

構(gòu)建數(shù)據(jù)安全治理三部曲

隨著數(shù)據(jù)安全合規(guī)政策的宣貫對(duì)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)安全意識(shí)提升的強(qiáng)力推進(jìn)，以及銀行對(duì)數(shù)據(jù)安全與自身業(yè)務(wù)發(fā)展認(rèn)識(shí)得更加明晰，銀行業(yè)金融機(jī)構(gòu)開始深刻意識(shí)到數(shù)據(jù)安全治理源于自身客觀真實(shí)的需求，數(shù)據(jù)安全治理是金融數(shù)字化轉(zhuǎn)型的基礎(chǔ)保障，是實(shí)現(xiàn)金融業(yè)務(wù)創(chuàng)新的關(guān)鍵著力點(diǎn)。且隨著相關(guān)標(biāo)準(zhǔn)規(guī)范和指引文件的不斷出臺(tái)，數(shù)據(jù)安全治理不再是空中樓閣、無(wú)本之木，銀行業(yè)本身是強(qiáng)監(jiān)管導(dǎo)向的行業(yè)，對(duì)于已有規(guī)范指引的領(lǐng)域開展工作更為得心應(yīng)手，機(jī)構(gòu)主動(dòng)開展數(shù)據(jù)安全能力建設(shè)的意識(shí)逐漸增強(qiáng)，并逐步形成全行內(nèi)開展數(shù)據(jù)安全治理的共識(shí)。

數(shù)據(jù)安全治理是涵蓋制度、人員、數(shù)據(jù)、技術(shù)的一整套體系，是一個(gè)動(dòng)態(tài)的、持續(xù)演進(jìn)的過(guò)程。數(shù)據(jù)安全治理也不是讓銀行機(jī)構(gòu)從零開始，它與網(wǎng)絡(luò)安全和數(shù)據(jù)治理都有緊密的聯(lián)系。當(dāng)前銀行機(jī)構(gòu)通常是先采購(gòu)一批安全產(chǎn)品，與業(yè)務(wù)進(jìn)行融合，保證特定業(yè)務(wù)合規(guī)，然后再去考慮與已有措施的結(jié)合，最后再體系化地思考未來(lái)的安全框架，并與現(xiàn)行管理制度融會(huì)貫通，這種防護(hù)方式雖然也能達(dá)到一定的安全防護(hù)效果，但是過(guò)程中難免會(huì)造成資源的重復(fù)和浪費(fèi)，消耗過(guò)多的人力成本。本文通過(guò)系統(tǒng)性梳理，結(jié)合銀行業(yè)務(wù)場(chǎng)景需求和實(shí)際情況，總結(jié)出一套適用于銀行業(yè)機(jī)構(gòu)落地實(shí)施的數(shù)據(jù)安全防護(hù)體系建設(shè)三部曲。

第一階段：明確數(shù)據(jù)安全需求和風(fēng)險(xiǎn)，制定數(shù)據(jù)安全治理制度。第一，在啟動(dòng)數(shù)據(jù)安全治理工作的初期，銀行業(yè)應(yīng)結(jié)合業(yè)務(wù)開展中遇到的問(wèn)題，梳理數(shù)據(jù)資產(chǎn)清單以及當(dāng)前的數(shù)據(jù)安全風(fēng)險(xiǎn)，包括但不限于用戶賬號(hào)安全風(fēng)險(xiǎn)、敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)、權(quán)限失控風(fēng)險(xiǎn)、運(yùn)維人員篡改拖庫(kù)風(fēng)險(xiǎn)等。第二，銀行需要制定全行層面的數(shù)據(jù)安全管理體系制度，數(shù)據(jù)安全管理體系并不是摒棄機(jī)構(gòu)內(nèi)部已有的以網(wǎng)絡(luò)為中心的安全管理規(guī)范，而是在此基礎(chǔ)上，形成涵蓋數(shù)據(jù)安全管理制度、安全策略、操作規(guī)范、運(yùn)營(yíng)管理等全方面的立體化數(shù)據(jù)安全管理規(guī)范，建立四級(jí)文件——一級(jí)方針文件、二級(jí)制度規(guī)范文件、三級(jí)細(xì)則指引文件、四級(jí)表單記錄文件。在人員管理方面，以專人專班為長(zhǎng)期目標(biāo)，建立包含全行決策層、管理層、支撐層和監(jiān)督層的數(shù)據(jù)安全治理團(tuán)隊(duì)，協(xié)同業(yè)務(wù)部門、技術(shù)支撐部門、研發(fā)部門等多部門多線條，打通障礙，統(tǒng)一共識(shí)，實(shí)現(xiàn)機(jī)構(gòu)內(nèi)數(shù)據(jù)安全治理工作的一盤棋建設(shè)。綜上，第一階段可以總結(jié)為：明需求、理風(fēng)險(xiǎn)、訂規(guī)劃、立組織、定制度。

