政策解读|证券期货行业如何做好数据安全管理与保护
安恒信息安全咨询讲武堂
讲武堂,带兵者研究武学之所。今设“安恒信息安全咨询讲武堂”,与圈内人士共同聚焦、分享安全咨询领域的心得体会与实践经验。
本期聚焦《证券期货业数据安全管理与保护指引》内容解读,为行业数据安全体系化建设提供参考依据,欢迎大家文末留言探讨。
指引制定背景
随着近年来相关法律法规与行业标准相继出台,数据安全体系建设的监管要求日趋严格。其中《网络安全法》《数据安全法》将信息安全和数据安全上升为国家战略,明确指出各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
近日,证监会正式发布并实施JR/T 0250—2022《证券期货业数据安全管理与保护指引》(以下简称“指引”),在结合JR∕T 0158-2018《证券期货业数据分类分级指引》将数据定级划分为1至4级的基础之上,进一步对不同安全级别的数据在数据生命周期的各个过程域中宜采取的管控措施进行细化,为证券期货行业建设体系化的数据安全架构提供了具有强落地性和可执行性的参考依据。
指引适用范围
指引适用的证券期货业机构包括:证券期货业市场核心机构、证券期货基金经营机构、证券期货信息技术服务机构和证券期货业市场监管机构,作为其开展数据安全管理与保护工作的参考和指引。同时,涉及国家秘密的数据不在指引的适用范围里。
术语定义
指引首次定义了四个新的概念:
数据接触者:
在数据采集、数据展现、数据传输、数据处理、数据存储过程中的参与者,包括投资者、经营机构、服务机构、核心机构、监管机构等。
数据控制者:
可以授权或拒绝访问某些数据、决定数据使用和数据处理目的和方式,并对其完整性、可用性和安全性负责的个人或机构。
可控区域:
在每个数据过程域中,数据控制者独立拥有直接承载数据的信息基础设施和其所承载信息系统的管理权或使用权的区域。例如本地机房、租赁场地但设备自有的机房、私有云等环境。
非可控区域:
在每个数据过程域中,数据控制者非独立拥有直接承载数据的信息基础设施或其所承载信息系统的所有权或使用权的区域。例如托管的机房、租赁设备的机房、公有云、混合云等环境。
基本原则
在过程域划分原则上,指引中的数据存储阶段涵盖了数据删除和数据销毁两个环节,进行了部分环节的合并与调整。
指引同时强调从组织、制度、技术方面建立数据安全体系,提高整体防护能力,也须注意数据级别与数据安全防护的差异性,确保实用性。同时也建议各机构依据自身情况,将数据安全管理进行具体落实。
组织架构
从上述内容中可以看出,指引在遵循了《数据安全法》中需确定数据安全最高责任人的要求之外,还明确了其应当履行的职责,在现行的各数据安全管理相关部门中选定一个部门或者新组建一个数据安全管理部门作为数据安全管理的主责部门。
同时指引还针对数据安全管理部门、合规风控部门、业务管理部门、信息技术部门和内部审计部门明确了各部门的数据安全管理职责的责任划分,建立了数据安全工作分工协作的机制。
制度建设
制度体系建设作为数据安全体系建设中不可或缺的一部分,需要建立数据安全工作开展的管理组织和管理流程,形成明确的数据安全管理机制,指引中共列出了九份制度清单,包括一份数据安全管理办法和八份管理细则:
除此之外,基于《数据安全法》和《个人信息保护法》等法律法规的要求,结合安恒信息多年的数据安全实践经验,建议应补充如下三份管理制度:
数据分类分级管理制度:内容应明确数据分类分级的工作流程,确定相关人员职责,明确数据分类的原则和方法、数据分级的原则和方法,明确数据分类分级的逻辑框架等。
数据安全风险评估管理制度:内容应明确数据安全风险评估工作开展的原则、工作流程、风险计量方式、风险处置整改流程等。
个人信息保护管理制度:内容应明确个人信息保护的原则、个人信息的类型和敏感程度、用户信息保护的管控措施、内部员工信息保护的管控措施以及相关工作开展的流程等。
数据安全管理与保护
在数据安全管理与保护部分,指引从管理安全、技术安全和数据接触者安全三个角度,针对不同安全级别的数据明确了其在不同的生命周期过程域中、涵盖了可控区域和非可控区域的宜采取的各项管控措施,为数据安全体系的落地提供了细颗粒度的指导。
(一)不同级别数据安全指引
与JR∕T 0158-2018《证券期货业数据分类分级指引》数据定级相适应,指引将数据安全管理与保护划分为四级,在数据生命周期各阶段提出在管理、技术等维度,提供与该级别数据相对应的安全指引。
不同级别的数据安全管理与保护相关的要求、标准,呈逐级递增趋势,与数据重要性等分级的业务属性相符合。
(二)数据生命周期过程划分
指引中,数据生命周期包括数据采集、展现、传输、处理、存储五个阶段过程,依据数据的不同级别给出相对应的安全要求与措施。
数据生命周期过程的划分,为证券期货行业在数据安全管理体系与技术体系的建设过程中,能够依据自身数据的不同场景设计安全管理与保护能力,确保覆盖数据面临的全面风险。
(三)可控区域安全管理与保护
各级数据安全指引针对数据控制者的可控区域,提出包括管理指引、技术指引方面的细化要求,同时对2级及以上的数据提出数据接触者指引的概念并细化了相关要求。
可控区域数据安全保护,是数据控制者与保护责任者必须独立构建数据安全管理、技术防护的重点工作。在实践过程中可与机构内部管理体系、技术体系进行有效融合,提高整体安全效率与安全效能。
(四)非可控区域安全管理与保护
针对非可控区域的数据安全管理与保护,是与数据的流转、使用等场景相适应的,有利于差异化数据安全保护方案的实践,确保数据生命周期安全的同时,保障数据价值的充分发挥。
非可控区域数据安全保护,是在可控区域数据安全要求基础上,对数据控制者和其他相关方,对该阶段数据场景“外延场景”在管理、技术等方面提出的细化要求。
随着数据安全保护相关标准要求不断完善和安全监管力度的不断强化,数据安全治理与保护工作任务日益艰巨。安恒信息多年来积极参与国家、行业网络安全与数据安全标准规范的制定,持续投入相关资源,进行数据安全风险评估体系、安全管理体系、技术支撑体系、安全合规体系等方面的研究,在金融等重点行业取得了丰富的实践经验。为各金融机构和各行业用户提供专业的数据安全咨询能力,确保数据安全工作的合规性,切实保障数据资产的整体安全。