證券行業作為典型的數據規模巨大、數據價值高、數據應用場景復雜的行業,面向個人投資者提供著眾多金融產品和服務,對數據安全治理有著天然的訴求。然而,在開展數據安全保護過程中往往會面臨一系列問題和挑戰。
2022年底,證監會發布《證券期貨業數據安全管理與保護指引》,從數據安全管理基本原則、組織架構、制度、技術等方面提供指引,規范行業機構開展數據安全管理和保護工作,提升行業數據安全管理水平。
《GB/T 43697-2024數據安全技術 數據分類分級規則》《JR/T 0171-2020 個人金融信息保護技術規范》《證券期貨業數據分類分級指引》《JR/T 0197-2020 金融數據安全數據安全分級指南》《銀行業金融機構數據治理指引》等多個規范及指引的發布,則進一步細化了數據安全保護范疇,對數據安全分類分級工作提出了明確的管理要求。
昂楷科技通過為國內某大型證券公司提供數據分類分級建設服務,明確企業敏感數據資產,為后續數據安全風險識別分析,數據安全策略配置,實現數據安全治理奠定基礎。
由于證券行業數據較為雜亂,涉及的業務系統也較多,往往一個數據庫表可能涉及多個系統的流轉使用,數據的血緣關系較為冗雜,這往往給數據的分類及定級帶來困難。
由于很多系統為不同的廠商開發,不同廠商所開發業務應用系統有獨屬于自有一套數據特性與結構,且由于未建立統一的數據標準,造成數據結構較為混亂,數據標識也存在差異。
針對數據字段的分類分級是一個耗時耗人力的過程,往往需要多個業務部門共同來完成相關工作,由于協調性問題,人員的認知差異性等,針對分類分級的判定結果上存在一定的偏差,且周期較長。
本次服務結合證券行業特性及實際業務情況,建立該證券公司自身并滿足監管要求的分類分級規范,在規范中明確了當前分類分級的方法及定義,詳細闡述了分類分級的原則、維度、實施方式等。
部署數據分類分級自動化系統,在證券期貨業分類分級標準的基礎上,通過結合證券行業特性,建立數據分類分級策略和分類分級任務模型,實現自動對字段級別的探測梳理和分類分級,形成數據資產分類分級清單,在滿足合規監管的基礎上,為后續數據分級管控建立了堅實的基礎。
以分類分級策略為基礎,進一步明確數據安全管理的相關要求,結合金融行業數據安全管理相關規范,針對不同等級的數據建立相應的管理措施,對數據全生命周期進行嚴格的管控要求,該管理規范也為后續數據安全治理體系建設提供依據和基礎。
通過以上數據分類分級規劃和自動化分類分級的建立,為后續業務數據應用提供安全關聯接口,實現聯防聯控,對接多個數據安全防護模塊,如數據脫敏,數據監測審計,數據防護等能力相結合,實現整體數據安全防護能力的提升。
數據分類分級是數據安全治理的基礎,通過分類分級服務體系的建立,以合規為前提能夠明確數據資產情況,對證券數據進行分級保護,不僅能夠提升數據的有效性,同時能夠進一步提升數據安全運營能力,從而打造數據安全防護壁壘。