随着信息技术的高速发展，以及云计算、人工智能、大数据、区块链等新技术的深入应用，金融机构在业务运营过程中产生的信息逐步转化为数字资产大量流转在信息系统之中，数据的泄露、滥用、篡改等安全威胁的影响已逐渐从机构内向机构间以及行业间扩散，甚至影响国家安全、社会秩序、公众利益与金融市场稳定，数据安全已经上升到国家安全高度。国家及监管机构，对于违反数据安全法律法规行为的查处范围、频度、力度均日益增加，如何在满足金融业务需求的基础上，强化数据保护能力，防范数据安全风险，切实保障金融数据价值发挥，已成为当前亟待解决的问题。

01 金融机构数据安全发展现状

（一）国际环境

在数字经济时代，数据安全事件频发带动了全球范围内对数据安全和个人信息保护重视程度的快速提升。面对日益严峻的数据安全威胁，近年来世界主要国家和地区通过颁布政策法规（如图1所示）、加强监管执法、提升安全治理技术能力等举措，全面强化数据安全保护。

图1 2018年以来全球多个发达国家和组织颁布数据安全相关法律法规

此外，各国通过健全数据安全保护机构，完善数据安全监管执法机构设置，提升执法效率，加强数据安全保护治理。例如，美国商务部成立了提供联邦数据服务的咨询委员会，以加强对联邦数据隐私的保护；德国成立国家网络安全机构，负责发起网络安全创新项目、研究打击网络威胁，以加强德国的“数据主权”；韩国成立个人信息保护委员会，主要职能是负责个人信息保护与监管执法工作。

（二）国内环境

近年来，我国高度重视数据安全，数据已成为重要生产要素及国家基础性战略资源，数据资源保护已上升为国家战略。随着《网络安全法》《数据安全法》《个人信息保护法》相继发布，数据安全已上升至国家安全层面，基本形成了网络安全、数据安全、个人信息保护为核心数据合规的法律体系(如图2所示)。

图2我国颁布数据安全相关法律法规及国家标准

特别是财政部于2023年8月21日发布了《关于印发<企业数据资源相关会计处理暂行规定>的通知》，自2024年1月1日起施行。此暂行规定明确了数据资产的定义、识别、计量、披露等内容，将数据资源确认为企业资产，并纳入资产负债表。“数据入表”进一步促进了企业对数据价值的挖掘，将对企业、政府、社会产生深远影响。我国“数据入表”的重大举措更是在一定程度上强化了数据资产安全的重要性。

（三）金融行业

金融行业的监管部门相继出台了《银行业金融机构数据治理指引》、《个人金融信息保护技术规范》、《金融数据安全数据安全分级指南》、《金融数据安全数据生命周期安全规范》、《金融消费者权益保护实施办法》等法规和行业标准（如图3所示），实现了对数据监管的有法可依、有章可循、有规可守，持续推动金融机构数据安全防护能力的提升。

图3监管机构发布数据安全相关制度及标准

2022年6月，全面深化改革委员会第二十六次会议上强调数据安全治理是数据基础制度体系的重要组成部分，要把安全贯穿到数据治理的全过程。这意味着，一方面数据安全管理已经是独立的管理体系，银行金融机构要建立企业级的数据安全治理体系；另一方面要将数据安全管控要求和措施在数据治理的各项管理流程中落地，实现数据全生命周期的安全保障，确保金融行业安全运行，守好国家的安全底线。

近年来，国家及监管机构，对于违反数据安全法律法规行为的查处范围、频度、力度都在不断加大。金融机构依照法律法规和行业标准构建数据安全治理体系的必要性得以体现，未来各类数据滥用、数据泄露的行为都面临着被追责处罚甚至法律审判的后果。如何依据监管要求在保障数据的安全性的基础上，协调数据要素在机构与监管部门之间、机构与机构之间、机构与客户之间等不同场景下的高密度、高价值使用，已经成为金融行业亟待解决的问题。

02 数据安全对金融机构的重要意义

（一）健全数据安全管理体系

金融数据复杂多样，构建全领域覆盖的数据安全管理体系（如图4所示），对数据实施分级管理与生命周期安全管理，能够进一步明确数据保护对象及数据生命周期各阶段的保护要求，有助于金融业机构合理分配数据保护资源和成本，将数据安全贯穿数据治理的全过程，保障数据合规和安全流通。

