在数字化时代,数据已成为企业最宝贵的资产之一。在《银行保险机构数据安全管理办法》正式实施的背景下,DSMM(数据安全能力成熟度模型)作为国家认证认可监督管理委员会备案的权威评估体系,为金融机构构建符合“全生命周期保护、分类分级管控、风险动态监测”等监管要求的安全体系提供系统性解决方案。
一、金融机构数据安全治理面临的难点痛点
近年来,随着金融领域数据安全监管政策的不断加码,金融机构在数据安全方面持续投入,以确保数据安全防护体系的完善,但总体而言仍然道阻且长,主要难点在于以下方面:
(一)数据资产管控复杂,缺乏专项管理手段
金融是产生和积累数据量最大、数据类型最丰富的领域之一,金融数据更是关乎企业核心竞争力的重要资产。以银行保险机构的客户数据为例,不仅涵盖姓名、身份证号、工作单位、家庭住址等高敏感度信息,还呈现结构化、半结构化、非结构化数据结合的特征,类型繁多。这些数据分散在众多系统中,在信贷审批、保险理赔等业务环节流转路径复杂,风险点众多。《银行保险机构数据安全管理办法》明确要求建立数据安全管理组织架构,明确岗位职责,但目前不少银行保险机构对数据缺乏清晰完整地掌控,数据保护颗粒度较粗,缺少数据安全专职管理部门和专项预算。2024年,某银行因数据安全管理不到位,存在风险隐患问题被国家金融监督管理总局浙江监管局罚款290万元,其中,“数据安全管理不足”这一违法违规行为,之前已在多家银行的罚单中出现,甚至有科技部主管因此被罚。这凸显了数据安全管理组织、制度缺失在金融机构的普遍性。
(二)数据安全保护投入大,人员技能经验欠缺
各类研究机构及行业监管机构发布了多种数据安全管理体系、数据安全治理体系的最佳实践和国家、行业标准。然而,大多数企业难以将这些标准和最佳实践有效应用到内部治理中。在银行保险机构,由于员工缺乏对数据安全的深入理解和认识,难以判断自身行为是否符合《银行保险机构数据安全管理办法》的要求,导致数据安全工作成果仅停留在纸面上,产生大量安全隐患。
(三)金融业务数字化进程加快,数据安全风险升级
当前、金融机构数字化转型加速,线上业务类型复杂多样,数据安全风险尤其是个人信息保护风险显著增加。《银行保险机构数据安全管理办法》规定银行保险机构在处理敏感级及以上数据的业务活动,或开展数据委托处理、共享等活动时,需事先开展数据安全评估。但不少银行保险机构缺乏风险评估的能力和经验,对数字化业务中新生的数据安全风险认识不足,在处理大量涉及个人信息数据的业务时,缺少有效的风险评估落地指导依据。
二、DSMM 认证对金融机构的价值
数据安全能力成熟度(DSMM)认证是国内首个数据安全治理领域的认证,受到国家及行业的广泛认可。
(一)构建有效的数据安全保护体系
数据安全防护体系的建设应以法律法规为依据,以金融监管为指引,以合规为基本底线,以数据资产为保护对象,最终达到保障业务发展、赋能数据资源开发利用的目标。DSMM 成熟度体系包含通用安全以及数据全生命周期两大评估模块,共涵盖 30 个过程域和 570 多项最佳实践,涉及企业数据安全所面临的风险和威胁的方方面面。参照《银行保险机构数据安全管理办法》,通过评估分析,可以帮助银行保险机构建立与自身发展战略相匹配的数据防护能力体系,完善组织体系,明确各层级的数据安全责任;健全制度体系,制定符合监管要求的数据安全管理制度;构建标准体系,依据数据分类分级规范进行管理;打造工具和技术体系,加强数据安全技术保护,全面构建数据安全“防火墙”。
(二)提出数据安全能力提升路径
