隨著近年來相關(guān)法律法規(guī)與行業(yè)標(biāo)準(zhǔn)相繼出臺，數(shù)據(jù)安全體系建設(shè)的監(jiān)管要求日趨嚴(yán)格。其中《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》將信息安全和數(shù)據(jù)安全上升為國家戰(zhàn)略，明確指出各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負(fù)責(zé)。

近日，證監(jiān)會正式發(fā)布并實(shí)施JR/T 0250—2022《證券期貨業(yè)數(shù)據(jù)安全管理與保護(hù)指引》（以下簡稱“指引”），在結(jié)合JR∕T 0158-2018《證券期貨業(yè)數(shù)據(jù)分類分級指引》將數(shù)據(jù)定級劃分為1至4級的基礎(chǔ)之上，進(jìn)一步對不同安全級別的數(shù)據(jù)在數(shù)據(jù)生命周期的各個(gè)過程域中宜采取的管控措施進(jìn)行細(xì)化，為證券期貨行業(yè)建設(shè)體系化的數(shù)據(jù)安全架構(gòu)提供了具有強(qiáng)落地性和可執(zhí)行性的參考依據(jù)。

指引適用的證券期貨業(yè)機(jī)構(gòu)包括：證券期貨業(yè)市場核心機(jī)構(gòu)、證券期貨基金經(jīng)營機(jī)構(gòu)、證券期貨信息技術(shù)服務(wù)機(jī)構(gòu)和證券期貨業(yè)市場監(jiān)管機(jī)構(gòu)，作為其開展數(shù)據(jù)安全管理與保護(hù)工作的參考和指引。同時(shí)，涉及國家秘密的數(shù)據(jù)不在指引的適用范圍里。

指引首次定義了四個(gè)新的概念：

? 數(shù)據(jù)接觸者：

在數(shù)據(jù)采集、數(shù)據(jù)展現(xiàn)、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)存儲過程中的參與者，包括投資者、經(jīng)營機(jī)構(gòu)、服務(wù)機(jī)構(gòu)、核心機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)等。

? 數(shù)據(jù)控制者：

可以授權(quán)或拒絕訪問某些數(shù)據(jù)、決定數(shù)據(jù)使用和數(shù)據(jù)處理目的和方式，并對其完整性、可用性和安全性負(fù)責(zé)的個(gè)人或機(jī)構(gòu)。

? 可控區(qū)域：

在每個(gè)數(shù)據(jù)過程域中，數(shù)據(jù)控制者獨(dú)立擁有直接承載數(shù)據(jù)的信息基礎(chǔ)設(shè)施和其所承載信息系統(tǒng)的管理權(quán)或使用權(quán)的區(qū)域。例如本地機(jī)房、租賃場地但設(shè)備自有的機(jī)房、私有云等環(huán)境。

? 非可控區(qū)域：

在每個(gè)數(shù)據(jù)過程域中，數(shù)據(jù)控制者非獨(dú)立擁有直接承載數(shù)據(jù)的信息基礎(chǔ)設(shè)施或其所承載信息系統(tǒng)的所有權(quán)或使用權(quán)的區(qū)域。例如托管的機(jī)房、租賃設(shè)備的機(jī)房、公有云、混合云等環(huán)境。

在過程域劃分原則上，指引中的數(shù)據(jù)存儲階段涵蓋了數(shù)據(jù)刪除和數(shù)據(jù)銷毀兩個(gè)環(huán)節(jié)，進(jìn)行了部分環(huán)節(jié)的合并與調(diào)整。

指引同時(shí)強(qiáng)調(diào)從組織、制度、技術(shù)方面建立數(shù)據(jù)安全體系，提高整體防護(hù)能力，也須注意數(shù)據(jù)級別與數(shù)據(jù)安全防護(hù)的差異性，確保實(shí)用性。同時(shí)也建議各機(jī)構(gòu)依據(jù)自身情況，將數(shù)據(jù)安全管理進(jìn)行具體落實(shí)。

從上述內(nèi)容中可以看出，指引在遵循了《數(shù)據(jù)安全法》中需確定數(shù)據(jù)安全最高責(zé)任人的要求之外，還明確了其應(yīng)當(dāng)履行的職責(zé)，在現(xiàn)行的各數(shù)據(jù)安全管理相關(guān)部門中選定一個(gè)部門或者新組建一個(gè)數(shù)據(jù)安全管理部門作為數(shù)據(jù)安全管理的主責(zé)部門。

同時(shí)指引還針對數(shù)據(jù)安全管理部門、合規(guī)風(fēng)控部門、業(yè)務(wù)管理部門、信息技術(shù)部門和內(nèi)部審計(jì)部門明確了各部門的數(shù)據(jù)安全管理職責(zé)的責(zé)任劃分，建立了數(shù)據(jù)安全工作分工協(xié)作的機(jī)制。

制度體系建設(shè)作為數(shù)據(jù)安全體系建設(shè)中不可或缺的一部分，需要建立數(shù)據(jù)安全工作開展的管理組織和管理流程，形成明確的數(shù)據(jù)安全管理機(jī)制，指引中共列出了九份制度清單，包括一份數(shù)據(jù)安全管理辦法和八份管理細(xì)則：

除此之外，基于《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)的要求，結(jié)合安恒信息多年的數(shù)據(jù)安全實(shí)踐經(jīng)驗(yàn)，建議應(yīng)補(bǔ)充如下三份管理制度：

