金融业是数据密集型行业，做好数据安全治理日益受到重视。当前金融行业数据安全存在哪些问题？数据安全治理是否有可行的评估方法？就上述问题，《金融时报》记者采访了中国信通院云计算与大数据研究所副所长魏凯。

《金融时报》记者：您认为当前金融行业数据安全现状如何？还存在哪些问题？这是否是金融机构的共性问题？

魏凯：这几年，随着法律法规的不断完善，监管部门对数据安全的监管力度在不断加强，金融机构的数据安全意识也在迅速提升，可以说有很大进步。总的来说，金融机构在数据安全治理方面是走在前列的，各类金融机构都或多或少开展了数据安全治理工作。但金融机构在数据安全体系建设方面还需要进一步完善，人力、物力等资源投入上还需要进一步加大，也存在一些共性问题需要解决，主要有如下几个方面。

数据安全牵头部门尚未从网络与信息安全部门中独立出来。大多数金融企业的数据安全部门还是在网络与信息安全部门下的一个小的分支，且兼任情况较为普遍，网络与信息安全部门工作人员中的数据安全相关工作人员占比明显偏低。

数据安全治理还不够全面。因银行、证券等业务流程较为复杂，业务系统较为庞大，且存在很多陈旧的业务系统，企业出于对业务稳定性的担忧，进行全面数据安全治理的意愿不够强烈，这就可能导致与数据安全相关的制度流程和相关技术工具在落地实施时面临一些阻力。

数据安全人员能力培养不够系统深入。人员能力培养方面主要停留在数据安全意识培养的层面，还有个别针对监管要求进行的不定期的专项培训，缺乏或者很少开展数据安全专业能力的培养。存在培训不够系统深入、培训效果也缺乏验证等问题。

缺乏针对数据安全的综合性评价。通过企业内部评价结合外部第三方的评估评测服务可客观有效地反映企业的数据安全治理效果，从而帮助企业发现问题，不断完善数据安全治理体系。目前，金融机构普遍存在对数据安全治理评价不足的问题，在应对数据安全问题时还处于“头痛医头、脚痛医脚”的窘境。

《金融时报》记者：不同的金融机构比如银行、证券、保险等，其数据安全问题是否存在差异？

魏凯：不同的金融机构在数据安全建设方面存在较明显的差异，主要的数据安全关注点也有所不同。

对于银行类机构，因面临着严格的监管要求，且业务数据体量巨大，其数据安全治理的意愿最为强烈。相应的，数据安全治理实践较其他类型金融机构更为深入。主要数据安全问题已经聚焦到具体的业务流程中，如在业务中落实全面的数据流转过程的监控审计和数据生命周期各环节的数据安全风险评估等。

相对而言，证券、保险、信托类机构，其数据安全治理有待进一步深入。需要从组织结构和制度文件体系层面的数据安全问题开始梳理，再从上往下对企业数据安全治理体系建设与实施过程中数据安全问题予以解决。

《金融时报》记者：数据安全治理是否有可行且有效的评估标准或方法？

魏凯：当前，数据安全立法和相关政策给数据安全治理提出越来越高的要求，这个治理体系包括国家层面的，也包括每一个机构推行的。市场化评估认证机制是国际通行的做法。从我国来看，中国互联网协会从去年开始联合多家单位起草了数据安全能力评估方法，中国信通院依托这个标准也推出了一个市场化的评估服务，参与标准有23家单位、43位相关专家参与，这也是国内第一个数据安全治理评估的团体标准。主要目标是通过准确的度量企业数据安全治理能力的现状，引导数据安全治理真正落到实处，从而让数字经济的发展能够行稳致远。

《金融时报》记者：您对金融机构数据安全治理有何建议？

魏凯：金融机构需要在战略层面重视数据安全，甚至出台企业整体的数据安全战略，并进一步加大对数据安全建设投入，同时，明确各部门职责，压实数据安全管理责任。

数据安全治理和数字化转型协同并进，将数据分类分级工作切实有效地融入数据全生命周期的管理中去，并在业务流程中进行落地实施。实现数据安全治理的全局性、一致性，达到企业数据安全治理“一盘棋”的效果。

积极开展数据安全治理评估，结合自身评估和第三方机构的评估评测，发现企业的数据安全问题，持续优化数据安全治理体系建设。

责任编辑：韩希宇