□本報(bào)記者杜肖錦

　　《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》自去年底實(shí)施以來(lái)，各地金融監(jiān)管部門、金融機(jī)構(gòu)加快推進(jìn)數(shù)據(jù)安全管理。在寧波，《中國(guó)銀行保險(xiǎn)報(bào)》記者了解到，寧波金融監(jiān)管局通過(guò)“分類分級(jí)精準(zhǔn)化、管理責(zé)任精細(xì)化、技術(shù)防護(hù)剛性化”三條主線，推動(dòng)轄內(nèi)機(jī)構(gòu)從“被動(dòng)合規(guī)”轉(zhuǎn)向“主動(dòng)防控”。

　　三條工作主線

　　從行業(yè)實(shí)踐來(lái)看，銀行數(shù)據(jù)安全管理中具有數(shù)據(jù)分類分級(jí)實(shí)施的復(fù)雜性高、外部合作中的數(shù)據(jù)風(fēng)險(xiǎn)管控難度大、全生命周期管理的技術(shù)落地存在障礙、新興技術(shù)領(lǐng)域缺乏數(shù)據(jù)安全實(shí)施經(jīng)驗(yàn)等困難。

　　“例如，轄內(nèi)某機(jī)構(gòu)反映該項(xiàng)工作涉及人員多、工作量大、耗時(shí)長(zhǎng)：科技人員需先行維護(hù)清晰完整的數(shù)據(jù)字段清單，業(yè)務(wù)人員需全程參與數(shù)據(jù)分類分級(jí)，且其需進(jìn)行數(shù)據(jù)分類分級(jí)的系統(tǒng)百余套，單一系統(tǒng)涉及字段在幾百至幾十萬(wàn)元不等�！睂幉ń鹑诒O(jiān)管局相關(guān)工作負(fù)責(zé)人對(duì)記者表示。

　　對(duì)此，該局通過(guò)分類分級(jí)精準(zhǔn)化、管理責(zé)任精細(xì)化、技術(shù)防護(hù)剛性化三條主線進(jìn)行數(shù)據(jù)安全管理工作。

　　一是督導(dǎo)排摸重要數(shù)據(jù)底數(shù)。組織轄內(nèi)法人機(jī)構(gòu)依據(jù)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)梳理重要數(shù)據(jù)目錄，督導(dǎo)機(jī)構(gòu)嚴(yán)格按照數(shù)據(jù)安全管理制度加強(qiáng)管理。2024年度寧波轄內(nèi)30家法人機(jī)構(gòu)上報(bào)重要數(shù)據(jù)近200項(xiàng)，共計(jì)10億余條。

　　二是督促落實(shí)安全管理責(zé)任。梳理細(xì)化數(shù)據(jù)安全治理體系建設(shè)、分類分級(jí)標(biāo)準(zhǔn)、安全策略配置、訪問(wèn)權(quán)限控制等六大領(lǐng)域共100余項(xiàng)指標(biāo)，作為現(xiàn)場(chǎng)檢查與監(jiān)管評(píng)級(jí)工作的重要參考。并通過(guò)發(fā)送監(jiān)管意見(jiàn)書(shū)、監(jiān)管評(píng)級(jí)通報(bào)等形式督促機(jī)構(gòu)落實(shí)整改。

　　三是提升風(fēng)險(xiǎn)防控技能。寧波金融監(jiān)管局通過(guò)信息科技風(fēng)險(xiǎn)專項(xiàng)排查、重要時(shí)期網(wǎng)絡(luò)安全保障等專項(xiàng)工作部署，突出數(shù)據(jù)安全技術(shù)防護(hù)重點(diǎn)內(nèi)容，要求機(jī)構(gòu)制定問(wèn)題臺(tái)賬、對(duì)標(biāo)整治，并報(bào)送風(fēng)險(xiǎn)排查與整改情況。

　　四方面提升機(jī)構(gòu)能力

　　目前，在三條主線的推進(jìn)下，寧波金融監(jiān)管局正圍繞構(gòu)建權(quán)責(zé)明晰的數(shù)據(jù)安全治理體系、實(shí)施動(dòng)態(tài)化的數(shù)據(jù)分類分級(jí)管控、強(qiáng)化技術(shù)防護(hù)縱深能力、防范新興技術(shù)應(yīng)用風(fēng)險(xiǎn)四方面，推進(jìn)金融機(jī)構(gòu)提升數(shù)據(jù)安全管理能力。