第二階段：技術(shù)與業(yè)務(wù)融合創(chuàng)新，實(shí)現(xiàn)數(shù)據(jù)安全與協(xié)同應(yīng)用平衡發(fā)展。技術(shù)工具是落實(shí)各項(xiàng)數(shù)據(jù)安全管理要求的有效手段，也是支撐銀行業(yè)數(shù)據(jù)安全建設(shè)的能力底座。數(shù)據(jù)安全技術(shù)體系并非單一產(chǎn)品或平臺(tái)的構(gòu)建，而是覆蓋數(shù)據(jù)全生命周期，結(jié)合業(yè)務(wù)自身使用場(chǎng)景的體系化建設(shè)，針對(duì)數(shù)據(jù)流轉(zhuǎn)的風(fēng)險(xiǎn)暴露面，確定合適的防護(hù)技術(shù)，構(gòu)建動(dòng)態(tài)、按需的體系化技術(shù)防護(hù)體系。

數(shù)據(jù)安全治理應(yīng)圍繞數(shù)據(jù)全生命周期展開，結(jié)合具體的業(yè)務(wù)場(chǎng)景，從安全風(fēng)險(xiǎn)大、業(yè)務(wù)影響小、易改造、迫切性強(qiáng)的系統(tǒng)和場(chǎng)景入手，以數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、刪除、銷毀各個(gè)環(huán)節(jié)為切入點(diǎn)，以去標(biāo)識(shí)化、匿名化、數(shù)據(jù)加密、隱私計(jì)算、數(shù)據(jù)脫敏、數(shù)據(jù)水印等技術(shù)為手段工具，并且隨著新技術(shù)的不斷發(fā)展，技術(shù)投入輻射面逐漸擴(kuò)大，同時(shí)通過(guò)集成多種技術(shù)的數(shù)據(jù)安全治理產(chǎn)品也逐步開始實(shí)用化，不僅在橫向上覆蓋數(shù)據(jù)生命周期的安全保護(hù)，而且在縱向上通過(guò)監(jiān)測(cè)評(píng)估等形成數(shù)據(jù)安全態(tài)勢(shì)感知。建立集中化、聯(lián)動(dòng)化的安全防護(hù)平臺(tái)，隱私計(jì)算平臺(tái)、零信任平臺(tái)、安全監(jiān)測(cè)平臺(tái)、安全運(yùn)營(yíng)平臺(tái)等平臺(tái)化技術(shù)可有效地支撐數(shù)據(jù)安全治理實(shí)踐。

