隨著近年來相關(guān)法律法規(guī)與行業(yè)標準相繼出臺，數(shù)據(jù)安全體系建設(shè)的監(jiān)管要求日趨嚴格。其中《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》將信息安全和數(shù)據(jù)安全上升為國家戰(zhàn)略，明確指出各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責。

近日，證監(jiān)會正式發(fā)布并實施JR/T 0250—2022《證券期貨業(yè)數(shù)據(jù)安全管理與保護指引》（以下簡稱“指引”），在結(jié)合JR∕T 0158-2018《證券期貨業(yè)數(shù)據(jù)分類分級指引》將數(shù)據(jù)定級劃分為1至4級的基礎(chǔ)之上，進一步對不同安全級別的數(shù)據(jù)在數(shù)據(jù)生命周期的各個過程域中宜采取的管控措施進行細化，為證券期貨行業(yè)建設(shè)體系化的數(shù)據(jù)安全架構(gòu)提供了具有強落地性和可執(zhí)行性的參考依據(jù)。

指引適用的證券期貨業(yè)機構(gòu)包括：證券期貨業(yè)市場核心機構(gòu)、證券期貨基金經(jīng)營機構(gòu)、證券期貨信息技術(shù)服務(wù)機構(gòu)和證券期貨業(yè)市場監(jiān)管機構(gòu)，作為其開展數(shù)據(jù)安全管理與保護工作的參考和指引。同時，涉及國家秘密的數(shù)據(jù)不在指引的適用范圍里。

指引首次定義了四個新的概念：

? 數(shù)據(jù)接觸者：

在數(shù)據(jù)采集、數(shù)據(jù)展現(xiàn)、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)存儲過程中的參與者，包括投資者、經(jīng)營機構(gòu)、服務(wù)機構(gòu)、核心機構(gòu)、監(jiān)管機構(gòu)等。

? 數(shù)據(jù)控制者：

可以授權(quán)或拒絕訪問某些數(shù)據(jù)、決定數(shù)據(jù)使用和數(shù)據(jù)處理目的和方式，并對其完整性、可用性和安全性負責的個人或機構(gòu)。

? 可控區(qū)域：

在每個數(shù)據(jù)過程域中，數(shù)據(jù)控制者獨立擁有直接承載數(shù)據(jù)的信息基礎(chǔ)設(shè)施和其所承載信息系統(tǒng)的管理權(quán)或使用權(quán)的區(qū)域。例如本地機房、租賃場地但設(shè)備自有的機房、私有云等環(huán)境。

? 非可控區(qū)域：

在每個數(shù)據(jù)過程域中，數(shù)據(jù)控制者非獨立擁有直接承載數(shù)據(jù)的信息基礎(chǔ)設(shè)施或其所承載信息系統(tǒng)的所有權(quán)或使用權(quán)的區(qū)域。例如托管的機房、租賃設(shè)備的機房、公有云、混合云等環(huán)境。

在過程域劃分原則上，指引中的數(shù)據(jù)存儲階段涵蓋了數(shù)據(jù)刪除和數(shù)據(jù)銷毀兩個環(huán)節(jié)，進行了部分環(huán)節(jié)的合并與調(diào)整。

指引同時強調(diào)從組織、制度、技術(shù)方面建立數(shù)據(jù)安全體系，提高整體防護能力，也須注意數(shù)據(jù)級別與數(shù)據(jù)安全防護的差異性，確保實用性。同時也建議各機構(gòu)依據(jù)自身情況，將數(shù)據(jù)安全管理進行具體落實。

從上述內(nèi)容中可以看出，指引在遵循了《數(shù)據(jù)安全法》中需確定數(shù)據(jù)安全最高責任人的要求之外，還明確了其應(yīng)當履行的職責，在現(xiàn)行的各數(shù)據(jù)安全管理相關(guān)部門中選定一個部門或者新組建一個數(shù)據(jù)安全管理部門作為數(shù)據(jù)安全管理的主責部門。

同時指引還針對數(shù)據(jù)安全管理部門、合規(guī)風控部門、業(yè)務(wù)管理部門、信息技術(shù)部門和內(nèi)部審計部門明確了各部門的數(shù)據(jù)安全管理職責的責任劃分，建立了數(shù)據(jù)安全工作分工協(xié)作的機制。

制度體系建設(shè)作為數(shù)據(jù)安全體系建設(shè)中不可或缺的一部分，需要建立數(shù)據(jù)安全工作開展的管理組織和管理流程，形成明確的數(shù)據(jù)安全管理機制，指引中共列出了九份制度清單，包括一份數(shù)據(jù)安全管理辦法和八份管理細則：

除此之外，基于《數(shù)據(jù)安全法》和《個人信息保護法》等法律法規(guī)的要求，結(jié)合安恒信息多年的數(shù)據(jù)安全實踐經(jīng)驗，建議應(yīng)補充如下三份管理制度：

