近年來(lái)，隨著金融科技的發(fā)展，證券期貨業(yè)積累了大量數(shù)據(jù)資產(chǎn)，如客戶數(shù)據(jù)、交易數(shù)據(jù)、行情數(shù)據(jù)、資訊數(shù)據(jù)等，數(shù)據(jù)已成為證券期貨業(yè)的重要資產(chǎn)和核心競(jìng)爭(zhēng)力。充分發(fā)揮數(shù)據(jù)價(jià)值，用數(shù)據(jù)驅(qū)動(dòng)創(chuàng)新，促進(jìn)行業(yè)高質(zhì)量發(fā)展，已成為證券期貨業(yè)共識(shí)。與此同時(shí)，數(shù)據(jù)安全問(wèn)題也日益受到重視。

為規(guī)范證券期貨業(yè)機(jī)構(gòu)開展數(shù)據(jù)安全管理和保護(hù)工作，提升行業(yè)數(shù)據(jù)安全管理水平，證監(jiān)會(huì)近期發(fā)布《證券期貨業(yè)數(shù)據(jù)安全管理與保護(hù)指引》（以下簡(jiǎn)稱“《指引》”）?！吨敢窂臄?shù)據(jù)安全管理基本原則、組織架構(gòu)、制度、技術(shù)等多角度出發(fā)提供相關(guān)指導(dǎo)，為證券期貨業(yè)機(jī)構(gòu)開展數(shù)據(jù)安全管理與保護(hù)工作提供參考。

《證券期貨業(yè)數(shù)據(jù)安全管理與保護(hù)指引》主要內(nèi)容

適用范圍

《指引》適用的證券期貨業(yè)機(jī)構(gòu)包括：證券期貨業(yè)市場(chǎng)核心機(jī)構(gòu)、證券期貨基金經(jīng)營(yíng)機(jī)構(gòu)、證券期貨信息技術(shù)服務(wù)機(jī)構(gòu)和證券期貨業(yè)市場(chǎng)監(jiān)管機(jī)構(gòu)。

基本原則

過(guò)程域

數(shù)據(jù)安全保護(hù)措施覆蓋數(shù)據(jù)全生命周期：數(shù)據(jù)采集、數(shù)據(jù)展現(xiàn)、數(shù)據(jù)傳輸、數(shù)據(jù)處理和數(shù)據(jù)存儲(chǔ)等5個(gè)階段。

實(shí)用性

對(duì)不同安全等級(jí)的數(shù)據(jù)對(duì)象，基于數(shù)據(jù)安全等級(jí)的差異，制定相應(yīng)的數(shù)據(jù)安全防護(hù)措施。

安全性

從組織、制度、技術(shù)三個(gè)方面建立完備的數(shù)據(jù)安全保護(hù)措施，保護(hù)數(shù)據(jù)和客戶信息安全。將授權(quán)機(jī)制、崗位職責(zé)與安全技術(shù)相結(jié)合，在整個(gè)數(shù)據(jù)流轉(zhuǎn)過(guò)程中保護(hù)數(shù)據(jù)安全。

可用性

數(shù)據(jù)在各個(gè)過(guò)程域中無(wú)缺失、損毀，保障數(shù)據(jù)的完整、可用。

適用性

證券期貨業(yè)機(jī)構(gòu)根據(jù)自身實(shí)際情況采取合適的方式，將數(shù)據(jù)安全管理落實(shí)到具體的組織架構(gòu)與崗位職責(zé)中，保障符合數(shù)據(jù)安全相關(guān)法律法規(guī)要求。

組織架構(gòu)

證券期貨業(yè)機(jī)構(gòu)組織架構(gòu)建設(shè)中須明確數(shù)據(jù)安全管理最高層人員，負(fù)責(zé)領(lǐng)導(dǎo)協(xié)調(diào)數(shù)據(jù)安全部門開展工作，數(shù)據(jù)安全工作各部門職責(zé)分工如下：

數(shù)據(jù)安全管理部門

牽頭負(fù)責(zé)數(shù)據(jù)安全管理工作，組織制定數(shù)據(jù)管理制度，建立數(shù)據(jù)全生命周期的運(yùn)營(yíng)管理操作規(guī)程及更新機(jī)制；明確數(shù)據(jù)安全管理相關(guān)管理崗位和職能，明確數(shù)據(jù)使用的授權(quán)機(jī)制，明確數(shù)據(jù)使用的組織、證券期貨業(yè)機(jī)構(gòu)及人員的責(zé)任及義務(wù)。

