解析CIFS| 光大证券朱才才:浅谈行业数据治理与安全管理
2024-09-18
大家好!我本人作为这次的小主题分享者,其实也是一个学习者,我在这边认真听了一天,咱们这次会议一共有16个演讲主题,确实讲的都是真知灼见。在不同的领域,我也看到了很多优秀的先行者和案例。
我今天给大家带来的分享是一个围绕着数据治理尤其是侧重数据安全方向简单的分享,我看了咱们大家很多行业大咖介绍了一下自己公司的亮点产品、系统甚至是规划、解决方案,咱们这次参加的优秀金融科技供应商也谈了自己的公司一些优秀解决方案产品,我想说的是围绕着数据安全的主题,用20分钟时间我着重谈一下本人的几个观点。
01
数据治理背景
今天带来的分享主要分为四方面,第一,数据治理背景。
数据治理背景我不多讲了,因为这几年不论是不是从事证券业,还是各行各业、企事业单位,其实数据的重要性、数据管理的重要性从国家到行业到企业有太多的外界迫使和内在需求了,新时代我们要思考的问题是现阶段我们作为一个企业为什么要做数据治理,或者数据管理?其实现在做数据管理和之前五年前或者十年前信息化时代做数据管理可能有本质的区别。
现阶段我们做数据管理它的最大的目标是什么呢?其实我个人认为是要向数据要价值,尤其是通过更好的体系化数据管理的机制体制向数据真正发挥它的要素价值。
金融业数据治理发展趋势
这篇重点介绍一下咱们证券业跟银行业的数据治理发展的整体趋势,简单罗列了一下这几年在银行业和证券业关于一些行业的要求介绍,通过发文和指导包括“十四五”现在正在酝酿“十五五”,大家可以看到不论是银行业还是证券业,整个金融业对于数据管理的体系化建设跟速度都在提升。
银行业明显是领先于证券业数据的管理能力承受度,当然这是符合正常逻辑的,起步早、体量大、场景多、数据应用价值、应用场景比较多。
银行业跟证券业都有一个共同特点,就是说头部的还是有头部的天然优势,在数据管理这块做得非常全面,银行业一些小的银行其实做的数据管理工作也有很多提升,证券业也有很多代表,我们通过前期调研,行业有三四家做的确实很超前。
这不论是从外规角度还是公司内部数据价值创造角度来讲,都要求咱们作为企业尤其以我的角色是负责光大证券数据的研发跟管理的角色,必须要考虑如何能够通过数据的有效管理提升数据的价值。
数据管理国家标准-DCMM
这是给可能在座的一些企业都做过DCMM,也是给DCMM打一个广告,DCMM国标是非常体系化的数据管理能力程度评估,这里面如果大家做过发现它是非常体系的,其实通过我们公司的实践和个人总结,用一句话就能够把整个模型、整个数据管理成熟度模型概括掉,我们的概括是什么呢?就是通过企业数据战略发布价值引领构建公司比较良好的运营或者数据沟通的机制体制,通过数据架构跟数据标准的冠标和数据全生命周期的管理重点做好两个任务:
1.数据质量的提升。
2.数据安全的保障。
最终目标是什么呢?把我们更高质量数据应用在数据应用方向提高整个公司运营效率和客户服务满意度。从2021年开始,国内各行各业线性企业都在做DCMM评估,有的是硬性要求,有的真的从自己企业数据管理要求出发的,整体来说三级以上占到不到四分之一,20%五分之一的样子。分五个级,领域里面金融业、通信业和能源业这三大领域是做数据管理相对来说比较靠前的。
数据安全政策体系逐步构建完善
通过整体数据治理,重点讲一下咱们的数据安全,现在数据安全大家听得比较多,解决方案也很多,尤其2021年《数安法》《个保法》发布之后市场解决方案非常多,但是通常是从网安角度衍生出来的。现在从法律法规来看,国家整个数据安全法律体系已经有《数安法》《个保法》《网安法》三驾马车构成,三部法律有交集但是更多体现差异化,从法律法规角度来看是这样子的。
数据安全监管处罚趋严
