银行业数据安全建设要点分析 2022

易观数字化：银行业作为数据应用的核心区，高度重视用户数据的保护，在数据安全防护措施方面不断建设和升级，在所有行业中保持领先，需要体系化地考虑数据安全防护工作。易观分析结合银行行业特性与数据安全技术特性，给出适合银行行业的数据安全技术图谱，并针对银行行业、大型商业银行与中小型银行分别给出建设重点的建议。

银行的数据安全建设

需要具备行业特性的技术全景

易观分析认为，银行业的数据安全技术生态包含四大核心技术体系：

生命周期安全：实现相关数据安全技术与业务的深度融合渗透。

数据运营安全：实现识别、防护、监测和响应的四阶段闭环监管。

数据环境安全：建立与数据直接交互的硬件与软件环境的安全体系。

数据场景安全：针对具有银行行业特性的数据提取、数据生产、数据流通等场景，构建加强版的数据安全管控能力。

同时，数据安全的实现也需要两大支撑体系提供管理保障：

数据安全管理：构建有效、合规的银行数据安全管理组织架构与规章制度。

数据资产管理：全面清查、摸排银行数据资产的访问权限、敏感分级等状况。

大型商业银行

数据安全建设建议

大型商业银行具有核心资本雄厚、用户数量庞大、业务种类繁多等特点，在数据安全技术建设方面会适度超前，易观分析针对这类银行给出了以下三方面的建议：

构建完善的多元数据分类分级体系

多数大型商业银行已成立数据安全组织，并实行了数据资产梳理，需要进一步以业务为导向、以客户为中心，构建完善的多元数据分类分级体系。

大力提升数据使用及销毁阶段的管控能力

大型商业银行的数据量庞大，在使用与销毁过程容易出现敏感数据泄漏的问题。需要加强数据在此阶段的追踪溯源、传输加密等管控能力。

适度利用新兴技术攻克数据安全难题

同态加密、安全多方计算、联邦学习等技术在保障数据隐私方面具有很好的效用，但是银行在筛选过程中需要能够从技术实现与自身业务发展的视角出发，遵守适度先进的原则，基于易观分析给出的技术图谱，筛选合适的技术类别与手段。

中小型商业银行

数据安全建设建议

中小型银行需要着重在信息安全总体规划与全面信息安全管理方面入手，实现外部数据的安全、合规使用，保护银行内部数据隐私。易观分析建议中小型银行从以下方面构建数据安全体系：

建立数据安全管理组织与管理制度

全面梳理自身在数据安全管理方面的不足与盲区，简历完善的数据安全组织管理机制，明确安全权责关系，落实金融合规业务要求，制定规范的数据安全保障制度。

制定数据安全运营管理体系，循环优化

中小型银行应参照技术图谱中数据安全运营领域，制定数据安全运营体系，从识别、防御、监测、响应，不断循环优化，以达到持续有效的防护效果，形成数据安全保护的长效机制。

确保数据外部环境安全

中小型银行应确保与数据直接交互的数据的安全性和数据所依存的存储介质的安全性，对数据库本身和大数据组件等进行安全加固，确保数据资产的安全性和可用性。相关技术参照技术图谱中数据环境安全领域，如大数据平台、数据库安全等。

声明须知：易观数字化在本文中引用的第三方数据和其他信息均来源于公开渠道，易观数字化不对此承担任何责任。任何情况下，本文仅作为参考，不作为任何依据。本文著作权归发布者所有，未经易观数字化授权，严禁转载、引用或以任何方式使用易观数字化发布的任何内容。经授权后的任何媒体、网站或者个人使用时应原文引用并注明来源，且分析观点以易观数字化官方发布的内容为准，不得进行任何形式的删减、增添、拼接、演绎、歪曲等。因不当使用而引发的争议，易观数字化不承担因此产生的任何责任，并保留向相关责任主体进行责任追究的权利。