在数据驱动模式下，邮储银行面临挖掘数据价值和确保数据安全的平衡难题，抓全局与选重点之间的决策难题，业务效率与安全合规之间的权衡难题，理论指导与实际操作的偏离难题。具体而言，面临如何搭建全行数据安全评估体系、开展数据安全评估时评什么、怎么评、谁来评的等关键问题。

行动

邮储银行数据管理部针对全行关键业务场景开展专项数据安全评估，识别潜在的安全隐患，制定针对性的防护措施。对涉及数据出境的活动进行出境评估，确保数据出境的合法性、正当性和必要性。此外，开展年度数据安全全面风险评估，覆盖全行各类业务及管理活动数据生命周期全流程，全面识别、分析数据安全风险，制定应对策略，提升整体数据安全管理水平。

结果

邮储银行搭建数据安全风险评估体系，通过专项评估、出境评估、全面评估，为企业构建全方位、多层次的数据安全风险防御网，通过细致入微的风险判断、精准的定位与对标，推动企业数据安全治理工作步入新台阶，助力企业在数字化浪潮中稳健前行。

一、案例企业

中国邮政储蓄可追溯至1919年开办的邮政储金业务，至今已有百年历史。发展至今，邮储银行共设立36家一级分行，拥有近4万个营业网点，遍布全国99%的县（市），服务个人客户超6.5亿户，致力于为中国经济转型中最具活力的客户群体提供服务，加速向数据驱动、渠道协同、批零联动、运营高效的新零售银行转型。

2019年10月，邮储银行正式组建“管理信息部”。2022年末，部门正式更名为“数据管理部”，负责全行数据治理、数据分析应用、综合类监管统计报送、数据类系统建设，及数据安全工作，承载着全行数据资产统筹管理与服务的职责使命。

二、项目背景

数据作为信息化时代最重要的无形资产之一，能够为金融机构带来巨大的发展潜力，高质量的数据和安全的数据环境有利于增强客户服务体验，最终提升银行的竞争力和市场表现。但数据价值的深度挖掘往往伴随着数据泄露和滥用的风险，过度强调数据价值挖掘可能导致数据保护措施不足，而过分强调数据安全又可能限制数据的有效利用，影响业务决策和创新。如何在充分激发数据价值的同时，确保数据的安全性和隐私保护，成为了一个亟待解决的平衡难题。邮储银行作为大型国有银行，响应国家监管要求，持续提升数据安全管理水平，保障客户权益，践行社会责任，展现大行担当。

数据安全评估，评什么？数据安全监管要求变化快速，亟需探索具体可实施的评估关注要点。如何深入业务场景，与每一项数据处理活动相结合，仍有待探索。

数据安全评估，怎么评？数据安全评估需要耗费时间和资源，严格的评估流程可能拖慢项目进度，影响业务发展的速度。如何在保证数据安全的前提下，探索适合当前发展实际的评估标准是当前面临的一大痛点。

三、解决方案

邮储银行以数据安全专项评估、出境评估、全面评估三个抓手为主线，搭建全行数据安全风险评估体系。通过专项评估细粒度判断典型业务场景数据处理风险，通过出境评估精准定位跨境数据流通风险，通过全面风险评估，地毯式对标最新监管要求，查找短板、精准提升。邮储银行准确定位数据安全风险，不断优化数据保护策略，为银行的稳健发展奠定坚实基础。

（一）专项评估

邮储银行现已形成稳健运行的数据安全专项评估流程。一是由业务部门联合技术实施部门牵头提出专项评估申请，明确处理数据的类型、范围、安全级别、用途、必要性、涉及信息主体和拟定保护措施等内容。二是在数据安全管理牵头部门的组织下，风险管理、内控合规、法律事务和其他相关业务、技术等部门共同开展评估，形成评估结论，提出改进建议。三是业务部门和技术实施部门整体优化重点场景的具体实施方案，强化重要数据流转活动的数据安全防护水平。四是根据“谁管业务，谁管业务数据，谁管数据安全”基本原则，由业务分管行领导把关本次数据处理活动的实施方案。

