近日,证监会起草了《证券期货业网络安全管理办法(征求意见稿)》(以下简称《办法》),并向社会公开征求意见。按照内容以及起草说明,《办法》广泛适用于证券、基金及期货行业的核心机构、经营机构以及信息技术服务等机构,拟通过数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全等方式,保护投资者合法权益,促进证券期货业稳定健康发展。
《办法》高度重视数据安全统筹管理
《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》现已生效,《办法》属于这几部法律法规在证券期货行业的实施监管细则,为上述法律法规在证券期货行业的落地提供制度保障。值得注意的是,《办法》高度重视核心机构和经营机构的数据安全管理责任,以独立章节的篇幅(第三章 数据安全统筹管理)做出精准、全面的要求。
《办法》的数据安全管理责任意在重申《数据安全法》第27条的要求,包括建立健全数据安全管理制度、健全数据管理组织架构、实施数据分类分级管理、建立数据权限管理策略、构建数据安全评估框架等。
01 实施数据分类分级管理
在管理制度与组织架构层面的保障措施之外,聚焦于技术策略层面,首要责任即是依据行业相关数据标准,制定覆盖本机构全部业务数据的相关标准,实施与业务特点相适应的数据分类分级管理。
《办法》对于重要数据、核心数据的定义,是指按照《数据安全法》、国家和证券期货业有关数据分类分级保护制度,确定的重要数据、核心数据。《数据安全法》下认定重要数据的方式已具有基本框架,即“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”。根据2021年12月通过的《网络安全标准实践指南—网络数据分类分级指引》,核心数据为“关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据”;重要数据为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”。结合2021年11月发布的《网络数据安全管理条例(征求意见稿)》,对重要数据的类别提供了概括列举,其中与证券期货业直接相关的包括金融行业的“安全生产、运行的数据,关键系统组件、设备供应链数据”。
在实践过程中,核心机构和经营机构可以选择自动化的数据分类分级工具代替人工操作,相关模型的数据深度识别能力、覆盖业务数据格式及类型的维度、是否内置本行业数据分类分级标准是考量重点。进一步,针对组织中特有的业务数据,使用诸如小数据机器学习技术的敏感数据智能分析工具,自动生成敏感数据分类模型,能够实现对特有业务数据的精细分类标注。高效、完整的数据分类分级可以让机构快速定义符合自己数据业务场景的敏感数据合规及防护策略。
02 建立数据权限管理策略
《办法》强调,建立数据权限管理策略,应当按照最小授权原则设置数据访问权限,定期排查清理,并对数据访问记录进行留痕审计。
这要求核心机构、经营机构在数据分类分级的基础上,能够掌握敏感数据的流转过程及其状态变化,感知敏感数据扩散及违规滥用风险,依据最小化原则实时管控参与数据处理活动的人员、系统、终端、接口等所有对象。
在目前的实践中,对于数据的管控大多根据数据生命周期的各个阶段进行分块治理,在身份权限和管控策略上不连贯,数据在组织内部经过压缩加密、隐写变形、格式转换、甚至恶意的监控绕行等流转过程,极易存在防护盲区,处于保护、拦截和审计范围之外。数安行提倡通过轻量化的终端安全代理对业务数据进行完整统一的映射,着眼于数据本体,通过打标签的方式对敏感数据全流程进行自动标注跟踪,实现数据使用链路的智能聚合及快速溯源,采用零信任数据安全架构,进行实时动态的统一数据身份鉴权和统一的管控策略下发,促进数据有序流转及安全协作共享。
03 构建数据安全评估框架
风险评估是《办法》以及《数据安全法》等相关监管政策中一项重要的合规性要求。数据安全风险评估需要保证对数据的可控性,是风险识别、风险分析和风险评价的全过程。立足技术应用发展进阶的角度,更理想的数据安全风险评估应当脱离传统的技术为辅、人力为主的方式,更多应以工具及产品为主导,利用自动化的方式来实施,以提高业务落地过程中的可执行性。
因此,通过建立或引入统一的数据安全诊疗一体平台,对于梳理识别出来的重要数据资产,根据数据的存储的位置,包括使用的环境、开放的接口、数据的角色等综合分析数据运营环境中的安全风险和可能的窃取威胁,综合研判数据资产的脆弱性和威胁,从而基于评估结果进行足够细粒度的防护控制策略,以达到零间隙保障数据在全业务线上的安全合规运营的目的。
若《办法》正式实施,将全面取代施行近十年之久的《证券期货业信息安全保障管理办法》,证券期货业由于其在国民经济中的重要地位以及投资者个人信息的高度敏感性,网络安全和信息保护一直是被高度关注的问题,相关经营机构和信息技术服务者必须引起重视,尽早落实合规要求,保障客户及自身数据资产安全,促进行业高质量发展。
(本文作者:北京数安行科技有限公司 郭灵)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。