業(yè)務(wù)管理部門

作為業(yè)務(wù)數(shù)據(jù)實(shí)際控制者，制定本部門的業(yè)務(wù)數(shù)據(jù)授權(quán)審批流程，合理進(jìn)行數(shù)據(jù)的權(quán)限審批與使用，對(duì)業(yè)務(wù)賬號(hào)與接入終端的合規(guī)使用進(jìn)行日常管理；制定本部門所轄范圍內(nèi)關(guān)于業(yè)務(wù)數(shù)據(jù)安全、合規(guī)監(jiān)督管理等工作的管理要求，防范業(yè)務(wù)數(shù)據(jù)泄露。

合規(guī)風(fēng)控部門

作為數(shù)據(jù)安全合規(guī)和風(fēng)險(xiǎn)管理落實(shí)者，負(fù)責(zé)數(shù)據(jù)安全管理合規(guī)和風(fēng)險(xiǎn)制度的編制；通過(guò)指導(dǎo)、規(guī)范、檢查等手段對(duì)數(shù)據(jù)安全管理措施和落實(shí)情況進(jìn)行合規(guī)風(fēng)控監(jiān)管。

信息技術(shù)部門

作為數(shù)據(jù)安全保護(hù)措施的實(shí)施者，負(fù)責(zé)按照數(shù)據(jù)安全的制度和技術(shù)標(biāo)準(zhǔn)，實(shí)施如數(shù)據(jù)加密、脫敏、認(rèn)證授權(quán)、訪問(wèn)控制和安全審計(jì)等數(shù)據(jù)安全技術(shù)保護(hù)措施；制定和落實(shí)針對(duì)數(shù)據(jù)直接接觸者的安全技術(shù)防控要求；負(fù)責(zé)信息系統(tǒng)的數(shù)據(jù)安全評(píng)估、數(shù)據(jù)安全事件管理和應(yīng)急響應(yīng)等工作。

內(nèi)部審計(jì)部門

作為數(shù)據(jù)安全稽核工作落實(shí)部門，主要負(fù)責(zé)對(duì)數(shù)據(jù)安全管理情況和效果進(jìn)行檢查和評(píng)價(jià)，并督促整改。

制度指引

證券期貨業(yè)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)、服務(wù)機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)須建立數(shù)據(jù)安全管理制度，具體管理規(guī)定和管理細(xì)則參考如下：

管理規(guī)定

明確數(shù)據(jù)安全管理機(jī)制，明確數(shù)據(jù)安全管理工作的組織架構(gòu)、組織形式、崗位職責(zé)、資源配置等事項(xiàng)。

管理細(xì)則

(1) 權(quán)限管理：明確數(shù)據(jù)訪問(wèn)權(quán)限、訪問(wèn)方式及申請(qǐng)流程；

(2) 介質(zhì)管理：明確數(shù)據(jù)存放介質(zhì)管理要求，保障存儲(chǔ)介質(zhì)可追蹤、可核查；

(3) 場(chǎng)所管理：明確數(shù)據(jù)流轉(zhuǎn)場(chǎng)所的物理、訪問(wèn)、監(jiān)控、維護(hù)、防護(hù)等要求；

(4) 防護(hù)措施：根據(jù)數(shù)據(jù)價(jià)值以及所受安全威脅的程度，明確數(shù)據(jù)安全防護(hù)措施，保障本證券期貨業(yè)機(jī)構(gòu)具備與自身適配的數(shù)據(jù)安全防護(hù)能力；

(5) 事件管理：明確數(shù)據(jù)安全事件管理機(jī)制，就數(shù)據(jù)安全事件的發(fā)現(xiàn)、評(píng)估、上報(bào)、處置、跟蹤、反饋等方面明確流程和要求，并形成處置預(yù)案；

(6) 應(yīng)急管理：評(píng)估分析數(shù)據(jù)安全工作存在的風(fēng)險(xiǎn)，制定相應(yīng)數(shù)據(jù)安全應(yīng)急管理要求和應(yīng)急預(yù)案，定期開展數(shù)據(jù)安全應(yīng)急預(yù)案演練；

(7) 安全審計(jì)：明確數(shù)據(jù)安全內(nèi)部審計(jì)責(zé)任與周期，形成數(shù)據(jù)安全內(nèi)部審計(jì)要求，進(jìn)行定期數(shù)據(jù)安全專項(xiàng)審計(jì)，并記錄和跟蹤審計(jì)行為和結(jié)果；

(8) 教育培訓(xùn)：明確數(shù)據(jù)安全教育培訓(xùn)機(jī)制，如工作計(jì)劃、人員、內(nèi)容及方法等。

數(shù)據(jù)安全管理與保護(hù)指引

依據(jù)《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》的數(shù)據(jù)分類分級(jí)結(jié)果，對(duì)數(shù)據(jù)全生命周期階段如采集、展現(xiàn)、傳輸、處理、存儲(chǔ)環(huán)節(jié)，進(jìn)行控制區(qū)域、管理制度、技術(shù)等層面的安全建設(shè)指引。

