近日，為建立健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系，防范化解行業(yè)網(wǎng)絡(luò)安全風險隱患，維護資本市場安全平穩(wěn)高效運行，2022年4月29日，中國證監(jiān)會就《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法（征求意見稿）》公開征求意見（以下簡稱為"辦法"）。

Part 1.四問四答

問《辦法》參考了哪些法律法規(guī)？

答根據(jù)《證券法》、《證券投資基金法》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》、《期貨交易管理條例》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)，制定本辦法。

問《辦法》中的核心機構(gòu)、經(jīng)營機構(gòu)、信息技術(shù)服務(wù)機構(gòu)指的是什么？

答核心機構(gòu)指證券期貨交易場所、證券登記結(jié)算機構(gòu)、期貨保證金安全存管監(jiān)控機構(gòu)等承擔證券期貨市場公共職能、承擔證券期貨業(yè)信息基礎(chǔ)設(shè)施運營的機構(gòu)及其下屬機構(gòu)；

經(jīng)營機構(gòu)指證券公司、期貨公司和基金管理公司等證券期貨經(jīng)營機構(gòu)；

信息技術(shù)服務(wù)機構(gòu)指為證券期貨業(yè)務(wù)活動提供重要信息系統(tǒng)的開發(fā)、測試、集成、測評、運維及日常安全管理等產(chǎn)品或者服務(wù)的機構(gòu)。

問哪些情況適用本辦法？

答核心機構(gòu)和經(jīng)營機構(gòu)在中華人民共和國境內(nèi)建設(shè)、運營、維護和使用網(wǎng)絡(luò)及信息系統(tǒng)，信息技術(shù)服務(wù)機構(gòu)為證券期貨業(yè)務(wù)活動提供產(chǎn)品或者服務(wù)的網(wǎng)絡(luò)安全保障，以及證券期貨業(yè)網(wǎng)絡(luò)安全的監(jiān)督管理。

問什么是證券期貨業(yè)網(wǎng)絡(luò)安全？哪些是重要數(shù)據(jù)？核心數(shù)據(jù)？

答證券期貨業(yè)網(wǎng)絡(luò)安全是指核心機構(gòu)、經(jīng)營機構(gòu)和信息技術(shù)服務(wù)機構(gòu)采取必要措施，對內(nèi)外部網(wǎng)絡(luò)攻擊、入侵、干擾和破壞進行有效識別、監(jiān)測、防范和處置，保障承載證券期貨業(yè)務(wù)活動的信息系統(tǒng)安全平穩(wěn)運行，確保相關(guān)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

重要數(shù)據(jù)、核心數(shù)據(jù)是指按照《數(shù)據(jù)安全法》、國家和證券期貨業(yè)有關(guān)數(shù)據(jù)分類分級保護制度，確定的重要數(shù)據(jù)、核心數(shù)據(jù)。

Part 2.數(shù)據(jù)安全重點解讀

非常值得注意的是，本《辦法》將數(shù)據(jù)安全單獨做了一個章節(jié)，在第三章“數(shù)據(jù)安全統(tǒng)籌管理”中，對數(shù)據(jù)安全做了全面、精準的要求。下面我們來對數(shù)據(jù)安全部分的具體條文進行解讀：

解讀：

可參照DSMM《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)，按照數(shù)據(jù)全生命周期六個階段（采集、傳輸、存儲、處理、交換、銷毀）和四個安全能力維護的維度（組織建設(shè)、制度流程、技術(shù)工具、人員能力）進行綜合考量，分為五個等級，形成一個三維立體模型，全方面對數(shù)據(jù)安全進行能力建設(shè)。

DSMM模型

昂楷參照DSMM模型，提出了一套數(shù)據(jù)安全治理解決方案。方案將數(shù)據(jù)安全治理建設(shè)分為七步走，分階段建設(shè)，下期我們將為大家詳細介紹昂楷參照DSMM針對證券期貨業(yè)的數(shù)據(jù)安全治理解決方案

數(shù)據(jù)安全建設(shè)總體過程和價值體現(xiàn)

解讀：

根據(jù)《數(shù)據(jù)安全法》第二十一條，核心數(shù)據(jù)是指“關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等”的數(shù)據(jù)；重要數(shù)據(jù)是指與國家安全、經(jīng)濟發(fā)展，以及社會公共利益密切相關(guān)的數(shù)據(jù)。核心機構(gòu)和經(jīng)營機構(gòu)需針對重要數(shù)據(jù)、核心數(shù)據(jù)建立對應(yīng)負責的組織或部門，明確相關(guān)負責人員。

