行业研究公司研究宏观策略财报招股书会议纪要中央经济工作会议低空经济 DeepSeek AIGC 智能驾驶大模型

证券期货业数据安全管理与保护指引

2025-01-06-中国证券监督管理委员会李***

AI智能总结

证券期货业数据安全管理与保护指引

范围与适用对象

本指引规定了证券期货业数据安全管理与保护的相关术语、基本原则、组织架构、制度要求，以及各级数据在采集、展现、传输、处理、存储过程中的安全要求。适用于市场核心机构、经营机构、信息技术服务机构和市场监管机构，行业其他相关机构可参照执行。不适用于涉及国家秘密的数据。

基本原则

过程域原则：数据安全保护措施覆盖数据全生命周期，包括数据采集、展现、传输、处理和存储五个过程域。
实用性原则：根据数据安全等级差异制定相应的防护措施，区分管理和技术要求。
安全性原则：从组织、制度、技术三个方面建立完备的保护措施，防范信息泄露。
可用性原则：保障数据在各个过程域中的各环节完整、可用。
适配性原则：对不同行业机构的不同实际情况具备适配性，使各机构可根据自身情况落实数据安全管理。

组织架构

明确数据安全管理的最高责任人，宜由机构管理层人员担任。
指定数据安全管理的主责部门，并明确各部门职责：
- 数据安全管理部门：牵头负责数据安全管理工作，制定制度、管理操作规程、明确岗位职能、授权机制等。
- 合规风控部门：负责数据安全管理合规和风险制度的编制，对数据安全管理措施和落实情况进行监管。
- 业务管理部门：制定业务数据授权审批流程，进行权限审批与使用，防范业务数据泄露。
- 信息技术部门：实施数据安全技术保护措施，制定和落实针对数据直接接触者的管理要求，负责信息系统数据安全评估。
- 内部审计部门：对数据安全管理情况和效果进行检查和评价，并督促整改。

制度要求

机构宜建立主要的数据安全管理制度，包括：

数据安全管理
权限管理
介质管理
场所管理
数据安全防护
数据安全事件管理
数据安全审计
数据安全应急管理

数据安全管理与保护要求

根据数据重要程度，分为四个等级，并规定了各级数据在采集、展现、传输、处理、存储过程中的管理要求和技术要求：

1级数据：基本要求，包括可采集范围、自动化采集流量限制、数据来源和采集时间标注、监控措施等。
2级数据：增强要求，包括权限限定、数据展现终端特征信息获取、数据传输身份验证、数据校验、数据接口安全等。
3级数据：较高要求，包括个人信息采集使用规则、数据传输介质管理、数据展现权限管理、数据处理逻辑完整性检查、数据接口安全控制等。
4级数据：最高要求，包括个人信息保护、数据传输安全评估、数据处理逻辑安全、数据存储安全控制等。

各级数据在非可控区域的要求均高于可控区域，原则上禁止在非可控区域进行数据采集、展现、处理和存储。

中华人民共和国金融行业标准 XX/TXXXXX—XXXX 证券期货业数据安全管理与保护指引 The guidance of data security management and protection for securities and futures industry 中国证券监督管理委员会发布目次前言.................................................................................................................................................................2引言.................................................................................................................................................................3证券期货业数据安全管理与保护指引.................................................................................................................41 范围.....................................................................................................................................................................42 规范性引用文件.................................................................................................................................................43 术语和定义.........................................................................................................................................................44 基本原则.............................................................................................................................................................64.1 过程域原则.............................................................................................................................................64.2 实用性原则.............................................................................................................................................64.3 安全性原则.............................................................................................................................................64.4 可用性原则.............................................................................................................................................64.5 适配性原则.............................................................................................................................................65 组织架构.............................................................................................................................................................75.1 数据安全管理部门.................................................................................................................................75.2 合规风控部门.........................................................................................................................................75.3 业务管理部门.........................................................................................................................................75.4 信息技术部门.........................................................................................................................................75.5 内部审计部门.........................................................................................................................................76 制度要求.............................................................................................................................................................87 数据安全管理与保护要求.................................................................................................................................87.1 1 级数据安全要求..................................................................................................................................87.2 2 级数据安全要求................................................................................................................................127.3 3 级数据安全要求................................................................................................................................197.4 4 级数据安全要求................................................................................................................................29 前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规范》的规定起草。本文件由全国金融标准化技术委员会证券分技术委员会（SAC/TC180/SC4）提出。本文件由全国金融标准化技术委员会（SAC/TC180）归口。本文件起草单位：中国证券监督管理委员会科技监管局、中国证券监督管理委员会信息中心、中证信息技术服务有限责任公司、海通证券股份有限公司、光大证券股份有限公司、富国基金管理有限公司、上海金仕达软件科技有限公司、防特网信息科技（北京）有限公司、申万宏源证券有限公司、上海证券有限责任公司、深圳财富趋势科技股份有限公司、恒生电子股份有限公司、浙江邦盛科技有限公司、中国金融期货交易所技术公司、海通期货股份有限公司、北京梆梆安全科技有限公司。本文件主要起草人：姚前、刘铁斌、周云晖、李向东、沈云明、王洪涛、王东、杨超、刘嵩、杨纯、胡智慧、张丽君、杨硕、支晓峰、徐一丁、彭铭、卜婵敏、张颖博、朱少鹏、何铁军、赵智鹏、仇肇青、李强、赵千里、于守清、周雄伟、张千里、黄山、沈徐。引言近年来，随着金融科技的发展，证券期货业积累了大量数据资产，如客户数据、交易数据、行情数据、资讯数据等。数据已成为证券期货业的重要资产和核心竞争力，充分发挥数据价值，用数据驱动创新，实现高质量发展，已成为行业共识。在数据应用得到不断发展的同时，数据安全问题也日益受到重视。证券期货行业掌握的大量高敏感性、高重要性数据，需要施以适当的数据安全保障措施，来保障投资者权益及证券市场的公平性和稳定性。经证券期货业数据安全管理现状调研，大部分机构尚未建立健全的数据安全管理组织架构，技术手段未能全面覆盖数据生命周期。因此，为加强证券期货业数据安全管理水平，特制定本文件。本文件作为一个推荐性标准，基于《JR/T 0158-2018 证券期货业数据分类分级指引》，提供了各级数据在数据采集、数据展现、数据传输、数据处理、数据存储过程中的数据管理要求和技术要求，供行业机构参考。其中，数据安全等级递进关系遵从分类分级指引中数据重要程度规定。在本文件中，黑体字部分表示较高等级中较上一等级增加或增强的要求。证券期货业数据安全管理与保护指引 1范围本标准规定了证券期货业数据安全管理与保护相关的术语和定义、基本原则、组织架构、制度要求，以及各级数据的数据采集、数据展现、数据传输、数据处理、数据存储的安全要求等内容。本标准适用于证券期货业市场核心机构（以下简称核心机构）、证券期货基金经营机构（以下简称经营机构）、证券期货信息技术服务机构（以下简称服务机构）、证券期货业市场监管机构（以下简称监管机构）开展数据安全管理与保护工作的参考和指引。注 1：核心机构，如证券期货交易所、证券登记结算

点击免费查看完整报告