图4数据安全制度体系框架

（二）加强数据安全防范能力

为落实国家及监管机构加强数据资源整合和安全保护相关工作要求，构建覆盖数据全生命周期的数据安全技术防护体系（如图5所示），通过数据安全管控平台和数据安全防护能力组件的构建，金融机构能够全面掌握全域敏感数据资产分类、分级及分布情况，有效监控敏感数据流转路径和动态流向，通过集中化数据安全管控策略管理，实现数据分布、流转、访问过程中的态势呈现和风险识别，为数据安全治理、评估提供技术体系提供有力支撑。

图5数据安全技术防护体系

（三）符合数据安全法律法规

在国家数据安全治理数据基础制度中已明确强调企业是数据安全的第一责任主体，且金融机构是具有多重身份的核心企业，因此金融机构要牢固树立安全意识，识别企业涉及数据处理过程中的多种身份，以及相关监管合规要求（如图6所示），包括重要数据的处理者、金融信息服务提供者等。

图6金融机构各类角色相应数据合规要求

03 重点监管要点解读

（一）个人信息保护法要点解读

2021年11月1日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）正式生效，这意味着我国对个人信息安全的保护进入了新的历史时期，我国公民的个人信息安全及隐私保护走上了新台阶。个人信息保护法中明确了六大场景下的个人信息处理规定（如图7所示）。对于金融机构来说，应重点关注在不同场景下如何具体落实“告知-同意”规则。

图7主要场景个人信息处理规定

（二）数据安全法要点解读

2022年9月1日，《中华人民共和国数据安全法》（以下简称《数据安全法》）正式生效。《数据安全法》明确了企业在保护数据安全方面的责任，对企业的数据安全提出了严格要求。金融机构需要对《数据安全法》深度学习（如图8所示），加强立法认识，提升企业和个人数据安全保护意识，全面落实《数据安全法》要求。

图8金融机构数据安全法学习框架

（三）数据安全分级指南要点解读

2020年9月23日，《金融数据安全数据安全分级指南》（以下简称《数据安全分级指南》）正式生效。《数据安全分级指南》给出了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程（如图9所示）。可以用来指导金融业机构开展电子数据安全分级工作，也可以指导第三方评估机构等单位开展数据安全检查和评估工作。

图9金融机构数据安全定级流程

（四）数据生命周期安全规范要点解读

2021年4月28日，《金融数据安全数据生命周期安全规范》（以下简称《数据生命周期安全规范》）正式生效。《数据生命周期安全规范》构建了金融业机构覆盖数据全生命周期的数据安全框架，同时与各标准联系紧密，如数据安全能力成熟度模型、个人信息安全规范及金融行业的数据安全分级指南等。能够全面整体地指导金融业机构建设和完善自身的数据安全防护体系（如图10所示），并有助于金融行业的数据安全保护和应用的标准化。

