GB/T 42775-2023
基本信息
标准号: GB/T 42775-2023
中文名称:证券期货业数据安全风险防控 数据分类分级指引
标准类别:国家标准(GB)
英文名称:Data security risk prevention and control for securities and futures industry—Guidelines of data classification
标准状态:现行
发布日期:2023-08-06
实施日期:2023-08-06
出版语种:简体中文
下载格式:.pdf .zip
下载大小:17621978
相关标签: 证券 期货业 数据安全 风险 防控 数据 分类 分级
标准分类号
标准ICS号:社会学、 服务、公司(企业)的组织和管理、行政、运输>>03.060金融、银行、货币体系、保险
中标分类号:综合>>经济、文化>>A11金融、保险
关联标准
出版信息
出版社:中国标准出版社
页数:92页【胶订-大印张】
标准价格:113.0
相关单位信息
起草人:姚前、蒋东兴、刘铁斌、周云晖、王东明、毛嘉伟、王恺、高红洁、朱翔、郭郛、祁博、曹雷、许凯文、史光伟、鲁继东、张颖博、张千里、朱少鹏、吕德旭、于培言、周桉、朱明康、翁念龙、林林、谢冉、王欣、邵辰、王立鹏、和冲宇、张婧妍、姜兵利、吴忠华、高靖宇、崔慧阳等
起草单位:中国证券监督管理委员会、中国金融期货交易所股份有限公司、中证信息技术服务有限责任公司、上海证券交易所(中国证券博物馆)、深圳证券交易所、上海期货交易所、郑州商品交易所、大连商品交易所、中国证券登记结算有限责任公司、中国证券投资者保护基金有限责任公司等
归口单位:全国金融标准化技术委员会(SAC/TC 180)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件提供了证券期货业数据分类分级的适用数据范围、保障措施、数据分类分级的原则和方法、数据分类分级中的关键问题处理的建议。
本文件适用于证券期货业各类机构(简称为“行业机构”)在防控数据安全风险时,开展数据分类分级使用。其他相关机构可作为参考。
本文件不适用于涉及国家秘密的数据。
标准图片预览
标准内容
ICS03.060
CCSA11
中华人民共和国国家标准
GB/T42775—2023
证券期货业数据安全风险防控
数据分类分级指引
Data security risk prevention and control for securities andfuturesindustryGuidelines ofdataclassification2023-08-06发布
国家市场监督管理总局
国家标准化管理委员会
2023-08-06实施
GB/T42775—2023
规范性引用文件
术语和定义
适用的数据范用
数据分类分级保障措施
建立数据分类分级组织保障
建立数据分类分级管理制度
厘清业务和数据资产
6数据分类
数据分类原则
数据分类方法相关概念
数据分类要点
数据分类方法
数据分级
数据分级原则
数据分级要点
数据分级方法
8数据分类分级中的关键间题处理8.1
数据体量与数据级别的确定
数据聚合与数据分类分级的变更数据时效性与数据分类分级的变更数据的获取与提供
数据的汇总、统计、分析、加工附录A(资料性)
证券期货业典型数据分类分级模板数据分类分级模板
数据汇集型会管单位典型数据分类分级模板一般会管单位典型数据分类分级模板行业协会典型数据分类分级模板证券公司典型数据分类分级模板期货公司典型数据分类分级模板基金管理公司典型数据分类分级模板参考文献
GB/T42775—2023
本文件按照GB/T1.12020《标准化工作导则第「部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:中国证券监督管理委员会、中国金融期货交易所股份有限公司、中证信息技术服务有限责任公司、上海证券交易所(中国证券博物馆)、深圳证券交易所、上海期货交易所、郑州商品交易所、大连商品交易所、中国证券登记结算有限责任公司、中国证券投资者保护基金有限责任公司、中国证券金融股份有限公司、中国期货市场监控中心有限责任公司、中证数据有限责任公司、全国中小企业股份转让系统有限责任公司、中国证券业协会、中国期货业协会、中国证券投资基金业协会、上海金融期货信息技术有限公司、中国银河证券股份有限公司、海通证券股份有限公司、中信证券股份有限公司、华泰证券股份有限公司、兴业证券股份有限公司、国泰君安期货有限公司、华泰期货有限公司、中信保诚基金管理有限公司、交银施罗德基金管理有限公司。本文件主要起草人:姚前、将东兴、刘铁斌、周云晖、王东明、毛嘉伟、王恺、高红洁、朱翔、郭郭、祁博、曹雷、许凯文、史光伟、鲁继东、张颖博、张于里、宋少朋、吕德旭、于培言、周按、朱明康、翁念龙、林林、谢再、王欣、邵辰、王立鹏、和冲宇、张婧、姜兵利、吴忠华、高清宇、崔慧阳、黄璐、陈明、廖鹏程、向春丞、赵刚、支青、郑文天、邓延勋、主东、昊保杰、季璨、周思佳、主玥、方晓鹰、胡卫宁、陈逸辛、董明余、唐华。1