銀行業(yè)數(shù)據(jù)使用場(chǎng)景大體分為外部使用數(shù)據(jù)、內(nèi)部經(jīng)營(yíng)管理、內(nèi)部數(shù)據(jù)分析、系統(tǒng)運(yùn)維、開發(fā)測(cè)試等場(chǎng)景。比如，銀行機(jī)構(gòu)在利用外部數(shù)據(jù)進(jìn)行客戶營(yíng)銷、智能風(fēng)控等業(yè)務(wù)中，可引入隱私計(jì)算技術(shù)，與外部機(jī)構(gòu)在不輸出原始數(shù)據(jù)的基礎(chǔ)上共享各自的用戶數(shù)據(jù)，構(gòu)建更立體的用戶畫像，進(jìn)行營(yíng)銷模型的計(jì)算，也可完善信用評(píng)分卡模型，以提升風(fēng)控能力為起點(diǎn)建立差異化優(yōu)勢(shì)。目前，各地金融科技創(chuàng)新監(jiān)管試點(diǎn)中隱私計(jì)算項(xiàng)目已超過(guò)10項(xiàng)，包括交通銀行、工商銀行、浦發(fā)銀行等近20家銀行機(jī)構(gòu)已參與建設(shè)相關(guān)平臺(tái)，并探索在融合業(yè)務(wù)場(chǎng)景的多樣化應(yīng)用。典型如交通銀行在深入研究隱私計(jì)算領(lǐng)域相關(guān)技術(shù)的基礎(chǔ)上，以滿足金融場(chǎng)景實(shí)際需求為目標(biāo)，搭建融合多種技術(shù)路線的隱私計(jì)算平臺(tái)，促進(jìn)數(shù)據(jù)價(jià)值融合，平臺(tái)現(xiàn)已應(yīng)用于普惠金融、智慧風(fēng)控、生物識(shí)別、智慧營(yíng)銷等多種業(yè)務(wù)場(chǎng)景。

第三階段：以評(píng)促建，定期評(píng)估成效以推動(dòng)和規(guī)范數(shù)據(jù)安全治理。數(shù)據(jù)安全治理是一個(gè)長(zhǎng)期持續(xù)過(guò)程，成效評(píng)估是數(shù)據(jù)安全治理的重要環(huán)節(jié)，也是下一輪數(shù)據(jù)安全建設(shè)的方向依據(jù)。銀行機(jī)構(gòu)可以采取內(nèi)部評(píng)估或第三方評(píng)估的方式，通過(guò)評(píng)估自查、應(yīng)急演練、對(duì)抗模擬等，通過(guò)定期執(zhí)行工具檢查、應(yīng)急演練復(fù)盤總結(jié)、搭建紅黃藍(lán)對(duì)抗模擬等方式進(jìn)行內(nèi)部評(píng)估，不斷提升數(shù)據(jù)安全治理能力。當(dāng)銀行機(jī)構(gòu)發(fā)生對(duì)3級(jí)及以上數(shù)據(jù)進(jìn)行加工、使用外部的軟件開發(fā)包、將數(shù)據(jù)委托給第三方機(jī)構(gòu)進(jìn)行處理、與外部機(jī)構(gòu)進(jìn)行數(shù)據(jù)共享、上線新的金融產(chǎn)品或服務(wù)、業(yè)務(wù)功能發(fā)生重大變化等情形時(shí)，應(yīng)當(dāng)及時(shí)觸發(fā)數(shù)據(jù)安全評(píng)估工作。

《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》《數(shù)據(jù)安全治理能力評(píng)估方法》、《金融數(shù)據(jù)安全 數(shù)據(jù)安全評(píng)估規(guī)范》（征集意見(jiàn)稿）等相關(guān)標(biāo)準(zhǔn)相繼發(fā)布，為銀行機(jī)構(gòu)開展數(shù)據(jù)安全治理工作指明了方向。目前面向數(shù)據(jù)安全，行業(yè)內(nèi)已有較為成熟的第三方評(píng)估方法，如：數(shù)據(jù)安全能力成熟度模型（Data Security Capacity Maturity Model，簡(jiǎn)稱DSMM）能力成熟度評(píng)估，將數(shù)據(jù)安全的能力成熟度分成從1到5共五個(gè)等級(jí)，分別從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個(gè)方面對(duì)通用安全和數(shù)據(jù)生命周期的六個(gè)階段及其進(jìn)一步細(xì)分的三十個(gè)過(guò)程域內(nèi)的數(shù)據(jù)安全能力成熟度等級(jí)進(jìn)行評(píng)估；以及中國(guó)信通院DSG評(píng)估，主要包括數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全和基礎(chǔ)安全三部分。通過(guò)第三方評(píng)估，幫助存在數(shù)據(jù)安全治理需求的銀行機(jī)構(gòu)總結(jié)當(dāng)前的安全現(xiàn)狀并發(fā)現(xiàn)差距，進(jìn)而制定行之有效的改善措施。

（徐秀、張媛媛、韓毅博均為中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所工程師。本文編輯/孫世選）