中文
證券行業(yè)作為典型的數據規模巨大、數據價(jià)值高、數據應用場(chǎng)景復雜的行業(yè),面向個(gè)人投資者提供著(zhù)眾多金融產(chǎn)品和服務(wù),對數據安全治理有著(zhù)天然的訴求。然而,在開(kāi)展數據安全保護過(guò)程中往往會(huì )面臨一系列問(wèn)題和挑戰。
2022年底,證監會(huì )發(fā)布《證券期貨業(yè)數據安全管理與保護指引》,從數據安全管理基本原則、組織架構、制度、技術(shù)等方面提供指引,規范行業(yè)機構開(kāi)展數據安全管理和保護工作,提升行業(yè)數據安全管理水平。
《GB/T 43697-2024數據安全技術(shù) 數據分類(lèi)分級規則》《JR/T 0171-2020 個(gè)人金融信息保護技術(shù)規范》《證券期貨業(yè)數據分類(lèi)分級指引》《JR/T 0197-2020 金融數據安全數據安全分級指南》《銀行業(yè)金融機構數據治理指引》等多個(gè)規范及指引的發(fā)布,則進(jìn)一步細化了數據安全保護范疇,對數據安全分類(lèi)分級工作提出了明確的管理要求。
昂楷科技通過(guò)為國內某大型證券公司提供數據分類(lèi)分級建設服務(wù),明確企業(yè)敏感數據資產(chǎn),為后續數據安全風(fēng)險識別分析,數據安全策略配置,實(shí)現數據安全治理奠定基礎。
由于證券行業(yè)數據較為雜亂,涉及的業(yè)務(wù)系統也較多,往往一個(gè)數據庫表可能涉及多個(gè)系統的流轉使用,數據的血緣關(guān)系較為冗雜,這往往給數據的分類(lèi)及定級帶來(lái)困難。
由于很多系統為不同的廠(chǎng)商開(kāi)發(fā),不同廠(chǎng)商所開(kāi)發(fā)業(yè)務(wù)應用系統有獨屬于自有一套數據特性與結構,且由于未建立統一的數據標準,造成數據結構較為混亂,數據標識也存在差異。
針對數據字段的分類(lèi)分級是一個(gè)耗時(shí)耗人力的過(guò)程,往往需要多個(gè)業(yè)務(wù)部門(mén)共同來(lái)完成相關(guān)工作,由于協(xié)調性問(wèn)題,人員的認知差異性等,針對分類(lèi)分級的判定結果上存在一定的偏差,且周期較長(cháng)。
本次服務(wù)結合證券行業(yè)特性及實(shí)際業(yè)務(wù)情況,建立該證券公司自身并滿(mǎn)足監管要求的分類(lèi)分級規范,在規范中明確了當前分類(lèi)分級的方法及定義,詳細闡述了分類(lèi)分級的原則、維度、實(shí)施方式等。
部署數據分類(lèi)分級自動(dòng)化系統,在證券期貨業(yè)分類(lèi)分級標準的基礎上,通過(guò)結合證券行業(yè)特性,建立數據分類(lèi)分級策略和分類(lèi)分級任務(wù)模型,實(shí)現自動(dòng)對字段級別的探測梳理和分類(lèi)分級,形成數據資產(chǎn)分類(lèi)分級清單,在滿(mǎn)足合規監管的基礎上,為后續數據分級管控建立了堅實(shí)的基礎。
以分類(lèi)分級策略為基礎,進(jìn)一步明確數據安全管理的相關(guān)要求,結合金融行業(yè)數據安全管理相關(guān)規范,針對不同等級的數據建立相應的管理措施,對數據全生命周期進(jìn)行嚴格的管控要求,該管理規范也為后續數據安全治理體系建設提供依據和基礎。
通過(guò)以上數據分類(lèi)分級規劃和自動(dòng)化分類(lèi)分級的建立,為后續業(yè)務(wù)數據應用提供安全關(guān)聯(lián)接口,實(shí)現聯(lián)防聯(lián)控,對接多個(gè)數據安全防護模塊,如數據脫敏,數據監測審計,數據防護等能力相結合,實(shí)現整體數據安全防護能力的提升。
數據分類(lèi)分級是數據安全治理的基礎,通過(guò)分類(lèi)分級服務(wù)體系的建立,以合規為前提能夠明確數據資產(chǎn)情況,對證券數據進(jìn)行分級保護,不僅能夠提升數據的有效性,同時(shí)能夠進(jìn)一步提升數據安全運營(yíng)能力,從而打造數據安全防護壁壘。
