中国工商银行数据安全管理建设思路、实践及亮点分析

我来分析一下中国工商银行数据安全管理建设思路、实践及其亮点。

1. 中国工商银行数据安全管理建设思路

（1） 以国家行业标准为指导，持续对标提升建设能力

2021 年工商银行数据管理能力获得了国家数据管理能力成熟度评估（简称 “DCMM”）的最高等级，成为金融业首家获得 DCMM 最高等级评估的企业，标志 着工商银行在数据管理领域取得新的阶段性突破。DCMM 中从 8 大能力域对数据管 理能力成熟度进行评估，具体包括：数据战略、数据治理、数据架构、数据应用、数 据质量、数据安全、数据标准和数据生存周期。其中，数据安全包括了数据安全策略、 数据安全管理等二级能力项。数据安全策略是数据安全的核心，包括建立统一的数据 安全标准，提供适用的数据安全策略；数据安全管理是在数据安全标准与策略的指导 下，通过对数据访问的授权、分类分级的控制、监控数据的访问等进行数据安全的管 理工作，满足数据安全的业务需要和监督需求，实现组织内部对数据生存周期的数据 安全管理。

2019 年出台的国家标准《GB/T 37988-2019 信息安全技术 数据安全能力成熟 度模型》提出了 DSMM 模型，以数据为中心，关注数据的采集、存储、传输、处理、 交换、销毁生命周期安全，从组织建设、制度流程、技术工具、人员能力 4 个维度对 数据安全能力成熟度进行分级阐述。2020 年金融行业出台的《JR/T 0197-2020 金 融数据安全 数据安全分级指南》给出了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程。《JR/T 0223-2021 金融数据安全 数据生 命周期安全规范》则在数据分级的基础上，规定了金融数据生命周期安全原则、防护 要求、组织保障要求以及信息系统运维保障要求，建立覆盖数据采集、传输、存储、 使用、删除及销毁过程的安全框架。

工商银行依据相关标准，分析数据采集、传输、存储、使用、删除和销毁生命 周期各个环节的技术和管理要求，建立全方位的数据安全能力。

（2）以全行数据战略为指引，夯实数据安全管理体系

工商银行制定数据战略规划，从顶层明确集团数据安全管理战略，强化集团数 据安全管理体系，做强集团数据安全“事前、事中、事后”三重防控工作，防范化解 数据安全风险。

工商银行以全行数据战略为指引，以数据治理管理机制为保障，以系列技术平 台为支撑，建成了涵盖数据架构、数据标准、数据质量、数据安全、数据应用等活动 领域的企业级数据管理体系。

在充分对标国家行业标准的基础上，工商银行结合自身数据战略、数据管理体 系后，建立基于数据全生命周期的数据安全管理三层框架体系，从治理层、管控层、 技术支撑层三个维度开展数据全生命周期安全管理工作。

（3）以对外标准共建为契机，主动对外共享工商银行智慧

工商银行作为中国信通院隐私计算联盟成员单位、数据安全推进计划成员单位、 人行北京金融科技产业联盟成员单位，参与多项业界数据安全相关标准建设工作，如 牵头编写《联邦学习金融应用技术规范》《金融数据保护治理白皮书》《联邦学习技 术白皮书》《多方安全计算金融应用现状及实施指引》等。

2. 中国工商银行数据安全管理实践

金融是数据密集型行业，生产经营过程中积累了海量数据金矿。两法出台后， 工商银行坚决遵守国家法律规定，坚持问题导向和目标导向，重点聚焦数据安全各项 热点问题，从数据安全治理体系、数据安全管控机制、数据安全管理技术平台等方面 不断推进数据安全管理实践，打造金融行业数据安全管理标杆。

