3月3日,证监会发布《证券期货业网络和信息安全管理办法》(以下简称《办法》),将于2023年5月1日起正式实施。
《办法》共八章七十五条,全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求,主要内容包括:网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。
投资者个人信息保护要求再升级
《办法》中第三章节,重点提出了关于投资者个人信息保护的具体要求,要求核心机构和经营机构应当遵循合法、正当、必要和诚信原则,处理投资者个人信息,规范投资者个人信息处理行为,履行投资者个人信息保护义务,不得损害投资者合法权益。
● 一是明确核心机构和经营机构处理投资者个人信息的基本原则,要求建立健全投资者个人信息保护体系和管理机制,履行保护义务。
● 二是明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求。
● 三是提出核心机构和经营机构在网络安全防护边界外处理投资者个人信息的技术要求,防范化解信息泄露风险。
● 四是对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。
投资者个人信息保护建议
做好投资者个人信息保护工作,首当其冲的任务是个人敏感信息的发现和识别,建立实时的个人敏感信息数据目录;对于系统化的保护个人信息方案来说,要建立识别与保护、监督到治理的一体化协同保护措施,以满足数据安全与个人信息保护合规要求。原点安全通过“一体化数据保护平台”为企业提供一体化的数据安全管控与合规策略,实现多云、混合云场景下的多场景敏感数据安全保护,有效保护企业的数字化资产,满足个人信息隐私保护合规要求。
● 建立投资者个人信息分类分级与敏感数据目录
《个人信息保护法》将投资者的个人信息分为敏感信息和一般个人信息,对于敏感信息的处理要求需要遵循更为严格的规则,包括但不限于敏感信息的处理需要有“特定的”目的和“充分的”必要性、需要采取“严格的”保护措施、需要取得“个人的单独同意”。
原点安全通过主动+被动模式完成敏感数据的发现,内置四大类 50 多种个人敏感数据类型,支持自定义敏感数据类型和发现规则。采用自动化的数据访问流量解析技术、敏感数据智能识别技术、数据分类分级自动化标注技术,帮助企业建立起敏感数据的资产目录,增强企业敏感数据的可见度。
● 个人敏感信息访问权限控制
当前企业为快速响应外界需求,将数据访问权限扩散到更多人员。这些行为都使得数据访问的场景和人员权限日益复杂,权限敞口扩大且缺乏管控之后,引发敏感数据外泄事件的可能性越来越高。
原点安全针对自定义的数据集以及用户组,配置并执行访问控制策略,同时支持根据敏感数据类型、安全级别来配置访问控制策略。虚拟账号口令方式的引入,代替数据源真实账号口令,降低数据源口令的泄露风险;同时可实施细粒度到人的即时管控,以及监管高危特权。对于高风险 SQL 可以根据指令配置访问控制策略,阻断高风险指令的执行。
● 敏感个人信息脱敏访问
证券期货行业日常经营中涉及个人信息相关数据处理活动频繁,应结合业务、数据、安全合规要求等维度将个人信息纳入逻辑数据集合。
原点安全根据敏感数据类型、控制动作、数据访问类型、有效时间、主体位置、执行路径等条件实施数据动态脱敏措施,无需担心数据结构变化。如应用前端脱敏展示、开发测试运维人员访问脱敏、机构人员未经授权查询数据自动脱敏、BI数据分析及数据报告按需自动脱敏敏感数据等。有效降低开发运维侧以及业务系统的敏感数据暴露面,无需业务应用改造,即可同时满足业务合规的脱敏要求。
● 个人信息保护安全审计
企业必须依照法律、行政法规的规定,对个人信息的处理做安全审计。主要内容包括:相关程序和安全措施、个人信息处理活动的监控和记录、个人信息的非法使用、滥用和责任追究等。在发生安全事件或投资者个人信息泄露事件后,具备数据访问轨迹追溯、安全合规分析能力。
原点安全产品支持应用用户的识别和关联 ,构建起“用户-应用-数据”的数据流转路径和用户访问数据的轨迹,为进一步的安全审计和风险分析建立基础。支持SQL 请求和响应(尤其是敏感数据类型)的安全审计,基于告警事件、异常访问模型进行数据安全风险分析,帮助企业数据安全管理人员及时发现针对重要数据和敏感数据的外部攻击、内部人员威胁和异常,开展数据泄露事件的追踪溯源查证工作。
● 一体化数据保护产品
个人信息保护需要综合的能力,除了掌握数据保护技能,也需要理解合规的要求,了解业务处理流程,需要协调业务、合规各方的认知。投资者个人信息保护以及数据安全工作效果的取得,更需要通过体系化产品来助推,
原点安全将敏感数据发现与分类分级、动态脱敏、访问控制、安全审计等安全控制能力整合在一个产品中实现,以敏感数据资产目录为核心,以统一数据安全策略为手段,把这些安全控制能力有机地编排为一个整体,不需要再部署不同的数据安全产品,也不需要对业务系统做大规模改造,既节省了投资,又能够实现数据安全控制能力的协同,提升企业对个人信息保护与合规运营的能力。