GB/T42775-2023
随署近年来信息技术进步与行业内应用程度进一步加深,包括国家证券期货业主管部门直接管理的行业机构、行业协会及证券期货经营机构在内的各类市场主体都沉淀了大量数据。一方面,需要有效甄别合理化的数据使用需求,明确关键环节的技术标准,确定使用新型技术的范围:另一方面·需要结合行业发展变化,有效识别新增风险隐,持续加强数据安全管理·建立健全数据管理制度·采取必要的数据安全防护措施,维护市场安全运行及投资者合法权益。证券期货业业务种类紫多.数据呈现出复杂性高、多样性强的特点。采用规范的数据分类、分级方法,有助手行业机构闸清数据、确定数据重要性或敏感度.并针对性地采取适当、合理的管理措施和安全防护措施,形成一套科学、规范的数据管理与保护机制·从而在保证数据安全的基础上促进数据开放共享。数据分类是数据保护工作中的一个关键部分·是建立统一、准确、完善的数据架构的基础·是实现集中化、专业化、标准化数据管理的基础。行业机构按照统一的数据分类方法·依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类·有利于清晰地厘清数据资产,对数据实现规范化管理,为数据的维护和扩充提供支持。数据分级是以数据分类为基础.采用规范、明确的方法区分数据的重要性和敏感度差异,并确定数据级别。数据分级有助于行业机构根据数据不同级别,确定数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施,进而提高行业机构的数据管理和安全防护水平,确保数据的完整性、保密性和可用性
本文件为数据分类分级工作提供指导性原则,并以JR/T0176.1一2019《证券期货业数据模型1部分:抽象模型设计方法》的业务条线划分为基础·结合证券期货业特点提出一种从业务到数据逐级划分的数据分类分级方法,同时提供数据分类分级管理的相关建议,供证券期货业相关机构参考。此外,可供证券期货业制定数据管理、数据安全防护等相关标准时参考。1范围
证券期货业数据安全风险防控
数据分类分级指引
GB/T42775—2023
本文件提供了证券期货业数据分类分级的适用数据范用、保障措施、数据分类分级的原则和方法、数据分类分级中的关键问题处理的建议。本文件适用于证券期货业各类机构(简称为“行业机构”)在防控数据安全风险时.开展数据分类分级使用。其他相关机构可作为参考本文件不适用于涉及国家秘密的数据。规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T10113
分类与编码通用术语
GB/T222402020信息安全技术网络安全等级保护定级指南JR/T01712020个人金融信息保护技术规范JR/T0176.1-2019
证券期货业数据模型第1部分:抽象模型设计方法JR/T01972020
金融数据安全数据安全分级指南3术语和定义
下列术语和定义适用于本文件。3.1
信息的可再解释的形式化表示,以适用于通信、解释或处理。注:可以通过人工或自动手段处理数据。【来源:GB/T52711-2000.01.0L.023.2
confidentiality
保密性
信息对未投权的个人、实体或过程不可用或不泄露的特性。[来源:GB/T292462017.2.12]
availability
可用性
根据授权实体的要求可访问和可使用的特性。[来源:GB/T29246—2017.2.9]1
GB/T42775—2023
完整性
主integrity
准确和完备的特性。
[来源:GB/T29246—2017.2.40]3.5
数据资产
data asset
由个人或企业拥有或者控制的.以物理或电子的方式记录的数据表、数据项、数据文件3.6Www.bzxZ.net
个人信息
personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定白然人身份或者反映特定白然人活动情况的各种信息。
注:个人信息包括姓名、出生日期、身份证件号码,个人生物识别信息、住址、通信通讯联系方式,通信记录和内寄、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息,交易信息等。[来源:GB/T352732020.3.1]
institutional investor
机构投资者
用自有资金或者从分散的公众手中筹集的资金专门进行有价证券投资活动的法人机构。4适用的数据范围