數(shù)據(jù)分類分級管理制度：內(nèi)容應(yīng)明確數(shù)據(jù)分類分級的工作流程，確定相關(guān)人員職責(zé)，明確數(shù)據(jù)分類的原則和方法、數(shù)據(jù)分級的原則和方法，明確數(shù)據(jù)分類分級的邏輯框架等。

數(shù)據(jù)安全風(fēng)險(xiǎn)評估管理制度：內(nèi)容應(yīng)明確數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作開展的原則、工作流程、風(fēng)險(xiǎn)計(jì)量方式、風(fēng)險(xiǎn)處置整改流程等。

個(gè)人信息保護(hù)管理制度：內(nèi)容應(yīng)明確個(gè)人信息保護(hù)的原則、個(gè)人信息的類型和敏感程度、用戶信息保護(hù)的管控措施、內(nèi)部員工信息保護(hù)的管控措施以及相關(guān)工作開展的流程等。

在數(shù)據(jù)安全管理與保護(hù)部分，指引從管理安全、技術(shù)安全和數(shù)據(jù)接觸者安全三個(gè)角度，針對不同安全級別的數(shù)據(jù)明確了其在不同的生命周期過程域中、涵蓋了可控區(qū)域和非可控區(qū)域的宜采取的各項(xiàng)管控措施，為數(shù)據(jù)安全體系的落地提供了細(xì)顆粒度的指導(dǎo)。

（一）不同級別數(shù)據(jù)安全指引

與JR∕T 0158-2018《證券期貨業(yè)數(shù)據(jù)分類分級指引》數(shù)據(jù)定級相適應(yīng)，指引將數(shù)據(jù)安全管理與保護(hù)劃分為四級，在數(shù)據(jù)生命周期各階段提出在管理、技術(shù)等維度，提供與該級別數(shù)據(jù)相對應(yīng)的安全指引。

不同級別的數(shù)據(jù)安全管理與保護(hù)相關(guān)的要求、標(biāo)準(zhǔn)，呈逐級遞增趨勢，與數(shù)據(jù)重要性等分級的業(yè)務(wù)屬性相符合。

（二）數(shù)據(jù)生命周期過程劃分

指引中，數(shù)據(jù)生命周期包括數(shù)據(jù)采集、展現(xiàn)、傳輸、處理、存儲五個(gè)階段過程，依據(jù)數(shù)據(jù)的不同級別給出相對應(yīng)的安全要求與措施。

數(shù)據(jù)生命周期過程的劃分，為證券期貨行業(yè)在數(shù)據(jù)安全管理體系與技術(shù)體系的建設(shè)過程中，能夠依據(jù)自身數(shù)據(jù)的不同場景設(shè)計(jì)安全管理與保護(hù)能力，確保覆蓋數(shù)據(jù)面臨的全面風(fēng)險(xiǎn)。

（三）可控區(qū)域安全管理與保護(hù)

各級數(shù)據(jù)安全指引針對數(shù)據(jù)控制者的可控區(qū)域，提出包括管理指引、技術(shù)指引方面的細(xì)化要求，同時(shí)對2級及以上的數(shù)據(jù)提出數(shù)據(jù)接觸者指引的概念并細(xì)化了相關(guān)要求。

可控區(qū)域數(shù)據(jù)安全保護(hù)，是數(shù)據(jù)控制者與保護(hù)責(zé)任者必須獨(dú)立構(gòu)建數(shù)據(jù)安全管理、技術(shù)防護(hù)的重點(diǎn)工作。在實(shí)踐過程中可與機(jī)構(gòu)內(nèi)部管理體系、技術(shù)體系進(jìn)行有效融合，提高整體安全效率與安全效能。

（四）非可控區(qū)域安全管理與保護(hù)

針對非可控區(qū)域的數(shù)據(jù)安全管理與保護(hù)，是與數(shù)據(jù)的流轉(zhuǎn)、使用等場景相適應(yīng)的，有利于差異化數(shù)據(jù)安全保護(hù)方案的實(shí)踐，確保數(shù)據(jù)生命周期安全的同時(shí)，保障數(shù)據(jù)價(jià)值的充分發(fā)揮。

非可控區(qū)域數(shù)據(jù)安全保護(hù)，是在可控區(qū)域數(shù)據(jù)安全要求基礎(chǔ)上，對數(shù)據(jù)控制者和其他相關(guān)方，對該階段數(shù)據(jù)場景“外延場景”在管理、技術(shù)等方面提出的細(xì)化要求。

隨著數(shù)據(jù)安全保護(hù)相關(guān)標(biāo)準(zhǔn)要求不斷完善和安全監(jiān)管力度的不斷強(qiáng)化，數(shù)據(jù)安全治理與保護(hù)工作任務(wù)日益艱巨。安恒信息多年來積極參與國家、行業(yè)網(wǎng)絡(luò)安全與數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范的制定，持續(xù)投入相關(guān)資源，進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評估體系、安全管理體系、技術(shù)支撐體系、安全合規(guī)體系等方面的研究，在金融等重點(diǎn)行業(yè)取得了豐富的實(shí)踐經(jīng)驗(yàn)。為各金融機(jī)構(gòu)和各行業(yè)用戶提供專業(yè)的數(shù)據(jù)安全咨詢能力，確保數(shù)據(jù)安全工作的合規(guī)性，切實(shí)保障數(shù)據(jù)資產(chǎn)的整體安全。