□本報記者杜肖錦

　　《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》自去年底實施以來，各地金融監(jiān)管部門、金融機構(gòu)加快推進數(shù)據(jù)安全管理。在寧波，《中國銀行保險報》記者了解到，寧波金融監(jiān)管局通過“分類分級精準化、管理責任精細化、技術(shù)防護剛性化”三條主線，推動轄內(nèi)機構(gòu)從“被動合規(guī)”轉(zhuǎn)向“主動防控”。

　　三條工作主線

　　從行業(yè)實踐來看，銀行數(shù)據(jù)安全管理中具有數(shù)據(jù)分類分級實施的復(fù)雜性高、外部合作中的數(shù)據(jù)風險管控難度大、全生命周期管理的技術(shù)落地存在障礙、新興技術(shù)領(lǐng)域缺乏數(shù)據(jù)安全實施經(jīng)驗等困難。

　　“例如，轄內(nèi)某機構(gòu)反映該項工作涉及人員多、工作量大、耗時長：科技人員需先行維護清晰完整的數(shù)據(jù)字段清單，業(yè)務(wù)人員需全程參與數(shù)據(jù)分類分級，且其需進行數(shù)據(jù)分類分級的系統(tǒng)百余套，單一系統(tǒng)涉及字段在幾百至幾十萬元不等�！睂幉ń鹑诒O(jiān)管局相關(guān)工作負責人對記者表示。

　　對此，該局通過分類分級精準化、管理責任精細化、技術(shù)防護剛性化三條主線進行數(shù)據(jù)安全管理工作。

　　一是督導(dǎo)排摸重要數(shù)據(jù)底數(shù)。組織轄內(nèi)法人機構(gòu)依據(jù)數(shù)據(jù)分類分級標準梳理重要數(shù)據(jù)目錄，督導(dǎo)機構(gòu)嚴格按照數(shù)據(jù)安全管理制度加強管理。2024年度寧波轄內(nèi)30家法人機構(gòu)上報重要數(shù)據(jù)近200項，共計10億余條。

　　二是督促落實安全管理責任。梳理細化數(shù)據(jù)安全治理體系建設(shè)、分類分級標準、安全策略配置、訪問權(quán)限控制等六大領(lǐng)域共100余項指標，作為現(xiàn)場檢查與監(jiān)管評級工作的重要參考。并通過發(fā)送監(jiān)管意見書、監(jiān)管評級通報等形式督促機構(gòu)落實整改。

　　三是提升風險防控技能。寧波金融監(jiān)管局通過信息科技風險專項排查、重要時期網(wǎng)絡(luò)安全保障等專項工作部署，突出數(shù)據(jù)安全技術(shù)防護重點內(nèi)容，要求機構(gòu)制定問題臺賬、對標整治，并報送風險排查與整改情況。

　　四方面提升機構(gòu)能力

　　目前，在三條主線的推進下，寧波金融監(jiān)管局正圍繞構(gòu)建權(quán)責明晰的數(shù)據(jù)安全治理體系、實施動態(tài)化的數(shù)據(jù)分類分級管控、強化技術(shù)防護縱深能力、防范新興技術(shù)應(yīng)用風險四方面，推進金融機構(gòu)提升數(shù)據(jù)安全管理能力。

　　構(gòu)建體系方面，該局表示，中小銀行需完善覆蓋全機構(gòu)的組織責任框架：建立覆蓋董(理)事會、高管層、數(shù)據(jù)安全統(tǒng)籌、數(shù)據(jù)安全技術(shù)保護等部門的數(shù)據(jù)安全管理組織架構(gòu)，明確崗位職責和工作機制。將數(shù)據(jù)安全納入全面風險管理體系、內(nèi)控評價體系，由風險管理、內(nèi)控合規(guī)和審計部門定期開展風險評估、審計、監(jiān)督檢查與評價工作，有效構(gòu)建“監(jiān)測—整改—問責”的管理閉環(huán)。

　　動態(tài)化分類分級管控方面，該局認為，金融機構(gòu)要通過智能工具(如元數(shù)據(jù)掃描、語義識別)實現(xiàn)全域數(shù)據(jù)資產(chǎn)自動發(fā)現(xiàn)與分類標注，形成可視化數(shù)據(jù)資產(chǎn)地圖。在新建系統(tǒng)開發(fā)階段預(yù)設(shè)數(shù)據(jù)標簽，結(jié)合業(yè)務(wù)變化定期評估調(diào)整，并嵌入業(yè)務(wù)流程動態(tài)管理。建立數(shù)據(jù)安全級別動態(tài)調(diào)整機制，當數(shù)據(jù)業(yè)務(wù)屬性或風險場景變化時，通過自適應(yīng)分類分級技術(shù)實時更新安全級別，確保管控策略與數(shù)據(jù)價值匹配。強化技術(shù)工具支撐，部署智能分類分級平臺，融合NLP與大模型技術(shù)提升分類準確率，并通過持續(xù)反哺機制優(yōu)化分級結(jié)果。

　　強化技術(shù)防護縱深方面，“機構(gòu)要部署實施覆蓋網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)的全鏈路風險監(jiān)測與智能響應(yīng)機制，實現(xiàn)對異常訪問、敏感操作等安全事件的精準識別、實時告警與有效處置。加快推進零信任安全架構(gòu)落地、商用密碼算法合規(guī)應(yīng)用與改造，積極探索人工智能在數(shù)據(jù)安全風險預(yù)測、異常行為分析、自動化響應(yīng)等方面的創(chuàng)新應(yīng)用，顯著增強主動防御和動態(tài)防護能力�！痹摼窒嚓P(guān)工作負責人表示，要嚴格遵循最小化采集原則，在柜面系統(tǒng)、手機APP中設(shè)置強制校驗邏輯，限制個人信息超范圍收集，并對敏感數(shù)據(jù)實施“加密存儲+脫敏展示”雙重防護。

　　防范新興技術(shù)風險方面，機構(gòu)要強化數(shù)據(jù)安全防護能力，對訓(xùn)練數(shù)據(jù)實施去標識化處理與動態(tài)脫敏，通過加密存儲、日志審計等技術(shù)保障數(shù)據(jù)流轉(zhuǎn)安全，同時部署模型運行監(jiān)測平臺，實時識別異常輸出行為并設(shè)置自動熔斷機制。對開源框架進行漏洞掃描與供應(yīng)鏈風險評估，定期開展對抗樣本攻擊測試以提升模型魯棒性。通過合規(guī)培訓(xùn)提升全員數(shù)據(jù)安全意識，并制定涵蓋模型回滾、數(shù)據(jù)銷毀等場景的應(yīng)急預(yù)案，定期開展紅藍對抗演練驗證響應(yīng)能力。