數(shù)據(jù)分類分級管理制度：內(nèi)容應(yīng)明確數(shù)據(jù)分類分級的工作流程，確定相關(guān)人員職責，明確數(shù)據(jù)分類的原則和方法、數(shù)據(jù)分級的原則和方法，明確數(shù)據(jù)分類分級的邏輯框架等。

數(shù)據(jù)安全風險評估管理制度：內(nèi)容應(yīng)明確數(shù)據(jù)安全風險評估工作開展的原則、工作流程、風險計量方式、風險處置整改流程等。

個人信息保護管理制度：內(nèi)容應(yīng)明確個人信息保護的原則、個人信息的類型和敏感程度、用戶信息保護的管控措施、內(nèi)部員工信息保護的管控措施以及相關(guān)工作開展的流程等。

在數(shù)據(jù)安全管理與保護部分，指引從管理安全、技術(shù)安全和數(shù)據(jù)接觸者安全三個角度，針對不同安全級別的數(shù)據(jù)明確了其在不同的生命周期過程域中、涵蓋了可控區(qū)域和非可控區(qū)域的宜采取的各項管控措施，為數(shù)據(jù)安全體系的落地提供了細顆粒度的指導。

（一）不同級別數(shù)據(jù)安全指引

與JR∕T 0158-2018《證券期貨業(yè)數(shù)據(jù)分類分級指引》數(shù)據(jù)定級相適應(yīng)，指引將數(shù)據(jù)安全管理與保護劃分為四級，在數(shù)據(jù)生命周期各階段提出在管理、技術(shù)等維度，提供與該級別數(shù)據(jù)相對應(yīng)的安全指引。

不同級別的數(shù)據(jù)安全管理與保護相關(guān)的要求、標準，呈逐級遞增趨勢，與數(shù)據(jù)重要性等分級的業(yè)務(wù)屬性相符合。

（二）數(shù)據(jù)生命周期過程劃分

指引中，數(shù)據(jù)生命周期包括數(shù)據(jù)采集、展現(xiàn)、傳輸、處理、存儲五個階段過程，依據(jù)數(shù)據(jù)的不同級別給出相對應(yīng)的安全要求與措施。

數(shù)據(jù)生命周期過程的劃分，為證券期貨行業(yè)在數(shù)據(jù)安全管理體系與技術(shù)體系的建設(shè)過程中，能夠依據(jù)自身數(shù)據(jù)的不同場景設(shè)計安全管理與保護能力，確保覆蓋數(shù)據(jù)面臨的全面風險。

（三）可控區(qū)域安全管理與保護

各級數(shù)據(jù)安全指引針對數(shù)據(jù)控制者的可控區(qū)域，提出包括管理指引、技術(shù)指引方面的細化要求，同時對2級及以上的數(shù)據(jù)提出數(shù)據(jù)接觸者指引的概念并細化了相關(guān)要求。

可控區(qū)域數(shù)據(jù)安全保護，是數(shù)據(jù)控制者與保護責任者必須獨立構(gòu)建數(shù)據(jù)安全管理、技術(shù)防護的重點工作。在實踐過程中可與機構(gòu)內(nèi)部管理體系、技術(shù)體系進行有效融合，提高整體安全效率與安全效能。

（四）非可控區(qū)域安全管理與保護

針對非可控區(qū)域的數(shù)據(jù)安全管理與保護，是與數(shù)據(jù)的流轉(zhuǎn)、使用等場景相適應(yīng)的，有利于差異化數(shù)據(jù)安全保護方案的實踐，確保數(shù)據(jù)生命周期安全的同時，保障數(shù)據(jù)價值的充分發(fā)揮。

非可控區(qū)域數(shù)據(jù)安全保護，是在可控區(qū)域數(shù)據(jù)安全要求基礎(chǔ)上，對數(shù)據(jù)控制者和其他相關(guān)方，對該階段數(shù)據(jù)場景“外延場景”在管理、技術(shù)等方面提出的細化要求。

隨著數(shù)據(jù)安全保護相關(guān)標準要求不斷完善和安全監(jiān)管力度的不斷強化，數(shù)據(jù)安全治理與保護工作任務(wù)日益艱巨。安恒信息多年來積極參與國家、行業(yè)網(wǎng)絡(luò)安全與數(shù)據(jù)安全標準規(guī)范的制定，持續(xù)投入相關(guān)資源，進行數(shù)據(jù)安全風險評估體系、安全管理體系、技術(shù)支撐體系、安全合規(guī)體系等方面的研究，在金融等重點行業(yè)取得了豐富的實踐經(jīng)驗。為各金融機構(gòu)和各行業(yè)用戶提供專業(yè)的數(shù)據(jù)安全咨詢能力，確保數(shù)據(jù)安全工作的合規(guī)性，切實保障數(shù)據(jù)資產(chǎn)的整體安全。