2024年12月27日国家金融监督管理总局正式发布了《银行保险机构数据安全管理办法》（以下简称《办法》），核心要点之一强调数据安全与信息系统的重要关系。这与我们之前常说的“以身份为中心”或“以数据为中心”的数据安全观点，差异明显。

在大量信息系统的数据安全实践中，个人也强烈认为“数据安全想要比较好的落地实施，应以信息系统为底座，从下往上做数据安全的工作思路”。

本篇围绕《办法》中提到与信息系统的关键安全要求，分析银行保险机构如何将数据安全工作嵌入到信息系统中，个人结合经验提供一些思路，供参考。

01.

《办法》中与信息系统相关的要求

整理《办法》中与信息系统相关的要求内容，共涉及七条，总结如下：

02.

与信息系统要求的逐条解读

强调信息系统的生命周期安全管理

《办法》第十四条，数据安全的技术保护主责部门的主要职责第三点，提出“组织开展信息系统的生命周期安全管理，确保数据安全保护措施在需求、开发、测试、投产、监测等环节得到落实”。

作者解读：

明确银行保险机构信息科技部门是数据安全的技术保护主责部门，需要将数据安全保护措施纳入信息系统的全生命周期管理。这个全生命周期管理我们可简化两部分：规划建设和运行维护。

其中规划建设，通常以项目建设为契机，包括系统的需求、开发、测试、上线运行等阶段，这个阶段的安全需要通过项目方式进行落地实施。因此在项目中需要明确数据安全的要求。运行维护阶段，是指在信息系统的日常运行过程中，需要重点关注的安全管理和安全技术活动，以“运营”思路落实常态化的安全工作。

信息系统是数据收集的主要渠道

《办法》第二十五条，“银行保险机构应当以信息系统为数据收集的主要渠道，限制或者减少其他渠道、临时性数据收集...”

作者解读：

数据收集和采集不同，采集的技术性更强，通常以技术方式实现，比如前置库、API接口、SFTP、应用程序功能获取等方式实现。收集的范围更广，收集可以包括线下表单填写、调查问卷、纸质材料提交和采集相关的技术方式。

数据的收集尽量通过信息系统进行获取，意味着尽可能减少人为接触数据，通过系统方式更加方便管理和安全控制。也明确了减少临时性数据收集，即数据收集要满足“正当、合法、必要”等基本原则。

数据安全保护措施的“三同步”

《办法》第四十条，“银行保险机构应当将数据安全保护纳入信息系统开发生命周期框架，针对敏感级及以上数据明确安全保护要求，实现数据安全保护措施与信息系统的同步规划、同步建设、同步使用。”

作者解读：

信息系统的等级保护测评是我国提升网络安全水平的重要机制，通过等级保护测评作为强制性要求，为信息系统的安全保护措施提供必要依据和履法要求。

《办法》特别提出数据安全的保护措施应参照“三同步”方式，在信息系统各个阶段同步考虑建设数据安全安全保护措施。

敏感级及以上数据纳入信息系统保护

《办法》第四十二条，“银行保险机构应当将敏感级及以上数据纳入信息系统保护.....”。

作者解读：

信息系统是数据的重要载体，针对敏感级及以上数据时，需要纳入信息系统保护体系。可以从三方面理解：（1）合规层面测评工作，包括围绕信息系统所需要的安全测评、等保测评、密码测评等；（2）IT层面重点工作，访问控制、账号管理、高可用机制、数据备份恢复、变更管理等；（3）安全层面重点工作，围绕信息系统开展安全防护、漏洞扫描、渗透测试、漏洞整改、安全监测等。

安全标准在信息系统执行一致性

《办法》第四十七条，“银行保险机构应当开展数据安全的技术基础设施建设，支持用户身份管理、数据匿名化、行为监测、日志审计、数据虚拟化等功能的组件化、服务化，保障安全标准在信息系统中执行的一致性。”

作者解读：

企业在私有云、数据中台等大型项目进行建设时，网络安全技术设施配套完备，《办法》提出了数据安全技术设施的概念，需要同步考虑建设数据安全基础设施，包括身份管理、日志审计、行为监测等基础能力，也包括数据匿名化、数据虚拟化等增强能力。

