首发!《证券期货业网络安全管理办法(征求意见稿)》解读

新闻
1年前

图片


近日,为建立健全证券期货业网络安全监管制度体系,防范化解行业网络安全风险隐患,维护资本市场安全平稳高效运行,2022年4月29日,中国证监会就《证券期货业网络安全管理办法(征求意见稿)》公开征求意见(以下简称为"办法")。


Part 1.四问四答


问:《办法》参考了哪些法律法规?

答:根据《证券法》、《证券投资基金法》、《网络安全法》、《数据安全法》、《个人信息保护法》、《期货交易管理条例》、《关键信息基础设施安全保护条例》等法律法规,制定本办法。

问:《办法》中的核心机构、经营机构、信息技术服务机构指的是什么?

答:核心机构指证券期货交易场所、证券登记结算机构、期货保证金安全存管监控机构等承担证券期货市场公共职能、承担证券期货业信息基础设施运营的机构及其下属机构;

经营机构指证券公司、期货公司和基金管理公司等证券期货经营机构;

信息技术服务机构指为证券期货业务活动提供重要信息系统的开发、测试、集成、测评、运维及日常安全管理等产品或者服务的机构。

问:哪些情况适用本办法?

答:核心机构和经营机构在中华人民共和国境内建设、运营、维护和使用网络及信息系统,信息技术服务机构为证券期货业务活动提供产品或者服务的网络安全保障,以及证券期货业网络安全的监督管理。

问:什么是证券期货业网络安全?哪些是重要数据?核心数据?

答:证券期货业网络安全是指核心机构、经营机构和信息技术服务机构采取必要措施,对内外部网络攻击、入侵、干扰和破坏进行有效识别、监测、防范和处置,保障承载证券期货业务活动的信息系统安全平稳运行,确保相关网络数据的完整性、保密性和可用性。

重要数据、核心数据是指按照《数据安全法》、国家和证券期货业有关数据分类分级保护制度,确定的重要数据、核心数据。


Part 2.数据安全重点解读


非常值得注意的是,本《办法》将数据安全单独做了一个章节,在第三章“数据安全统筹管理”中,对数据安全做了全面、精准的要求。下面我们来对数据安全部分的具体条文进行解读:

图片

解读:

可参照DSMM《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019),按照数据全生命周期六个阶段(采集、传输、存储、处理、交换、销毁)和四个安全能力维护的维度(组织建设、制度流程、技术工具、人员能力)进行综合考量,分为五个等级,形成一个三维立体模型,全方面对数据安全进行能力建设。

图片

DSMM模型


昂楷参照DSMM模型,提出了一套数据安全治理解决方案。方案将数据安全治理建设分为七步走,分阶段建设,下期我们将为大家详细介绍昂楷参照DSMM针对证券期货业的数据安全治理解决方案

图片

数据安全建设总体过程和价值体现


图片

解读:

根据《数据安全法》第二十一条,核心数据是指“关系国家安全、国民经济命脉、重要民生、重大公共利益等”的数据;重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据。核心机构和经营机构需针对重要数据、核心数据建立对应负责的组织或部门,明确相关负责人员。

核心机构和经营机构处理重要数据的业务系统要过满三级等保,等保三级要求中数据安全部分主要集中在安全计算环境,安全管理中心以及大数据场景扩展要求这三大部分中,昂楷数据安全能力单元能够辅助信息技术服务机构完善数据安全相关的技术措施,为数据安全保驾护航。

图片

图片

等保三级数据安全技术要点


图片

解读:

网络隔离可通过网闸的方式实现,可通过数据加密或者脱敏技术对数据库里面核心数据、重要数据进行加密或脱敏,通过数据库防火墙技术对核心数据库进行访问控制、行为审计、当发生高危操作的时候,能够及时识别和实时拦截阻断,保障和核心数据库安全。昂楷DSP(数据安全平台)能够整合各数据安全产品作战单元,利用大数据关联分析引擎,AI分析引擎统一分析各单元的威胁情报,进行态势感知,联控联防。

图片

昂楷DSP(数据安全运营平台)


图片

解读:

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

可参考《信息安全技术 个人信息安全规范》(GB/T 35273—2020),其适用于规范各类组织的个人信息处理活动。

《个人信息保护法》中明确提到个人信息保护可以通过数据库安全的技术手段实现,核心数据进行加密存储,通过数据库防火墙实现批量数据防泄漏,数据脱敏实现批量个人数据的匿名化,数据水印实现溯源处理。

那么这里提到的采取必要措施我们可以理解为采取数据库审计、数据库防火墙、DLP、数据脱敏、数据加密、数据水印等技术手段来防止防止个人信息泄露、篡改、丢失。

图片

昂楷数据安全治理产品线


图片

解读:

开展行业数据的集中备份和管理工作,这个过程中可以对数据资产进行梳理和分类分级,一方面方便对数据资产的管理,另一方面为后续的数据安全建设或规划打好基础。方便制定有针对性的安全建设和规划。保障数据的保密性、完整性、可用性。


图片

解读:

在监督管理方面,明确了证监会及其派出机构可以委托专业机构采用渗透测试、漏洞扫描和风险评估等方式对行业机构开展监督检查。昂楷公司自成立以来一直专注于数据安全领域的研究,目前已经能够提供成熟的渗透测试、资产梳理、分类分级、漏洞扫描、风险评估等一系列的安全服务,能及时让被监督管理方提前掌握自己的安全情况,并有针对性的进行完善和升级。


Part 3.本办法处罚力度



根据条款规定,视违规行为情节严重程度,将可能进行20万以内的罚款并且采取责令改正、监管谈话、出具警示函等监管措施。

图片

本办法条例针对健全证券期货业网络安全监管制度体系,防范化解行业网络安全风险隐患,维护资本市场安全平稳高效运行作了明确的办法指引和监管责任落实。

证券期货业如何实现数据安全防护,做好合规工作?敬请期待下期,昂楷科技将为大家详细分享《证券期货业数据安全治理解决方案》。