新规速递 | 中国证监会发布行业标准《证券期货业信息安全应用运营管理指南》
点击关注“数据与电商研究室”
引言
2023年10月23日,中国证监会发布了《上市公司公告电子化规范》等9项行业标准,其中包括《证券期货业信息安全运营管理指南》(JR/T 0295—2023,以下简称“《指南》”)。
在《证券期货业数据分类分级指引》(以下简称“《指引》”,2018年9月27日实施)以及《证券期货业网络和信息安全管理办法》(以下简称“《管理办法》”, 2023年5月1日实施)的基础上,《指南》为证券期货业核心机构和经营机构开展信息安全运营管理提供了诸多具有实操性的落地方法。同时,《指南》总结了安全管理、基础安全管理、信息资产管理、数据分类分级、数据安全管理等方面的行业最佳实践,为证券期货业核心机构和经营机构的信息安全管理工作提供了行业合规的水位参考。
我们此前已经就证券期货业核心机构及经营机构的合规义务进行了详细解读:
1)《专业解读 | 证券期货业网络和信息安全及数据保护合规指引(上)——监管目标及立法亮点》;
2)《专业解读|证券期货业网络和信息安全及数据保护合规指引(中)——重点解读:核心机构和经营机构合规义务》;
3)《专业解读 | 证券期货业网络和信息安全及数据保护合规指引(下)——重点解读:信息技术系统服务机构和证券期货业CIIO合规义务》。
相较于此前规定,《指南》中值得证券期货业核心机构和经营机构参考和重点关注的内容如下:
一、 “两层责任人管理体系”基础上的“三层架构安全运营机制”
《指南》延续《管理办法》中“明确主要负责人为本机构信息安全工作的第一责任人,分管信息安全工作的领导班子成员或者高级管理人员为直接责任人”的“两层责任人管理体系”,提出各机构可建立“基于三层架构的安全运营机制”,具体如下:
① 一线负责日常各安全系统的监控、告警及事件处理,将复杂事件上升到二线处理;
② 二线负责较复杂事件分析、制定告警规则、验证告警规则的有效性等工作;
③ 三线作为高级分析团队,深度参与未形成 SOP 的事件的应急处置、验证和复盘,形成 SOP交付一线进行常态化运营。另外,三线还负责对事件进行统筹分析,发现安全机制及体系中存在的问题,并不断推动改进。
二、更具操作性的数据分类分级流程
《指引》中对证券期货业数据的分类分级提出了分类分级方法、基本流程、以及关键问题处理的方法论等。最新发布的《指南》针对数据分类分级明确划分为三个阶段:业务分类阶段、数据归类阶段、数据定级阶段,经过该三个阶段后,即可确定某一数据字段的具体类别和级别。具体流程图如下:
(点击可查看大图)
三、数据全生命周期最佳实践参考
与《管理办法》中规定数据治理、投资者个人信息保护等重点场景的重点环节管理要求的逻辑不同,《指南》中仍按照数据全生命周期的逻辑提出数据采集、传输、存储、处理、交换、销毁各个环节的目标,并明确实现目标的具体方法。值得重点关注的是,《指南》提供了上述各个环节的最佳实践,具体如下,以供各机构参考:
(点击可查看大图)
四、落地执行保障:信息安全度量指标
《指南》中的附录A简洁、明确、创造性的为证券期货业核心机构和经营机构提供了信息安全应用运营管理度量指标的参考,能够为具体制度、工作流程、管理要求的执行和落地提供考核评价的标准,促使信息安全应用运营工作落到实处。举例如下:
1)安全管理相关度量指标
① 安全运营总体目标完成情况,如考核期内重大安全事件数量、安全事件带来的经济损失等;
② 年度内审及外审符合情况,如高风险不符合项的数量、上期审计问题的关闭率;
③ 员工安全教育的效果,如钓鱼邮件测试的中招人数比例、安全培训考试通过率、安全培训参与率等。
2)数据安全管理度量指标
数据安全管理度量指标可参考敏感信息监测的覆盖率、敏感信息被非法篡改的次数、年度外部单位通报的数据安全事件、年度内部发现的数据安全事件等。
点击下方“阅读原文”,可查看《指南》全文
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
往期文章
本期编辑:王梦迪 唐静思 蒋雅冰
长按二维码一键关注
期待您的“赞”和“分享”