现状:箭在弦上 难点犹存
数据分类分级的工作而,金融机构在实际操作过程中存在两大难点:一是需要适配和兼容各类外部要求;二是面对海量数据,分类分级如何落、怎么用。
难点1:各类外部要求需适配和兼容
数据分类分级工作须应对多种监管视角产生的管理要求,面临多种分级体系,以金融行业为例:中国人民银行、银保监会分别颁布了《金融数据安全数据安全分级指南》(下称《指南》)、《银行保险机构数据安全办法》(下称《办法》)两份文件,其中对于数据分类与数据分级的侧重点有所不同,无法简单地通过把两套分类分级体系进行合并去重达到无缝衔接的目标。
因此,面对日趋严苛的法律法规、纵横交错的各类监管发文与要求,企业应如何求同存异、兼收并蓄,形成一套能够适配兼容各外部要求的数据分类分级体系的建设需求迫在眉睫。
难点 2:面对海量数据,分类分级如何落、怎么用
随着互联网和技术日新月异,数据量以指数级增长,字段、表、数据集合等各类粒度的数据如何分类分级,企业应该如何在效益最大化地在目标与规划指引下开展数据分类分级落地实施工作,如何推动企业内部各方协同参与其中,如何展现分类分级成果让企业真正用起来等众多落地问题,是需要企业通过深思熟虑加以解决的难点。难以落地的纸上谈兵式分类分级方案对于企业来说毫无价值,非长久之计。
实践:五步推进有序落地
IBM将在数据分类分级规划与落地实践过程中的经验加以沉淀归纳,形成目标明确、落地指导性强的路线图(见图1),总结为以下五步:一、解读权威,求同存异;二、选准载体,梳理逻辑;三、多方合作,认定数据分类分级;四、智能工具,提质提效;五、成果应用,促进数据安全共享。
第一步:解读权威,求同存异
如何落好数据分类分级的第一步棋,首先是需要企业充分掌握并深入理解各类外部规范和监管发文的要求,寻找共性、紧抓重点、兼容差异,有的放矢地指导落地实施工作。如果盲目按部就班只停留在要求的表面意思,而未理解其中的深意与逻辑,则后续工作开展难以实现稳抓稳打,数据分类分级落地效果亦可能差强人意。
案例:
在与某股份制银行合作开展数据分类分级规划与落地过程中,IBM充分结合行内外有关要求与现状,围绕《指南》、《办法》等多项监管要求进行详细地解读与分析,寻找各文件的内在联系与对应关系(见图2),从而打造出一套适配各类监管来源的数据分类分级框架,为某股份制银行后续开展打标工作的提供清晰、明确、可操作性强的指导。
第二步:选准载体,梳理逻辑
数据分类分级的落地实施需要通过打标载体,将分类分级标签流转到具体库表当中,是数据分类分级落地过程中重要的影响因素,因此选准载体不仅能够推动数据分类分级在系统中的落地成效,也能加速分类分级标签在系统间的流转效率。企业应全面调研自身系统建设情况,评估自身企业架构是否完备、数据标准建设是否成熟等因素,选择最合适的载体作为分类分级工作开展的主体,审慎平衡成本与效益。IBM总结出常见的四种数据分类分级打标载体的实施特点和前置条件(见表1)。
在某股份制银行开展数据分类分级落地工作中,IBM对该行的数据标准、C模型等载体进行摸查并结合企业特色,综合考虑所需投入的人力与物力因素及产出效益,建议选择企业级数据字典作为载体开展后续分类分级的落地。通过企业级数据字典打标的方式全方位覆盖该银行所涉及的业务范围,实现系统在新增数据项时能与已形成的数据分类分级规则正确映射、应落尽落。同时,通过元模型设计将两套不同视角的分类分级标签打到字典项,通过系统间的流转实现分类分级落地。