证券期货业经营和管理活动中产生、采集、加工、使用或管理的数据.包括但不限于:行业机构通过开展业务或经其他渠道获取的投资者个人信息:a)
机构投资者相关信息,如机构投资者的基本信息、财产信息、账户信息、信用信息、交易信息及相关行生信息等;
证券期货市场交易信息,如证券市场交易信息、期货市场交易信息、基金交易信息、其他衍生品交易信息等:
业务管理相关信息,如监管信息、统计信息、公告信息等;注:此处“监管信息“特指行业机构收到的来自国家主管部门的信息或按照国家主管部门要求报送的信息。e)
经营管理数据、如客户管理信息、渠道管理信息、经营状况信息、人力管理信息、财务管理信息、技术管理信息等:
通过购买或数据共享等方式获得的外部数据,如研究报告、指数信息等;其数据完整性、保密性和可用性遭到破坏,可能危害国家安全、国计民生、公共利益的其他各类数据。
5数据分类分级保障措施
建立数据分类分级组织保障
建立数据分类分级的组织保障.可明确:数据分类分级的管理部门:
数据分类分级的最高责任人:
数据分类分级相关的管理角色和职能:c
数据分类分级相关的授权机制。建立数据分类分级管理制度
建立数据分类分级的制度保障.可明确:a)
数据分类分级的具体要求;
数据分类分级涉及的角色及职责:GB/T42775—2023
数据分类分级的相关制度和操作流程的制定、发布、维护和更新的机制,以及评审和修订周期:d)
数据分类分级管理相关绩效考评和评价机制:e)
数据分类分级的原则、方法:
数据级别的相关变更原则及变更后的通知原则;数据资产分类分级清单的审核与修订周期和原则:数据分类分级的日常管理流程;操作人员的操作规程。
厘清业务和数据资产
宜采取以下措施,以有效管理数据资产:a)
厘清业务.根据JRT0176.1一2019的方法.收集业务条线所有产生、采集、加工、使用或管理的数据资产,建立数据资产清单;b)
数据资产清单宜经数据管理相关方评审确认。6数据分类
数据分类原则
数据分类宜以GB/T10113中的线分类法为基础进行分类·遵循以下原则。a)系统性:数据分类宜基于对行业机构所有数据的考量·建立一个层层划分、层层求属、从总到分的分类体系·每一次划分宜有单一、明确的依据。数据类目的排列宜依据数据类目主题之间的内在联系和概念逻辑·依据最大效用将全部类自系统地组织起来,形成具有隶属和并列关系的分类体系,以揭示出行业机构数据不同类别之间的联系和区别规范性:所使用的词语或短语能确切表达数据类目的实际内容范围.内涵、外延清晰;在表达相b)
同的概念时,保证用语一致性:在不影响数据类目含义表达的情况下,保持用语简洁。在证券期货业已有统一数据用语的情况下,使用统一数据用语。稳定性:宜选择分类对象最稳定的本质特性作为数据分类的基础和依据。c
明确性:同一层级的数据类目间宜界限分明。当数据类自名称不能明确各自界限时可以用注释来加以明确。
扩展性:在数据类目的设置或层级的划分上,宜保留适当余地.利于增加分类数据时的扩展。e)
6.2数据分类方法相关概念
分类方法中用到的主要用语说明如下。业务条线(businessline:BL)a)
GB/T42775-2023
泛指行业机构内部广义概念的业务,可能包含一系列相关业务内容和业务范围.在本文件中作为“业务一级子类”。例如某行业机构的”交易业务”“信息披露业务”等。业务管理(businessmanagement:BM)b)
在业务条线下,根据不同的管理主体、管理范围(或称管理内容),细分出的不同业务类别,在本文件中作为“业务二级子类”。例如“交易管理”“结算管理(或清算管理)”“风险监控”等.具体名称各行业机构可能有所不同。管理主体(managementsubject:MSb)c)
对某类具体业务的管理责任组织、部门、岗位、人员等。例如在某行业机构中结算部负责“结算管理”业务。根据行业机构规模,可能在某些行业机构中仅存在\结算岗”。管理范围(managementscope:MSe)d)
某类具体业务管理涉及的.与其他业务活动之间有明显区别的业务活动内容。例如在行业机构内部所指的\结算操作”\结算查询”\结算文件发布”一般属于\结算管理\的业务范围。管理对象(managementobjcet:MO)某类具体业务管理范围内涉及的数据·由一系列数据表、数据项或数据文件等组成。例如“结算管理\涉及“结算参数”“结算文件”\结算日志”等数据。6.3数据分类要点
各行业机构在开展数据分类时·宜从业务条线角度出发,对业务进行细分.确定各个业务条线下的数据管理主体。结合数据形态(如数据所处的系统,存储的媒介、物理位置等)对各业务子类下的数据归类细分,形成从总到分的树形数据分类结构。具体分类方法见图1。业务一级子类
(业务条线)
自上而下细分
按照分支最小!
