1.1国家法律法规政策支撑

自2016年《网络安全法》出台以来，国家陆续发布了“数据安全法”、“个人信息保护法”等相关支撑法律、行政法规，以及数据安全相关的国家和行业标准，极大促进我国法律法规体系进一步完善。《数据安全法》提出应对数据实行分级分类保护，建立健全数据安全协同治理体系，提高数据安全保障能力。对数据安全领域的风险管理，合规管控提出总体要求，给与国家各行业、企业机构提供有力的帮助和指导，让数据安全有法可依、有章可循，为数字化经济的安全健康发展提供了有力支撑。

1.2网络安全形势变化剧烈

• 数字化转型带来新风险。万物互联、海量数据大集中，这些都是证券行业的业务在数字化转型过程中的典型表现。此形态下，对数据的攻击可直接造成业务瘫痪；数据越是高度集中，安全风险越大；数据生命周期的每个环节都将成为目标；在海量数据中感知威胁如同大海捞针。
• 新技术导致安全漏洞防不胜防。业务系统更复杂，资产庞杂，安全漏洞更多；数字化转型使得业务系统增加了安全漏洞的暴露面。
• 合规管控要求提高。证券行业机构所面临的标准、监管要求众多，管控复杂，通过等级保护测评不等于万事大吉。组织对于安全合规的符合性、有效性状态，能否做到定期审计、动态监测，在数字化经济的大趋势下，是对安全合规管控提出的新挑战。

1.3数据安全治理工作落地难

2.1解决痛点，整体规划，分阶段建设

• 统一规划，分层管理。

• 建设基础底座，实现对数据资产和关联业务的安全“摸清家底”，实现数据分类、分级政策落地。

• 建设安全合规管理支撑工具平台，实现合规知识库的数字化管理，以及合规状态监控、合规审计等的系统化、自动化运营。

• 建设安全合规审计中心、安全事件处置中心、安全运维管理中心，完善自动化安全运维能力，形成有效信息安全与数据安全合规监管。

• 建设数字化合规管理能力，深度整合技术平台、人员职责和流程，形成安全运营与合规治理中心。

2.2系统化数据生命周期安全管控，形成综合数据安全运营

2.2.1基础底座–实现数据资产安全管理措施的技术落地

• 利用技术措施检测数据资产（结构化/非机构化），并归类。
  
• 利用平台技术，建立敏感数据资产库，实现数据资产定位，分类和分级结果自动标识。

• 实现全局数据（敏感）资产视图：

• 多数据源采集：业务系统日志、数据传输通道日志、终端访问日志、资产风险等；

• 多种维度关联。

• 梳理调研业务逻辑，敏感文件流转过程，基于业务流程监控数据安全场景：

• 实现对业务敏感文件的实施监控；

• 实现业务操作的违规泄密监控。

数据安全保护工具统一纳管和持续监控：

• 统一纳管所有数据安全相关安全检测和防御工具，进行日志格式标准化和事件类型归并。
• 集中展示数据安全相关告警事件，在统一的操作界面进行事件分析和溯源。
• 预置数据安全风险分析规则，多维度统计数据安全风险事件。
• 根据数据资产重要程度、所属业务展示风险态势。
• 汇总、统计和可视化展示安全事件原始资料。