（1）建立完备的数据安全治理体系

工商银行从数据安全方针策略、数据安全组织架构、数据安全制度规范体系三 个方面指导数据安全工作满足监管要求以及风险管理需要，并形成治理 体系。

数据安全方针策略方面，工商银行制定了完善的数据安全方针策略，明确数据 安全的管理遵循“依法合规、分级管理”及“谁主管、谁负责”“谁使用、谁负责” 的原则，对数据及数据归属系统的安全进行全面审慎管理。

数据安全组织架构方面，工商银行建立基本完备的数据安全组织架构体系，基 于金融科技发展委员会，从科技和业务两个条线开展数据安全管理工作。

数据安全制度规范体系方面，分为业务管理条线和技术管理条线。业务管理方面， 围绕数据安全策略、数据安全管理等方面制定并发布了企业级管理制度体系，紧跟国 家相关政策、法律法规的变化，持续夯实和完善数据安全业务管理制度保障和支持能 力。技术管理方面，根据数据安全管理的新要求、新趋势、新特点，围绕数据生命周 期安全建立和完善数据安全管理技术规范体系，在整个研发管理过程中严格规范数据 安全管控要求。

（2）建立覆盖数据全生命周期的数据安全管控机制

工商银行聚焦不同安全等级数据在生命周期各阶段的保护要求，持续促进数据 安全管理工作的提升。

在数据采集环节，通过数字签名等技术对数据源进行鉴别和认证，并对采集后 的数据进行分类分级标识。 在数据传输环节，通过可信物理信道、加密传输和通信协议约定等实现数据的 安全传输。 在数据存储环节，通过加密等技术保证数据存储的完整性，并根据数据的安全 等级和系统的安全等级制定数据备份和恢复策略。 在数据使用环节，已经普遍应用数据控权和数据脱敏等技术保障数据安全，并 探索使用多方安全计算和联邦学习技术 , 在数据不出域的情况下发挥数据融合联动效 能，实现数据可用不可见。 在数据生命周期的末端，通过数据清理和存储介质的销毁来形成闭环。

（3）打造技术先进的数据安全技术平台

承接数据安全框架中“管控层”各类安全需求，工商银行形成数据资产管理、 数据生命周期安全、基础安全及监控响应四方面的全局数据安全技术能力 , 并依托数据安全技术能力视图，对安全能力进行整体统筹规划和落地实现，通过 搭建数据资产管理平台、加密服务平台、身份认证与集中授权平台、合作方共享服务 平台、安全运营中心等大量专业技术平台为数据安全管理工作提供技术支撑。

为了与业务场景深度融合，建设对业务人员有感的安全能力。工商银行打造数 据安全技术平台，实现智能敏感数据识别、动态控权、统一数据脱敏引 擎、数据水印溯源，以及数据安全监控审计五大核心能力，为行内数据资产管理类应 用、各业务系统提供数据安全标准服务。

3. 中国工商银行数据安全管理建设亮点

（1）建立完善的数据安全管理体系

加强顶层设计，建立组织架构健全、职责边界清晰的数据安全治理体系，工商 银行构建决策、管理、执行、监督四位一体的组织架构，各级机构协调配合，共同保 障数据安全要求有效落地。基于四位一体的组织架构，明确了数据安全岗位职责，强 化数据安全管理岗位人员能力建设，共同保障相关要求有效落地。建立了较为完善的 数据安全制度规范体系，发布网络与信息安全、数据安全分级分类、集团内共享、对 外合作、外部咨询项目等领域数据信息安全管理制度规范，明确了相关的职责要求及 管理策略。

（2）积极推进新技术前瞻性研究

鉴于数据要素资产的特殊属性，工商银行积极推动新技术研发和迭代，包括引 入同态加密、多方安全计算、联邦学习等隐私计算新技术，建设隐私计算平台，实现 数据使用上的可用不可见、开放不共享。应用自然语言处理等自动化技术提升数据安 全分级分类及敏感信息的自动化精准识别率，积极跟进和推动可信区块链技术、数据 血缘等新技术的研发和迭代，夯实数据使用过程中的安全保护。