颗粒度定位
级了类
系统1
级子类
业务级了类
《业务管理)
数据总利
一级子类
级子类
系统2(
一级子类
系统37
业务二级子类
(业务管理)
数据总和
一级了类
系统4(
数据分类示意图
一级了炎
系统5(
确定数据
管理主体
形成数据
分类结构
确定“数
据形森”
6.4数据分类方法
6.4.1第一阶段:业务细分阶段
阶段说明
GB/T427752023
业务细分阶段具体分为确定业务条线、确定某一业务条线下所有业务管理主体、确定管理主体对应的管理范围、命名映射关系。
业务细分步骤
业务细分主要步骤如下,见图2。确定业务一级子类,即确定基本业务条线:a
宜依据JR/T0176.1一2019确定的业务条线作为基础·并根据行业机构业务情况增补:1)
2)一般股划分为交易、监管、信息披露、其他。确定每个业务条线下所有的业务管理主体(MSb):b)
管理主体一般是特定的管理组织、部门、岗位、人员:1)
管理主体宜对管理的业务范围负责:管理主体决定业务管理范围内涉及数据的权限:4)
管理主体的确定宜适当,范围过小可能导致对应业务划分颗粒度过细:范围过大可能导致对应业务划分颗粒度过粗,无法区分不同业务。示例1:某行业机构中\结算部”负责管理“结算“相关业务。在另外一些行业机构中“结算岗“管理“结算“相关业务“结算部”“结算岗“就是管理主体。e)
确定每个业务管理主体对应的管理范围.明确对应关系(MSh-MSc):1)
管理范用一般指由业务特点决定的管理内容:业务管理范围之间宜相互独立:每个管理主体及其对应的管理范围,宜形成一个或多个映射关系:般情况下,一组映射关系即一个业务二级子类:多个管理主体对应的管理范围相周宜视为一个业务二级子类:一个管理主体对应的不同管理范围.宜视为多个映射,即多个业务二级子类示例2:某行业机构中\结算部\负责管理\结算“相关业务.其中\结算操作\\结算查询\结算文件发布“等是\结算部“的业务管理范用。
“交易部”负责管理的“交易启停”“交易参数设置”等是”交易部“的业务管理范围。“交易部”和\结算部“对应的业务管理范明之间相互独立。“交易部“和“结算部“和其对应的业务管理范围之间形成映射,这些映射·前者可以称为”交易管理“,后者可以称为“结算管理”
示例3:某行业机构内部有“交易操作岗“\交易复核岗”“交易监控岗”,三个岗位虽然都可以是管理主体,但对应的管理范围都在“交易启停”交易参数设置”“交易运行监控\内·如无必要·则宜统一视为”交易管理”子类。示例4:某行业机构内部有“业务管理员“岗位.该岗位分别管理\交易启停“和“风险监控“.则“业务管理员-交易启停”和”业务管理员风险监控”视为两个不同映射·前者作为“交易管理”子类,后者作为“风险管理”子类。d)命名映射关系,即确定业务二级子类。对步骤三完成后确定的各类业务“管理主体管理范用”峡射关系进行命名.得到业务二级子类的命名。5
GB/T42775—2023
业务一级子类
交易/监料/
信息披端/其他
MSbMSe方法
营理主体(MSb)
特定部门
岗位/人员
需对管理的业
务范围负资
可决定特定数
据的权限
细分说明
代理范田(MSc)
业务特点决定
的管理内容
业务范洲之间
立融文
对应的数据表!
