近日,中国证券业协会、中国期货业协会、中国证券投资基金业协会分别发布本行业《网络和信息安全三年提升计划(2023-2025)》,旨在引导证券公司、期货公司、基金管理公司全面提升网络和信息安全保障能力,防范化解系统性风险,保护投资者合法权益,赋能金融行业数字化转型和高质量发展。
根据协会公告及媒体报道,三份《安全提升计划》均阐明了未来三年全面提升该行业网络安全工作能力和水平的指导思想、基本原则、总体目标、主要任务及实施路径,其中,数据安全保障作为健全网络和信息安全管理体系的重要版块与最终目标,重点明确了相关制度、要求和任务,凸显出数据安全能力对金融行业的基础底座支撑作用和促进行业健康发展的重要性。
三大《安全提升计划》数据安全主要任务解读
01《证券公司网络和信息安全三年提升计划(2023-2025)》
共计明确 6类 31项主要任务,在增强信息系统架构规划掌控能力层面,要求持续加强数据架构体系治理,包括建立长期有效的企业级数据规划和发展战略,持续加强企业数据架构治理;建立统一的企业级数据标准,不断提升数据标准化水平,规范数据的识别、确权和分级分类,在数据全生命周期的各阶段建立并落实技术防护能力,将数据安全作为常态化工作;通过动态跟踪、持续改善以及数据全链路的安全风险监控,及时掌握数据管控现状,持续优化数据治理策略。
在健全信息安全防护体系层面,要求加强数据安全管理体系建设,包括在2023年底前建立个人信息保护制度体系,明确工作职责,规范工作流程,加强对公司及外部合作机构管理;贯彻落实国家法律法规和行业监管要求,加强数据安全管理体系建设,在明确数据权责的基础上,对数据进行分类分级,并以数据全生命周期安全防护要求为重点,构建目标明确、职责清晰、层次分明、落地性强的制度规范。
02 《基金管理公司网络和信息安全三年提升计划(2023-2025)》
共计提出了 6个体系、1个落实、31个方面,深化数据安全全链路治理体系成为独立章节,包含构建数据安全管控体系、实施数据安全分类分级、推广运用数据安全管理技术等方面的要求。
构建数据安全管控体系,加强数据全生命周期安防能力。要求建立健全数据安全制度流程及标准规范,覆盖数据采集、传输、存储、备份和恢复、使用、删除、销毁等各环节,夯实面向全场景、全链路、全生命周期的数据安全解决方案;持续完善网络隔离、用户认证、访问控制、口令安全、数据加密、数据脱敏、数据备份、日志记录、病毒防范和非法入侵检测等安全保障措施,保护经营数据和客户信息安全,防范信息泄露与损毁;加强数据安全的检查、审计,定期开展数据安全培训和应急演练;同时,向境外提供数据的,应明确数据出境业务场景,严格遵循国家法律、行政法规及部门规章关于数据出境安全要求。
实施数据安全分类分级,深化业务数据治理能力。应建立健全业务数据安全分类分级管理机制,在梳理本机构业务数据资产目录的基础上,依据行业相关数据标准,制定覆盖本机构全部业务数据的相关标准和数据安全分类分级清单,根据经营及客户数据的重要性和敏感性进行分类分级,并根据不同类别和级别进行差异化数据管理;实施数据安全分类分级后,应在信息系统建设和日常运维管理过程中严格落实,严防数据泄露和越权使用。
03《期货公司网络和信息安全三年提升计划(2023-2025)》
主要任务包含着力提升信息技术治理能力、持续加强系统运行维护管理、努力提升网络安全保障水平和积极培育自主研发能力四大类,合计共21项工作任务。要求评估完善网络安全架构,全面盘点信息技术资产,定期梳理评估网络安全架构体系;同时健全数据安全管理体系,期货公司应建立健全数据安全管理体系,持续加强数据安全管理;并且落实网络安全等级保护要求。
证券、期货、基金机构作为持牌金融机构,其所开展的数据处理活动具有敏感度高、个人信息数量多、涉及信息系统复杂等特点,数安行分析认为,金融数据安全的重点需聚焦在机构网络空间防护范围内数据流动使用的安全,目前普遍存在对自身数据资产掌握不清晰、无法还原数据流转路径与数据变化、数据使用与数据安全难以兼顾平衡的困难。
《安全提升计划》对上位《网络安全法》《数据安全法》《个人信息保护法》进行衔接,强调金融机构需在全面、完善数据资产梳理的基础上,进行数据分类分级和差异化管控工作,在同步推进数据治理和数据安全管理工作的过程中,深化公司总体数据管理能力,重点关注数据安全风险场景,将数据资产安全管理作为日常工作进行开展。
提升金融机构数据安全保障与管理能力的实施路径
数安行对此提出新的数据安全防护思路,聚焦于数据本体及其全生命周期流转轨迹,按照资产梳理、风险评估、安全防护的分步建设原则,实现全类型多源数据资产发现、分类分级及风险分析,全流程数据流动治理与风险感知以及自适应精准化的数据安全防护。
首先,识别并梳理组织内的敏感数据资产。基于金融行业数据分类分级标准的敏感数据深度识别模型,帮助高效且准确地摸清自身家底,对于数据格式和业务数据类型的全面覆盖成为关键。同时,对于不同机构特有的个性化、无特征的业务数据,将通过基于少量数据样本的小数据机器学习技术进行智能分类。以此将形成完整的敏感数据资产目录清单,并支持文件内容、个人信息以及数据血亲关系的多维度快速检索。
其次,基于数据流动全程及数据全生命周期持续感知评估风险。通过轻量化终端安全代理对终端敏感数据运行过程进行无改造映射,对敏感数据进行自动标注,跟踪数据状态变化过程,对不同格式的数据进行敏感信息识别标注;跟踪敏感数据在业务系统到终端之间以及不同终端之间运行流转轨迹,完整溯源敏感数据流转过程;感知敏感数据扩散滥用风险,对于敏感数据流出业务范围、越权访问等风险快速识别响应。
再者,对敏感数据进行自适应细粒度的精准防护。引入零信任数据安全架构,对使用敏感数据的用户及设备进行持续身份鉴定及风险评估,针对不同的业务部门、数据角色、数据分类以及不同的数据安全风险等级,执行细粒度的访问控制策略。为数据分析人员、开发人员以及运维人员等提供数据安全沙箱运行环境,防止敏感数据扩散滥用。为用户建立多种安全级别的应用系统访问及数据使用环境,建立应用系统与用户之间的零信任数据安全通道,保证业务数据在线使用及流出安全。
未来三年,金融机构需要进一步统筹发展与安全,以《提升计划》作为开展自身网络和信息安全工作的行动指南,进一步筑牢数据安全保障基石,构建起良好的金融科技生态。
(本文作者:北京数安行科技有限公司 郭灵)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。