證券行業(yè)作為典型的數(shù)據(jù)規(guī)模巨大�����、數(shù)據(jù)價(jià)值高�、數(shù)據(jù)應(yīng)用場(chǎng)景復(fù)雜的行業(yè)�����,面向個(gè)人投資者提供著眾多金融產(chǎn)品和服務(wù)�����,對(duì)數(shù)據(jù)安全治理有著天然的訴求����。然而���,在開(kāi)展數(shù)據(jù)安全保護(hù)過(guò)程中往往會(huì)面臨一系列問(wèn)題和挑戰(zhàn)���。
2022年底,證監(jiān)會(huì)發(fā)布《證券期貨業(yè)數(shù)據(jù)安全管理與保護(hù)指引》��,從數(shù)據(jù)安全管理基本原則、組織架構(gòu)�、制度、技術(shù)等方面提供指引�,規(guī)范行業(yè)機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全管理和保護(hù)工作,提升行業(yè)數(shù)據(jù)安全管理水平�����。
《GB/T 43697-2024數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》《JR/T 0171-2020 個(gè)人金融信息保護(hù)技術(shù)規(guī)范》《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》《JR/T 0197-2020 金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》等多個(gè)規(guī)范及指引的發(fā)布�����,則進(jìn)一步細(xì)化了數(shù)據(jù)安全保護(hù)范疇�,對(duì)數(shù)據(jù)安全分類分級(jí)工作提出了明確的管理要求。
昂楷科技通過(guò)為國(guó)內(nèi)某大型證券公司提供數(shù)據(jù)分類分級(jí)建設(shè)服務(wù)�,明確企業(yè)敏感數(shù)據(jù)資產(chǎn),為后續(xù)數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別分析�����,數(shù)據(jù)安全策略配置���,實(shí)現(xiàn)數(shù)據(jù)安全治理奠定基礎(chǔ)��。
證券行業(yè)數(shù)據(jù)安全分類分級(jí)痛點(diǎn)分析
(一)數(shù)據(jù)混亂�,涉及的業(yè)務(wù)系統(tǒng)較多,數(shù)據(jù)血緣關(guān)系冗雜由于證券行業(yè)數(shù)據(jù)較為雜亂���,涉及的業(yè)務(wù)系統(tǒng)也較多����,往往一個(gè)數(shù)據(jù)庫(kù)表可能涉及多個(gè)系統(tǒng)的流轉(zhuǎn)使用����,數(shù)據(jù)的血緣關(guān)系較為冗雜,這往往給數(shù)據(jù)的分類及定級(jí)帶來(lái)困難�����。
(二)業(yè)務(wù)系統(tǒng)復(fù)雜��,數(shù)據(jù)標(biāo)準(zhǔn)未統(tǒng)一由于很多系統(tǒng)為不同的廠商開(kāi)發(fā)�,不同廠商所開(kāi)發(fā)業(yè)務(wù)應(yīng)用系統(tǒng)有獨(dú)屬于自有一套數(shù)據(jù)特性與結(jié)構(gòu)���,且由于未建立統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)�,造成數(shù)據(jù)結(jié)構(gòu)較為混亂�,數(shù)據(jù)標(biāo)識(shí)也存在差異。
(三)以字段為最小顆粒度����,周期較長(zhǎng)針對(duì)數(shù)據(jù)字段的分類分級(jí)是一個(gè)耗時(shí)耗人力的過(guò)程�����,往往需要多個(gè)業(yè)務(wù)部門(mén)共同來(lái)完成相關(guān)工作��,由于協(xié)調(diào)性問(wèn)題�����,人員的認(rèn)知差異性等����,針對(duì)分類分級(jí)的判定結(jié)果上存在一定的偏差�����,且周期較長(zhǎng)�����。
證券數(shù)據(jù)安全分類分級(jí)建設(shè)思路(一)建設(shè)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)本次服務(wù)結(jié)合證券行業(yè)特性及實(shí)際業(yè)務(wù)情況���,建立該證券公司自身并滿足監(jiān)管要求的分類分級(jí)規(guī)范��,在規(guī)范中明確了當(dāng)前分類分級(jí)的方法及定義�,詳細(xì)闡述了分類分級(jí)的原則、維度�����、實(shí)施方式等���。
(二)依托分類分級(jí)系統(tǒng)搭建分類分級(jí)平臺(tái)部署數(shù)據(jù)分類分級(jí)自動(dòng)化系統(tǒng)���,在證券期貨業(yè)分類分級(jí)標(biāo)準(zhǔn)的基礎(chǔ)上,通過(guò)結(jié)合證券行業(yè)特性��,建立數(shù)據(jù)分類分級(jí)策略和分類分級(jí)任務(wù)模型���,實(shí)現(xiàn)自動(dòng)對(duì)字段級(jí)別的探測(cè)梳理和分類分級(jí),形成數(shù)據(jù)資產(chǎn)分類分級(jí)清單����,在滿足合規(guī)監(jiān)管的基礎(chǔ)上,為后續(xù)數(shù)據(jù)分級(jí)管控建立了堅(jiān)實(shí)的基礎(chǔ)����。
(三)建立數(shù)據(jù)分類分級(jí)管理規(guī)范以分類分級(jí)策略為基礎(chǔ)���,進(jìn)一步明確數(shù)據(jù)安全管理的相關(guān)要求,結(jié)合金融行業(yè)數(shù)據(jù)安全管理相關(guān)規(guī)范����,針對(duì)不同等級(jí)的數(shù)據(jù)建立相應(yīng)的管理措施,對(duì)數(shù)據(jù)全生命周期進(jìn)行嚴(yán)格的管控要求�,該管理規(guī)范也為后續(xù)數(shù)據(jù)安全治理體系建設(shè)提供依據(jù)和基礎(chǔ)。
(四)提供業(yè)務(wù)數(shù)據(jù)安全應(yīng)用接口通過(guò)以上數(shù)據(jù)分類分級(jí)規(guī)劃和自動(dòng)化分類分級(jí)的建立�����,為后續(xù)業(yè)務(wù)數(shù)據(jù)應(yīng)用提供安全關(guān)聯(lián)接口��,實(shí)現(xiàn)聯(lián)防聯(lián)控�����,對(duì)接多個(gè)數(shù)據(jù)安全防護(hù)模塊��,如數(shù)據(jù)脫敏����,數(shù)據(jù)監(jiān)測(cè)審計(jì),數(shù)據(jù)防護(hù)等能力相結(jié)合,實(shí)現(xiàn)整體數(shù)據(jù)安全防護(hù)能力的提升����。
數(shù)據(jù)分類分級(jí)是數(shù)據(jù)安全治理的基礎(chǔ),通過(guò)分類分級(jí)服務(wù)體系的建立�����,以合規(guī)為前提能夠明確數(shù)據(jù)資產(chǎn)情況���,對(duì)證券數(shù)據(jù)進(jìn)行分級(jí)保護(hù)��,不僅能夠提升數(shù)據(jù)的有效性�����,同時(shí)能夠進(jìn)一步提升數(shù)據(jù)安全運(yùn)營(yíng)能力����,從而打造數(shù)據(jù)安全防護(hù)壁壘���。
