日前,中国人民银行、金融监管总局、证监会、国家外汇管理局联合发布《金融业网络安全管理办法(征求意见稿)》(以下简称《办法》),明确要求金融从业机构建立网络安全管理组织架构和议事决策机制,指定网络安全牵头管理部门。《办法》反馈截止时间为2026年8月3日。
当前,金融数字化转型热烈,网络安全风险与业务创新的张力持续加剧。分析人士指出,《办法》将推动行业从“被动合规”转向“主动防御”,但银行在治理顶层设计、数据资产底数、商用密码落地等方面仍面临系统性挑战。
金融数字化转型短板暴露
《办法》的起草说明指出:“金融数字化转型进程中,金融服务对网络的依赖日益加深,金融网络彼此互联互通、紧密交织。网络运行维护复杂度高、供应链安全保障涉及面广、有组织高强度网络攻击时有发生、新兴技术与业务融合应用紧密等风险叠加共振,潜在威胁到金融稳定和金融安全。制定《办法》,概括性明确金融业网络安全合规底线及触碰底线时应承担的法律责任,是国务院金融管理部门保障金融体系持续平稳运转,助力防范网络安全风险向金融风险演变的必要举措。”
高压态势已在监管层面显现。2026年上半年,银行业数据安全违规罚单超过50张,其中百万元级罚单达20余张,有银行因数据问题单笔被罚1110万元。密集开出的罚单背后,是行业网络安全治理能力的系统性短板。
易观千帆金融行业咨询专家陈毛川将当前银行网络安全的核心短板归纳为四个方面。一是治理顶层权责缺位,安全责任处于悬空状态。多数银行虽形式上设有制度,但网络安全与数据安全管理长期附属于科技或风控部门,缺乏独立、权责对等的高层议事决策机制和专职牵头部门,除此之外,业务、风控、合规、科技各管一段,客户数据采集、存储、共享、销毁全链路无统一兜底责任主体,出现泄露后无法精准追责,甚至部分中小银行无专职网络安全负责人,一人多岗、安全岗位兼职化。
二是数字化转型重业务、轻安全,技术防护碎片化。线上信贷、手机银行、智能营销等快速迭代,而银行存量老旧系统改造滞后、第三方外包管控失控、攻防运营能力薄弱等形成大量风险敞口。
三是数据资产底数不清,分类分级落地困难。大量银行尚未完成全行数据资产盘点,客户敏感信息、重要数据边界模糊,分类分级仅停留在制度层面而未嵌入业务系统,分级标准与权限、加密、脱敏、审计规则脱节,高敏感数据仍存在超权限查询、批量导出、跨机构违规共享漏洞。
四是商用密码、等保合规落地不彻底,合规标准执行打折扣。虽然等保制度推行多年,但行业普遍存在商用密码应用覆盖不全、等保测评整改流于形式、标准衔接混乱等问题。
IDC中国金融行业研究经理思二勋从更宏观的视角指出,当前银行网络安全核心短板已从单一的技术漏洞,演变为战略认知、管理体系、技术架构与运营能力等多维度的系统性失衡,主要表现在:“重业务轻合规”的战略短视,例如,网络安全往往被视为合规成本而非核心能力,经常会出现新业务“先上线、后补安全”的情况;网络安全治理体系尚未真正落地,例如,组织之间存在“治理断层”、全生命周期管理缺位等问题;以及技术架构与安全运营能力滞后,因银行长期存在“烟囱式”碎片化IT环境,使得统一安全策略难以落地,例如威胁监测碎片化,告警数据存在孤岛,新型威胁识别滞后等问题。
“监管的‘零容忍’正在推动行业从‘被动合规’转向‘主动防御’。未来,银行亟须将安全治理提升至核心战略高度,打通‘战略—管理—技术—运营’的闭环,构建坚实的‘网络安全底座’。”思二勋说。
组织架构与技术落地双重破局
面对《办法》明确的治理要求,银行业已闻风而动。2026年年初,恒丰银行新设首席数据官和首席安全官两大高管岗位;江苏银行党委书记、董事长为网络安全和数据安全工作第一责任人,江苏银行首席信息官为网络安全和数据安全工作直接责任人等。
本次,《办法》明确要求金融从业机构建立网络安全管理组织架构、指定网络安全牵头管理部门。
在思二勋看来,组织架构调整的核心趋势是让网络安全从IT部门的内设职能,上升为需要全行治理协同的战略性事务。他建议银行从三个层面系统应对:决策层实体化,设立由行长或董事长直接挂帅的网络安全与数据管理委员会,明确议事规则和重大事件快速决策机制,让网络安全真正成为“一把手工程”;牵头部门独立化,将信息安全职能从科技部门剥离,成立一级部门“网络安全部”或“数据安全部”,赋予其对业务部门的考核权与“一票否决”建议权,改变“安全求着业务”的局面,同时加速首席网络安全官或数据安全官岗位的落地;责任穿透到业务一线,在各业务条线、分支机构设置专职网络安全专员,形成“纵向到底、横向到边”的矩阵式管理,让安全不再是科技部门的独角戏,而是业务部门自身风险管控的一部分。
陈毛川进一步细化了落地路径。他指出,《办法》核心是建立“董事会—高管层—专职牵头部门—业务条线—分支机构”五级闭环治理架构,建议银行分四步完成架构重塑:第一步,落地顶层议事决策机制,设立董事会网络安全专项委员会,成立行长牵头的全行网络安全工作领导小组,形成常设议事决策机制;第二步,单独设立网络与数据安全管理部作为全行唯一牵头管理部门,独立于信息科技部,科技部仅承担技术实施,安全合规决策权;第三步,搭建横纵向贯穿的分层执行架构,确保横向跨部门协同高效、纵向分行穿透管理彻底、第三方供应链安全有保障;第四步,为架构配套考核与问责机制,将网络安全履职情况纳入董事会、高管和业务部门KPI,建立双线追责机制,并设立独立安全预算通道,避免业务挤压安全投入。
值得一提的是,《办法》明确要求按国家网络安全等级保护制度使用商用密码保护网络安全,并加强网络数据分类分级管理。
思二勋告诉《中国经营报》记者,这两项工作在技术落地时,难点并非“买设备”或“打标签”,而是如何在不中断业务、不显著拖垮性能的前提下,完成深水区改造。
思二勋指出,商用密码改造的难点主要有,第一,存量系统改造阻力大:银行老旧异构系统多不支持国密算法,深度改造易触及核心业务逻辑;叠加7×24小时业务连续性要求,跨厂商设备适配性差,平滑迁移难度与成本高。第二,全链路加密难闭环:普遍仅实现传输加密,存储、计算态数据仍存明文风险;密钥分散管理,跨机构交互标准不统一,存在加密断点。第三,高并发性能难平衡:国密算法算力开销大,核心交易高并发场景易抬升系统延迟;中小银行硬件支撑不足,移动端适配还需兼顾用户体验。
陈毛川认为,数据分类分级的难点集中于海量异构数据资产全面盘点难度大,存量数据底数不清;数据分层流转衍生管控盲区,分级无法一劳永逸;静态分级无法适配动态业务迭代,增量数据容易失控;分级成果与权限、脱敏、加密技术管控脱节。
陈毛川还特别指出了两项工作协同落地面临的共性叠加难点是跨部门协同存在壁垒,安全部门与业务、科技部门之间协调成本高;改造成本压力大,尤其对中小银行构成严峻挑战;合规持续运营要求高,改造完成后仍需持续投入维持合规水准。