数据安全审计：

2.2.2数据分析–分析数据生命周期安全防护能力和安全运营成熟度

从四个维度，针对数据安全风险与合规，对采集和汇集的基础支撑数据进行综合分析，为综合监督层的指标提供支撑：

• 数据安全成熟度分析：基于数据安全策略、访问控制、数据与资产管理、合规性等分类，对采集到的基础数据进行归类、内容归并，并结合数据资产及其所属的业务分析相应指标。
• 数据安全运营监管分析：从数据安全事件稽核、安全合规、数据安全风险感知几个运营监管指标，对采集到的基础数据进行分析和指标展示。
• 数据安全风险评估：利用大数据平台，建设安全评估上报平台，各组织相关管理人员，依据已经建立的数据安全成熟度、生命周期、运营监控等评估模板，填写和上报评估结果，在平台中集中汇总数据，进行风险评估结果的综合分析，如主要数据安全风险态势，组织/部门/业务维度的数据安全风险程度排名等。
• 合规符合性/有效性分析：根据安全合规外部、内部审计，实时安全事件监控的基础数据采集，对安全合规的符合性状态，安全合规策略执行的有效性状态进行综合分析，为指标展示提供支撑数据。

2.2.3综合展示-基于业务的数据安全风险全局总览

2.3实现安全合规治理的数字化转型

2.3.1基础底座-实现安全合规管理基础工作数字化落地

• 文件分类管理；

• 上传文件并添加关键字标签；

• 在线预览，查看文件内容；

• 根据关键字全文检索。

合规评估、检查项清单维护。参照标准要求、专项检查要点等，预置预评估、自查表单，为通过平台进行线上检查评估提供支撑，主要包括：

• 专项检查：网络安全法，关键信息基础设施，数据安全法，个人信息保护，网络安全绩效考核；
• 标准预评估：等级保护、ISO 27001/27701/PCIDSS等；
• 其它自定义检查表单。

流程化管理合规工作。自定义工作流程，对合规建设过程中的各项任务的执行状态和结果，以及相关证据文件进行统一管理：

• 创建流程，根据用户的角色分配所需执行的工作；
• 对合规管理任务进行发布、执行、审批，在线提交结果证据材料；
• 跟踪所有任务流程执行进度。

2.3.2数据分析–支撑系统化、自动化执行安全合规运营管理工作

根据从基础底座采集的安全合规管理工作结果记录，进行数据统计、分析，为指标展示提供支撑。可以从以下方面考虑安全合规的数据分析规则：

• 安全合规域/控制项状态数据分析：基于标准法律法规类，对每个安全域、控制项或检查指标的合规符合性和有效性状态进行自动分析，展示分析结果，可以包括：不合规条目及数量、不合规的详情、与该不符合项相关的支撑数据来源（如告警、安全事件、工作流程执行结果、合规审计结果等）；

• 合规专项检查结果分析：自动采集或上报支撑数据，将其归类到对应的专项检查要求，应细化到安全域、控制项或检查指标；

• 合规审计结果分析：针对与安全合规建设、管理相关的审计项，自动采集或线上提交审计结果，并进行数据和指标的汇总与统计；

• 知识库汇总：证券行业所需遵循的安全合规标准知识库的数量、分类等信息；

2.3.3综合展示–数据和安全合规建设成果综合指标展示

从以下方面，多维度分类展示安全合规的运营状态指标：

• 所需遵循的法律法规、安全标准、公司信息安全管理要求
• 安全域、控制项、安全检查指标
• 组织机构

• 业务系统

多种类型展示安全合规指标：

• 合规/不合规项的数量
• 符合性、有效性评分
• 成熟度/能力程度状态
• 选定时间周期的多次指标汇总

• 摸清数据资产家底，充分应对突发安全事件；

• 全面并及时掌握全组织数据风险，安全事件和合规符合性情况，基于组织/部门/业务开展安全评价，形成必要的上报、下达机制；

• 跨异构安全设备标准化统一管控，快速定位并处置安全事件，能够科学评价各类安全设备真正检测和防御的能力；

• 安全工作常态化和长效化，全组织覆盖；安全工作可量化、可度量、可考核；

• 固化并标准化安全管理和运营工作，解决工作片面化和碎片化问题；

• 安全管理和运营工作流程化，使所有安全工作有起因、有结果，都有记录可溯源、可审计；

• 数字化转型。将数据安全和安全合规管理、安全运维工作成果数字化，利用数据进行运营指标分析，为后续工作规划提供支撑。