标准应用 | 探究《证券期货业数据安全风险防控数据分类分级指引》的实践 - 新鲜讯息

引言

在数字化时代，数据已成为证券期货业的核心资产，其安全与否直接关系到证券期货业的自身发展。当前，证券期货业正面临着日益严峻的数据安全挑战，包括数据泄露、网络攻击和内部违规操作等问题。这些问题不仅威胁到个人隐私和商业机密，还可能对整个证券期货市场的安全造成影响。因此，加强数据安全管理，提升数据安全防护能力，已成为证券期货业亟待解决的问题。在这样的背景下，《证券期货业数据安全风险防控数据分类分级指引》的出台，对于规范行业数据安全管理、提升数据安全防护水平具有重要意义。该指引提供了证券期货业数据分类分级的适用数据范围、保障措施、数据分类分级的原则和方法、数据分类分级中的关键问题处理的建议，有助于行业机构建立健全系统性信息安全架构与制度。本文旨在探讨《指引》对证券期货业如何进行数据分类分级的具体内容，我们将从证券期货业行业企业在经营和管理活动中产生、采集、加工、使用或管理的数据分别如何选择数据分级分类方法的角度进行分析，分析技术寻求方法帮助行业机构厘清数据、确定数据重要性或敏感度,根据数据不同级别,确定数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施，进而提高行业机构的数据管理和安全防护水平,确保数据的完整性、保密性和可用性，为证券期货业的数据安全工作提供实用的参考和指导。

一、标准依据

《证券期货业数据安全风险防控数据分类分级指引》指出，在证券期货业中，数据分类分级技术的应用，需要考虑安全性（保密性、完整性、可用性）和数据安全性遭到破坏后可能造成的影响（如可能造成的危害、损失或潜在风险等）。数据分类分级的实施包括业务活动识别、数据资产发现、数据资产识别、规则制定和标识标记五个阶段。数据分类分级技术在证券期货业的应用是一个系统性工程，涉及从数据资产的识别、分类、分级到成果应用的全过程，《证券期货业数据安全风险防控数据分类分级指引》旨在通过精细化管理提升数据安全和合规性，有助于行业机构合理保护和管理数据资产，确保数据安全。

在证券期货业中，数据分类分级技术的应用，建立在对数据安全管理职责的明确和安全管理制度机制的基础之上。通过数据分类分级技术，行业机构能够对数据进行有效甄别，依据数据的重要性或敏感度确定其级别，并据此采取适当的数据安全技术措施和数据安全风险防控措施。通过对数据进行细致的分类分级管理，助力证券期货业更加科学地管理数据资产，有效防控数据安全风险，维护资本证券期货业市场的稳定和国家金融安全。

二、具体实施办法

在证券期货业中，数据分类分级技术的落地需要结合行业特点和数据安全风险防控的需求，通过采用一系列先进的技术手段来实现。企业可以选取自动化的数据分类分级智能分析平台或工具，这些工具能够对组织内全类型、多源头的数据资产进行发现及风险分析，帮助企业建立敏感数据资产的全景视图。

（一）构建证券期货业数据识别模型

技术落地的核心在于全类型全格式数据识别模型的构建。模型需要覆盖所有业务数据类型，并支持丰富的数据识别格式、各种格式压缩包的多层嵌套识别、加密文件识别、不同编码格式的支持，以及基于文件指纹、文件DNA等文件生物特征检测，包括结构化和非结构化数据中的敏感数据识别，确保敏感数据全链路智能聚合及溯源,并且粒度足够细致，以确保数据分类分级的准确性。例如，在证券期货行业，证券公司可能需要识别和分类大量的客户交易数据和账户信息，这些数据不仅包含个人投资者的敏感信息，还涉及市场交易的机密性，使用适当的数据模型可以有效地对这些数据进行分类和分级，以保护客户隐私和市场公平性。因此，数据识别模型应该是全面且即插即用的，使企业能够快速定义符合自身数据业务场景的敏感数据合规及防护策略。

（二）基于证券期货业数据样本的识别标注

运用小数据机器学习识别标注特有业务数据也是关键技术之一。证券期货行业的数据具有其特有的数据特征，既有的数据识别模型难以满足证券期货业的分类分级需要，同时，多数人工智能技术要求企业提供大量的数据样本进行自学习才能完成识别模型的构建，这对于证券期货业的数据来讲，可实施性受到较大影响。例如，在证券期货行业中，交易数据和市场行情数据不具备大量的数据样本条件，传统的数据识别模型难以适应这种变化。小数据机器学习技术可以应用于这些特有业务数据，通过少量样本学习并识别出关键的数据特征，帮助企业在数据量有限的情况下也能实现精准的分类分级。因此，支持基于少量数据样本的小数据机器学习技术具有实际的可落地性，能够依据行业特征，在现有资源的范围内生成敏感数据智能识别模型，实现特有业务数据的精细分类标注。