简单统计了一下,也是网上找的就是在数据安全领域,近几年对于数据安全处罚力度在加强,尤其是从《数安法》出来之后2021年开始,2022年、2023年对于个人信息保护处罚力度也在持续增加,并且大家可以看一下在《个保法》处罚力度上比网安和数安力度更大,《个保法》里面真的出了事情可以罚企业年经营收入的5%的占比,这个比例还是相当大的。
行业数据安全与合规压力增大
通过2022年和2023年两年时间,我们在行业里面做的调研,40多家机构做的调研,其中数据安全领域里面大家可能都会面临这样一些问题,我们简单形成了六点:
1.外部数据安全威胁持续升级。显而易见,因为金融行业数据具有高密度性和高价值性,所以一定是重点威胁或者勒索事件发生主要的目标。
2.内部安全风险日益严峻。大家都在谈数字化,数字化转型企业都做,如何通过数字化转型,数据要素是里面重要的因素,数据多、数字化转型的过程又很丰富,所以这里面一定会涉及到方方面面的内部数据安全的管理上的痛点和难点。
3.多标准的合规监管日益复杂。虽然现在国家监管体系越来越统一,就是内部的协同也越来越统一,发的文包括一些方向指导都是现在差异性没那么大的,但是站在各部委角度看数据安全问题看的还是不一样的,所以对外部监管要求相对来说也是比较复杂的。
4.海量数据的数据资产梳理与分类分级实施难度大。
5.安全防护能力无法有效应对复杂数据流动风险。
6.数据安全需多部门协同合作(内控部门、业务部门等)。
02
数据安全治理框架
第二部分介绍一下整体数据安全治理框架,主要介绍三个框架,这三个框架大家都是比较熟悉的,但是通过认真研究之后对于企业整体来做数据安全的体系化建设还是很有指导意义的。
Gartner的数据安全治理框架-DSG
DSG模型或者这个方法论它是有两个特点:
1.这个架构特别强调自顶向下,从设计上面、从公司职能上面要自顶向下推,因为它认为数据安全体系特别复杂,涉及到方方面面必须加强顶层设计。
2.一个切入点是什么呢?就是数据的分类分级,把数据分类分级做好之后通过业务的梳理、分类分级、策略制定、技术管控和优化改进形成一整套的数据安全管理机制。
数据安全能力成熟度模型-DSMM
DSMM,这个国标也是有两个特点:
1.重点以数据自然的生命周期为逻辑,然后在生命周期各个环节要保证它的安全,非常注重技术性的实现。
2.它是一个非常立体的模型,通过能力承受度和安全能力的维度以及数据安全过程的维度,三个维度形成数据安全的评估或者实操方法论和体系,也是一个国家的标准。
当然这个如果有的企业做过DSMM会发现跟咱们之前做的网络安全相关的评估或者认证有很多的交集,因为这个体系非常庞大,把数据安全、网络安全等等一体化的都融入在里面了。
信通院的数据安全治理框架
第三个是信通院近几年发布的团标,是吸收了上面两个相对来说公认模型之后进行了简化,特点也有两个:
1.强调可实操性,不论大公司还是小公司,不论企业做数据安全管理有没有经验都可以按照方法论从规划、建设到运营到评估这么一个流程去做的。
2.同时这里面也非常清楚,也是按照数据全生命周期的思路开展的,但是这里面更强调一些当平台、工具和机制建立起来之后,要求持续能力的运营和有效评估。
03
数据治理与安全管理实践
第三方面重点谈一下光大证券在数据管理和数据安全这方面的实践。
光大证券“1-1-9”数据治理目标体系
这是我们公司从2017年开始到现在整个公司数据治理发展的一个目标体系,就是形成一个文化、一个中枢和九个实现。
数据文化是企业级、数据中枢也是企业级的,通过具体九个目标实现完成整个公司数据治理的目标。
光大证券数据治理框架
这是我们公司整体架构,架构也是比较传统、比较主流的架构,四层架构,通过战略的引领和三个支撑体系以及众多主流治理领域,最终是一些系统的实现、工具平台支撑。
光大证券数据治理工作机制
数据管理不论是数据整体管理还是数据安全方向的管理,其实是有一个基本稳定的铁三角:组织人才、平台建设、流程制度。
数据质量-管理与评价
目前我们公司相对来说比较完整的一套数据管理运营机制,这里面简单提一下数据质量,因为数据质量是我们做数据管理里面重要的目的,我们公司数据质量管理其实是通过两大方向一个组织:
第一个方向通过技术语言和业务语言形成整体数据质量评估的模型。
第二通过公司的IT跟业务形成相当于柔性小组,能够实现数据管理的PPC循环,数据质量如果想在企业里面做到有效,我个人有一点感受,就是做数据管理的话一定要做好两件事:
1.一定要系统化,做数据管理如果不是系统化的,小打小闹是不长久的,效果是低的。
2.数据质量必须聚焦主题做,不能是所有系统做,要按照业务主题做,比如说账户主题或者权益风险主题等等,一定要按照主题进行治理,质量提升才有更针对性。
数安网安 互相依赖 叠加演进
如何做好企业数据安全,这里面我们需要重点强调一下数安和网安的划分,因为数安已经不仅仅是网安的子集了,但是因为和网安是紧密结合的,整体来讲可以形成这么一句话,就是说现在数据安全已经是以数据为中心的安全体系构建,那么网络是以网络为中心的安全构建,这两者本身是高度关联、相互依赖、叠加演进的,不论通过法律来看还是通过咱们行业的一些最佳实践或者行业的专门金融科技供应商解决方案来看都是呈现这种关系的。
数据安全分类分级
这里面要想做好企业级数据安全管理,分类分级是绕不过去的,我们观点是什么呢?公司做好数据分类分级并没有那么复杂,通过人工和系统的结合能够把数据分分类、分分级,我们是弱分类、重分级,为什么这样呢?因为分类只是一个标签,分级是有用的,整个数据的审批流,你的整个数据应用投放的广度和深度以及权限控制都是按照分级做的。所以说我们公司把所有纳入到公司的数据仓库里面或者数据湖里面的都是按照人机结合的形式做了分类分级,下游数据应用或者一些产品化的工具全部是到内外部用户看到的界面上面都有分类分级的标签,当然这是系统内部管理使用的,基于这些东西进行公司整个数据有序管控和权限精细化的管理。
数据安全技术工具体系
做数据安全的话,数据安全技术是非常必要的,因为咱们证券业是金融机构并非是科技机构,所以市场上有很多比较好的解决方案,对于数据安全来讲也是非常需要进行统一的规划以及有针对性场景化引入一些市场上比较专业的数据安全的工具或者平台。数据安全体系建设路径我们公司整体发布了3-5年数据安全管理体系的规划,基本上分为三个阶段,目前公司在第二阶段正在迈向第三阶段,整个工作的分工、方案、阶段性成效以及下一步工作计划的KPI考评,在公司是全面推进的,公司也是比较重视数据跟系统的结合治理以及数据安全的保障和数据的充分共享利用。
04
行业发展趋势与展望
第四个章节重点是给大家介绍一下行业发展趋势和展望,这也是我们通过这两年调研形成了一份简单的小结。
1.数据治理路径标准化。从国家行业到每个企业,可能行业不同,但是它的指引标准或者说要求都很相似,同时咱们可以看看数字政府建设,数字政府这块也是做得非常标准的,比如说山东、上海数字政府建设,大家可以看看官网上都有很多标准化实施路径。
2.数据资源向资产化跃进。有些企业已经先行先试了,资源化向资产化中间还有产品化,现在越来越多的数据资源正在打造数据产品,目的就是资产化流通化。
3.数据充分共享跟安全隐私保护寻求平衡。对于数安和个保来讲必须要在数据安全可控情况下进行充分的数据价值发现跟利用。
4.数据治理已经迈向了高效智能化。原先做数据治理团队可能很大、工作很大,但是随着AI时代到来,只要有场景理论来讲通过市场化AI工具和自己的研发能力相结合其实它是能够在某些局部代替人工,整体提高数据治理的有效性和便捷性。
最后是我们公司包括个人对整个企业级的数据管理价值和数据安全这块学习的一些文献,这些材料其实都是凝聚了国家、行业或者某些典型代表企业他们最佳实践的方法论和实施路径,每一个材料都有比较全面的,并且是一个完整的指示体系,这个很利于站在企业的角度去思考或者去实践如何能把公司的数据给建设好、管理好,持续为企业业务发展注入数据的新能量。
以上是我今天带来的分享,谢谢大家!