图10金融机构数据生命周期安全框架

04 数据安全常见风险

根据行业最佳实践及笔者多年的工作经验，从以下六个方面总结了常见的数据安全风险：

（一）数据安全治理常见风险

1.未建立数据安全治理组织架构及职责，无法自上而下推动相关数据安全治理工作的有序开展。

2.未建立组织级数据战略规划，无法有效覆盖网络安全法及等级保护等相关法规与标准的要求，无法指明数据整体的发展目标和规划，不利于数据长远发展。

3.未制定数据安全相关管理制度及流程，导致数据安全管控要求无法有效落实。

4.数据安全风险评估执行不到位，未识别出重要的数据安全风险，不利于数据安全治理体系的持续优化。

（二）数据安全管理常见风险

1.数据安全组织架构及责任人缺失，导致数据安全管控要求无法落实。

2.未定期开展数据安全意识宣贯，由于安全意识不足，导致数据不经意的泄露。

3.元数据安全管控不到位，导致元数据血缘关系模糊、可追溯性不强，影响元数据与数据标准的结合。

4.未部署数据管控平台，无法对数据标准、数据质量、元数据进行规范化管控和技术实现。

5.数据服务接口与应用在其内部跨安全域间的接口调用未采用包括安全通道、加密传输等安全机制可能带来的风险。

6.未建立数据供应链安全管理方针，无法落实上下游供应链间数据交换和使用的要求，不利于供应商之间的数据交换与共享。

（三）数据生命周期安全管理常见风险

1.在数据生命周期管理期间，由于在人员、管理、技术三个层面没有建立适用的数据安全管理体系，使得数据安全管理的效率与效果低下。

2.未实现数据分类分级管理或分级方法不合理，导致未按照不同类别建立不同的安全控制措施，导致保护过重或保护不当。

3.数据在收集、传输、存储和恢复、处理和加工、使用与审计、归档与销毁等过程中，由于缺乏有效的数据加密和访问控制，容易导致数据泄露风险。

4.数据在共享与流动，特别是跨边界和跨境流动时，由于未制定相应的安全规范制度和审批流程，容易产生违规风险。5.数据销毁机制不健全或执行不严格，导致销毁过程中敏感数据的泄露。

（四）个人信息安全管理常见风险

1.未建立个人信息保护组织或缺乏相关负责人，不利于个人信息保护工作的推广和执行，也无法有效落实个人信息保护的责任。

2.未建立规范化的个人信息保护制度和流程，可能造成个人信息的收集、存储、使用、变更、销毁等操作不合法的情况。

3.组织在使用个人信息时，没有开展安全影响评估，无法判断个人信息使用与保护的程度，容易造成侵权与违规风险。

4.在收集个人信息时，没有注意最小化要求，或者在没有得到允许的情况下公开披露个人信息，容易造成侵权与违规风险。

5.组织在处理个人敏感信息时，个人信息的传输、处理、存储、销毁未采用加密、访问控制等安全措施，容易造成泄露个人敏感信息的风险。

（五）重要数据安全管理常见风险

1.未建立重要数据保护工作机构或指定负责人，不利于重要数据的保护和管理，同时无法有效落实重要数据保护的责任。

2.未实现重要数据分类分级管理，无法有效对重要数据建立针对性的保护措施，由于保护机制不到位，造成的重要数据泄露或非法访问。

3.未建立规范化的重要数据保护制度和流程，可能造成重要数据的收集、存储、使用、变更、销毁等操作不合法的情况。

4.组织在使用重要数据时，没有开展安全风险评估，无法判断重要数据的使用与保护的程度，容易造成侵权与违规风险。

5.组织在处理重要数据时，数据的传输、处理、存储、销毁未采用加密、访问控制等安全措施，容易造成重要数据泄露的风险。

6.未建立数据应急预案，无法有效制定数据丢失、数据泄露等重要场景的处置措施，不利于重要数据发生异常的处置和恢复。

（六）数据平台与技术安全管理常见风险

1.数据平台或系统安全保护措施部署不到位，导致数据泄露或非法访问。

2.数据平台与其他平台交换数据未实施加密，导致数据外泄。

3.未部署独立的数据库审计系统，无法对数据违规操作行为进行跟踪分析，不利于数据的规范化管理。

05 数据安全审计关注重点

根据笔者对行业内数据安全案例的总结及多年实施IT审计的经验，我们认为应当常态化对以下数据安全领域开展IT审计工作：

（一）数据安全治理审计

数据安全风险涉及面较广，既体现在组织在治理层面的治理风险，还体现在数据在其生命周期和服务过程中的管理风险，以及伴随的个人信息和重要数据等敏感信息泄露和跨境流通风险。

1.董事会的职责

该控制项旨在从组织的治理层面，检查组织是否将数据的安全治理工作纳入组织治理工作范畴，建立健全包括风险管理和数据安全审计监督在内的架构体系，从而完善数据的安全合规管理。

