数据安全监管趋严，数据安全建设进入深水区 基于毕马威最新发布的《“监”听则明:2025年二、三季度金融业监管数据处罚分析及洞察建议报告》，在近两 个季度关于数据安全/合规的监管处罚不论是从涉及机构数量、罚单数量还是金额上相交于以往均有着明显的增 长趋势。基于对处罚事由的分析，毕马威发现监管主要关注重点也从原来的治理层面数据安全职责的明晰设置， 落地的数据安全管理体系。但基于毕马威团队观察，当前银行业整体的数据安全工作存在如下问题：一、两级分 化严重：部分成熟度较高银行已经具备了体系化的数据安全管理模式，而众多规模较小的金融机构尚处于被动合 规的阶段，针对如何开展数据安全工作缺乏自身的资源积累；二、工作开展思路不同：数据安全的管理尽管与传 统的信息安全管控存在关联关系，但实质上更应站在“业务场景中数据安全风险”的角度来管理数据安全风险， 较多银行仍停留在传统的信息管理视角，将数据安全管理归结为技术问题。 从整体的数据安全管控落地情况来看，众多大型商业银行在总行层面数据安全体系已经相对完善，其挑战更多的 是如何将数据安全管控触角延展到其分支行及机构；而对于中小型银行来说，不论是管理思路上，亦或是治理机 构及技术应用层面，其数据安全管控仍亟待完善。基于此，我们建议银行应该： 建立统分结合的多级数据安全管理体系，明确各层级责任边界，夯实业务部门数据安全主体责任，进而实现数据 安全风险在业务前端环节的有效管理。 数据安全管理部门应加强与数据安全技术支撑保障部门（信息科技部门）的联动，充分借助现有网络安全风险监 控手段，实现日志集中分析与异常行为自动预警。实现常态化数据安全应急演练的开展，充分覆盖数据泄露、非 法获取、非法共享等典型场景，优化“隔离-取证-恢复”处置流程。 银行业金融机构在构筑数据安全管理体系时，二道防线的风险管理/合规部门以及三道防线的内部审计部门也需 要形成协同防御机制，通过三道防线各司其职、动态协作，银行可实现从“被动合规”到“主动防御”的升级， 系统性降低数据安全风险。 ②2025毕马威华振会计师事务所(特殊普通合伙)－中国合伙制会计师事务所，毕马威企业咨询(中国)有限公司－中国有限责任公司，毕马威会计师事务所一澳门 特别行政区合伙制事务所，及毕马威会计师事务所一香港特别行政区合伙制事务所，均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全 球组织中的成员。版权所有，不得转载。