数据项等组合
相互独立
业务二级了类
交易管理
站算管理
机构管理
投资者停理
监察管理
信息披露管理
技术管理
综合管理
属于级
了类“交
房十一级
子类“藍
属于一级
子类“信
息披露”
属一级
子类“其
确有必要,刊细分
《原则上不建议)
1.参照MSb-MSc方法
2、基于某二级了类对应的管挥
主休体和管理范用进步内部细分业务细分主要步骤(MSh-MSe)
业务细分,原则上按照6.4.1.2中的分类方法对业务一级子类进行一次划分。如确需进一步细分,宜保持细分层级体系唯一性。
示例:业务一级子类“交易“细分后.得到业务二级子类·包含“交易管理\\结算管理\\机构管理\等。业务一级子类“其他”细分后,得到业务二级子类.包含“技术管理\\综合管理等。6.4.2
第二阶段:数据归类阶段
阶段说明
在第一阶段对业务细分基础上,确定各个业务二级子类下的全部数据(各种数据表、数据项、数据义件等)。经归类细分后.确定数据一级子类·并根据需要进一步细分为二级子类。6.4.2.2
数据归类步骤
数据可按照以下步骤进行归类,见图3。6
GB/T42775—2023
确定业务二级子类的管理范围对应的管理对象(MSc-M()),即找到业务二级子类下的全部数据,称为\单类业务数据总和”。这个过程用于确定某类业务下存在的数据。说明如下。本步骤即针对每个业务子类:找到其对应的一系列数据总和。这此“数据总和”是全部数据的一个个子集。
部分数据表、数据项和数据文件可能出现在多个“数据总和”中。2
示例1:“结算管理\业务下的各类数据表、数据项、数据文件等构成“结算管理“对应的\单类业务数据总和”,包括客户信息、结算参数表、结算价、持仓明细表、交制明细表等,其中客户信息可能出现在多个不同业务对应的“单类业务数据总和\中。
数据资产
(数据衣/数据项/数据文件等)按照
MSc-MO方法
管理范围(MSe)
业务特点决定
的管理内窄
业务裁国之间
相互独立
臂理对象(MO)
特定业务功能点
对应的数据内案
业务功能点/业务面
求之间相互独立
对应的数据表/数据项组合相互独立A数据级子类
B数桐一级子类
艾数据一级子炎
图3数据归类方法图(MSc-MO)
对应采业务
数据总和
(过波成果)
细分方法
数据级分类
(数据表/数据项
等的不同纽合)
进一步细分
(加有必要)
可按照数据细分方法对各个“单类业务数据总和”分别细分,得到数据一级子类。通常一个“业务管理”子类下,有多个不同的数据一级子类。细分规则如下:依据数据性质、重要程度、管理需要、使用需要进行细分;1)
依据数据性质细分,一般指划分后的子类之问、数据性质之间有所差异:7
GB/T42775—2023
依据重要程度细分,一般指划分后的子类之间、重要程度之间有所差异:依据管理需要细分,一般指因不同的管理目的划分不同子类:依据使用需要细分·一股指划分后的子类之间、使用范用之间有所差异:行业机构可参照此方法,选择适当的要素进行细分。示例2:“交易管理“对应数据中,可以分为“成交信息““委托信息““交易参数信息““交易日志信息“等。其中“成交信息委托信息”可以视为数据性质不同而做的划分,“交易参数信息”“交易月志信息“等可以视为因管理需要不同面做的划分。
命名数据一级子类。即对步骤二完成后确定的数据一级子类命名。数据归类说明
在数据归类过程中,需注意以下内容。a)
如有数据无法确定对应业务二级子类.说明业务二级子类划分不完全,需对第一阶段工作进行检验。
如有业务二级子类下不存在数据,说明可能存在元余的业务二级子类或数据资产未厘清。根据实际业务需要、管理需要.依据数据细分规则可以对数据一级子类进一步细分。数据分类一般划分到适合本行业机构定级需要即可.不宜超过三个层级。数据分类示例
经过第一阶段、第二阶段后,得到的数据分类示例如表1所示。表1
业务条线
一级子类
信息披露
交易管理
二级子类
投资者管理
监察与评价管理
上报信息
信息披露管理
数据分类示例表
一级子类
成交信息
委托信息
交易日志信息
投资者基本信息
投资者开户/账户信息
投资者鉴别信息
监察参考信息
监管统计及预警信息
评价、处罚与违规信息
上报信息
产品发行信息(公开)
产品发行信息(未公开)
订单日志
成交日志
二级子类
个人投资者基本信息
机构投资者基本信息
监管统计分析结果
监管预警信息
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCSA11
中华人民共和国国家标准
GB/T42775—2023
证券期货业数据安全风险防控
数据分类分级指引
Data security risk prevention and control for securities andfuturesindustryGuidelines ofdataclassification2023-08-06发布
国家市场监督管理总局
国家标准化管理委员会
2023-08-06实施
GB/T42775—2023
规范性引用文件
术语和定义
适用的数据范用
数据分类分级保障措施
建立数据分类分级组织保障
建立数据分类分级管理制度
厘清业务和数据资产
6数据分类
数据分类原则
数据分类方法相关概念
数据分类要点
数据分类方法
数据分级
数据分级原则
数据分级要点
数据分级方法
8数据分类分级中的关键间题处理8.1
数据体量与数据级别的确定
数据聚合与数据分类分级的变更数据时效性与数据分类分级的变更数据的获取与提供
数据的汇总、统计、分析、加工附录A(资料性)
