证券期货业是金融领域重点行业之一,其网络安全和信息保护一直备受关注,此前监管层已经接连出台十几部相关政策法规,不少头部券商也因为疏忽信息安全管理而领罚单。近日,证监会又起草了《证券期货业网络安全管理办法(征求意见稿)》(以下简称《办法》),升级证券期货业的数据安全监管。
《办法》根据《证券法》、《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规制定,广泛适用于证券、基金及期货行业的核心机构、经营机构以及信息技术服务等机构,《办法》属于上述法规在证券期货行业的实施监管细则,数据安全监管更趋严厉。
《办法》之数据安全管理要求:
1、分类分级保护数据安全
《办法》以单独章节重申核心机构和经营机构的数据安全管理责任,要求相关机构在数据分类分级的基础上,掌握敏感数据的流转过程及其状态变化,感知敏感数据扩散及违规滥用风险,同时建立数据权限管理策略,按照最小授权原则设置数据访问权限,定期排查清理,并对数据访问记录进行留痕审计。
2、备份数据,保障业务运行
《办法》对数据备份也进行严格要求,相关机构需要建立同城和异地数据备份设施,至少每天备份数据一次,每季度至少对数据备份进行一次有效性验证。核心机构和经营机构还应当建立信息系统的故障备份设施和灾难备份设施,根据信息系统的重要程度和影响范围,确定恢复目标,保证业务活动连续。
3、防范风险行为,保障数据安全
《办法》特别指出核心机构和经营机构应当综合采取网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测和网络安全态势感知等技术手段,及时识别、阻断和溯源相关网络攻击,保障数据安全。