近年来,随着金融科技的发展,证券期货业积累了大量数据资产,如客户数据、交易数据、行情数据、资讯数据等,数据已成为证券期货业的重要资产和核心竞争力。充分发挥数据价值,用数据驱动创新,促进行业高质量发展,已成为证券期货业共识。与此同时,数据安全问题也日益受到重视。
为规范证券期货业机构开展数据安全管理和保护工作,提升行业数据安全管理水平,证监会近期发布《证券期货业数据安全管理与保护指引》(以下简称“《指引》”)。《指引》从数据安全管理基本原则、组织架构、制度、技术等多角度出发提供相关指导,为证券期货业机构开展数据安全管理与保护工作提供参考。
《证券期货业数据安全管理与保护指引》主要内容
适用范围
《指引》适用的证券期货业机构包括:证券期货业市场核心机构、证券期货基金经营机构、证券期货信息技术服务机构和证券期货业市场监管机构。
基本原则
过程域
数据安全保护措施覆盖数据全生命周期:数据采集、数据展现、数据传输、数据处理和数据存储等5个阶段。
实用性
对不同安全等级的数据对象,基于数据安全等级的差异,制定相应的数据安全防护措施。
安全性
从组织、制度、技术三个方面建立完备的数据安全保护措施,保护数据和客户信息安全。将授权机制、岗位职责与安全技术相结合,在整个数据流转过程中保护数据安全。
可用性
数据在各个过程域中无缺失、损毁,保障数据的完整、可用。
适用性
证券期货业机构根据自身实际情况采取合适的方式,将数据安全管理落实到具体的组织架构与岗位职责中,保障符合数据安全相关法律法规要求。
组织架构
证券期货业机构组织架构建设中须明确数据安全管理最高层人员,负责领导协调数据安全部门开展工作,数据安全工作各部门职责分工如下:
数据安全管理部门
牵头负责数据安全管理工作,组织制定数据管理制度,建立数据全生命周期的运营管理操作规程及更新机制;明确数据安全管理相关管理岗位和职能,明确数据使用的授权机制,明确数据使用的组织、证券期货业机构及人员的责任及义务。
业务管理部门
作为业务数据实际控制者,制定本部门的业务数据授权审批流程,合理进行数据的权限审批与使用,对业务账号与接入终端的合规使用进行日常管理;制定本部门所辖范围内关于业务数据安全、合规监督管理等工作的管理要求,防范业务数据泄露。
合规风控部门
作为数据安全合规和风险管理落实者,负责数据安全管理合规和风险制度的编制;通过指导、规范、检查等手段对数据安全管理措施和落实情况进行合规风控监管。
信息技术部门
作为数据安全保护措施的实施者,负责按照数据安全的制度和技术标准,实施如数据加密、脱敏、认证授权、访问控制和安全审计等数据安全技术保护措施;制定和落实针对数据直接接触者的安全技术防控要求;负责信息系统的数据安全评估、数据安全事件管理和应急响应等工作。
内部审计部门
作为数据安全稽核工作落实部门,主要负责对数据安全管理情况和效果进行检查和评价,并督促整改。
制度指引
证券期货业核心机构、经营机构、服务机构和监管机构须建立数据安全管理制度,具体管理规定和管理细则参考如下:
管理规定
明确数据安全管理机制,明确数据安全管理工作的组织架构、组织形式、岗位职责、资源配置等事项。
管理细则
(1) 权限管理:明确数据访问权限、访问方式及申请流程;
(2) 介质管理:明确数据存放介质管理要求,保障存储介质可追踪、可核查;
(3) 场所管理:明确数据流转场所的物理、访问、监控、维护、防护等要求;
(4) 防护措施:根据数据价值以及所受安全威胁的程度,明确数据安全防护措施,保障本证券期货业机构具备与自身适配的数据安全防护能力;
(5) 事件管理:明确数据安全事件管理机制,就数据安全事件的发现、评估、上报、处置、跟踪、反馈等方面明确流程和要求,并形成处置预案;
(6) 应急管理:评估分析数据安全工作存在的风险,制定相应数据安全应急管理要求和应急预案,定期开展数据安全应急预案演练;
(7) 安全审计:明确数据安全内部审计责任与周期,形成数据安全内部审计要求,进行定期数据安全专项审计,并记录和跟踪审计行为和结果;
(8) 教育培训:明确数据安全教育培训机制,如工作计划、人员、内容及方法等。
数据安全管理与保护指引
依据《证券期货业数据分类分级指引》的数据分类分级结果,对数据全生命周期阶段如采集、展现、传输、处理、存储环节,进行控制区域、管理制度、技术等层面的安全建设指引。