证券期货业典型数据分类分级模板数据分类分级模板
数据汇集型会管单位典型数据分类分级模板一般会管单位典型数据分类分级模板行业协会典型数据分类分级模板证券公司典型数据分类分级模板期货公司典型数据分类分级模板基金管理公司典型数据分类分级模板参考文献
GB/T42775—2023
本文件按照GB/T1.12020《标准化工作导则第「部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:中国证券监督管理委员会、中国金融期货交易所股份有限公司、中证信息技术服务有限责任公司、上海证券交易所(中国证券博物馆)、深圳证券交易所、上海期货交易所、郑州商品交易所、大连商品交易所、中国证券登记结算有限责任公司、中国证券投资者保护基金有限责任公司、中国证券金融股份有限公司、中国期货市场监控中心有限责任公司、中证数据有限责任公司、全国中小企业股份转让系统有限责任公司、中国证券业协会、中国期货业协会、中国证券投资基金业协会、上海金融期货信息技术有限公司、中国银河证券股份有限公司、海通证券股份有限公司、中信证券股份有限公司、华泰证券股份有限公司、兴业证券股份有限公司、国泰君安期货有限公司、华泰期货有限公司、中信保诚基金管理有限公司、交银施罗德基金管理有限公司。本文件主要起草人:姚前、将东兴、刘铁斌、周云晖、王东明、毛嘉伟、王恺、高红洁、朱翔、郭郭、祁博、曹雷、许凯文、史光伟、鲁继东、张颖博、张于里、宋少朋、吕德旭、于培言、周按、朱明康、翁念龙、林林、谢再、王欣、邵辰、王立鹏、和冲宇、张婧、姜兵利、吴忠华、高清宇、崔慧阳、黄璐、陈明、廖鹏程、向春丞、赵刚、支青、郑文天、邓延勋、主东、昊保杰、季璨、周思佳、主玥、方晓鹰、胡卫宁、陈逸辛、董明余、唐华。1
GB/T42775-2023
随署近年来信息技术进步与行业内应用程度进一步加深,包括国家证券期货业主管部门直接管理的行业机构、行业协会及证券期货经营机构在内的各类市场主体都沉淀了大量数据。一方面,需要有效甄别合理化的数据使用需求,明确关键环节的技术标准,确定使用新型技术的范围:另一方面·需要结合行业发展变化,有效识别新增风险隐,持续加强数据安全管理·建立健全数据管理制度·采取必要的数据安全防护措施,维护市场安全运行及投资者合法权益。证券期货业业务种类紫多.数据呈现出复杂性高、多样性强的特点。采用规范的数据分类、分级方法,有助手行业机构闸清数据、确定数据重要性或敏感度.并针对性地采取适当、合理的管理措施和安全防护措施,形成一套科学、规范的数据管理与保护机制·从而在保证数据安全的基础上促进数据开放共享。数据分类是数据保护工作中的一个关键部分·是建立统一、准确、完善的数据架构的基础·是实现集中化、专业化、标准化数据管理的基础。行业机构按照统一的数据分类方法·依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类·有利于清晰地厘清数据资产,对数据实现规范化管理,为数据的维护和扩充提供支持。数据分级是以数据分类为基础.采用规范、明确的方法区分数据的重要性和敏感度差异,并确定数据级别。数据分级有助于行业机构根据数据不同级别,确定数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施,进而提高行业机构的数据管理和安全防护水平,确保数据的完整性、保密性和可用性
本文件为数据分类分级工作提供指导性原则,并以JR/T0176.1一2019《证券期货业数据模型1部分:抽象模型设计方法》的业务条线划分为基础·结合证券期货业特点提出一种从业务到数据逐级划分的数据分类分级方法,同时提供数据分类分级管理的相关建议,供证券期货业相关机构参考。此外,可供证券期货业制定数据管理、数据安全防护等相关标准时参考。1范围
证券期货业数据安全风险防控
数据分类分级指引
GB/T42775—2023
本文件提供了证券期货业数据分类分级的适用数据范用、保障措施、数据分类分级的原则和方法、数据分类分级中的关键问题处理的建议。本文件适用于证券期货业各类机构(简称为“行业机构”)在防控数据安全风险时.开展数据分类分级使用。其他相关机构可作为参考本文件不适用于涉及国家秘密的数据。规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T10113
分类与编码通用术语
GB/T222402020信息安全技术网络安全等级保护定级指南JR/T01712020个人金融信息保护技术规范JR/T0176.1-2019
证券期货业数据模型第1部分:抽象模型设计方法JR/T01972020
金融数据安全数据安全分级指南3术语和定义
下列术语和定义适用于本文件。3.1
信息的可再解释的形式化表示,以适用于通信、解释或处理。注:可以通过人工或自动手段处理数据。【来源:GB/T52711-2000.01.0L.023.2
confidentiality
保密性
信息对未投权的个人、实体或过程不可用或不泄露的特性。[来源:GB/T292462017.2.12]
availability
可用性
根据授权实体的要求可访问和可使用的特性。[来源:GB/T29246—2017.2.9]1
GB/T42775—2023
完整性
主integrity
准确和完备的特性。
[来源:GB/T29246—2017.2.40]3.5
数据资产
data asset
由个人或企业拥有或者控制的.以物理或电子的方式记录的数据表、数据项、数据文件3.6Www.bzxZ.net
