近日,为建立健全证券期货业网络安全监管制度体系,防范化解行业网络安全风险隐患,维护资本市场安全平稳高效运行,2022年4月29日,中国证监会就《证券期货业网络安全管理办法(征求意见稿)》公开征求意见。
Part 1 四问四答!
问题一《办法》参考了哪些法法律法规?
根据《证券法》、《证券投资基金法》、《网络安全法》、《数据安全法》、《个人信息保护法》、《期货交易管理条例》、《关键信息基础设施安全保护条例》等法律法规,制定本办法。
问题二《办法》中的核心机构、经营机构、信息技术服务机构指的是什么?
核心机构指证券期货交易场所、证券登记结算机构、期货保证金安全存管监控机构等承担证券期货市场公共职能、承担证券期货业信息基础设施运营的机构及其下属机构;
经营机构指证券公司、期货公司和基金管理公司等证券期货经营机构;
信息技术服务机构指为证券期货业务活动提供重要信息系统的开发、测试、集成、测评、运维及日常安全管理等产品或者服务的机构。
问题三哪些情况适用本办法?
核心机构和经营机构在中华人民共和国境内建设、运营、维护和使用网络及信息系统,信息技术服务机构为证券期货业务活动提供产品或者服务的网络安全保障,以及证券期货业网络安全的监督管理。
问题四什么是证券期货业网络安全?哪些是重要数据?核心数据?
证券期货业网络安全是指核心机构、经营机构和信息技术服务机构采取必要措施,对内外部网络攻击、入侵、干扰和破坏进行有效识别、监测、防范和处置,保障承载证券期货业务活动的信息系统安全平稳运行,确保相关网络数据的完整性、保密性和可用性。
重要数据、核心数据是指按照《数据安全法》、国家和证券期货业有关数据分类分级保护制度,确定的重要数据、核心数据。
Part 2 数据安全重点解读!
非常值得注意的是,本《办法》将数据安全单独做了一个章节,在第三章“数据安全统筹管理”中,对数据安全做了全面、精准的要求。下面我们来对数据安全部分的具体条文进行解读:
核心机构和经营机构应当履行数据安全管理责任
第二十三条 核心机构和经营机构应当履行数据安全管理责任,包括但不限于以下方面:
(一)建立健全数据安全管理制度体系,完善数据运营和管控机制;
(二)健全数据安全管理组织架构,明确数据安全管理权责机制;
(三)依据行业相关数据标准,制定覆盖本机构全部业务数据的相关标准,实施与业务特点相适应的数据分类分级 管理;
(四)建立数据权限管理策略,按照最小授权原则设置 数据访问权限,定期排查清理,并对数据访问记录进行留痕 审计;
(五)构建数据质量评估框架,建立质量管控和追责机制;
(六)法律法规及中国证监会规定的其他事项。
解读:
可参照DSMM《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019),按照数据全生命周期六个阶段(采集、传输、存储、处理、交换、销毁)和四个安全能力维护的维度(组织建设、制度流程、技术工具、人员能力)进行综合考量,分为五个等级,形成一个三维立体模型,全方面对数据安全进行能力建设。
DSMM模型
昂楷参照DSMM模型,提出了一套数据安全治理解决方案。方案将数据安全治理建设分为七步走,分阶段建设,下期我们将为大家详细介绍昂楷参照DSMM针对证券期货业的数据安全治理解决方案
数据安全建设总体过程和价值体现
二、机构应当明确数据安全责任人
原文:
第二十四条 核心机构和经营机构处理重要数据、核心数据的,应当依法明确数据安全负责人,指定数据安全管理机构或者部门。
核心机构和经营机构处理重要数据的信息系统原则上应当满足三级以上网络安全等级保护要求,处理核心数据的信息系统依照有关法律法规从严保护。
解读:
根据《数据安全法》第二十一条,核心数据是指“关系国家安全、国民经济命脉、重要民生、重大公共利益等”的数据;重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据。核心机构和经营机构需针对重要数据、核心数据建立对应负责的组织或部门,明确相关负责人员。核心机构和经营机构处理重要数据的业务系统要过满三级等保,等保三级要求中数据安全部分主要集中在安全计算环境,安全管理中心以及大数据场景扩展要求这三大部分中,我们数据安全能力单元能够辅助信息技术服务机构完善数据安全相关的技术措施,为数据安全保驾护航。
