本文将结合中国证券业协会于6月印发《证券公司网络和信息安全三年提升计划（2023-2025）》（以下简称《三年规划》）的具体要求及重点任务清单做简要分析。

 

          从三年规划可以看出，2023年证券公司在数据安全方面的主要任务集中在管理体系建设、建章立制、数据安全评估、外部合作方管理、数据分类分级工作中。

          数据安全作为一项系统性、体系化建设工程，是企业安全合规及风险防范的必由之路。完善的数据安全管理体系可以在组织保障、工作规划、资源协调、落地指导等方面发挥凝聚力和向心力，有利于企业全面系统地开展数据安全工作。

          因此，《三年规划》明确指出要加强数据安全管理体系建设。组织建设作为数据安全管理的组织保障，是权责划分的基本指引，也是一切工作顺利开展的必要前提；制度规范则是流程标准化、管理精细化的行动指南。

          如何围绕组织、制度等内容建立完善的数据安全管理体系，中国信通院于2021年发布了《数据安全治理实践指南》系列报告，详述了权责划分及制度体系框架建设等内容供行业参考。

         同时，围绕数据安全体系化建设的基本面，中国信通院推出首个市场化评估——数据安全治理能力评估，并在金融领域结合个人信息保护、金融数据安全规范等行业要求，推出“数据安全治理能力-金融专项”（DSG-F）评估咨询服务，该项服务已经在平安银行、浦发银行、华泰证券、中国人寿保险集团、中国平安人寿保险等金融机构落地实施，协助完善数据安全管理体系建设。

 

 

如上文所述，在数据安全管理体系的建设中，权责划分与制度规范是管理工作顺利开展的基本要素。为了实现数据安全的精细化管控，数据分类分级工作必不可少。

 

目前，金融机构关于数据分类分级，发布了JR/T 0158-2018《证券期货业数据分类分级指引》、JR/T 0197-2020 《金融数据安全 数据安全分级指南》、JR/T 0171-2020 《个人金融信息保护技术规范》等相关标准，中国信通院数据安全推进计划结合相关要求，提出了数据分类分级“七步走”工作思路，在提供方法论参考的同时，已经成功为金融机构编制数据分类分级制度规范提供支持服务，同时结合生命周期风险点，编制并完善全生命周期安全管理规范。

 

据《2022年数据安全行业调研报告》，数据分类分级作为数据安全的基础内容，在76.2%的受访企业中率先落地，因此如何评价落地效果，也逐渐成为大众的关注重点。基于此，中国信通院于2023年6月发布《数据分类分级成熟度评价模型》，围绕分类分级的规划、实施、运营开展咨询及成效评估，实现以评促建。同时，针对供应侧数据分类分级工具开展评测，能够为企业在工具选型方面提供服务。

 

除了数据分类分级，数据安全风险评估也在三年规划的重点任务清单中。目前，数据安全风险评估作为数据安全治理能力提升的关键环节，一方面受国家各项政策驱动备受关注，另一方面随着数据泄露等事件的愈演愈烈，基于风险防范目标而开展的数据安全工作也成为业务数字化健康发展中的必选题。

 

因此，数据安全风险评估正在成为数据安全治理的重要抓手，国家也在标准化工作、实践指南等方面做出了相应探索。此前，中国信通院也提出了基于系统管理安全、系统数据安全、系统应用安全的数据安全风险评估框架，助力企业数据安全风险防范，并基于金融行业相关法规及标准要求，在国有银行落地风险评估服务。

 

数据出境方面，随着2023年6月1日《个人信息出境标准合同办法》的正式施行，数据出境话题再次引发热议。自国家网信办发布第一版《数据出境安全评估申报指南》，各省市积极跟进响应，或开展解读活动，或发布当地申报指南，为出境评估工作的顺利开展探索实践路径。

 

中国信通院拟于2023年9月1日上午围绕出境话题在北京召开研讨会，同时为各行业数据出境自评估工作提供支持服务，敬请关注“数据安全推进计划”相关动态。

 

近期，部分金融机构的外包服务商发生多起数据安全风险事件，合作方数据安全管理诉求不断提升，如何对合作机构进行能力调研及安全管理成为关注点，基于与近30家企业的调研，中国信通院牵头于2023年7月14日正式启动《数据合作方安全评估要求》的编制工作，多家证券、银行等金融机构参与其中，欢迎更多单位加入。