个人信息
personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定白然人身份或者反映特定白然人活动情况的各种信息。
注:个人信息包括姓名、出生日期、身份证件号码,个人生物识别信息、住址、通信通讯联系方式,通信记录和内寄、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息,交易信息等。[来源:GB/T352732020.3.1]
institutional investor
机构投资者
用自有资金或者从分散的公众手中筹集的资金专门进行有价证券投资活动的法人机构。4适用的数据范围
证券期货业经营和管理活动中产生、采集、加工、使用或管理的数据.包括但不限于:行业机构通过开展业务或经其他渠道获取的投资者个人信息:a)
机构投资者相关信息,如机构投资者的基本信息、财产信息、账户信息、信用信息、交易信息及相关行生信息等;
证券期货市场交易信息,如证券市场交易信息、期货市场交易信息、基金交易信息、其他衍生品交易信息等:
业务管理相关信息,如监管信息、统计信息、公告信息等;注:此处“监管信息“特指行业机构收到的来自国家主管部门的信息或按照国家主管部门要求报送的信息。e)
经营管理数据、如客户管理信息、渠道管理信息、经营状况信息、人力管理信息、财务管理信息、技术管理信息等:
通过购买或数据共享等方式获得的外部数据,如研究报告、指数信息等;其数据完整性、保密性和可用性遭到破坏,可能危害国家安全、国计民生、公共利益的其他各类数据。
5数据分类分级保障措施
建立数据分类分级组织保障
建立数据分类分级的组织保障.可明确:数据分类分级的管理部门:
数据分类分级的最高责任人:
数据分类分级相关的管理角色和职能:c
数据分类分级相关的授权机制。建立数据分类分级管理制度
建立数据分类分级的制度保障.可明确:a)
数据分类分级的具体要求;
数据分类分级涉及的角色及职责:GB/T42775—2023
数据分类分级的相关制度和操作流程的制定、发布、维护和更新的机制,以及评审和修订周期:d)
数据分类分级管理相关绩效考评和评价机制:e)
数据分类分级的原则、方法:
数据级别的相关变更原则及变更后的通知原则;数据资产分类分级清单的审核与修订周期和原则:数据分类分级的日常管理流程;操作人员的操作规程。
厘清业务和数据资产
宜采取以下措施,以有效管理数据资产:a)
厘清业务.根据JRT0176.1一2019的方法.收集业务条线所有产生、采集、加工、使用或管理的数据资产,建立数据资产清单;b)
数据资产清单宜经数据管理相关方评审确认。6数据分类
数据分类原则
数据分类宜以GB/T10113中的线分类法为基础进行分类·遵循以下原则。a)系统性:数据分类宜基于对行业机构所有数据的考量·建立一个层层划分、层层求属、从总到分的分类体系·每一次划分宜有单一、明确的依据。数据类目的排列宜依据数据类目主题之间的内在联系和概念逻辑·依据最大效用将全部类自系统地组织起来,形成具有隶属和并列关系的分类体系,以揭示出行业机构数据不同类别之间的联系和区别规范性:所使用的词语或短语能确切表达数据类目的实际内容范围.内涵、外延清晰;在表达相b)
同的概念时,保证用语一致性:在不影响数据类目含义表达的情况下,保持用语简洁。在证券期货业已有统一数据用语的情况下,使用统一数据用语。稳定性:宜选择分类对象最稳定的本质特性作为数据分类的基础和依据。c
明确性:同一层级的数据类目间宜界限分明。当数据类自名称不能明确各自界限时可以用注释来加以明确。
扩展性:在数据类目的设置或层级的划分上,宜保留适当余地.利于增加分类数据时的扩展。e)
6.2数据分类方法相关概念
分类方法中用到的主要用语说明如下。业务条线(businessline:BL)a)
GB/T42775-2023
泛指行业机构内部广义概念的业务,可能包含一系列相关业务内容和业务范围.在本文件中作为“业务一级子类”。例如某行业机构的”交易业务”“信息披露业务”等。业务管理(businessmanagement:BM)b)
在业务条线下,根据不同的管理主体、管理范围(或称管理内容),细分出的不同业务类别,在本文件中作为“业务二级子类”。例如“交易管理”“结算管理(或清算管理)”“风险监控”等.具体名称各行业机构可能有所不同。管理主体(managementsubject:MSb)c)
对某类具体业务的管理责任组织、部门、岗位、人员等。例如在某行业机构中结算部负责“结算管理”业务。根据行业机构规模,可能在某些行业机构中仅存在\结算岗”。管理范围(managementscope:MSe)d)
某类具体业务管理涉及的.与其他业务活动之间有明显区别的业务活动内容。例如在行业机构内部所指的\结算操作”\结算查询”\结算文件发布”一般属于\结算管理\的业务范围。管理对象(managementobjcet:MO)某类具体业务管理范围内涉及的数据·由一系列数据表、数据项或数据文件等组成。例如“结算管理\涉及“结算参数”“结算文件”\结算日志”等数据。6.3数据分类要点
各行业机构在开展数据分类时·宜从业务条线角度出发,对业务进行细分.确定各个业务条线下的数据管理主体。结合数据形态(如数据所处的系统,存储的媒介、物理位置等)对各业务子类下的数据归类细分,形成从总到分的树形数据分类结构。具体分类方法见图1。业务一级子类
(业务条线)
自上而下细分
按照分支最小!
