1 本报告版权属于数据安全推进计划，并受法律保护。转载、摘编 或利用其它方式使用本报告文字或者观点的，应注明“来源：数 据安全推进计划”。 违反上述声明者，编者将追究其相关法律责任。版权声明• 中国工商银行股份有限公司 • 中国建设银行股份有限公司 • 交通银行股份有限公司 • 中国邮政储蓄银行股份有限公司 • 平安银行股份有限公司 • 上海银行股份有限公司 • 中原银行股份有限公司 • 齐鲁银行股份有限公司 • 华泰证券股份有限公司 • 中国国际金融股份有限公司 • 国信证券股份有限公司 • 光大证券股份有限公司 • 兴业证券股份有限公司参编单位金融作为数据密集型行业，面向个人和组织提供众多金融产品和服务，具有数 据规模巨大、数据价值高、数据应用场景复杂等特点，对数据安全有着天然的诉求。 同时， 《个人金融信息保护技术规范》、 《金融数据安全 数据安全分级指南》、 《金 融业数据能力建设指引》、《金融数据安全 数据生命周期安全规范》、《证券期货 业数据安全管理与保护指引》等行业监管政策和标准陆续发布实施。在内外双重压 力下，金融业强化数据应用的安全性与合规性迫在眉睫。 在此背景下，数据安全推进计划金融工作组联合十余家金融机构数据安全专家 团队，共同编制了本报告。本报告选取了来自不同规模、不同类型的金融机构的数 据安全治理典型案例，详述了各类型金融机构开展数据安全治理工作的建设思路、 整体解决方案或体系架构， 并归纳了各项建设方案的主要亮点， 期望通过这种方式， 为不同类型金融机构的数据安全建设提供有益参考。前 言CATALOGUE1 35 5801 02 031 8 14 23 27 31 35 40 47 53 58 63 68银行业数据安全治理体系建设与实践 ( 一 ) 中国工商银行 ( 二 ) 中国建设银行 ( 三 ) 交通银行 ( 四 ) 中国邮政储蓄银行 ( 五 ) 上海银行 ( 六 ) 中原银行 证券期货业数据安全治理体系建设与实践 ( 一 ) 华泰证券 ( 二 ) 国信证券 ( 三 ) 光大证券 ( 四 ) 兴业证券 金融行业关键场景建设与实践 ( 一 ) 平安银行数据安全分类分级平台建设与实践 ( 二 ) 齐鲁银行数据安全分类分级体系建设与实践 ( 三 ) 中金公司数据脱敏平台建设与实践目 录1 一、银行业数据安全治理体系建设与实践 ( 一 ) 中国工商银行 随着大数据技术和产业的不断发展壮大，数据对经济的推动作用日益显著。近 年来，国家、行业相继出台了多部数据安全领域的法律、法规、国家标准以及行业标 准， 对企业数据安全提出了更高的要求。 金融行业数据安全风险的识别难度不断增大、 风险的管控复杂度不断增加、风险的危害程度不断提升。在此背景下，工商银行开展 了新一轮的数据安全管理体系提升工作，面向全行数据要素，坚持安全与发展并重， 既充分发挥数据价值， 促进数据要素市场化， 又避免数据隐私、 数据泄露、 数据滥用、 数据损失等方面带来的安全问题。 ▶ 1. 中国工商银行数据安全管理建设思路 （1） 以国家行业标准为指导，持续对标提升建设能力 2021 年工商银行数据管理能力获得了国家数据管理能力成熟度评估（简称 “DCMM”）的最高等级，成为金融业首家获得 DCMM 最高等级评估的企业，标志 着工商银行在数据管理领域取得新的阶段性突破。DCMM 中从 8 大能力域对数据管 理能力成熟度进行评估，具体包括：数据战略、数据治理、数据架构、数据应用、数 据质量、 数据安全、 数据标准和数据生存周期。 其中， 数据安全包括了数据安全策略、 数据安全管理等二级能力项。数据安全策略是数据安全的核心，包括建立统一的数据 安全标准，提供适用的数据安全策略；数据安全管理是在数据安全标准与策略的指导 下，通过对数据访问的授权、分类分级的控制、监控数据的访问等进行数据安全的管 理工作，满足数据安全的业务需要和监督需求，实现组织内部对数据生存周期的数据 安全管理。 