證券行業(yè)作為典型的數(shù)據(jù)規(guī)模巨大、數(shù)據(jù)價值高、數(shù)據(jù)應用場景復雜的行業(yè),面向個人投資者提供著眾多金融產(chǎn)品和服務,對數(shù)據(jù)安全治理有著天然的訴求。然而,在開展數(shù)據(jù)安全保護過程中往往會面臨一系列問題和挑戰(zhàn)。
2022年底,證監(jiān)會發(fā)布《證券期貨業(yè)數(shù)據(jù)安全管理與保護指引》,從數(shù)據(jù)安全管理基本原則、組織架構、制度、技術等方面提供指引,規(guī)范行業(yè)機構開展數(shù)據(jù)安全管理和保護工作,提升行業(yè)數(shù)據(jù)安全管理水平。
《GB/T 43697-2024數(shù)據(jù)安全技術 數(shù)據(jù)分類分級規(guī)則》《JR/T 0171-2020 個人金融信息保護技術規(guī)范》《證券期貨業(yè)數(shù)據(jù)分類分級指引》《JR/T 0197-2020 金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》《銀行業(yè)金融機構數(shù)據(jù)治理指引》等多個規(guī)范及指引的發(fā)布,則進一步細化了數(shù)據(jù)安全保護范疇,對數(shù)據(jù)安全分類分級工作提出了明確的管理要求。
昂楷科技通過為國內某大型證券公司提供數(shù)據(jù)分類分級建設服務,明確企業(yè)敏感數(shù)據(jù)資產(chǎn),為后續(xù)數(shù)據(jù)安全風險識別分析,數(shù)據(jù)安全策略配置,實現(xiàn)數(shù)據(jù)安全治理奠定基礎。
由于證券行業(yè)數(shù)據(jù)較為雜亂,涉及的業(yè)務系統(tǒng)也較多,往往一個數(shù)據(jù)庫表可能涉及多個系統(tǒng)的流轉使用,數(shù)據(jù)的血緣關系較為冗雜,這往往給數(shù)據(jù)的分類及定級帶來困難。
由于很多系統(tǒng)為不同的廠商開發(fā),不同廠商所開發(fā)業(yè)務應用系統(tǒng)有獨屬于自有一套數(shù)據(jù)特性與結構,且由于未建立統(tǒng)一的數(shù)據(jù)標準,造成數(shù)據(jù)結構較為混亂,數(shù)據(jù)標識也存在差異。
針對數(shù)據(jù)字段的分類分級是一個耗時耗人力的過程,往往需要多個業(yè)務部門共同來完成相關工作,由于協(xié)調性問題,人員的認知差異性等,針對分類分級的判定結果上存在一定的偏差,且周期較長。
本次服務結合證券行業(yè)特性及實際業(yè)務情況,建立該證券公司自身并滿足監(jiān)管要求的分類分級規(guī)范,在規(guī)范中明確了當前分類分級的方法及定義,詳細闡述了分類分級的原則、維度、實施方式等。
部署數(shù)據(jù)分類分級自動化系統(tǒng),在證券期貨業(yè)分類分級標準的基礎上,通過結合證券行業(yè)特性,建立數(shù)據(jù)分類分級策略和分類分級任務模型,實現(xiàn)自動對字段級別的探測梳理和分類分級,形成數(shù)據(jù)資產(chǎn)分類分級清單,在滿足合規(guī)監(jiān)管的基礎上,為后續(xù)數(shù)據(jù)分級管控建立了堅實的基礎。
以分類分級策略為基礎,進一步明確數(shù)據(jù)安全管理的相關要求,結合金融行業(yè)數(shù)據(jù)安全管理相關規(guī)范,針對不同等級的數(shù)據(jù)建立相應的管理措施,對數(shù)據(jù)全生命周期進行嚴格的管控要求,該管理規(guī)范也為后續(xù)數(shù)據(jù)安全治理體系建設提供依據(jù)和基礎。
通過以上數(shù)據(jù)分類分級規(guī)劃和自動化分類分級的建立,為后續(xù)業(yè)務數(shù)據(jù)應用提供安全關聯(lián)接口,實現(xiàn)聯(lián)防聯(lián)控,對接多個數(shù)據(jù)安全防護模塊,如數(shù)據(jù)脫敏,數(shù)據(jù)監(jiān)測審計,數(shù)據(jù)防護等能力相結合,實現(xiàn)整體數(shù)據(jù)安全防護能力的提升。
數(shù)據(jù)分類分級是數(shù)據(jù)安全治理的基礎,通過分類分級服務體系的建立,以合規(guī)為前提能夠明確數(shù)據(jù)資產(chǎn)情況,對證券數(shù)據(jù)進行分級保護,不僅能夠提升數(shù)據(jù)的有效性,同時能夠進一步提升數(shù)據(jù)安全運營能力,從而打造數(shù)據(jù)安全防護壁壘。
