“四个防范”确保数据安全 稳住经营发展基石

在数字经济背景下，兴化农商银行顺应新时代发展要求，以推进乡村振兴为总抓手，以数据为关键生产要素，以科技为核心生产工具，积极开展数字化转型实践，发掘数据要素生产价值，通过精准营销数据推送、客户标签管理、客户风险管理，探索适应本行数字化转型的可行路径。随着数据要素价值实现的同时，安全问题也越来越突出，兴化农商银行始终坚持数据应用和数据安全“两手抓，两手硬”，强化数据治理，破解数据安全之困。

完善机制，防范流程管理漏洞

数据是银行的生命线，银行有妥善保管客户交易信息的责任，避免泄露或非法篡改，给客户和银行造成不必要的损失，不同业务系统之间数据的一致性对于保障各项业务的有效开展也很重要。突发事件发生时，数据的完整性和可用性对于关键业务系统的及时恢复更是实现银行业务连续的关键。结合《中华人民共和国数据安全法》《江苏省联社信息安全管理办法》中的要求，修订《江苏兴化农村商业银行股份有限公司信息安全管理办法》，对数据安全的管理范畴和人员职责进行定义。同时，将数据安全治理纳入到战略管理，建立业务连续性管理委员会、科技管理委员会，明确科技部门牵头负责、各级机构配合执行的数据安全管理组织架构，并明确各级机构的工作职责，形成权责明确、高效有序、路径清晰的数据安全管理机制。

纵横交错，防范网络恶意攻击

兴化农商银行随着信息化进程的稳步推进以及柜面无纸化的全覆盖，客户对网络安全的需求逐步提升，数据安全与客户隐私成为未来网络安全保障的重中之重。银行业作为金融行业的基础保障，网络安全较其他行业一直处于领先位置，但依然无法杜绝网络安全事件发生，甚至呈现愈演愈烈的趋势，科技金融领域针对客户资料及企业重要业务数据的安全事件比例高达44%，其中客户资料泄露与企业敏感信息泄露各占一半，源码型病毒、嵌入型病毒和操作系统型病毒各类链接式病毒防不胜防，对DDoS 攻击、Windows攻击、UNIX攻击的系统性病毒层出不穷，网络安全风险隐患无处不在。兴化农商银行以网络及数据安全为核心，树立“零信任”理念，从“口令管理、终端防护、平台防护、互联网安全防护”等入手，安全管理关口前移，强化新型漏扫工具、日志审记、数据库审记系统、数据脱敏系统等更新建设工作，推进内外网安全防护平台维护更新，引入外部科技信息安全评估机制，纵横防御，构建与现有业务环境相匹配的信息安全管理体系和运行平台，为经营业务持续、稳定、安全发展保驾护航。

过程管控，防范数据传输风险

目前，兴化农商银行拥有各类客户146.87万户，年业务交易达460多万笔，面对这样庞大的数据体系，谨防客户信息数据被破坏、篡改和泄露是一项重要工作。制定敏感数据加密、脱敏策略。在内部办公、数据交换、系统测试开发过程中，存在大量的数据交互，如果直接使用未脱敏的数据，极有可能造成数据泄露。为此，兴化农商银行建立完整的敏感数据脱敏策略来应对数据流转过程中的泄露风险，始终把保护客户隐私和信息安全放在第一位。例如，在企业微信中提供给营销人员的客户信息，对于较为敏感的证件号码和手机号码，均进行脱敏处理。强化数据使用共享的流程管控机制。前期发现，数据库管理人员可直接下载数据使用，或者发送给其他部门，敏感数据也未进行加密处理，存在一定风险。针对这一问题，兴化农商银行建立数据使用规范，所有数据需求必须从办公系统OA进行流程申请，数据库管理人员从OA中为申请人员供数，由科技部负责人对数据规范性进行审查。建立接口统一管理平台、规范接口使用。针对前期接口文档管理混乱、接口描述不清、后期测试效率低下、出现问题无法追踪的现状，兴化农商银行自建接口管理平台，对接口进行统一管理，只需提供一个统一接口，即可被多个客户端重复使用，分工、协助、使用更加精细规范，大大提高了工作效率，也有效防范传输风险。

源头治理，防范数据应用偏差

近年来，大数据、云计算、人工智能、5G技术、区块链技术，这些科技重塑金融商业模式，颠覆传统思维，把以往各自封闭的体系打碎，全新的金融生态链创造出了前所未有的巨大价值。由于疫情影响，数字金融更是得到了一个“井喷式”的发展，“零接触金融服务”与“数字基建”俨然成为金融行业的热词，迫使商业银行进行数字化转型，对客户信息和业务数据进行深入挖掘，实现数据的再加工利用，而高质量的数据源无疑是为数据分析、数据挖掘夯实牢固的基础。建立数据标准化管理要求。兴化农商银行在全行范围内推进数据治理目标，规范核心系统、财务系统、信贷风险管理系统、资金业务系统、票据系统、国结系统等基础数据源的录入，强化考核机制，倒逼提升数据质量，保证数据源头的正确性。例如：2020年信贷业务数据治理过程中，兴化农商银行从贷前调查、用信审查、数据质量等八个环节对信贷业务数据采集的准确性进行专项核查，并进行常态化管理，共计处罚475人次、7.52万元，经过半年多的强化监督考核，数据问题差错率从7.7%下降到0.6%。开展历史留存问题数据清理。如开展对公客户数据清理工作，共梳理出包括统一社会信用代码错误、财务人员名称为空、注册地址错误等20余种错误，由风险管理部牵头设立专人，专岗负责对接、汇总、分析和派单；梳理出职业类型为“不便分类其他从业人员”、证件有效期“未满46周岁为长期有效”、证件类型“超过16周岁仍为户口簿”等账户不规范模型，筛出客户名单，由运营管理部将问题数据分批次下发开户支行进行逐一清理。坚持问题导向，切实提升我行数据质量水平。引进外部先进治理系统。运用省联社自行开发的EAST直报系统与外包公司开发的数据治理系统，借鉴外部先进技术对本行源数据进行治理，共设计1400余条校验规则。根据校验出的错误有针对地进行数据整改，逐步夯实数据基础，为后期深入挖掘数据资产价值，实现业务数据化、数据信息化到信息价值化的“三步走”战略打下坚实的基础。