DSMM 从低到高定义了数据安全能力的 1 - 5 级,从 L1 非正式执行到 L5 持续优化,每个等级解决的目标问题各不相同,例如 2 级计划跟踪级是以核心系统为评估目标,解决数据安全保护体系有无的问题;而 4 级量化控制级主要是解决量化指标,以量化的标准进行管理。评估专家依据自身丰富的经验和行业最佳实践,结合《银行保险机构数据安全管理办法》,为银行保险机构量身定做具有针对性的数据安全能力提升路径,从搭建基础架构到精细化管理,为一步步提升数据安全能力打下坚实基础。
(三)提供权威的数据安全合规证明
在银行保险机构中,数据安全治理人才需求贯穿于各个部门,部门在组织自身数据安全能力建设时,同样离不开数据安全专业人员的支持。在参与项目投标时,DSMM 认证证书可大大提高中标率,也是企业申请信息安全服务资质的必备证书,有助于银行保险机构在满足《银行保险机构数据安全管理办法》合规要求的同时,提升市场竞争力。
三、金融机构如何参与DSMM 认证
① 评估准备阶段
评估机构与金融机构依据评估标准进行初步沟通,银行保险机构对照能力等级标准的相关要求,梳理本机构数据管理的相关制度、执行过程文档、数据管理平台和工具的相关资料,填写自评估问卷。
② 评估策划阶段
评估机构受理评估申请,与委托机构针对金融机构自评估结果分析评估需求并制定评估计划。评估团队针对机构所申请成熟度等级进行贯标培训。
③ 现场评估阶段
评估组依据认证依据和评估方案实施评估,运用合适的方法及工具对文件资料、人员、环境等开展现场评估,对评估过程中发现的不符合项和建议项应开具不符合项和建议项报告。
④ 复审确认阶段
对审核中发现的不符合项,金融机构组织分析原因,并采取纠正措施。在组织完成整改或达到整改期限后,审核组对所采取的纠正和纠正措施及其结果的有效性进行验证。
⑤ 认证监督阶段
金融机构向认证机构提交认证申请,认证机构依据评估结果给出认证决定,认证决定人员对于符合要求或完成复核的受审项目,颁发认证证书。对获得认证证书的机构,认证机构将开展相应监督审查工作。金融机构获得证书后可通过国家市场监督管理总局全国认证认可信息公共服务平台查询证书详情,并核查验证证书的有效性。
业务联系人:
万老师17611631108
潘老师18252035700
李老师17303453080
四、成功案例
某大型金融机构在参与DSMM 认证前,尽管公司已开展数据安全、数据治理相关工作,但仍面临诸多挑战。数据资产管控方面,客户数据类型复杂、分布分散,流转路径多样,导致风险点难以把控;合规方面,面对不断更新的监管要求,公司在制度与技术融合上存在不足;人员层面,员工对数据安全的理解和实践参差不齐,安全意识有待提升。为深入贯彻落实集团公司对于数据安全能力建设的要求,经过审慎评估,选定中国软件评测中心(工业和信息化部软件与集成电路促进中心)通过“以评促建”的方式,开展数据安全体系建设以及DSMM认证工作。
评测中心组织专业的评估团队,围绕机构核心业务系统开展DSMM三级评估认证工作,通过文档查看、问卷调研、人员访谈、工具核查等方式,进行数据安全现状调研,对照国标识别差距项并依据丰富的评估经验给出整改建议。机构依据差距分析报告进行整改,最终顺利通过了DSMM三级认证。DSMM 认证为机构带来了显著价值。在内部管理上,构建了完善的数据安全防护体系,从组织架构到制度流程,再到技术工具和人员能力,实现了全方位的优化。公司明确了各部门在数据安全中的职责,形成了协同合作的良好局面。制度流程的完善使数据安全管理有章可循,技术工具的合理应用提升了数据安全防护的有效性;员工通过培训,安全意识和操作技能大幅提高。
该机构的成功实践表明,DSMM 认证是企业提升数据安全能力的有效途径。它不仅帮助企业满足合规要求,更能切实提升数据安全防护水平,增强企业的核心竞争力。如果您的企业也在为数据安全问题困扰,不妨借鉴其经验,加入DSMM 认证行列,开启数据安全管理的新篇章。