　　構(gòu)建體系方面，該局表示，中小銀行需完善覆蓋全機(jī)構(gòu)的組織責(zé)任框架：建立覆蓋董(理)事會(huì)、高管層、數(shù)據(jù)安全統(tǒng)籌、數(shù)據(jù)安全技術(shù)保護(hù)等部門的數(shù)據(jù)安全管理組織架構(gòu)，明確崗位職責(zé)和工作機(jī)制。將數(shù)據(jù)安全納入全面風(fēng)險(xiǎn)管理體系、內(nèi)控評(píng)價(jià)體系，由風(fēng)險(xiǎn)管理、內(nèi)控合規(guī)和審計(jì)部門定期開(kāi)展風(fēng)險(xiǎn)評(píng)估、審計(jì)、監(jiān)督檢查與評(píng)價(jià)工作，有效構(gòu)建“監(jiān)測(cè)—整改—問(wèn)責(zé)”的管理閉環(huán)。

　　動(dòng)態(tài)化分類分級(jí)管控方面，該局認(rèn)為，金融機(jī)構(gòu)要通過(guò)智能工具(如元數(shù)據(jù)掃描、語(yǔ)義識(shí)別)實(shí)現(xiàn)全域數(shù)據(jù)資產(chǎn)自動(dòng)發(fā)現(xiàn)與分類標(biāo)注，形成可視化數(shù)據(jù)資產(chǎn)地圖。在新建系統(tǒng)開(kāi)發(fā)階段預(yù)設(shè)數(shù)據(jù)標(biāo)簽，結(jié)合業(yè)務(wù)變化定期評(píng)估調(diào)整，并嵌入業(yè)務(wù)流程動(dòng)態(tài)管理。建立數(shù)據(jù)安全級(jí)別動(dòng)態(tài)調(diào)整機(jī)制，當(dāng)數(shù)據(jù)業(yè)務(wù)屬性或風(fēng)險(xiǎn)場(chǎng)景變化時(shí)，通過(guò)自適應(yīng)分類分級(jí)技術(shù)實(shí)時(shí)更新安全級(jí)別，確保管控策略與數(shù)據(jù)價(jià)值匹配。強(qiáng)化技術(shù)工具支撐，部署智能分類分級(jí)平臺(tái)，融合NLP與大模型技術(shù)提升分類準(zhǔn)確率，并通過(guò)持續(xù)反哺機(jī)制優(yōu)化分級(jí)結(jié)果。

　　強(qiáng)化技術(shù)防護(hù)縱深方面，“機(jī)構(gòu)要部署實(shí)施覆蓋網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)的全鏈路風(fēng)險(xiǎn)監(jiān)測(cè)與智能響應(yīng)機(jī)制，實(shí)現(xiàn)對(duì)異常訪問(wèn)、敏感操作等安全事件的精準(zhǔn)識(shí)別、實(shí)時(shí)告警與有效處置。加快推進(jìn)零信任安全架構(gòu)落地、商用密碼算法合規(guī)應(yīng)用與改造，積極探索人工智能在數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)測(cè)、異常行為分析、自動(dòng)化響應(yīng)等方面的創(chuàng)新應(yīng)用，顯著增強(qiáng)主動(dòng)防御和動(dòng)態(tài)防護(hù)能力�！痹摼窒嚓P(guān)工作負(fù)責(zé)人表示，要嚴(yán)格遵循最小化采集原則，在柜面系統(tǒng)、手機(jī)APP中設(shè)置強(qiáng)制校驗(yàn)邏輯，限制個(gè)人信息超范圍收集，并對(duì)敏感數(shù)據(jù)實(shí)施“加密存儲(chǔ)+脫敏展示”雙重防護(hù)。

　　防范新興技術(shù)風(fēng)險(xiǎn)方面，機(jī)構(gòu)要強(qiáng)化數(shù)據(jù)安全防護(hù)能力，對(duì)訓(xùn)練數(shù)據(jù)實(shí)施去標(biāo)識(shí)化處理與動(dòng)態(tài)脫敏，通過(guò)加密存儲(chǔ)、日志審計(jì)等技術(shù)保障數(shù)據(jù)流轉(zhuǎn)安全，同時(shí)部署模型運(yùn)行監(jiān)測(cè)平臺(tái)，實(shí)時(shí)識(shí)別異常輸出行為并設(shè)置自動(dòng)熔斷機(jī)制。對(duì)開(kāi)源框架進(jìn)行漏洞掃描與供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估，定期開(kāi)展對(duì)抗樣本攻擊測(cè)試以提升模型魯棒性。通過(guò)合規(guī)培訓(xùn)提升全員數(shù)據(jù)安全意識(shí)，并制定涵蓋模型回滾、數(shù)據(jù)銷毀等場(chǎng)景的應(yīng)急預(yù)案，定期開(kāi)展紅藍(lán)對(duì)抗演練驗(yàn)證響應(yīng)能力。