□本报记者杜肖锦
《银行保险机构数据安全管理办法》自去年底实施以来,各地金融监管部门、金融机构加快推进数据安全管理。在宁波,《中国银行保险报》记者了解到,宁波金融监管局通过“分类分级精准化、管理责任精细化、技术防护刚性化”三条主线,推动辖内机构从“被动合规”转向“主动防控”。
三条工作主线
从行业实践来看,银行数据安全管理中具有数据分类分级实施的复杂性高、外部合作中的数据风险管控难度大、全生命周期管理的技术落地存在障碍、新兴技术领域缺乏数据安全实施经验等困难。
“例如,辖内某机构反映该项工作涉及人员多、工作量大、耗时长:科技人员需先行维护清晰完整的数据字段清单,业务人员需全程参与数据分类分级,且其需进行数据分类分级的系统百余套,单一系统涉及字段在几百至几十万元不等。”宁波金融监管局相关工作负责人对记者表示。
对此,该局通过分类分级精准化、管理责任精细化、技术防护刚性化三条主线进行数据安全管理工作。
一是督导排摸重要数据底数。组织辖内法人机构依据数据分类分级标准梳理重要数据目录,督导机构严格按照数据安全管理制度加强管理。2024年度宁波辖内30家法人机构上报重要数据近200项,共计10亿余条。
二是督促落实安全管理责任。梳理细化数据安全治理体系建设、分类分级标准、安全策略配置、访问权限控制等六大领域共100余项指标,作为现场检查与监管评级工作的重要参考。并通过发送监管意见书、监管评级通报等形式督促机构落实整改。
三是提升风险防控技能。宁波金融监管局通过信息科技风险专项排查、重要时期网络安全保障等专项工作部署,突出数据安全技术防护重点内容,要求机构制定问题台账、对标整治,并报送风险排查与整改情况。
四方面提升机构能力
目前,在三条主线的推进下,宁波金融监管局正围绕构建权责明晰的数据安全治理体系、实施动态化的数据分类分级管控、强化技术防护纵深能力、防范新兴技术应用风险四方面,推进金融机构提升数据安全管理能力。
构建体系方面,该局表示,中小银行需完善覆盖全机构的组织责任框架:建立覆盖董(理)事会、高管层、数据安全统筹、数据安全技术保护等部门的数据安全管理组织架构,明确岗位职责和工作机制。将数据安全纳入全面风险管理体系、内控评价体系,由风险管理、内控合规和审计部门定期开展风险评估、审计、监督检查与评价工作,有效构建“监测—整改—问责”的管理闭环。
动态化分类分级管控方面,该局认为,金融机构要通过智能工具(如元数据扫描、语义识别)实现全域数据资产自动发现与分类标注,形成可视化数据资产地图。在新建系统开发阶段预设数据标签,结合业务变化定期评估调整,并嵌入业务流程动态管理。建立数据安全级别动态调整机制,当数据业务属性或风险场景变化时,通过自适应分类分级技术实时更新安全级别,确保管控策略与数据价值匹配。强化技术工具支撑,部署智能分类分级平台,融合NLP与大模型技术提升分类准确率,并通过持续反哺机制优化分级结果。
强化技术防护纵深方面,“机构要部署实施覆盖网络、主机、应用、数据的全链路风险监测与智能响应机制,实现对异常访问、敏感操作等安全事件的精准识别、实时告警与有效处置。加快推进零信任安全架构落地、商用密码算法合规应用与改造,积极探索人工智能在数据安全风险预测、异常行为分析、自动化响应等方面的创新应用,显著增强主动防御和动态防护能力。”该局相关工作负责人表示,要严格遵循最小化采集原则,在柜面系统、手机APP中设置强制校验逻辑,限制个人信息超范围收集,并对敏感数据实施“加密存储+脱敏展示”双重防护。
防范新兴技术风险方面,机构要强化数据安全防护能力,对训练数据实施去标识化处理与动态脱敏,通过加密存储、日志审计等技术保障数据流转安全,同时部署模型运行监测平台,实时识别异常输出行为并设置自动熔断机制。对开源框架进行漏洞扫描与供应链风险评估,定期开展对抗样本攻击测试以提升模型鲁棒性。通过合规培训提升全员数据安全意识,并制定涵盖模型回滚、数据销毁等场景的应急预案,定期开展红蓝对抗演练验证响应能力。
万宝配资-股票金融配资-投资股票配资-配资行业四大巨头提示:文章来自网络,不代表本站观点。
