背景
近年来,随着金融科技的发展,证券期货业积累了大量数据资产,如客户数据、交易数据、行情数据、资讯数据等。数据已成为证券期货业的重要资产和核心竞争力,充分发挥数据价值,用数据驱动创新,实现高质量发展,已成为行业共识。在数据应用得到不断发展的同时,数据安全问题也日益受到重视。
证券期货行业掌握的大量高敏感性、高重要性数据,需要施以适当的数据安全保障措施,来保障投资者权益及证券市场的公平性和稳定性。经证券期货业数据安全管理现状调研,大部分证券期货业机构尚未建立健全的数据安全管理组织架构,技术手段未能全面覆盖数据生命周期。因此,为加强证券期货业数据安全管理水平,特制定本文件。
本文件基于JR/T 0158—2018 《证券期货业数据分类分级指引》,采用其中根据数据泄露或损坏造成的影响将数据分为不同级别的数据分级方法,提供了各级数据在数据采集、数据展现、数据传输、数据处理、数据存储(包含数据备份与恢复、删除、销毁环节)过程中的数据管理和技术指引,供证券期货业机构参考。其中,数据安全等级递进关系遵从分类分级指引中数据重要程度规定。
范围
本文件描述了证券期货业数据安全管理与保护相关的术语和定义、基本原则、组织架构、制度,以及各级数据关于数据采集、数据展现、数据传输、数据处理、数据存储的数据安全管理与保护的思路和方法。
本文件适用于证券期货业机构开展数据安全管理与保护工作的参考和指引。
注:证券期货业机构包括证券期货业市场核心机构(简称核心机构)、证券期货基金经营机构(简称经营机构)、
证券期货信息技术服务机构(简称服务机构)、证券期货业市场监管机构(简称监管机构)
本文件不适用于涉及国家秘密的数据。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T 22080—2016 信息技术 安全技术 信息安全管理体系 要求
GB/T 35273—2020 信息安全技术 个人信息安全规范
GB/T 37988—2019 信息安全技术 数据安全能力成熟度模型
JR/T 0158—2018 证券期货业数据分类分级指引
JR/T 0171—2020 个人金融信息保护技术规范
术语和定义
GB/T 35273—2020 《信息安全技术 个人信息安全规范》、GB/T 37988—2019 《信息安全技术 数
据安全能力成熟度模型》、JR/T 0158—2018 《证券期货业数据分类分级指引》、GB/T 22080—2016 《信
息技术 安全技术 信息安全管理体系 要求》界定的以及下列术语和定义适用于本文件。
3.1
数据接触者 data contact
在数据采集、数据展现、数据传输、数据处理、数据存储过程中的参与者。
注:包括投资者、经营机构、服务机构、核心机构、监管机构等。
3.2
数据控制者 data controller
可以授权或拒绝访问某些数据、决定数据使用和数据处理目的和方式,并对其完整性、可用性和安
全性负责的个人或机构。
3.3
数据过程域 data
实现同一数据目标的相关数据活动的集合。
注:一个过程域中包含一个或多个相关活动。
[来源:GB/T 37988—2019,3.9]
3.4
数据采集 data acquisition
从系统外部的其他系统、终端等渠道获取个人信息或其他外部数据,并输入到系统内部的过程。
3.5
数据展现 data display
在直接呈现终端、应用程序终端等所有可以接触数据的呈现区域呈现数据的过程。
3.6
数据传输 data transmission
数据在系统内部、系统之间或人与人之间、人机之间的传送和交换的过程。
3.7
数据处理 data processing
信息系统和数据接触者对数据进行使用、加工或转移的过程。
3.8
数据存储 data storage
将数据以各种不同的形式保存、备份与恢复、删除、销毁的过程。
3.9
数据传输介质 transmission medium
在网络中传输数据信息的载体。
注:包含有线传输介质和无线传输介质。
3.10
信息基础设施 infrastructure
承载信息系统的实体电子设备、虚拟运行环境、共用的机房物理环境等基础设施。
3.11
可控区域 controlled area
在每个数据过程域中,数据控制者独立拥有直接承载数据的信息基础设施和其所承载信息系统的管
理权或使用权的区域。
3.12
非可控区域 uncontrolled area
在每个数据过程域中,数据控制者非独立拥有直接承载数据的信息基础设施或其所承载信息系统的
所有权或使用权的区域
基本原则
4.1 过程域
数据安全保护措施宜覆盖数据全生命周期,本文件包含5个过程域:数据采集、数据展现、数据传
输、数据处理和数据存储。
4.2 实用性
对不同安全等级的数据对象进行综合考量,基于数据安全等级的差异,制定相应的数据安全防护措
施,并区分管理和技术的指引。
4.3 安全性
数据安全性包含管理安全性与技术安全性,从组织、制度、技术三个方面建立完备的数据安全保护
措施,保护证券期货业机构的数据和客户信息安全,防范信息泄露。将授权机制、岗位职责与安全技术
相结合,在整个数据流转过程中保护数据安全,不被泄露给非授权的对象。
4.4 可用性
数据在各个过程域中的各环节无缺失、损毁,保障数据的完整、可用。
4.5 适配性
对证券期货业机构的不同实际情况具备适配性,使各证券期货业机构可以参考本文件,根据自身实
际情况采取合适的方式将数据安全管理落实到具体的组织架构与岗位职责中,保障符合数据安全相关规
范性文件或者流程的要求。