安全威胁形势严峻 合规保障有章可循

随着行业数字化智能化加速发展、网络和信息安全上升为国家战略、资本市场持续深化改革等内外部条件的变化，证券期货业网络和信息安全面临的新情况新问题逐渐凸显：

一方面，行业网络和信息安全形势严峻复杂。大数据、云计算、区块链和人工智能等新技术应用的不断深入，证券期货业务与技术加速融合，各类业务活动日益依赖网络安全和信息化，增加了网络和信息安全管理的复杂度。并且，随着行业机构数字化智能化转型的提速，信息系统建设任务明显增加，上线变更操作较为频繁，行业网络和信息安全管理能力面临更大挑战。

另一方面，法律法规的上位要求有待进一步落实。《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规密集发布实施，我国网络和信息安全法律体系进一步健全，新型管理框架基本成型。对此，证监会虽于 2012 年以来发布《证券期货业信息安全保障管理办法》（证监会令 82 号）《证券基金经营机构信息技术管理办法》（证监会令 152 号）等监管规则，但是由于制定时间较早、监管实践变化等原因，相关监管规则在有效衔接上位要求方面有待进一步完善。

与此同时，监管实践成果制度化还需加强。2020 年以来，证监会稳步推动科技监管深化改革，监管体制机制不断优化，信息技术系统服务机构备案管理、资本市场金融科技创新试点等工作全面展开，与相关部委进一步形成监管合力，沟通协作更加顺畅，需要及时总结实践经验，将改革成果制度化机制化。

基于上述新情况新问题，有必要进一步健全证券期货业网络和信息安全监管制度体系，制定专门的部门规章，构建证券期货业网络和信息安全管理的体系框架，促进提升行业安全保障能力。

《办法》明确了核心机构、经营机构的等级保护义务，对涉及投资者个人信息的数据处理活动提出了全流程的安全防护要求。数安行作为助力企业数字化转型、促进数据快速流转及安全协作共享的新一代数据安全企业，基于DataSecOps理念，为企业满足《办法》要求提出实操建议。

1、实施数据分类分级管理

等级保护框架之下，需要依据行业相关数据标准，制定覆盖本机构全部业务数据的相关标准，实施与业务特点相适应的数据分类分级管理。《数据安全法》下认定重要数据的方式已具有基本框架，即“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”。根据《网络安全标准实践指南—网络数据分类分级指引》，核心数据为“关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据”；重要数据为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据”。再结合《网络数据安全管理条例》，对重要数据的类别提供了概括列举，其中与证券期货业直接相关的包括金融行业的“安全生产、运行的数据，关键系统组件、设备供应链数据”。

在实践过程中，核心机构和经营机构可以选择自动化的数据分类分级工具代替人工操作，相关模型的数据深度识别能力、覆盖业务数据格式及类型的维度、是否内置本行业数据分类分级标准是考量重点。进一步，针对组织中特有的业务数据，使用诸如小数据机器学习技术的敏感数据智能分析工具，自动生成敏感数据分类模型，能够实现对特有业务数据的精细分类标注。高效、完整的数据分类分级可以让机构快速定义符合自己数据业务场景的敏感数据合规及防护策略。

2、建立数据权限管理策略

数据的高频流动是数字化业务基本需求，这要求核心机构、经营机构在数据分类分级的基础上，能够掌握敏感数据的流转过程及其状态变化，感知敏感数据扩散及违规滥用风险，依据最小化原则实时管控参与数据处理活动的人员、系统、终端、接口等所有对象。

在目前的实践中，对于数据的管控大多根据数据生命周期的各个阶段进行分块治理，在身份权限和管控策略上不连贯，数据在组织内部经过压缩加密、隐写变形、格式转换、甚至恶意的监控绕行等流转过程，极易存在防护盲区，处于保护、拦截和审计范围之外。数安行提倡通过轻量化的终端安全代理对业务数据进行完整统一的映射，着眼于数据本体，通过打标签的方式对敏感数据全流程进行自动标注跟踪，实现数据使用链路的智能聚合及快速溯源，采用零信任数据安全架构，进行实时动态的统一数据身份鉴权和统一的管控策略下发，促进数据有序流转及安全协作共享。

3、构建数据安全评估框架

风险评估是《办法》以及《数据安全法》等相关监管政策中一项重要的合规性要求，也是常态化感知掌握风险威胁的一项举措。数据安全风险评估需要保证对数据的可控性，是风险识别、风险分析和风险评价的全过程。立足技术应用发展进阶的角度，更理想的数据安全风险评估应当脱离传统的技术为辅、人力为主的方式，更多应以工具及产品为主导，利用自动化的方式来实施，以提高业务落地过程中的可执行性。

因此，通过建立或引入统一的数据安全诊疗一体平台，对于梳理识别出来的重要数据资产，根据数据的存储的位置，包括使用的环境、开放的接口、数据的角色等综合分析数据运营环境中的安全风险和可能的窃取威胁，综合研判数据资产的脆弱性和威胁，从而基于评估结果进行足够细粒度的防护控制策略，以达到零间隙保障数据在全业务线上的安全合规运营的目的。

来源：网络资源