2.战略规划与价值实现

该控制项旨在检查组织是否依据董事会所明确的数据安全治理目标制定相关的安全战略。

3.数据安全合规管理

该控制项旨在检查组织是否基于数据安全战略规划，建立健全数据安全管理制度体系，满足合规监管要求。

4.数据风险管理

该控制项旨在检查组织是否从数据、人员、产品与服务等方面，建立并完善数据安全风险管理体系，并将其纳入组织风险管理体系当中。

5.数据安全审计监督

该控制项旨在检查组织是否将数据的安全审计工作纳入组织的安全审计体系范畴内，建立并完善针对数据安全审计的专项工作。

（二）数据安全管理审计

数据安全管理是指保护数据免受威胁的影响，确保业务的连续性，降低业务可能面临的风险，为业务部门提供有力保障。

1.数据安全组织管理

该控制项旨在检查组织为落实数据安全治理工作及其战略规划，是否从组织层面设置跨部门的数据安全管理机构及负责人，明确安全管理职责。

2.人员与意识管理

该控制项旨在基于组织对数据安全管理的要求和需求，从人员安全管理、资源建设与技能培养、职责落实与考核等三方面进行检查，判断人员综合管理的落实情况。

3.制度与规范管理

该控制项旨在从制度层面检查组织是否制定并完善数据安全管理的制度体系及其落实情况。

4.元数据安全管理

该控制项旨在从元数据的安全管理角度，检查组织是否建立完善的元数据安全管理规范，并从技术层面予以安全保障。

5.数据及平台（系统）管理

该控制项旨在从数据平台（系统）管理角度，检查组织是否对平台（系统）及其管理之下的数据制定相应的安全规范与标准，实现统一管理，并与组织经营战略中的安全需求相一致。

6.服务接口安全管理

该控制项旨在从服务接口角度，检查组织是否完善接口安全管理的制度和规范，并用技术手段保障接口间数据传输的安全性。

7.数据供应链安全管理

该控制项旨在从供应链安全管理角度，检查组织在存在上下游数据交换的前提下，制定相关管理规范，满足合规监管要求。

8.数据安全审计管理

该控制项旨在从审计角度，检查组织是否落实数据安全审计与监督的要求，对组织的数据服务开展安全审计，同时确保国家对于日志管理的安全合规要求。

（三）数据生命周期安全管理审计

数据生命周期管理是指在数据的采集、传输、存储、处理、交换（共享、应用）、销毁等阶段下对流动的数据进行综合管理。

1.数据收集

该控制项旨在针对数据收集过程，检查组织是否依据收集数据的敏感性对其进行数据标识，从而基于该标识进行后续数据操作处理的监控。

2.数据传输

该控制项旨在针对数据传输过程，检查组织是否根据传输过程的安全性划分安全域，并根据安全域的级别采取相应的安全控制措施，防范数据遭受窃听或泄露，确保数据的完整性。

3.数据存储与恢复

该控制项旨在针对数据存储，检查组织是否对所存储的数据采取安全措施，确保其安全性和完整性，同时，根据组织对于数据可用性的要求，检查组织是否采取备份措施。

4.数据处理与加工

该控制项旨在针对处理和加工过程，检查组织是否对可接触到数据的人员基于角色采取身份验证和访问控制，并对该过程采取加密和脱敏处置措施，防范数据非法访问或敏感信息遭到泄露。

5.数据使用与安全审计

该控制项旨在针对数据使用过程，检查组织是否采取身份验证和访问控制措施，防止人员对于数据的非法访问，并采取加密和脱敏等技术手段，防止在使用环节造成信息泄露并对使用环节进行安全审计。

6.数据共享与流动

该控制项旨在针对组织存在数据共享与流动，特别是跨境流动时，是否制定相应的规范制度和审批流程，满足国家合规监管要求。

7.数据归档与销毁

该控制项旨在检查组织是否针对数据归档与销毁过程，并基于数据敏感程度制定完善的管理制度与规范流程，防范在该过程中出现数据泄露。

（四）个人信息安全管理审计

规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为。旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。