控制區(qū)域?qū)用娼ㄔO(shè)指引

《指引》要求中提到，隨著數(shù)據(jù)對(duì)象級(jí)別的遞增，安全建設(shè)措施也應(yīng)更加完善。每一個(gè)級(jí)別的數(shù)據(jù)應(yīng)劃分為可控區(qū)域及非控區(qū)域，不同區(qū)域內(nèi)的數(shù)據(jù)應(yīng)采用不同的數(shù)據(jù)安全管理與技術(shù)保護(hù)措施?？煽貐^(qū)域內(nèi)的數(shù)據(jù)安全建設(shè)指引適用于非控區(qū)域內(nèi)。

管理制度層面建設(shè)指引

數(shù)據(jù)安全管理制度層面建設(shè)從數(shù)據(jù)全生命周期各階段出發(fā)：數(shù)據(jù)采集階段如制定數(shù)據(jù)采集使用規(guī)則、明確采集信息范圍等；數(shù)據(jù)展現(xiàn)階段如數(shù)據(jù)權(quán)限管理措施、數(shù)據(jù)展現(xiàn)軟件及設(shè)備管理措施等；數(shù)據(jù)傳輸階段如數(shù)據(jù)傳輸介質(zhì)管理、數(shù)據(jù)安全傳輸管理制度、審核流程等；數(shù)據(jù)處理階段如數(shù)據(jù)權(quán)限管理措施、數(shù)據(jù)處理文檔保管措施、信息系統(tǒng)性能容量評(píng)估機(jī)制等；數(shù)據(jù)存儲(chǔ)階段如制定數(shù)據(jù)存儲(chǔ)管理機(jī)制、移動(dòng)存儲(chǔ)介質(zhì)管理機(jī)制、數(shù)據(jù)銷毀機(jī)制等。管理層需全維度制定詳細(xì)的數(shù)據(jù)安全管理制度。

技術(shù)應(yīng)用層面建設(shè)指引

數(shù)據(jù)安全技術(shù)層面建設(shè)從數(shù)據(jù)全生命周期各階段出發(fā)：數(shù)據(jù)采集階段如標(biāo)識(shí)數(shù)據(jù)采集來(lái)源以及時(shí)間、監(jiān)控?cái)?shù)據(jù)采集過(guò)程等；數(shù)據(jù)展現(xiàn)階段如用戶認(rèn)證、權(quán)限控制、日志記錄與監(jiān)測(cè)、數(shù)據(jù)標(biāo)識(shí)等控制措施；數(shù)據(jù)傳輸階段如身份認(rèn)證、數(shù)據(jù)校驗(yàn)技術(shù)、數(shù)據(jù)加密、時(shí)間戳等保護(hù)措施；數(shù)據(jù)處理階段如權(quán)限控制、用戶標(biāo)識(shí)及鑒別、性能容量評(píng)估測(cè)試等；數(shù)據(jù)存儲(chǔ)階段如數(shù)據(jù)存儲(chǔ)備份、數(shù)據(jù)存儲(chǔ)權(quán)限控制、存儲(chǔ)加密保護(hù)等措施。從技術(shù)應(yīng)用層面全面保護(hù)數(shù)據(jù)的安全性。

天融信數(shù)據(jù)安全“六步走”建設(shè)思路

天融信數(shù)據(jù)安全服務(wù)方案依據(jù)數(shù)據(jù)安全治理評(píng)估、數(shù)據(jù)安全組織架構(gòu)建設(shè)、數(shù)據(jù)安全管理制度建設(shè)、數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)、數(shù)據(jù)安全運(yùn)營(yíng)管控建設(shè)、數(shù)據(jù)安全監(jiān)管“六步走”建設(shè)思路，在合法合規(guī)要求下，協(xié)助證券期貨業(yè)機(jī)構(gòu)按照自身數(shù)據(jù)安全建設(shè)現(xiàn)狀，完成高質(zhì)量的數(shù)據(jù)安全管理及保護(hù)能力建設(shè)。

第一步：數(shù)據(jù)安全治理評(píng)估方面，天融信數(shù)據(jù)安全治理專家團(tuán)隊(duì)通過(guò)對(duì)證券期貨業(yè)機(jī)構(gòu)的業(yè)務(wù)應(yīng)用現(xiàn)狀進(jìn)行調(diào)研分析，確定業(yè)務(wù)的關(guān)聯(lián)關(guān)系、訪問(wèn)路徑、數(shù)據(jù)流向及演變過(guò)程，找出主要業(yè)務(wù)所面臨的管理、技術(shù)及運(yùn)營(yíng)風(fēng)險(xiǎn)，為制定業(yè)務(wù)的數(shù)據(jù)安全管理規(guī)范提供依據(jù)。同時(shí)可針對(duì)管理制度、組織架構(gòu)、技術(shù)措施、業(yè)務(wù)場(chǎng)景及數(shù)據(jù)資產(chǎn)全面開展評(píng)估梳理工作，為客戶數(shù)據(jù)安全體系化建設(shè)提供基礎(chǔ)支撐。

