近日，為建立健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系，防范化解行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，維護(hù)資本市場(chǎng)安全平穩(wěn)高效運(yùn)行，2022年4月29日，中國(guó)證監(jiān)會(huì)就《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法（征求意見稿）》公開征求意見（以下簡(jiǎn)稱為"辦法"）。

Part 1.四問(wèn)四答

問(wèn)《辦法》參考了哪些法律法規(guī)？

答根據(jù)《證券法》、《證券投資基金法》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《期貨交易管理?xiàng)l例》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)，制定本辦法。

問(wèn)《辦法》中的核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)、信息技術(shù)服務(wù)機(jī)構(gòu)指的是什么？

答核心機(jī)構(gòu)指證券期貨交易場(chǎng)所、證券登記結(jié)算機(jī)構(gòu)、期貨保證金安全存管監(jiān)控機(jī)構(gòu)等承擔(dān)證券期貨市場(chǎng)公共職能、承擔(dān)證券期貨業(yè)信息基礎(chǔ)設(shè)施運(yùn)營(yíng)的機(jī)構(gòu)及其下屬機(jī)構(gòu)；

經(jīng)營(yíng)機(jī)構(gòu)指證券公司、期貨公司和基金管理公司等證券期貨經(jīng)營(yíng)機(jī)構(gòu)；

信息技術(shù)服務(wù)機(jī)構(gòu)指為證券期貨業(yè)務(wù)活動(dòng)提供重要信息系統(tǒng)的開發(fā)、測(cè)試、集成、測(cè)評(píng)、運(yùn)維及日常安全管理等產(chǎn)品或者服務(wù)的機(jī)構(gòu)。

問(wèn)哪些情況適用本辦法？

答核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò)及信息系統(tǒng)，信息技術(shù)服務(wù)機(jī)構(gòu)為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)的網(wǎng)絡(luò)安全保障，以及證券期貨業(yè)網(wǎng)絡(luò)安全的監(jiān)督管理。

問(wèn)什么是證券期貨業(yè)網(wǎng)絡(luò)安全？哪些是重要數(shù)據(jù)？核心數(shù)據(jù)？

答證券期貨業(yè)網(wǎng)絡(luò)安全是指核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)采取必要措施，對(duì)內(nèi)外部網(wǎng)絡(luò)攻擊、入侵、干擾和破壞進(jìn)行有效識(shí)別、監(jiān)測(cè)、防范和處置，保障承載證券期貨業(yè)務(wù)活動(dòng)的信息系統(tǒng)安全平穩(wěn)運(yùn)行，確保相關(guān)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

重要數(shù)據(jù)、核心數(shù)據(jù)是指按照《數(shù)據(jù)安全法》、國(guó)家和證券期貨業(yè)有關(guān)數(shù)據(jù)分類分級(jí)保護(hù)制度，確定的重要數(shù)據(jù)、核心數(shù)據(jù)。

Part 2.數(shù)據(jù)安全重點(diǎn)解讀

非常值得注意的是，本《辦法》將數(shù)據(jù)安全單獨(dú)做了一個(gè)章節(jié)，在第三章“數(shù)據(jù)安全統(tǒng)籌管理”中，對(duì)數(shù)據(jù)安全做了全面、精準(zhǔn)的要求。下面我們來(lái)對(duì)數(shù)據(jù)安全部分的具體條文進(jìn)行解讀：

解讀：

可參照DSMM《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)，按照數(shù)據(jù)全生命周期六個(gè)階段（采集、傳輸、存儲(chǔ)、處理、交換、銷毀）和四個(gè)安全能力維護(hù)的維度（組織建設(shè)、制度流程、技術(shù)工具、人員能力）進(jìn)行綜合考量，分為五個(gè)等級(jí)，形成一個(gè)三維立體模型，全方面對(duì)數(shù)據(jù)安全進(jìn)行能力建設(shè)。

DSMM模型

昂楷參照DSMM模型，提出了一套數(shù)據(jù)安全治理解決方案。方案將數(shù)據(jù)安全治理建設(shè)分為七步走，分階段建設(shè)，下期我們將為大家詳細(xì)介紹昂楷參照DSMM針對(duì)證券期貨業(yè)的數(shù)據(jù)安全治理解決方案

數(shù)據(jù)安全建設(shè)總體過(guò)程和價(jià)值體現(xiàn)

解讀：

根據(jù)《數(shù)據(jù)安全法》第二十一條，核心數(shù)據(jù)是指“關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等”的數(shù)據(jù)；重要數(shù)據(jù)是指與國(guó)家安全、經(jīng)濟(jì)發(fā)展，以及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)。核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)需針對(duì)重要數(shù)據(jù)、核心數(shù)據(jù)建立對(duì)應(yīng)負(fù)責(zé)的組織或部門，明確相關(guān)負(fù)責(zé)人員。