1.通用管理

该控制项旨在检查组织是否针对个人信息，建立健全个人信息保护的管理体系和风险管理体系，并提供个人信息泄露或非法使用的申诉管理机制和举报渠道。

2.个人信息的收集

该控制项旨在检查组织在个人信息收集环节，是否制定完善的安全策略和规范，满足《网络安全法》中关于个人信息保护的合规要求。

3.个人信息的传输与存储

该控制项旨在检查组织在个人信息传输与存储环节，是否采取管理与技术手段，确保个人信息境内存储和离境前安全与风险评估的合规要求，以及个人敏感信息不被泄露。

4.个人信息的处理

该控制项旨在检查组织在个人信息处理环节，是否采取技术手段防范个人信息主体被识别和还原。

5.个人信息的使用

该控制项旨在检查组织是否在个人信息使用环节，采取访问控制措施防范对其非法访问，并在个人信息控制权发生转移时对接收方进行安全评估，并获得其安全使用的承诺。

6.个人信息的变更与销毁

该控制项旨在检查组织在个人信息变更和销毁环节，是否为个人信息主体提供合法变更的渠道，或在完成所收集个人信息使用目的后，规范个人信息的删除流程和途径。

（五）重要数据安全管理审计

规范重要数据在收集、保存、使用、传输、共享等信息处理环节中的相关行为。旨在遏制数据非授权收集、滥用、泄漏等乱象，最大程度地保障重要数据的安全。

1.通用管理

该控制项旨在检查组织针对其重要数据是否建立健全完善的管理体系，包括制度体系、组织与人员体系、应急管理体系，并提供重要数据安全事件的申诉渠道。

2.重要数据识别与分类分级

该控制项旨在检查组织是否就所属行业和经营业务制定重要数据识别及分类分级的制度规范、标准以及变更和审批流程，从而为后续重要数据操作和处理提供依据。

3.跨境传输与存储前安全风险评估

该控制项旨在检查组织在其存在重要数据跨境传输与境外存储的背景下，是否建立完善的安全风险评估与审批流程，满足国家合规监管要求。

4.应急管理

该控制项旨在检查组织依据建立的重要数据安全事件应急管理体系，制定并完善应急管理制度并定期开展应急演练，在满足合规要求的同时，确保安全事件发生时得到有效、迅速的遏制，防范事件蔓延。

（六）数据平台与技术安全管理审计

数据平台是指为数据应用提供资源和服务的支撑集成环境，包括基础设施层、数据平台层和计算分析层。重点关注数据平台基础设施安全、网络与通信安全、应用安全及安全审计工具使用等内容。

1.平台基础设施安全

该控制项旨在检查组织为确保数据平台基础设施安全，除对其所处的物理环境进行安全检查外，还应检查是否采取技术措施与工具，监控并防范平台受到恶意代码等非法攻击。

2.网络与通信安全

该控制项旨在检查组织为确保数据平台的网络与通信安全，是否制定访问控制策略并在网络隔离设备上部署、实施，同时，检查为确保通信链路的安全是否采取相应的安全监控与链路加密手段。

3.应用安全

该控制项旨在检查组织在应用层面针对应用接口、平台服务和平台资源是否采取相应的安全控制措施。

4.安全审计

该控制项旨在检查组织针对数据平台的日常服务和运维是否开展安全审计，并验证安全审计是否具有自动分析和报警的功能。

06 结语

数据已成为金融机构赖以生存的重要核心资产，数据安全管理能力亦将成为金融机构必须具备核心管理能力。通过开展数据安全审计，一是能够推动金融机构落实金融业数据安全管理要求，提升金融业数据安全保护工作的规范化和标准化程度；二是有助于金融机构及时全面掌握本机构数据安全管理水平，预测并确认所面临的数据安全威胁和风险，为金融机构制定防范措施及应对安全事件提供科学依据和指导，可有效防控数据安全事件风险和危害，为金融数据的应用和流动提供有力保障；三是持续地促进金融机构数据环境改善和整体数据安全管理能力的提升，加快科技创新步伐，为金融机构未来发展带来巨大价值。

作者简介

王志超，谷安天下金融咨询审计负责人，10多年的信息安全、科技风险、科技审计、业务连续性、科技外包、数据治理、金融科技等咨询及审计服务经验，获得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等证书，熟悉银行业、保险业、证券业、大型央企的科技管理风险与应对措施，对科技外包、业务连续性、数据安全、数据治理、大数据、云计算、区块链、人工智能、数字化转型等领域均有着较为深入的研究，多次参与银保监会组织的信息科技风险管理课题研究，并获得不错的奖项。

李松谷安天下高级经理，长期从事数据中心、网络安全、数据安全、运维管理和信息科技风险审计等工作，拥有20多年的金融、国企及互联网企业的IT咨询及审计经验，获得CISA、CDPSE、ISO27001、ITIL4等证书，曾在国内大型会计师事务所担任过IT运维经理、IT高级审计经理。