黄裕洋：证券期货业数据安全体系建设研究

文 / 西部证券股份有限公司首席信息官    黄裕洋

西部证券股份有限公司数字化转型办公室    路俊  任磊  米小婷

1.数据安全法律法规与政策研究。近些年，我国相继颁布并实施了《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《网络数据安全管理条例（征求意见稿）》和《数据出境安全评估办法》，对数据安全的具体内容进行了明确。为进一步落实证券期货业信息及数据安全相关规范要求，证监会发布了《证券基金经营机构信息技术管理办法》《证券期货业网络和信息安全管理办法》，对证券期货业经营机构开展数据安全体系建设工作提出了更高、更严格的要求。

除此之外，证监会发布的《证券期货业数据安全管理与保护指引》和中国证券业协会发布《证券公司网络和信息安全三年提升计划（2023—2025）》，对证券期货业经营机构开展数据安全体系建设工作提出了更高更严格的要求，同时也为证券期货业开展数据安全体系建设提供了方向和指引。随着金融科技的不断发展和金融数据重要性的日益提升，行业级别的数据安全体系建设工作刻不容缓。

2.数据安全管理体系建设现状。从数据安全管理的角度看，证券期货业已经初步建立了较为完善的数据安全制度体系及数据管控流程。这包括制定了一系列数据安全政策、标准和操作规程，明确了数据全生命周期各个阶段安全管理的责任、权限和流程。然而，随着业务复杂性的增加和技术创新的加速，现有的数据安全管理体系也面临着诸多挑战。例如，数据分类分级的不完善、流程管控的复杂性，以及数据安全岗位的专职化程度不足等问题，都亟待解决。

3.数据安全技术体系建设现状。数据安全技术体系建设主要包括基础通用安全技术和数据全生命周期安全技术两个方面。在通用安全技术方面，大部分证券期货经营机构引入了数据分类分级、身份认证及访问控制、日志管理、监控审计等安全技术；在数据全生命周期安全技术建设方面，部分证券期货业经营机构引入了敏感数据识别、数据脱敏、数据加密、数据防泄漏等技术。目前，通用安全技术中的数据安全合规评估，数据全生命周期中的数据API安全管理、数据水印相关技术因技术成熟度或证券期货业经营机构自身需求等原因使用较少。

4.数据安全运营体系建设现状。在数据安全运营体系建设方面由于缺乏统一的数据安全运营标准和规范，行业内各经营机构在数据安全运营过程中往往缺乏有效的指导和参考。同时，部分机构在数据安全运营方面的投入不足，导致数据安全风险难以得到有效控制。为了提升数据安全运营的能力和水平，证券期货业需要制定统一的数据安全运营标准，加强数据安全运营的培训和指导，并加大数据安全运营的投入力度。

证券期货业数据安全体系设计是为保护各经营机构内外部数据完整性、保密性和可用性而制定的一套方案、策略和措施。本论文研究在国家数据安全法律法规、证券期货业政策、金融行业标准规范的指引下，结合对当前证券期货业经营机构数据安全体系建设的现状分析，充分借鉴数据安全能力成熟度模型（DSMM）、数据安全治理框架（DSG）、数据安全治理（DGPC）等框架的核心理念，遵循依法合规、持续创新和稳步推进的设计原则，将设计目标聚焦于确保数据的完整性、保密性、可用性以及合规性，从数据安全管理体系、数据安全技术体系、数据安全运营体系三个方面对适用于证券期货业的数据安全体系架构进行剖析，提出适用于证券期货业的数据安全体系建设框架，具体架构如图1所示。

图1  数据安全体系架构

1.数据安全管理体系。数据安全管理体系是确保证券期货业经营机构数据安全的关键构成，涵盖数据安全管理的组织架构、制度与流程以及监督评价等方面。

（1）数据安全管理组织架构。在维护数据安全中扮演着核心角色，它确保数据安全管理工作的连续性和稳定性。通过成立专门的数据安全组织并明确责任，可以保障数据安全策略得到有效执行，避免执行不力或断档，确保数据的安全性和完整性。此外，明确的组织架构有助于界定各部门和角色的权责边界，促进协同合作，形成应对数据安全挑战的合力。同时，它还有助于建立有效的协同机制，确保在数据安全事件发生时能够迅速响应和协同处置，提高应对效率，降低安全风险。

（2）数据安全管理制度。通过构建包含方针、办法、细则、操作指引的完整制度体系，对保障数据安全性、完整性和可用性至关重要。这些制度有助于保护个人隐私和商业秘密，确保组织遵守法律法规，提升数据安全治理水平，对维护数据安全、保护隐私和商业秘密、确保合规性及提升治理水平发挥着重要作用。因此，建立和完善数据安全管理制度对组织至关重要。

