后疫情时代券商数据安全体系的实践与展望 中银证券 蒋琼 1 政策与法规 中国信息安全数据泄露占比（TOP10） 63.79 中国信息安全数据占比 40 单位：% 事件占比 数据量占比 01 03 法律： 05 四部委： 风险与事件： 互联网公司API漏洞泄  《两高司法解释》  《刑法》  《个人信息保护法》   《数据安全法》 人民银行执法案例   证券法“自证清白”  《网络安全法》 行业标准   信息技术管理办法  《消费者权益保护法》 金融科技风险排查  金融数据分级分类  证券行业事件报告与  电信大数据营销骚扰  司长：基于API模式的 调查制度中的自证充  诈骗、杀猪盘 开放银行已成为引领商 分尽职要求  开放银行新挑战：数 人民银行监管： 02 业银行数字化转型升级   App检测和通报  App行业备案与认证 04 露事件，涉及2亿数据 证监会监管：  暗网贩卖  开户/签单客户被骚扰 和同行恶意竞争 据、网络和业务风险 证券行业信息技术监管指引发展 2 差距与实践 1 数据保护-数据泄露防护体系 管理体系 制定数据保护管理制度 责任体系 制定持续性保密意识宣传、 培训计划 制定日常数据安全检查办法 制定数据泄露审计办法 进行普通员工和高级管理层 的信息安全保密意识培训 体系、系统化和管理体系 System - Set of interrelated or interacting elements 体系 - 一系列相关或相互作用的元素 Work systematically – To be effective, things have to be organised in a suitable/practical way and should be done in a certain sequence 系统地工作– 为了有效，事情必须按合适的/实际的方法进行组织，并以一定的顺序完成 Management system – system to establish policy and objectives and to achieve those objectives 管理体系—体系是建立方针和目标，并达成这些目标 1 2 • 传统安全架构 • 边界清晰，护城河式的管理理念-木桶原理 • 零信任安全管理架构 • 资源的集中管控-基于策略管理 • 零信任、细粒度权限管理等“正向建设”高度依赖于企业架构成熟度，周期长且需要高层领 导力支持，持续地、基于分级分类（固有风险）和实际内、外部威胁的数据访问和泄露事件 监控与快速响应，将是安全职能的主营业务之一。 威胁在哪？ • 超过85％的安全威胁来自公司内部： 企业员工，驻厂外包人员，实习生，外 协方…… • 信息安全的高危时刻：如电脑维修或 变更、新入职/离职/开除员工、外包人 员的进离场之际、新样品… 泄密的发生往往只在 不经意的一瞬那！ IT外包业的信息安全 n 来自不同客户的特殊要求 n 行业及上市公司的要求 n 客户信息、项目文档、源代码、标书等的机密性 n 重要IT系统的可用性，如邮件服务器、源代码、数据库服 务器、配置库服务器等。 n 所有储存重要信息系统服务器的授权 访问及权限定期评审，完整性的要求 n 其它如人员、软件版本有效性… 零信任应用访问网关模型 零信任应用授权流程 零信任架构应用场景实践 3 持续与展望 6、运营驱动平台效能和战斗力： 打胜仗是原则，既要有装备，更要 有常态化战斗力 1、识别法律法规依据： 导致入刑、法律义务、行政处罚、影响 监管评级、事件后监管措施、法规中实 质条款、组织责任、关键控制措施要求 以及可被监管措施引用的建议性标准 5、项目（群）持续迭代： 确立主线职能和能力方向后， 项目群对齐职能能力建设， 2、确立核心工作逻辑： 小步快跑 先自证合规，再保障结果 4、治理、组织与团队： 先建职能和团队，再寻找确 立组织责任的机会 3、聚焦核心风险： 筛选优先成效和监管 执法案例领域 有效的BCM程序能够实现的益处 • 关键的数据资产被系统性识别并保护 • 有效响应的数据安全事件管理能力 • 可靠可持续的供应链管理 • 保护企业声誉风险 • 有能力管理不被保险的风险 • 纵深缩小后的平衡 留待思考