等保三级数据安全技术要点
三、机构应当采取有效多种数据安全防范措施保障数据安全
原文:
第二十五条 核心机构和经营机构应当综合采取网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测和网络安全态势感知等技术手段,及时识别、阻断和溯源相关网络攻击,保障数据安全。
解读:
网络隔离可通过网闸的方式实现,可通过数据加密或者脱敏技术对数据库里面核心数据、重要数据进行加密或脱敏,通过数据库防火墙技术对核心数据库进行访问控制、行为审计、当发生高危操作的时候,能够及时识别和实时拦截阻断,保障和核心数据库安全。昂楷DSP(数据安全平台)能够整合各数据安全产品作战单元,利用大数据关联分析引擎,AI分析引擎统一分析各单元的威胁情报,进行态势感知,联控联防。
昂楷DSP(数据安全平台)
四、机构要合法处理收集到的个人信息,履行保护义务
原文:
第二十六条 核心机构和经营机构应当遵循合法、正当、必要和诚信原则处理投资者个人信息,依法履行投资者个人信息保护义务,包括但不限于下列要求:
(一)收集个人信息,应当告知投资者个人信息处理的 目的、方式和范围,并取得个人同意;
(二)采取必要的安全技术措施存储、传输个人信息,防止个人信息泄露、篡改、丢失;
(三)合理确定个人信息使用策略和操作权限,不得滥用个人信息;
(四)处理证券期货账户等敏感个人信息、向他人提供 或者公开个人信息的,应当取得个人的单独同意。
为履行法定职责、法定义务或者监管要求所必需,核心机构和经营机构可以在未取得个人同意的情况下,处理个人信息。
解读:
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。可参考《信息安全技术 个人信息安全规范》(GB/T 35273—2020),其适用于规范各类组织的个人信息处理活动。《个人信息保护法》中明确提到个人信息保护可以通过数据库安全的技术手段实现,核心数据加密存储,通过数据库防火墙实现批量数据防泄漏,也可以通过数据脱敏实现批量个人数据的匿名化,通过数字水印实现溯源处理。那么这里提到的采取必要措施我们可以理解为采取数据库审计、防火墙、DLP、脱敏、加密、水印等技术手段来防止防止个人信息泄露、篡改、丢失。
昂楷数据安全治理产品线
五、机构要提升重大灾难应对能力,及时备份中心报送数据
原文:
第二十九条 中国证监会可以指定相关机构建设证券期货业战略备份数据中心,开展行业数据的集中备份和管理工作,持续提升证券期货业重大灾难应对能力。
核心机构和经营机构应当按照规定及时向证券期货业战略数据备份中心报送数据,报送的数据必须真实、准确、完整。
解读:
开展行业数据的集中备份和管理工作,这个过程中可以对数据资产进行梳理和分类分级,一方面方便对数据资产的管理,另一方面为后续的数据安全建设或规划打好基础。方便制定有针对性的安全建设和规划。保障数据的保密性、完整性、可用性。
六、中国证监会将对机构进行信息技术风险评估以及开展监督、检查
原文:
第五十二条 中国证监会及其派出机构可以委托国家、行业有关专业机构采用渗透测试、漏洞扫描及信息技术风险评估等方式,协助对核心机构、经营机构和信息技术服务机构开展监督、检查。
解读:
在监督管理方面,明确了证监会及其派出机构可以委托专业机构采用渗透测试、漏洞扫描和风险评估等方式对行业机构开展监督检查。昂楷公司自成立以来一直专注于数据安全领域的研究,目前已经能够提供成熟的渗透测试、资产梳理、分类分级、漏洞扫描、风险评估等一系列的安全服务,能及时让被监督管理方提前掌握自己的安全情况,并有针对性的进行完善和升级。
Part 3 惩罚力度!