（3）数据安全管控流程。对于保障数据安全至关重要，通过确立数据采集、存储、传输、处理和使用的规范，确保数据的完整性和机密性，预防数据泄露、丢失或篡改等风险。流程化管理使数据处理活动更加规范化和标准化，提高效率，减少重复工作。同时，建立数据安全事件处理流程，包括报告、调查和处理机制，确保在数据安全事件发生时能够迅速、有效地应对。此外，实施数据安全管控流程有助于加强员工的数据安全意识，形成全员关注数据安全的良好氛围。

（4）监督管理与评价。对证券期货业的可持续发展至关重要。重要数据处理者需进行风险评估，关键信息基础设施运营者在达到规定数量时应将个人信息存储在境内，涉及跨境数据传输时应进行安全评估。当前，数据安全管理与监督评价主要包括基于数据跨境需求的安全评估和面向行业监管部门定期报送重要数据风险评估两项内容，以确保行业的健康稳定发展。

2.数据安全技术体系。数据安全技术体系由两大支柱构成：基础通用安全技术和数据全生命周期安全技术。基础通用安全技术构成了数据安全技术体系的根基，为整个体系提供根本的安全保障。而数据全生命周期安全技术则是在此基础之上，针对数据从生成到消亡的每个阶段提供专门的安全保护，覆盖了数据的采集、传输、存储、使用、共享、销毁等各个环节。数据安全技术体系框架如图2所示。

图2  数据安全技术体系框架

基础通用安全技术和数据全生命周期安全技术详情如表所示。

表    基础通用安全技术和数据全生命周期

安全技术详情

3.数据安全运营体系。数据安全运营体系是实现数据安全管理持续化和制度化的关键，它通过综合应用适宜的安全技术和管理策略，整合人力资源、技术工具和操作流程，以实现数据安全策略的持续优化和积极防御。该体系提供全面服务，涵盖风险管理、应急处置、教育培训和态势感知等，确保数据安全管理体系和技术体系的不断完善和提升。

（1）风险管理及监测。经营机构必须遵循法律法规，开展数据安全风险评估、个人信息保护影响评估和数据出境安全评估等，确保安全管理、数据处理活动、个人信息保护和数据安全技术的全方位落实。构建以数据为核心的全链路风险监测体系是提升数据安全的关键，该体系应包含行为审计、数据保护、威胁监测、安全评估，以及数据分类分级和发现测绘等环节。

（2）应急机制方面。各机构需要建立完善数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。首先，建立有效的数据安全事件监测、预警、上报、通报、处置、评估等流程和机制；其次，建立健全数据安全事件调查、分析、评估、总结、改进等方法和手段；最后，建立数据安全事件跨部门、跨地区协调处置机制，加强与相关部门沟通协作能力。

（3）教育培训。教育培训的目标是提高员工对数据安全的认识和意识，减少数据泄露和损失的风险，保护公司和客户的利益，建立数据安全文化，提高整体数据安全水平。数据安全教育培训内容应涵盖数据安全法规和政策标准、管理流程和技术要点、数据泄露的风险和后果、数据安全事件应对机制等要点。

（4）态势感知。数据资产的分布、安全保障措施的实施、安全状态的监测和健康程度等信息需要通过合适的展现方式进行可视化呈现。运营人员需利用专业可视化系统进行设计和优化，以实现安全运营视图的即时更新和展示。在此过程中数据态势感知技术发挥着重要作用，确保数据安全态势的直观展示和有效沟通。

本论文研究参考《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等多部相关法律法规，并结合行业特点，提出了一套全面的数据安全体系框架，此框架聚焦于确保数据的机密性、完整性、可用性以及合规性，通过健全的数据安全管理体系、完善的数据安全技术防护能力、有效的数据安全运营体系，搭建适用于证券期货业经营机构的数据安全体系框架。此框架包含的安全防护措施覆盖数据全生命周期，帮助企业降低数据泄露、被篡改等风险，保护数据和客户信息安全，能够为行业内各经营机构提供数据安全体系建设指引，助力行业提升整体数据安全能力水平。

本论文研究基于现有行业特点及政策进行了较为全面的分析，然而随着数字化进程的加速推进，云计算、物联网、人工智能和区块链等新兴技术的广泛应用，数据安全领域仍将面临更多新的挑战和机遇。例如，随着大模型技术在行业内的应用场景不断丰富，由此引发的新型数据安全与个人隐私保护问题也不容忽视。在智能投资顾问、自动化交易策略等场景中使用大模型技术，虽然极大提升了服务效率与个性化程度，但同时也存在数据泄露、滥用、隐私侵犯的潜在风险。针对这些挑战，行业经营机构需要不断加强技术创新，通过强化数据安全与隐私保护、优化数据清洗模型训练、建立数据安全风险评估与监控体系。可以通过引入区块链技术实现数据的溯源和防篡改，引入多方安全计算技术保护各方数据的隐私性的同时实现数据的共享和计算，以应对大模型技术在金融领域应用可能带来的数据安全风险和挑战。我们将继续加强研究和探索，不断融入更多新的数据安全技术和服务模式，制定相应的安全策略和技术措施，持续提升数据安全保障能力，为行业发展筑牢数据安全屏障。

（此文刊发于《金融电子化》2024年10月下半月刊）