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)處理重要數(shù)據(jù)的業(yè)務(wù)系統(tǒng)要過(guò)滿三級(jí)等保，等保三級(jí)要求中數(shù)據(jù)安全部分主要集中在安全計(jì)算環(huán)境，安全管理中心以及大數(shù)據(jù)場(chǎng)景擴(kuò)展要求這三大部分中，Ankki數(shù)據(jù)安全能力單元能夠輔助信息技術(shù)服務(wù)機(jī)構(gòu)完善數(shù)據(jù)安全相關(guān)的技術(shù)措施，為數(shù)據(jù)安全保駕護(hù)航。

等保三級(jí)數(shù)據(jù)安全技術(shù)要點(diǎn)

解讀：

網(wǎng)絡(luò)隔離可通過(guò)網(wǎng)閘的方式實(shí)現(xiàn)，可通過(guò)數(shù)據(jù)加密或者脫敏技術(shù)對(duì)數(shù)據(jù)庫(kù)里面核心數(shù)據(jù)、重要數(shù)據(jù)進(jìn)行加密或脫敏，通過(guò)數(shù)據(jù)庫(kù)防火墻技術(shù)對(duì)核心數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)控制、行為審計(jì)、當(dāng)發(fā)生高危操作的時(shí)候，能夠及時(shí)識(shí)別和實(shí)時(shí)攔截阻斷，保障和核心數(shù)據(jù)庫(kù)安全。Ankki DSP（數(shù)據(jù)安全平臺(tái)）能夠整合各數(shù)據(jù)安全產(chǎn)品作戰(zhàn)單元，利用大數(shù)據(jù)關(guān)聯(lián)分析引擎，AI分析引擎統(tǒng)一分析各單元的威脅情報(bào)，進(jìn)行態(tài)勢(shì)感知，聯(lián)控聯(lián)防。

Ankki DSP（數(shù)據(jù)安全運(yùn)營(yíng)平臺(tái)）

解讀：

個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。

可參考《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273—2020），其適用于規(guī)范各類組織的個(gè)人信息處理活動(dòng)。

《個(gè)人信息保護(hù)法》中明確提到個(gè)人信息保護(hù)可以通過(guò)數(shù)據(jù)庫(kù)安全的技術(shù)手段實(shí)現(xiàn)，核心數(shù)據(jù)進(jìn)行加密存儲(chǔ)，通過(guò)數(shù)據(jù)庫(kù)防火墻實(shí)現(xiàn)批量數(shù)據(jù)防泄漏，數(shù)據(jù)脫敏實(shí)現(xiàn)批量個(gè)人數(shù)據(jù)的匿名化，數(shù)據(jù)水印實(shí)現(xiàn)溯源處理。

那么這里提到的采取必要措施我們可以理解為采取數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防火墻、DLP、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)水印等技術(shù)手段來(lái)防止防止個(gè)人信息泄露、篡改、丟失。

數(shù)據(jù)安全治理產(chǎn)品線

解讀：

開展行業(yè)數(shù)據(jù)的集中備份和管理工作，這個(gè)過(guò)程中可以對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行梳理和分類分級(jí)，一方面方便對(duì)數(shù)據(jù)資產(chǎn)的管理，另一方面為后續(xù)的數(shù)據(jù)安全建設(shè)或規(guī)劃打好基礎(chǔ)。方便制定有針對(duì)性的安全建設(shè)和規(guī)劃。保障數(shù)據(jù)的保密性、完整性、可用性。

解讀：

在監(jiān)督管理方面，明確了證監(jiān)會(huì)及其派出機(jī)構(gòu)可以委托專業(yè)機(jī)構(gòu)采用滲透測(cè)試、漏洞掃描和風(fēng)險(xiǎn)評(píng)估等方式對(duì)行業(yè)機(jī)構(gòu)開展監(jiān)督檢查。昂楷公司自成立以來(lái)一直專注于數(shù)據(jù)安全領(lǐng)域的研究，目前已經(jīng)能夠提供成熟的滲透測(cè)試、資產(chǎn)梳理、分類分級(jí)、漏洞掃描、風(fēng)險(xiǎn)評(píng)估等一系列的安全服務(wù)，能及時(shí)讓被監(jiān)督管理方提前掌握自己的安全情況，并有針對(duì)性的進(jìn)行完善和升級(jí)。

Part 3.本辦法處罰力度

根據(jù)條款規(guī)定，視違規(guī)行為情節(jié)嚴(yán)重程度，將可能進(jìn)行20萬(wàn)以內(nèi)的罰款并且采取責(zé)令改正、監(jiān)管談話、出具警示函等監(jiān)管措施。

本辦法條例針對(duì)健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系，防范化解行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，維護(hù)資本市場(chǎng)安全平穩(wěn)高效運(yùn)行作了明確的辦法指引和監(jiān)管責(zé)任落實(shí)。

證券期貨業(yè)如何實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)，做好合規(guī)工作？敬請(qǐng)期待下期，昂楷科技將為大家詳細(xì)分享《證券期貨業(yè)數(shù)據(jù)安全治理解決方案》。