近日,為建立健全證券期貨業網絡安全監管制度體系,防范化解行業網絡安全風險隱患,維護資本市場安全平穩高效運行,2022年4月29日,中國證監會就《證券期貨業網絡安全管理辦法(征求意見稿)》公開征求意見(以下簡稱為"辦法")。
Part 1.四問四答
問《辦法》參考了哪些法律法規?
答根據《證券法》、《證券投資基金法》、《網絡安全法》、《數據安全法》、《個人信息保護法》、《期貨交易管理條例》、《關鍵信息基礎設施安全保護條例》等法律法規,制定本辦法。
問《辦法》中的核心機構、經營機構、信息技術服務機構指的是什么?
答核心機構指證券期貨交易場所、證券登記結算機構、期貨保證金安全存管監控機構等承擔證券期貨市場公共職能、承擔證券期貨業信息基礎設施運營的機構及其下屬機構;
經營機構指證券公司、期貨公司和基金管理公司等證券期貨經營機構;
信息技術服務機構指為證券期貨業務活動提供重要信息系統的開發、測試、集成、測評、運維及日常安全管理等產品或者服務的機構。
問哪些情況適用本辦法?
答核心機構和經營機構在中華人民共和國境內建設、運營、維護和使用網絡及信息系統,信息技術服務機構為證券期貨業務活動提供產品或者服務的網絡安全保障,以及證券期貨業網絡安全的監督管理。
問什么是證券期貨業網絡安全?哪些是重要數據?核心數據?
答證券期貨業網絡安全是指核心機構、經營機構和信息技術服務機構采取必要措施,對內外部網絡攻擊、入侵、干擾和破壞進行有效識別、監測、防范和處置,保障承載證券期貨業務活動的信息系統安全平穩運行,確保相關網絡數據的完整性、保密性和可用性。
重要數據、核心數據是指按照《數據安全法》、國家和證券期貨業有關數據分類分級保護制度,確定的重要數據、核心數據。
Part 2.數據安全重點解讀
非常值得注意的是,本《辦法》將數據安全單獨做了一個章節,在第三章“數據安全統籌管理”中,對數據安全做了全面、精準的要求。下面我們來對數據安全部分的具體條文進行解讀:
解讀:
可參照DSMM《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019),按照數據全生命周期六個階段(采集、傳輸、存儲、處理、交換、銷毀)和四個安全能力維護的維度(組織建設、制度流程、技術工具、人員能力)進行綜合考量,分為五個等級,形成一個三維立體模型,全方面對數據安全進行能力建設。
DSMM模型
昂楷參照DSMM模型,提出了一套數據安全治理解決方案。方案將數據安全治理建設分為七步走,分階段建設,下期我們將為大家詳細介紹昂楷參照DSMM針對證券期貨業的數據安全治理解決方案
數據安全建設總體過程和價值體現
解讀:
根據《數據安全法》第二十一條,核心數據是指“關系國家安全、國民經濟命脈、重要民生、重大公共利益等”的數據;重要數據是指與國家安全、經濟發展,以及社會公共利益密切相關的數據。核心機構和經營機構需針對重要數據、核心數據建立對應負責的組織或部門,明確相關負責人員。
核心機構和經營機構處理重要數據的業務系統要過滿三級等保,等保三級要求中數據安全部分主要集中在安全計算環境,安全管理中心以及大數據場景擴展要求這三大部分中,Ankki數據安全能力單元能夠輔助信息技術服務機構完善數據安全相關的技術措施,為數據安全保駕護航。
等保三級數據安全技術要點
解讀:
網絡隔離可通過網閘的方式實現,可通過數據加密或者脫敏技術對數據庫里面核心數據、重要數據進行加密或脫敏,通過數據庫防火墻技術對核心數據庫進行訪問控制、行為審計、當發生高危操作的時候,能夠及時識別和實時攔截阻斷,保障和核心數據庫安全。Ankki DSP(數據安全平臺)能夠整合各數據安全產品作戰單元,利用大數據關聯分析引擎,AI分析引擎統一分析各單元的威脅情報,進行態勢感知,聯控聯防。
Ankki DSP(數據安全運營平臺)
解讀:
個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。
可參考《信息安全技術 個人信息安全規范》(GB/T 35273—2020),其適用于規范各類組織的個人信息處理活動。
《個人信息保護法》中明確提到個人信息保護可以通過數據庫安全的技術手段實現,核心數據進行加密存儲,通過數據庫防火墻實現批量數據防泄漏,數據脫敏實現批量個人數據的匿名化,數據水印實現溯源處理。
那么這里提到的采取必要措施我們可以理解為采取數據庫審計、數據庫防火墻、DLP、數據脫敏、數據加密、數據水印等技術手段來防止防止個人信息泄露、篡改、丟失。
數據安全治理產品線
解讀:
開展行業數據的集中備份和管理工作,這個過程中可以對數據資產進行梳理和分類分級,一方面方便對數據資產的管理,另一方面為后續的數據安全建設或規劃打好基礎。方便制定有針對性的安全建設和規劃。保障數據的保密性、完整性、可用性。
解讀:
在監督管理方面,明確了證監會及其派出機構可以委托專業機構采用滲透測試、漏洞掃描和風險評估等方式對行業機構開展監督檢查。昂楷公司自成立以來一直專注于數據安全領域的研究,目前已經能夠提供成熟的滲透測試、資產梳理、分類分級、漏洞掃描、風險評估等一系列的安全服務,能及時讓被監督管理方提前掌握自己的安全情況,并有針對性的進行完善和升級。
Part 3.本辦法處罰力度
根據條款規定,視違規行為情節嚴重程度,將可能進行20萬以內的罰款并且采取責令改正、監管談話、出具警示函等監管措施。
本辦法條例針對健全證券期貨業網絡安全監管制度體系,防范化解行業網絡安全風險隱患,維護資本市場安全平穩高效運行作了明確的辦法指引和監管責任落實。
證券期貨業如何實現數據安全防護,做好合規工作?敬請期待下期,昂楷科技將為大家詳細分享《證券期貨業數據安全治理解決方案》。
