随着2024年12月国家金融监管总局颁布《银行保险机构数据安全管理办法》以及2025年5月中国人民银行颁布《中国人民银行业务领域数据安全管理办法》，数据安全管理成为2025年银行业的热门话题，也将成为银行业监管部门在未来相当长时间的监管重点。为了规范自身的数据处理活动，在保障数据安全的同时促进数据合理开发利用，银行业金融机构在充分利用过往的管理经验的同时，也要深刻领悟管理办法的精神，切实落实好管理办法的要求。在这其中的重点就是要搭建良好的数据安全治理体系，建立起数据管理部门同信息科技部门的协同机制，并充分发挥一二三道防线的职责，从而构筑起全防线联动的数据安全管理体系。

一、数据管理部门同信息科技部门的协同

近年来，不少银行纷纷设立了数据管理部/数字银行部，这些部门逐步成为数据安全管理的归口管理部门，而在传统上，信息技术部则是网络安全的归口管理部门。当前的数据安全管理作为一项较为新兴的管理领域，银行面临着如何从传统网络安全管理的视角向数据安全管理视角的转变的挑战，同时，亦存在着数据安全管理人才匮乏的挑战。在此背景下，两个部门如何协同形成合力、在较为清晰的框架下发挥各自所长是数据安全体系能够得以有效构建的关键。较多场景下数据管理部/数字银行部是行内数据安全的归口管理部门，而信息技术部是数据安全的技术保护主责部门，这两个部门分别聚焦的是数据价值挖掘与技术基础设施防护，需要通过体系化的协作机制实现“数据安全”与“网络安全”的深度融合。数据安全是确保数据全生命周期（存储、传输、使用、销毁）的保密性、完整性、可用性，防范泄露、篡改或滥用，而网络安全则聚焦网络架构、传输通道、终端设备的安全性，防御外部攻击（如DDoS、APT）和内部漏洞。网络是数据的载体，数据是网络防护的目标，两者需形成“网络为盾、数据为核”的纵深防御体系。数据安全与网络安全视为“一体两面”，通过统一治理、技术融合、全生命周期管控构建动态防御体系，同时结合业务需求与威胁演进持续优化，才能实现安全与发展的平衡。

通过近些年来的发展，我们注意到了不少银行在两部门协同方面取得众多良好的实践。我们摘取了部分案例形成如下一个供参考的协同框架：

表1：职责边界与协同定位

来源：毕马威整理

数据管理部/数字银行部与信息技术部的管理能力在不断地自我提升过程中，也促成了协同水平的同步提高，该点在银行如何高效实施数据安全风险监控与处置领域尤为凸显。以下是供参考的协同水平发展的三个阶段的概况：

表2：协同能力进阶路径

来源：毕马威整理

二、一二三道防线联动，构筑数据安全管理体系

银行业金融机构在构筑数据安全管理体系时，二道防线的风险管理/合规部门以及三道防线的内部审计部门也需要形成协同防御机制，通过三道防线各司其职、动态协作，银行可实现从“被动合规”到“主动防御”的升级，系统性降低数据安全风险。我们通过以下示例来说明三道防线的协同机制：

表3：协同能力进阶路径

来源：毕马威整理

第二道防线（风险管理部和合规管理部）在数据安全管理体系中承担着预警、评估和监督的核心职能，其具体职责需围绕数据全生命周期展开，同时结合监管要求和行业最佳实践，开展数据安全的风险管理工作，具体包括：数据安全风险管理框架建设及数据安全风险管控策略拟定：建立数据安全风险预警指标体系并设置恰当的阈值，将数据安全风险纳入现有全面风险管理体系；维护数据安全风险热力图，实时展示各业务条线的风险敞口（如云存储暴露面、第三方接口风险）。

稽核审计部作为第三道防线承担着独立验证、深度审查和体系化评估的核心职责，其职能超越单纯的问题发现，更聚焦于系统性风险识别和治理有效性验证。我们注意到不少银行的稽核审计部在数据安全领域开展了很多新的探索，如：

1. 使用COBIT框架评估三道防线协同效率：如风险覆盖率、整改闭环率等等；
2. 对重大数据安全事件（如客户信息批量泄露）进行深度追踪和根因分析： 表象问题 → 直接漏洞 → 流程缺陷 → 系统短板 → 治理缺失；
3. 穿透式审计：使用工具逆向追踪敏感数据从核心系统到报表平台的全链路流转合规性；
4. 跨境数据专项审计：对数据出境场景（如境外灾备、跨国反欺诈建模）实施存储位置核查、传输加密验证、法律协议审查三重检查；
5. 个人信息保护专项审计：个人信息保护是数据安全合规中的核心内容之一，也是银行在开展业务过程中不可避免的要求。对个人信息的保护也应横向参考《个人信息保护合规审计管理办法》的要求，真正识别在个人信息保护方面存在的问题。

稽核审计部作为最终防线，需要保持独立性（直接向审计委员会汇报），其核心价值不仅在于发现问题，更在于通过体系化审计推动建立"发现问题-分析根源-完善机制"的螺旋上升式改进闭环。在数字化加速的背景下，审计职能正从传统的"合规警察"向"风险预言者"转型，这对审计人员的技术敏锐度（如理解联邦学习的安全影响）和商业洞察力（如评估数据开放与风险管控的平衡点）提出了更高要求。

本文内容仅供一般参考用，并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料，但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。

©2025毕马威华振会计师事务所（特殊普通合伙）、毕马威企业咨询（中国）有限公司及毕马威会计师事务所，均是与毕马威国际有限公司（英国私营担保有限公司）相关联的独立成员所全球组织中的成员。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体，其对自身描述亦是如此。毕马威华振会计师事务所（特殊普通合伙）——中国合伙制会计师事务所；毕马威企业咨询（中国）有限公司——中国有限责任公司；毕马威会计师事务所——香港合伙制事务所。版权所有，不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。