近年来,金融科技快速发展,证券期货业积累了大量数据资产,如客户数据、交易数据、行情数据、资讯数据等。在数据应用得到不断发展的同时,数据安全问题也日益受到重,需要施以适当的数据安全保障措施,来保障投资者权益及证券市场的公平性和稳定性。
同时,随着相关法律法规陆续出台,数据安全体系建设的监管要求日趋严格,《网络安全法》《数据安全法》将信息安全和数据安全上升为国家战略,明确指出各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
经证券期货业数据安全管理现状调研,大部分证券期货业机构尚未建立健全的数据安全管理组织架构,技术手段未能全面覆盖数据生命周期。因此,为加强证券期货业数据安全管理水平,证监会近日发布并实施JR/T 0250—2022《证券期货业数据安全管理与保护指引》(以下简称《指引》),从数据安全管理基本原则、组织架构、制度、技术等方面提供指引,规范行业机构开展数据安全管理和保护工作,提升行业数据安全管理水平。
一方面,《指引》从组织架构侧明确各项数据安全管理职责的责任划分,建立数据安全工作分工协作机制。
证券期货业机构宜明确数据安全管理的最高责任人,由管理层人员担任,负责领导协调数据安全部门开展工作,并指定数据安全管理的主责部门,为数据安全管理提供组织保障。
数据安全工作涉及以下部门:
01、数据安全管理部门-组织制定数据管理制度,对数据进行分类分级管理;建立并执行数据全生命周期的运营管理操作规程;明确数据安全管理相关的管理岗位和职能;明确数据使用的授权机制。
02、合规风控部门-数据安全合规和风险管理工作落实部门,负责数据安全管理合规和风险制度的编制;通过指导、规范、检查等手段,对数据安全管理措施和落实情况进行合规风控监管。
03、业务管理部门-制定业务数据授权审批流程,合理进行数据的权限审批与使用;制定关于业务数据安全、合规监督管理等工作的管理要求,防范业务数据泄露。
04、信息技术部门-负责按照数据安全的制度和技术标准实施数据安全技术保护措施;制定和落实针对数据直接接触者的安全技术防控要求;负责信息系统的数据安全评估、数据安全事件管理和应急响应等工作。
05、内部审计部门-负责对数据安全管理情况和效果进行检查和评价,并督促整改。
另一方面,《指引》从管理和技术实施侧,从管理安全、技术安全和数据接触者安全三个角度,针对不同安全级别的数据明确了其在不同的生命周期过程域中、涵盖了可控区域和非可控区域的宜采取的各项管控措施,为数据安全体系的落地提供了细颗粒度的指导。
●不同级别数据安全指引
与JR∕T 0158-2018《证券期货业数据分类分级指引》数据定级相适应,《指引》将数据安全管理与保护划分为不同安全级别,1级数据一般可被公开或可被公众获知、使用;2级数据用于一般业务使用,针对受限对象公开,一般指内部管理且不宜广泛公开的数据;3级数据用于重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;4级数据与3级数据区别在于其主要用于行业内大型或特大型机构中的重要业务使用。不同级别的数据安全管理与保护相关的要求、标准,呈逐级递增趋势,与数据重要性等分级的业务属性相符合。
●数据生命周期过程划分
《指引》将数据生命周期划分为数据采集、展现、传输、处理、存储五个阶段过程,依据数据的不同级别给出相对应的安全要求与措施。数据生命周期过程的划分,为证券期货行业在数据安全管理体系与技术体系的建设过程中,能够依据自身数据的不同场景设计安全管理与保护能力,确保覆盖数据面临的全面风险。
●可控区域安全管理与保护
各级数据安全指引针对数据控制者的可控区域,提出包括管理指引、技术指引方面的细化要求,同时对2级及以上的数据提出数据接触者指引的概念并细化了相关要求。可控区域数据安全保护,是数据控制者与保护责任者必须独立构建数据安全管理、技术防护的重点工作。在实践过程中可与机构内部管理体系、技术体系进行有效融合,提高整体安全效率与安全效能。
●非可控区域安全管理与保护郭灵
针对非可控区域的数据安全管理与保护,是与数据的流转、使用等场景相适应的,有利于差异化数据安全保护方案的实践,确保数据生命周期安全的同时,保障数据价值的充分发挥。非可控区域数据安全保护,是在可控区域数据安全要求基础上,对数据控制者和其他相关方,对该阶段数据场景“外延场景”在管理、技术等方面提出的细化要求。
在落地《指引》目标和策略的技术路径上,数安行提出按照数据分类分级盘点、安全风险持续评估、自适应精准防护的分步建设原则,针对金融数据实现全类型多源数据资产发现及风险分析、全流程数据流动治理与风险感知以及精准化的数据安全生态体系。
●全类型多源数据资产发现盘点
针对数据的发现识别是对其实施管理和保护的基础,这也是《指引》中将数据分为4级防护的意义所在。基于本行业数据分类分级标准的智能数据识别模型,将有助于机构高效准确厘清自身资产家底,其中难点在于面对结构化与非结构化并且经过大量转换变形的数据,进行基于内容和多格式的深度识别解析,以覆盖所有数据类型。而对于非通用的特有业务数据,可采用基于少量数据样本的小数据机器学习技术进行智能分类。以此形成完整的敏感数据资产目录清单,并通过多维度快速检索确认文件内容以及数据血亲关系等。
●全流程数据流动风险感知分析
针对《指引》划分的数据生命周期分级安全要求,实时掌握数据在实际业务操作中的流转轨迹与变化过程是关键。通过轻量化终端安全代理对终端敏感数据运行过程进行无改造映射,对敏感数据进行自动标注,能够对不同格式的数据进行敏感信息识别标注和状态变化过程追溯;同时跟踪敏感数据在业务系统到终端之间以及不同终端之间运行流转轨迹,完整溯源敏感数据流转过程;感知敏感数据扩散滥用风险,对于敏感数据流出业务范围、越权访问等风险快速识别响应。
●基于数据角色及用户风险的精准防护
对于《指引》中可控区域与非可控区域的安全管理与保护要求,是保障数据价值发挥的基础上做出的分场景、分角色、分风险等级的差异化防护。引入零信任数据安全架构,对使用敏感数据的用户及设备进行持续身份鉴定及风险评估,针对不同的业务部门、数据角色、数据分类以及不同的数据安全风险等级,执行细粒度的访问控制策略。为数据分析人员、开发人员以及运维人员等提供数据安全沙箱运行环境,防止敏感数据扩散滥用。目的是为用户建立多种安全级别的应用系统访问及数据使用环境,建立应用系统与用户之间的零信任数据安全通道,保证业务数据在线使用及流出安全。
数据已成为证券期货等金融机构的重要资产和核心竞争力,充分发挥数据价值,用数据驱动创新,实现高质量发展,已成为行业共识。作为强监管行业,随着数据安全保护相关标准要求不断完善和安全监管力度的不断强化,其数据安全管理与保护工作任务日益艰巨。相关机构需要明确,数据的创新利用与防护保障同等重要,需要统筹发展与安全,夯实科技监管基础,筑牢安全治理底座,让数据安全地创造价值。