（三）动态数据内容深度解析和流转跟踪

动态数据内容深度解析和流转跟踪也是数据分类分级技术的重要组成部分。由于证券期货业的数据资产在组织内是动态变化的，需要对多形态、多副本的数据内容进行深度解析和流转跟踪标注。这包括对增量数据的持续性分类分级，以及对数据在其流转过程中的复杂生命周期的管理。例如，在证券期货行业中，数据的实时性要求极高，交易数据的快速流转和处理对数据分类分级技术提出了更高的要求，需要能够实时跟踪和标注数据的流转状态，确保数据在各个环节的安全和合规。

（四）平台可视化数据分类分级管理

通过构建一个集成化的数据运营安全平台，将全类型全格式数据识别模型、小数据机器学习识别标注和动态数据内容深度解析和流转跟踪技术有机结合起来，实现数据分类分级的可视化管理。平台提供一个直观的界面，展示数据分类分级的层次结构、分布情况和安全级别，使得数据管理者能够一目了然地识别和监控各类数据资产。例如，对于数据汇集型会管单位的数据分类分级，平台可从交易管理、客户管理、资产管理、风险管理、综合管理等维度进行展示，每个维度细分具体的数据类型。例如，交易管理涉及成交信息、委托信息等，而客户管理则包括客户基本信息、账户信息等，每个数据类型都赋予相应的安全级别，从1级到5级，级别越高，数据的敏感性和重要性越大。综合管理业务维度的办公数据、非涉密公文数据、邮件数据、企业经营数据和合同信息等，级别多为2级。同时，平台还需定期对数据分类分级结果进行评估和更新，以适应业务发展和数据安全环境的变化。

通过这种可视化手段，平台将复杂的数据分类分级信息转化为易于理解的图表和报告，帮助用户快速把握数据的整体状况和安全态势。例如，证券期货业企业可以通过建设数据安全分类分级系统，实现数据分类分级的自动化和可视化管理，提高数据安全管理的效率和准确性，加强数据资产的分类分级管理，有效发现敏感数据，降低数据安全运营成本，并为数据流动及数据要素价值的发挥提供基础支撑。同时，平台需展示不同分类分级的数据在组织内部的分布情况，以及它们在不同业务流程中的流转路径，方便企业对数据流动的全流程治理与风险感知。此外，平台还需根据数据的敏感性和风险等级，自动调整数据的安全策略和防护措施，确保数据在收集、存储、使用、加工、传输、提供、公开等过程中的安全性和合规性。证券期货业使用平台可视化数据分类分级管理，即将数据分类分级技术与实际业务流程相结合，通过技术手段提升数据安全管理的能力，能够更加高效地进行数据资产智能分类分级及目录清单管理，实现跨存储、应用以及终端的数据全链路跟踪防护，全面提升数据安全合规与防护能力。

综上，证券期货业数据分类分级技术的落地需要依托于全类型全格式数据识别模型，小数据机器学习技术，动态数据内容深度解析和流转跟踪，以及可视化数据分类分级管理平台等关键技术。通过这些技术的综合应用，可以有效地对组织内的数据资产进行分类分级，建立起数据安全的全景视图，从而提高数据管理和安全防护的水平。

三、总结

综上所述，《证券期货业数据安全风险防控数据分类分级指引》为行业提供了一套系统化的数据安全管理框架，旨在通过精细化的数据分类分级技术，提升数据安全防护能力。为遵循《证券期货业数据安全风险防控数据分类分级指引》，企业可以使用全类型全格式数据识别模型、小数据机器学习技术、动态数据内容深度解析和流转跟踪，以及可视化数据分类分级管理平台等技术，落实对于数据分类分级的原则和方法。遵循这一指引，证券期货业企业能够更科学地管理数据资产，有效防控数据安全风险，将实现数据的完整性、保密性和可用性的全面提升，推动行业向更加合规、安全的发展方向迈进，为证券期货业提供坚实的数据安全保障。

（本文作者：北京数安行科技有限公司郭灵）

CCIA数据安全工作委员会单位介绍

北京数安行科技有限公司（简称数安行）以DataSecOps为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。