核心機構(gòu)和經(jīng)營機構(gòu)處理重要數(shù)據(jù)的業(yè)務(wù)系統(tǒng)要過滿三級等保，等保三級要求中數(shù)據(jù)安全部分主要集中在安全計算環(huán)境，安全管理中心以及大數(shù)據(jù)場景擴展要求這三大部分中，Ankki數(shù)據(jù)安全能力單元能夠輔助信息技術(shù)服務(wù)機構(gòu)完善數(shù)據(jù)安全相關(guān)的技術(shù)措施，為數(shù)據(jù)安全保駕護航。

等保三級數(shù)據(jù)安全技術(shù)要點

解讀：

網(wǎng)絡(luò)隔離可通過網(wǎng)閘的方式實現(xiàn)，可通過數(shù)據(jù)加密或者脫敏技術(shù)對數(shù)據(jù)庫里面核心數(shù)據(jù)、重要數(shù)據(jù)進行加密或脫敏，通過數(shù)據(jù)庫防火墻技術(shù)對核心數(shù)據(jù)庫進行訪問控制、行為審計、當發(fā)生高危操作的時候，能夠及時識別和實時攔截阻斷，保障和核心數(shù)據(jù)庫安全。Ankki DSP（數(shù)據(jù)安全平臺）能夠整合各數(shù)據(jù)安全產(chǎn)品作戰(zhàn)單元，利用大數(shù)據(jù)關(guān)聯(lián)分析引擎，AI分析引擎統(tǒng)一分析各單元的威脅情報，進行態(tài)勢感知，聯(lián)控聯(lián)防。

Ankki DSP（數(shù)據(jù)安全運營平臺）

解讀：

個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。

可參考《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273—2020），其適用于規(guī)范各類組織的個人信息處理活動。

《個人信息保護法》中明確提到個人信息保護可以通過數(shù)據(jù)庫安全的技術(shù)手段實現(xiàn)，核心數(shù)據(jù)進行加密存儲，通過數(shù)據(jù)庫防火墻實現(xiàn)批量數(shù)據(jù)防泄漏，數(shù)據(jù)脫敏實現(xiàn)批量個人數(shù)據(jù)的匿名化，數(shù)據(jù)水印實現(xiàn)溯源處理。

那么這里提到的采取必要措施我們可以理解為采取數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、DLP、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)水印等技術(shù)手段來防止防止個人信息泄露、篡改、丟失。

數(shù)據(jù)安全治理產(chǎn)品線

解讀：

開展行業(yè)數(shù)據(jù)的集中備份和管理工作，這個過程中可以對數(shù)據(jù)資產(chǎn)進行梳理和分類分級，一方面方便對數(shù)據(jù)資產(chǎn)的管理，另一方面為后續(xù)的數(shù)據(jù)安全建設(shè)或規(guī)劃打好基礎(chǔ)。方便制定有針對性的安全建設(shè)和規(guī)劃。保障數(shù)據(jù)的保密性、完整性、可用性。

解讀：

在監(jiān)督管理方面，明確了證監(jiān)會及其派出機構(gòu)可以委托專業(yè)機構(gòu)采用滲透測試、漏洞掃描和風險評估等方式對行業(yè)機構(gòu)開展監(jiān)督檢查。昂楷公司自成立以來一直專注于數(shù)據(jù)安全領(lǐng)域的研究，目前已經(jīng)能夠提供成熟的滲透測試、資產(chǎn)梳理、分類分級、漏洞掃描、風險評估等一系列的安全服務(wù)，能及時讓被監(jiān)督管理方提前掌握自己的安全情況，并有針對性的進行完善和升級。

Part 3.本辦法處罰力度

根據(jù)條款規(guī)定，視違規(guī)行為情節(jié)嚴重程度，將可能進行20萬以內(nèi)的罰款并且采取責令改正、監(jiān)管談話、出具警示函等監(jiān)管措施。

本辦法條例針對健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系，防范化解行業(yè)網(wǎng)絡(luò)安全風險隱患，維護資本市場安全平穩(wěn)高效運行作了明確的辦法指引和監(jiān)管責任落實。

證券期貨業(yè)如何實現(xiàn)數(shù)據(jù)安全防護，做好合規(guī)工作？敬請期待下期，昂楷科技將為大家詳細分享《證券期貨業(yè)數(shù)據(jù)安全治理解決方案》。