邮储银行已经完成近百个业务场景或第三方机构数据流转活动数据安全专项评估，覆盖业务经营、营销获客、风险防控、信息报送、数据整合与风险等各类数据应用场景。

（二）出境评估

邮储银行选择某国际汇款业务为试点场景，开展数据出境风险自评估工作，建立行内数据出境安全评估工作机制，探索形成数据出境安全评估工作方法及流程。同时，组织总行各部门梳理、排查存量数据出境场景。邮储银行基于某国际汇款业务试点工作，实践总结出《数据出境风险自评估报告》的编写方法、编写框架及重点编写内容等，并于2024年发布《数据出境安全评估实施细则》，为我行开展数据出境安全评估工作提供制度依据。

（三）全面评估

为全面掌握全行数据安全工作开展情况，防范重数据泄露风险，提高全行数据安全保护意识，邮储银行连续两年开展全行范围内的数据安全风险评估工作，已形成一套科学、全面、重点突出的数据安全全面评估实践。

拆解细化，精准定位。将国家及金融行业相关标准及规范，细化为可落地、可自查的评估要点，逐一细化评估方法、评估方式、评估工具，确定评估对象，并提供评估结果描述参考。结合文档调阅、现场访谈、工具核验等多重方式，定位管理职能层面、系统落实层面在数据处理、存储、传输、共享等各个环节中可能存在的安全隐患和薄弱环节。

重点突出，主客结合。结合个人金融、公司金融、零售信贷、对公信贷、信用卡、资金财管等主要业务板块，抽取总行若干业务部门及信息系统，开展现场调研访谈，并借助Burp Suite、SQLMap等工具针对系统开展测试，核验数据采集、传输、存储等各环节技术措施部署情况，提升数据安全风险评估结果的科学性、客观性。将自评估结果与调研评估结果相结合，更加客观全面地暴露数据处理各环节风险。

加强宣贯，重在引导。选取若干一级分行及子公司，开展全方数据安全治理能力指导，帮助基层更好地落实数据安全各项要求，厚植数据安全文化。分别针对各单位数据安全风险评估对接人、系统负责人开展两次宣贯指导，让各单位评估工作接口人了解工作进度及里程碑，提高系统自评自查效率。与此同时，评估期间加强对评估工作相关人员的随时答疑与指导，力求各单位对评估指标理解到位、标准一致。借助数据安全年度风险评估，对全行上下开展一次全面的数据安全文化引导。

2024年数据安全风险评估共开展近60场次的系统、部门及分行访谈，以评促进、以评促改，通过对全行数据安全领域的全面年度体检，聚焦能力短板，实现下一阶段的精准提升。

四、价值效果

经过近年来的持续积累和深入探索，多方位考虑企业发展过程中的迫切需求，邮储银行以“两个重点关注、一项全盘扫查”为思路，在数据价值充分释放及数据安全监管日益趋严的双重背景下，践行数据安全评估创新路径。

精炼评估要素，构建评估体系，构筑全方位数据安全风险屏障。在数据安全专项评估工作中，邮储银行制定了统一的数据安全专项评估模板。在数据出境自评估工作中，构建了一套涵盖业务场景梳理、信息系统排查、数据链路分析以及自评估报告编写等多个关键环节的科学、系统的工作流程及方法论。在数据安全全面评估中，探索形成一套覆盖从组织架构、体系建设、人员能力、业务管理、通用技术、系统能力六大方面的数据安全全面评估体系，为金融行业数据安全全面评估提供有益参考。

引入备案机制，兼顾安全与效率，形成可复制创新实践经验。基于数据分类分级结果，邮储银行设立数据安全专项评估备案流程，兼顾评估的效率和安全性。固化工作流程与机制，明确评估周期与触发条件，确保全行上下遵循统一的工作路径与审批流程。高度重视宣贯与引导工作，帮助员工更好地理解和掌握评估方法和流程。

联动多方参与，共同推进数据安全评估工作，形成数据安全文化热潮。数据安全专项评估方面，联动数据安全牵头管理部门、业务需求部门、风险管理、内控合规、法律事务及相关技术等部门多方力量；数据出境评估方面，建立了由数据安全管理部门，出境业务场景相关业务部门、系统建设部门、运维部门、职能部门等共同组成的出境评估联合工作小组；数据安全全面评估方面，成立由总分、业技、法规等单位组成的评估工作小组。多方参与形成良好的合作氛围和高效的协同机制，促使“数据安全人人有责”的理念深入人心。