近年來，隨著金融科技的發展，證券期貨業積累了大量數據資產，如客戶數據、交易數據、行情數據、資訊數據等，數據已成為證券期貨業的重要資產和核心競爭力。充分發揮數據價值，用數據驅動創新，促進行業高質量發展，已成為證券期貨業共識。與此同時，數據安全問題也日益受到重視。

為規范證券期貨業機構開展數據安全管理和保護工作，提升行業數據安全管理水平，證監會近期發布《證券期貨業數據安全管理與保護指引》（以下簡稱“《指引》”）。《指引》從數據安全管理基本原則、組織架構、制度、技術等多角度出發提供相關指導，為證券期貨業機構開展數據安全管理與保護工作提供參考。

《證券期貨業數據安全管理與保護指引》主要內容

適用范圍

《指引》適用的證券期貨業機構包括：證券期貨業市場核心機構、證券期貨基金經營機構、證券期貨信息技術服務機構和證券期貨業市場監管機構。

基本原則

過程域

數據安全保護措施覆蓋數據全生命周期：數據采集、數據展現、數據傳輸、數據處理和數據存儲等5個階段。

實用性

對不同安全等級的數據對象，基于數據安全等級的差異，制定相應的數據安全防護措施。

安全性

從組織、制度、技術三個方面建立完備的數據安全保護措施，保護數據和客戶信息安全。將授權機制、崗位職責與安全技術相結合，在整個數據流轉過程中保護數據安全。

可用性

數據在各個過程域中無缺失、損毀，保障數據的完整、可用。

適用性

證券期貨業機構根據自身實際情況采取合適的方式，將數據安全管理落實到具體的組織架構與崗位職責中，保障符合數據安全相關法律法規要求。

組織架構

證券期貨業機構組織架構建設中須明確數據安全管理最高層人員，負責領導協調數據安全部門開展工作，數據安全工作各部門職責分工如下：

數據安全管理部門

牽頭負責數據安全管理工作，組織制定數據管理制度，建立數據全生命周期的運營管理操作規程及更新機制；明確數據安全管理相關管理崗位和職能，明確數據使用的授權機制，明確數據使用的組織、證券期貨業機構及人員的責任及義務。

業務管理部門

作為業務數據實際控制者，制定本部門的業務數據授權審批流程，合理進行數據的權限審批與使用，對業務賬號與接入終端的合規使用進行日常管理；制定本部門所轄范圍內關于業務數據安全、合規監督管理等工作的管理要求，防范業務數據泄露。

合規風控部門

作為數據安全合規和風險管理落實者，負責數據安全管理合規和風險制度的編制；通過指導、規范、檢查等手段對數據安全管理措施和落實情況進行合規風控監管。

信息技術部門

作為數據安全保護措施的實施者，負責按照數據安全的制度和技術標準，實施如數據加密、脫敏、認證授權、訪問控制和安全審計等數據安全技術保護措施；制定和落實針對數據直接接觸者的安全技術防控要求；負責信息系統的數據安全評估、數據安全事件管理和應急響應等工作。

內部審計部門

作為數據安全稽核工作落實部門，主要負責對數據安全管理情況和效果進行檢查和評價，并督促整改。

制度指引

證券期貨業核心機構、經營機構、服務機構和監管機構須建立數據安全管理制度，具體管理規定和管理細則參考如下：

管理規定

明確數據安全管理機制，明確數據安全管理工作的組織架構、組織形式、崗位職責、資源配置等事項。

管理細則

(1) 權限管理：明確數據訪問權限、訪問方式及申請流程；

(2) 介質管理：明確數據存放介質管理要求，保障存儲介質可追蹤、可核查；

(3) 場所管理：明確數據流轉場所的物理、訪問、監控、維護、防護等要求；

(4) 防護措施：根據數據價值以及所受安全威脅的程度，明確數據安全防護措施，保障本證券期貨業機構具備與自身適配的數據安全防護能力；

(5) 事件管理：明確數據安全事件管理機制，就數據安全事件的發現、評估、上報、處置、跟蹤、反饋等方面明確流程和要求，并形成處置預案；

(6) 應急管理：評估分析數據安全工作存在的風險，制定相應數據安全應急管理要求和應急預案，定期開展數據安全應急預案演練；

(7) 安全審計：明確數據安全內部審計責任與周期，形成數據安全內部審計要求，進行定期數據安全專項審計，并記錄和跟蹤審計行為和結果；

(8) 教育培訓：明確數據安全教育培訓機制，如工作計劃、人員、內容及方法等。

數據安全管理與保護指引

依據《證券期貨業數據分類分級指引》的數據分類分級結果，對數據全生命周期階段如采集、展現、傳輸、處理、存儲環節，進行控制區域、管理制度、技術等層面的安全建設指引。

控制區域層面建設指引

《指引》要求中提到，隨著數據對象級別的遞增，安全建設措施也應更加完善。每一個級別的數據應劃分為可控區域及非控區域，不同區域內的數據應采用不同的數據安全管理與技術保護措施。可控區域內的數據安全建設指引適用于非控區域內。