控制区域层面建设指引
《指引》要求中提到,随着数据对象级别的递增,安全建设措施也应更加完善。每一个级别的数据应划分为可控区域及非控区域,不同区域内的数据应采用不同的数据安全管理与技术保护措施。可控区域内的数据安全建设指引适用于非控区域内。
管理制度层面建设指引
数据安全管理制度层面建设从数据全生命周期各阶段出发:数据采集阶段如制定数据采集使用规则、明确采集信息范围等;数据展现阶段如数据权限管理措施、数据展现软件及设备管理措施等;数据传输阶段如数据传输介质管理、数据安全传输管理制度、审核流程等;数据处理阶段如数据权限管理措施、数据处理文档保管措施、信息系统性能容量评估机制等;数据存储阶段如制定数据存储管理机制、移动存储介质管理机制、数据销毁机制等。管理层需全维度制定详细的数据安全管理制度。
技术应用层面建设指引
数据安全技术层面建设从数据全生命周期各阶段出发:数据采集阶段如标识数据采集来源以及时间、监控数据采集过程等;数据展现阶段如用户认证、权限控制、日志记录与监测、数据标识等控制措施;数据传输阶段如身份认证、数据校验技术、数据加密、时间戳等保护措施;数据处理阶段如权限控制、用户标识及鉴别、性能容量评估测试等;数据存储阶段如数据存储备份、数据存储权限控制、存储加密保护等措施。从技术应用层面全面保护数据的安全性。
天融信数据安全“六步走”建设思路
天融信数据安全服务方案依据数据安全治理评估、数据安全组织架构建设、数据安全管理制度建设、数据安全技术保护体系建设、数据安全运营管控建设、数据安全监管“六步走”建设思路,在合法合规要求下,协助证券期货业机构按照自身数据安全建设现状,完成高质量的数据安全管理及保护能力建设。
第一步:数据安全治理评估方面,天融信数据安全治理专家团队通过对证券期货业机构的业务应用现状进行调研分析,确定业务的关联关系、访问路径、数据流向及演变过程,找出主要业务所面临的管理、技术及运营风险,为制定业务的数据安全管理规范提供依据。同时可针对管理制度、组织架构、技术措施、业务场景及数据资产全面开展评估梳理工作,为客户数据安全体系化建设提供基础支撑。
第二步:数据安全组织架构建设方面,天融信能够协助证券期货业机构构建符合《指引》要求的部门架构,并明确划分对应的业务和权责,协助证券期货业机构提高数据安全从业人员能力,并通过第三方厂商视角协调沟通监管机构的对应监管措施。
第三步:数据安全管理制度建设方面,天融信结合多年安全服务经验,能够结合业务、合规以及机构面临的外部风险梳理现有需求,结合已有制度的执行情况,根据“指引”要求的管理规定与细则,构建符合“指引”要求以及能够切实落地的管理制度。
第四步:数据安全技术保护体系建设方面,作为技术能力覆盖数据安全全生命周期的安全厂家,天融信能够为证券期货业机构在技术防护措施层面建设的各个角度予以技术能力的补充,从而全面保护数据的安全性。
第五步:数据安全运营管控建设方面,天融信可协助证券期货业机构建立完善的数据安全运营团队,负责进行数据安全管控措施策略和配置的优化;制定数据安全事件应急预案,在发生数据安全事件时,可采取应急处置措施,并定期对应急预案和处置流程优化完善;建立数据安全监测预警和安全事件通报制度,对发现的安全风险及时上报;在数据安全事件发生后,可依据数据安全审计记录进行追踪溯源,并及时改进优化现行数据安全防护策略。
第六步:数据安全监管建设方面,当今数据承载的价值越来越高,数据面临巨大的威胁,监管部门出台相关法律法规对数据从业者提出了相关要求,也明确了监管机构的责任。监管单位将依法履职尽责对数据处理者履行数据风险监测与风险评估等数据安全保护义务、遵守国家核心数据管理制度、向境外提供重要数据、配合公安机关及行业监管单位开展数据调取、向外国司法或者执法机构提供数据等行为依法开展监督管理。
topsec
《数据安全法》《个人信息保护法》以及“数据二十条”的陆续出台与发布,指明数据安全建设已成为构建全域联动、立体高效的国家安全防护体系中的重要组成部分。作为发布“以数据为中心的安全建设体系”建设思路的厂商,天融信将在数据安全领域持续深耕,根据法律法规以及行业要求,从数据全生命周期助力证券期货业机构提高数据安全管理水平,护航资本市场信息安全建设!
- 关键词标签:
- 天融信 数据安全 证券期货业数据安全管理与保护指引