数据安全应该由科技部门负责吗？

近来，数据泄露、隐私滥用、数据安全越来越受到各方关注。在数据时代，企业如果忽视数据安全，那简直就等同于小儿抱金于闹市中。消费者面临的数据安全境地更加困难，因为消费者在很大程度上只能被动依赖企业的安全管理水平。

正是考虑到这点，监管部门对数据安全的规定也越来越多，越来越细。如在《数据治理指引》的二十四条中就明确要求：

“银行业金融机构应当建立数据安全策略与标准，依法合规采集、应用数据，依法保护客户隐私，划分数据安全等级，明确访问和拷贝等权限，监控访问和拷贝等行为，完善数据安全技术，定期审计数据安全。

银行业金融机构采集、应用数据涉及到个人信息的，应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准。”

很多人反映这段话不好理解，这很正常，因为这个要求是对针对整个银行的，把安全管理的策略、管理需求、管理手段、技术、管理内容、目的等糅在了一起。
 

下面，我们一起梳理下数据安全管理体系，梳理的同时，相应的负责部门我们也一并明确。
 

数据安全管理可分为四个主要任务:

1、梳理数据安全需求。

根据监管规定，隐私保护，及业务要求来整理分析数据安全管理需求。主要输出:

数据安全级别设定(5级，7级等)；

全行数据的分类（一般几个一级主题，下面二级主题)；

每类数据的安全分级(每一类数据对应的安全级别，及安全管理要求)，注意一点，同一安全级别的数据，其安全管理要求可以是不同的。

这个任务是从数据层面进行，几乎涉及全行所有业务，应该由数据部门牵头负责，业务部门配合。

2、制定安全策略。

针对每一类数据的安全要求，制定安全管理策略，即具体管理手段。制定的方法主要从数据生命周期(数据采集、数据存储、数据处理、数据传输、数据共享、数据销毁)，以及加工路径出发，设计每个环节的管理控制手段。

这个任务应该数管部牵头，业务部门、科技部门配合，科技部门主要关注安全策略的技术可行性。

3、安全策略落地。

安全策略的落地又分两个部分。

一是管理层面，具体的组织架构、职能流程、制度办法，数据管理部门负责。

二是系统层面，建设改造系统，将安全管理策略落地到系统功能中，科技部门负责。

4、策略执行监控。

全行上下遵循安全策略要求，数管部统筹负责，监测反馈优化。

上面4个任务是数据安全管理的核心工作，如果比喻为软件工程，这四个任务分别对应着：用户需求阶段、方案设计阶段、系统建设阶段、上线运营阶段。

在业内实践中，相比数据标准、数据架构、元数据、主数据等主题，数据安全领域相对较新，很多银行也常常把数据安全作为一个非功能需求直接让科技部门负责，具体包括：
 

负责制定本行统一的数据安全整体保护策略；

负责制定数据安全等级划分标准等。

显然，科技部门既无数据能力，又缺相关资源对数据安全进行体系化地管理，只能把数据安全管理降维到登录控制、权限设置、USB失效等技术层面上。

来源：数据管理及应用