近期，上饶银行、邢台银行因信息安全管理不到位被监管部门处罚。

　　国际数据公司（IDC）金融行业研究经理思二勋分析，信息安全是业务的连续性和可持续性的重要保障。当前，中小银行在信息安全领域面临的根本矛盾，在于外部环境日益复杂、监管要求不断趋严，与自身技术能力、管理水平和资源投入相对有限之间存在明显落差。

　　从监管政策来看，2024年12月国家金融监督管理总局发布《银行保险机构数据安全管理办法》，2025年5月中国人民银行印发《中国人民银行业务领域数据安全管理办法》，数据安全已从单一技术问题上升为银行业公司治理和全面风险管理的重要组成部分，并将成为未来相当长一段时间内监管持续关注的重点领域。

　　信息安全短板集中暴露

　　从具体案例看，国家金融监督管理总局河北监管分局发布了一则行政处罚信息显示，邢台银行因信息安全管理不到位，处以30万元罚款。国家金融监督管理总局上饶监管分局发布的罚单显示，上饶银行因信息安全管理不足，处以30万元罚款。

　　《中国经营报》记者注意到，此前有银行因违反信用信息安全管理要求收到中国人民银行开出的罚单。

　　从实践层面看，毕马威中国方面认为，银行当前面临的突出挑战，在于如何实现从传统网络安全管理视角向数据安全治理视角的转变。长期以来，网络安全多由信息科技部门统一管理，而数据安全作为相对新兴的管理领域，涉及数据价值挖掘、业务使用场景与全生命周期管理，对组织协同提出了更高要求。在不少银行内部，数据管理部门或数字银行部门逐步成为数据安全的归口管理部门，而信息科技部门则承担技术防护主责，二者关注重点分别在数据价值与基础设施安全，若缺乏清晰的协作机制，容易形成治理断层。

　　毕马威中国方面进一步表示，数据安全与网络安全本质上是“一体两面”。网络是数据运行的载体，数据是网络防护的核心目标，只有通过统一治理框架，将数据全生命周期管理与网络架构防护深度融合，构建“网络为盾、数据为核”的纵深防御体系，才能在满足监管要求的同时，实现安全与业务发展的平衡。

　　在思二勋看来，中小银行信息安全频频被罚，反映出外部威胁环境快速演变、监管要求持续提高，与自身技术、管理和资源能力之间的落差正在集中显现。

　　思二勋指出，首先是技术架构层面的制约。不少中小银行核心系统建设较早，长期在原有集中式架构上叠加新系统，逐渐形成烟囱式、碎片化的IT环境，统一身份认证、日志管理和安全策略难以落地。在此基础上，勒索软件、数据泄露以及AI驱动的精准钓鱼、拟声攻击不断出现，使传统依赖设备堆叠的防护模式效果明显下降。

　　其次是组织管理层面的错位。受经营规模和成本压力影响，中小银行在资源配置上更倾向优先支持业务上线，信息安全往往被视为合规成本而非核心能力，新业务“先上线、后补安全”的情况并不少见。同时，安全职责过度集中于信息科技部门，业务部门参与不足，加之外包运维和第三方系统引入后责任边界模糊，一旦发生事件，追责与整改推进难度明显上升。

　　最后是安全运营能力不足。不少机构存在“重建设、轻运营”的问题，虽然安全设备相对齐全，但缺乏统一联动和持续运营机制，告警分散、噪声较多，难以及时识别和处置风险。随着移动银行、开放银行快速发展，接口数量激增，而接口鉴权和行为监测能力不足，进一步扩大了攻击面。

　　如何加强体系化安全治理？

　　近年来围绕数据安全和网络安全的制度密集出台。

　　毕马威中国方面认为，监管的核心导向，在于推动银行将数据安全和网络安全嵌入公司治理和日常经营管理之中，实现从阶段性、被动式合规，向长期、持续性治理的转变。这一转变强调“谁使用数据，谁对安全负责”，要求银行在组织、流程和系统层面形成协同运行的治理体系。

　　从落地难点看，思二勋指出，信息安全保护对银行提出了三方面更高要求：

　　一是治理理念从被动合规转向主动管理。安全不再是一次性建设任务，而是一项需要持续评估、动态调整的核心治理能力。

　　二是管理颗粒度显著下沉。通过数据分类分级和安全事件分级管理，银行需根据不同风险等级配置差异化的技术和管理措施，实现资源投入与风险程度精准匹配。

　　三是安全运营要求明显提升。监管对风险监测、预警和事件报告时效提出了更严格要求，倒逼银行建立统一、智能化的安全运营体系，提升告警聚合、分析研判和快速响应能力。

　　对此，思二勋建议，对于自身人才和资源相对有限的中小银行，可通过引入安全托管服务或与成熟的SOC服务机构合作，弥补持续监控和应急响应能力短板，将有限资源集中用于核心风险管理，以更好适应监管要求和威胁环境的变化。