企业统一建设数据安全基础设施能力，可以制定统一的标准策略，这些能力作为安全服务提供时，各个系统所执行的安全测评标准或者安全基线是一致的，保证了安全的下线。

补充知识：数据虚拟化

“数据虚拟化是一种数据管理技术，它允许用户通过一个统一的接口访问多个分散的数据源，而不需要物理地将数据集中或复制。它通过在数据源和用户之间建立一个虚拟层，屏蔽数据的存储位置和访问方式，从而实现数据的逻辑整合。”

例如：在供应链管理中，它能够将来自各种数据源的数据统一起来，形成一张全景图，帮助企业主动发现潜在的瓶颈，优化物流流程，并实时调整策略，以应对瞬息万变的市场。在金融领域，数据虚拟化平台通过虚拟化和分析各种来源的数据，如交易日志、用户行为模式和人口统计详情等，能够实时发现潜在的欺诈企图，保护企业免受经济损失，并培养客户群对企业的信任。

信息系统开发时，明确拟处理数据及安全要求

《办法》第四十八条，“银行保险机构开发信息系统时，应当明确系统拟处理的数据及其安全级别、访问规则、保护需求，并实施有效的系统安全控制。系统投产上线前应当开展安全测试，确保各项安全要求落实，有效防范数据安全风险。测试环境应当与生产系统隔离，敏感级及以上数据原则上未经脱敏处理不得进入测试环境，防止数据泄露。

作者解读：

一是明确指出在信息系统开发阶段，需要掌握可能承载的数据内容，初步判断是否存在大量敏感数据，以确定配套的数据安全保护措施，这些措施包括应用系统自带的安全功能或者外部采购的安全产品等。

二是明确信息系统投产前的安全测试，这些安全测试包括等保等安全合规测试、漏洞扫描和人工渗透等安全技术测试，并需要关注这些安全测试发现风险整改。

三是强调测试环境和生产环境中数据层面的分区隔离，当数据需要离域，原则上需要进行脱敏，这通常需要使用“静态脱敏”能力。

信息系统投产前，开展数据安全审查

《办法》第五十一条，“银行保险机构信息系统、模型算法投入使用前，应当开展数据安全审查，审查数据与模型使用的合理性、正当性、可解释性，以及数据利用对相关主体合法权益的影响、伦理道德风险及防控措施有效性等。”

作者解读：

《办法》新提出数据安全审查概念，类似《网络安全审查办法》明确的内容，需要建立网络安全审查制度，向国家安全主管部门进行合规性的报备与备案。

新系统、模型算法等正式投入业务前，组织开展数据安全审查，更像是一种备案机制。详细的审查内容需要等待行业主管单位进一步规范细则。

信息系统中功能中实现个人信息保护基本要求

《办法》第五十四条，“银行保险机构处理个人信息应当按照“明确告知、授权同意”的原则实施，法律、行政法规另有规定的除外，并在信息系统中实现相关功能控制。”

作者解读：

信息系统作为与用户关联的重要窗口，例如APP、小程序、H5页面、web页面、应用系统等方式，需要在功能层面做好个人信息基本原则的落实实施控制。包括之前隐私协议、服务协议、第三方共享清单等各方面。

03.

总结与展望

金融行业向来对安全非常重视，网络安全整体水平比较高，数据安全方面，配套的组织架构、管理制度体系、数据安全基础安全能力建设情况比较好。

目前正处于从大的管理要求逐步转向安全实施细则规范的落地执行，即从80分往90分提升的阶段，更加强调数据安全要求的落地实施，或者说数据安全想要真正的落地做好，需要从“下往上做”，信息系统是做好数据安全最基本的着落点。《办法》提出了数据安全与信息系统之间的关系，对金融企业数据安全落实过程提供了具备实践指导意义，非常具备参考价值。

个人认为，数据安全需要从细处考虑，管理上从上往下提要求，落地实践上需要从下往上实施，比如具体到某个产品的应用安全功能参数配置、某个安全产品的任务配置与启用等。

而《办法》体现了这种思想，从“管理、考核”的思路，逐步过渡到“服务、支持”的心态，想要管的更好，需要从管理层面提供更加具体、明确可落地执行的指导步骤，安全管理部门、安全执行部门一同做好安全的想法。

声明：以上仅为作者个人观点，仅供参考。