管理制度層面建設指引

數據安全管理制度層面建設從數據全生命周期各階段出發：數據采集階段如制定數據采集使用規則、明確采集信息范圍等；數據展現階段如數據權限管理措施、數據展現軟件及設備管理措施等；數據傳輸階段如數據傳輸介質管理、數據安全傳輸管理制度、審核流程等；數據處理階段如數據權限管理措施、數據處理文檔保管措施、信息系統性能容量評估機制等；數據存儲階段如制定數據存儲管理機制、移動存儲介質管理機制、數據銷毀機制等。管理層需全維度制定詳細的數據安全管理制度。

技術應用層面建設指引

數據安全技術層面建設從數據全生命周期各階段出發：數據采集階段如標識數據采集來源以及時間、監控數據采集過程等；數據展現階段如用戶認證、權限控制、日志記錄與監測、數據標識等控制措施；數據傳輸階段如身份認證、數據校驗技術、數據加密、時間戳等保護措施；數據處理階段如權限控制、用戶標識及鑒別、性能容量評估測試等；數據存儲階段如數據存儲備份、數據存儲權限控制、存儲加密保護等措施。從技術應用層面全面保護數據的安全性。

天融信數據安全“六步走”建設思路

天融信數據安全服務方案依據數據安全治理評估、數據安全組織架構建設、數據安全管理制度建設、數據安全技術保護體系建設、數據安全運營管控建設、數據安全監管“六步走”建設思路，在合法合規要求下，協助證券期貨業機構按照自身數據安全建設現狀，完成高質量的數據安全管理及保護能力建設。

第一步：數據安全治理評估方面，天融信數據安全治理專家團隊通過對證券期貨業機構的業務應用現狀進行調研分析，確定業務的關聯關系、訪問路徑、數據流向及演變過程，找出主要業務所面臨的管理、技術及運營風險，為制定業務的數據安全管理規范提供依據。同時可針對管理制度、組織架構、技術措施、業務場景及數據資產全面開展評估梳理工作，為客戶數據安全體系化建設提供基礎支撐。

第二步：數據安全組織架構建設方面，天融信能夠協助證券期貨業機構構建符合《指引》要求的部門架構，并明確劃分對應的業務和權責，協助證券期貨業機構提高數據安全從業人員能力，并通過第三方廠商視角協調溝通監管機構的對應監管措施。

第三步：數據安全管理制度建設方面，天融信結合多年安全服務經驗，能夠結合業務、合規以及機構面臨的外部風險梳理現有需求，結合已有制度的執行情況，根據“指引”要求的管理規定與細則，構建符合“指引”要求以及能夠切實落地的管理制度。

第四步：數據安全技術保護體系建設方面，作為技術能力覆蓋數據安全全生命周期的安全廠家，天融信能夠為證券期貨業機構在技術防護措施層面建設的各個角度予以技術能力的補充，從而全面保護數據的安全性。

第五步：數據安全運營管控建設方面，天融信可協助證券期貨業機構建立完善的數據安全運營團隊，負責進行數據安全管控措施策略和配置的優化；制定數據安全事件應急預案，在發生數據安全事件時，可采取應急處置措施，并定期對應急預案和處置流程優化完善；建立數據安全監測預警和安全事件通報制度，對發現的安全風險及時上報；在數據安全事件發生后，可依據數據安全審計記錄進行追蹤溯源，并及時改進優化現行數據安全防護策略。

第六步：數據安全監管建設方面，當今數據承載的價值越來越高，數據面臨巨大的威脅，監管部門出臺相關法律法規對數據從業者提出了相關要求，也明確了監管機構的責任。監管單位將依法履職盡責對數據處理者履行數據風險監測與風險評估等數據安全保護義務、遵守國家核心數據管理制度、向境外提供重要數據、配合公安機關及行業監管單位開展數據調取、向外國司法或者執法機構提供數據等行為依法開展監督管理。

TOPSEC

《數據安全法》《個人信息保護法》以及“數據二十條”的陸續出臺與發布，指明數據安全建設已成為構建全域聯動、立體高效的國家安全防護體系中的重要組成部分。作為發布“以數據為中心的安全建設體系”建設思路的廠商，天融信將在數據安全領域持續深耕，根據法律法規以及行業要求，從數據全生命周期助力證券期貨業機構提高數據安全管理水平，護航資本市場信息安全建設！