2019 年出台的国家标准《GB/T 37988-2019 信息安全技术 数据安全能力成熟 度模型》提出了 DSMM 模型，以数据为中心，关注数据的采集、存储、传输、处理、 交换、销毁生命周期安全，从组织建设、制度流程、技术工具、人员能力 4 个维度对 数据安全能力成熟度进行分级阐述。2020 年金融行业出台的《JR/T 0197-2020 金 融数据安全 数据安全分级指南》给出了金融数据安全分级的目标、原则和范围，以2 来源：工商银行 图 1 工商银行数据管理架构及数据安全定级的要素、规则和定级过程。《JR/T 0223-2021 金融数据安全 数据生 命周期安全规范》则在数据分级的基础上，规定了金融数据生命周期安全原则、防护 要求、组织保障要求以及信息系统运维保障要求，建立覆盖数据采集、传输、存储、 使用、删除及销毁过程的安全框架。 工商银行依据相关标准，分析数据采集、传输、存储、使用、删除和销毁生命 周期各个环节的技术和管理要求，建立全方位的数据安全能力。 （2）以全行数据战略为指引，夯实数据安全管理体系 工商银行制定数据战略规划，从顶层明确集团数据安全管理战略，强化集团数 据安全管理体系，做强集团数据安全“事前、事中、事后”三重防控工作，防范化解 数据安全风险。 工商银行以全行数据战略为指引，以数据治理管理机制为保障，以系列技术平 台为支撑，建成了涵盖数据架构、数据标准、数据质量、数据安全、数据应用等活动 领域的企业级数据管理体系，如图 1 所示。 在充分对标国家行业标准的基础上，工商银行结合自身数据战略、数据管理体 系后，建立基于数据全生命周期的数据安全管理三层框架体系，从治理层、管控层、 技术支撑层三个维度开展数据全生命周期安全管理工作。3 （3）以对外标准共建为契机，主动对外共享工商银行智慧 工商银行作为中国信通院隐私计算联盟成员单位、数据安全推进计划成员单位、 人行北京金融科技产业联盟成员单位，参与多项业界数据安全相关标准建设工作，如 牵头编写《联邦学习金融应用技术规范》《金融数据保护治理白皮书》《联邦学习技 术白皮书》《多方安全计算金融应用现状及实施指引》等。 ▶ 2. 中国工商银行数据安全管理实践 金融是数据密集型行业，生产经营过程中积累了海量数据金矿。两法出台后， 工商银行坚决遵守国家法律规定，坚持问题导向和目标导向，重点聚焦数据安全各项 热点问题，从数据安全治理体系、数据安全管控机制、数据安全管理技术平台等方面 不断推进数据安全管理实践，打造金融行业数据安全管理标杆。 （1）建立完备的数据安全治理体系 工商银行从数据安全方针策略、数据安全组织架构、数据安全制度规范体系三 个方面指导数据安全工作满足监管要求以及风险管理需要，并形成如图 2 所示的治理 体系。 数据安全方针策略方面，工商银行制定了完善的数据安全方针策略，明确数据 安全的管理遵循“依法合规、分级管理”及“谁主管、谁负责”“谁使用、谁负责” 的原则，对数据及数据归属系统的安全进行全面审慎管理。 数据安全组织架构方面，工商银行建立基本完备的数据安全组织架构体系，基 于金融科技发展委员会，从科技和业务两个条线开展数据安全管理工作。 数据安全制度规范体系方面， 分为业务管理条线和技术管理条线。 业务管理方面， 围绕数据安全策略、数据安全管理等方面制定并发布了企业级管理制度体系，紧跟国 家相关政策、法律法规的变化，持续夯实和完善数据安全业务管理制度保障和支持能 力。技术管理方面，根据数据安全管理的新要求、新趋势、新特点，围绕数据生命周 期安全建立和完善数据安全管理技术规范体系，在整个研发管理过程中严格规范数据 安全管控要求。 （2）建立覆盖数据全生命周期的数据安全管控机制 工商银行聚焦不同安全等级数据在生命周期各阶段的保护要求，持续促进数据 安全管理工作的提升。