第二步：數(shù)據(jù)安全組織架構(gòu)建設(shè)方面，天融信能夠協(xié)助證券期貨業(yè)機(jī)構(gòu)構(gòu)建符合《指引》要求的部門架構(gòu)，并明確劃分對(duì)應(yīng)的業(yè)務(wù)和權(quán)責(zé)，協(xié)助證券期貨業(yè)機(jī)構(gòu)提高數(shù)據(jù)安全從業(yè)人員能力，并通過(guò)第三方廠商視角協(xié)調(diào)溝通監(jiān)管機(jī)構(gòu)的對(duì)應(yīng)監(jiān)管措施。

第三步：數(shù)據(jù)安全管理制度建設(shè)方面，天融信結(jié)合多年安全服務(wù)經(jīng)驗(yàn)，能夠結(jié)合業(yè)務(wù)、合規(guī)以及機(jī)構(gòu)面臨的外部風(fēng)險(xiǎn)梳理現(xiàn)有需求，結(jié)合已有制度的執(zhí)行情況，根據(jù)“指引”要求的管理規(guī)定與細(xì)則，構(gòu)建符合“指引”要求以及能夠切實(shí)落地的管理制度。

第四步：數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)方面，作為技術(shù)能力覆蓋數(shù)據(jù)安全全生命周期的安全廠家，天融信能夠?yàn)樽C券期貨業(yè)機(jī)構(gòu)在技術(shù)防護(hù)措施層面建設(shè)的各個(gè)角度予以技術(shù)能力的補(bǔ)充，從而全面保護(hù)數(shù)據(jù)的安全性。

第五步：數(shù)據(jù)安全運(yùn)營(yíng)管控建設(shè)方面，天融信可協(xié)助證券期貨業(yè)機(jī)構(gòu)建立完善的數(shù)據(jù)安全運(yùn)營(yíng)團(tuán)隊(duì)，負(fù)責(zé)進(jìn)行數(shù)據(jù)安全管控措施策略和配置的優(yōu)化；制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，在發(fā)生數(shù)據(jù)安全事件時(shí)，可采取應(yīng)急處置措施，并定期對(duì)應(yīng)急預(yù)案和處置流程優(yōu)化完善；建立數(shù)據(jù)安全監(jiān)測(cè)預(yù)警和安全事件通報(bào)制度，對(duì)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)及時(shí)上報(bào)；在數(shù)據(jù)安全事件發(fā)生后，可依據(jù)數(shù)據(jù)安全審計(jì)記錄進(jìn)行追蹤溯源，并及時(shí)改進(jìn)優(yōu)化現(xiàn)行數(shù)據(jù)安全防護(hù)策略。

第六步：數(shù)據(jù)安全監(jiān)管建設(shè)方面，當(dāng)今數(shù)據(jù)承載的價(jià)值越來(lái)越高，數(shù)據(jù)面臨巨大的威脅，監(jiān)管部門出臺(tái)相關(guān)法律法規(guī)對(duì)數(shù)據(jù)從業(yè)者提出了相關(guān)要求，也明確了監(jiān)管機(jī)構(gòu)的責(zé)任。監(jiān)管單位將依法履職盡責(zé)對(duì)數(shù)據(jù)處理者履行數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估等數(shù)據(jù)安全保護(hù)義務(wù)、遵守國(guó)家核心數(shù)據(jù)管理制度、向境外提供重要數(shù)據(jù)、配合公安機(jī)關(guān)及行業(yè)監(jiān)管單位開展數(shù)據(jù)調(diào)取、向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)等行為依法開展監(jiān)督管理。

TOPSEC

《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》以及“數(shù)據(jù)二十條”的陸續(xù)出臺(tái)與發(fā)布，指明數(shù)據(jù)安全建設(shè)已成為構(gòu)建全域聯(lián)動(dòng)、立體高效的國(guó)家安全防護(hù)體系中的重要組成部分。作為發(fā)布“以數(shù)據(jù)為中心的安全建設(shè)體系”建設(shè)思路的廠商，天融信將在數(shù)據(jù)安全領(lǐng)域持續(xù)深耕，根據(jù)法律法規(guī)以及行業(yè)要求，從數(shù)據(jù)全生命周期助力證券期貨業(yè)機(jī)構(gòu)提高數(shù)據(jù)安全管理水平，護(hù)航資本市場(chǎng)信息安全建設(shè)！