中文
证券行业作为典型的数据规模巨大、数据价值高、数据应用场景复杂的行业,面向个人投资者提供着众多金融产品和服务,对数据安全治理有着天然的诉求。然而,在开展数据安全保护过程中往往会面临一系列问题和挑战。
2022年底,证监会发布《证券期货业数据安全管理与保护指引》,从数据安全管理基本原则、组织架构、制度、技术等方面提供指引,规范行业机构开展数据安全管理和保护工作,提升行业数据安全管理水平。
《GB/T 43697-2024数据安全技术 数据分类分级规则》《JR/T 0171-2020 个人金融信息保护技术规范》《证券期货业数据分类分级指引》《JR/T 0197-2020 金融数据安全数据安全分级指南》《银行业金融机构数据治理指引》等多个规范及指引的发布,则进一步细化了数据安全保护范畴,对数据安全分类分级工作提出了明确的管理要求。
昂楷科技通过为国内某大型证券公司提供数据分类分级建设服务,明确企业敏感数据资产,为后续数据安全风险识别分析,数据安全策略配置,实现数据安全治理奠定基础。
由于证券行业数据较为杂乱,涉及的业务系统也较多,往往一个数据库表可能涉及多个系统的流转使用,数据的血缘关系较为冗杂,这往往给数据的分类及定级带来困难。
由于很多系统为不同的厂商开发,不同厂商所开发业务应用系统有独属于自有一套数据特性与结构,且由于未建立统一的数据标准,造成数据结构较为混乱,数据标识也存在差异。
针对数据字段的分类分级是一个耗时耗人力的过程,往往需要多个业务部门共同来完成相关工作,由于协调性问题,人员的认知差异性等,针对分类分级的判定结果上存在一定的偏差,且周期较长。
本次服务结合证券行业特性及实际业务情况,建立该证券公司自身并满足监管要求的分类分级规范,在规范中明确了当前分类分级的方法及定义,详细阐述了分类分级的原则、维度、实施方式等。
部署数据分类分级自动化系统,在证券期货业分类分级标准的基础上,通过结合证券行业特性,建立数据分类分级策略和分类分级任务模型,实现自动对字段级别的探测梳理和分类分级,形成数据资产分类分级清单,在满足合规监管的基础上,为后续数据分级管控建立了坚实的基础。
以分类分级策略为基础,进一步明确数据安全管理的相关要求,结合金融行业数据安全管理相关规范,针对不同等级的数据建立相应的管理措施,对数据全生命周期进行严格的管控要求,该管理规范也为后续数据安全治理体系建设提供依据和基础。
通过以上数据分类分级规划和自动化分类分级的建立,为后续业务数据应用提供安全关联接口,实现联防联控,对接多个数据安全防护模块,如数据脱敏,数据监测审计,数据防护等能力相结合,实现整体数据安全防护能力的提升。
数据分类分级是数据安全治理的基础,通过分类分级服务体系的建立,以合规为前提能够明确数据资产情况,对证券数据进行分级保护,不仅能够提升数据的有效性,同时能够进一步提升数据安全运营能力,从而打造数据安全防护壁垒。