颗粒度定位
级了类
系统1
级子类
业务级了类
《业务管理)
数据总利
一级子类
级子类
系统2(
一级子类
系统37
业务二级子类
(业务管理)
数据总和
一级了类
系统4(
数据分类示意图
一级了炎
系统5(
确定数据
管理主体
形成数据
分类结构
确定“数
据形森”
6.4数据分类方法
6.4.1第一阶段:业务细分阶段
阶段说明
GB/T427752023
业务细分阶段具体分为确定业务条线、确定某一业务条线下所有业务管理主体、确定管理主体对应的管理范围、命名映射关系。
业务细分步骤
业务细分主要步骤如下,见图2。确定业务一级子类,即确定基本业务条线:a
宜依据JR/T0176.1一2019确定的业务条线作为基础·并根据行业机构业务情况增补:1)
2)一般股划分为交易、监管、信息披露、其他。确定每个业务条线下所有的业务管理主体(MSb):b)
管理主体一般是特定的管理组织、部门、岗位、人员:1)
管理主体宜对管理的业务范围负责:管理主体决定业务管理范围内涉及数据的权限:4)
管理主体的确定宜适当,范围过小可能导致对应业务划分颗粒度过细:范围过大可能导致对应业务划分颗粒度过粗,无法区分不同业务。示例1:某行业机构中\结算部”负责管理“结算“相关业务。在另外一些行业机构中“结算岗“管理“结算“相关业务“结算部”“结算岗“就是管理主体。e)
确定每个业务管理主体对应的管理范围.明确对应关系(MSh-MSc):1)
管理范用一般指由业务特点决定的管理内容:业务管理范围之间宜相互独立:每个管理主体及其对应的管理范围,宜形成一个或多个映射关系:般情况下,一组映射关系即一个业务二级子类:多个管理主体对应的管理范围相周宜视为一个业务二级子类:一个管理主体对应的不同管理范围.宜视为多个映射,即多个业务二级子类示例2:某行业机构中\结算部\负责管理\结算“相关业务.其中\结算操作\\结算查询\结算文件发布“等是\结算部“的业务管理范用。
“交易部”负责管理的“交易启停”“交易参数设置”等是”交易部“的业务管理范围。“交易部”和\结算部“对应的业务管理范明之间相互独立。“交易部“和“结算部“和其对应的业务管理范围之间形成映射,这些映射·前者可以称为”交易管理“,后者可以称为“结算管理”
示例3:某行业机构内部有“交易操作岗“\交易复核岗”“交易监控岗”,三个岗位虽然都可以是管理主体,但对应的管理范围都在“交易启停”交易参数设置”“交易运行监控\内·如无必要·则宜统一视为”交易管理”子类。示例4:某行业机构内部有“业务管理员“岗位.该岗位分别管理\交易启停“和“风险监控“.则“业务管理员-交易启停”和”业务管理员风险监控”视为两个不同映射·前者作为“交易管理”子类,后者作为“风险管理”子类。d)命名映射关系,即确定业务二级子类。对步骤三完成后确定的各类业务“管理主体管理范用”峡射关系进行命名.得到业务二级子类的命名。5
GB/T42775—2023
业务一级子类
交易/监料/
信息披端/其他
MSbMSe方法
营理主体(MSb)
特定部门
岗位/人员
需对管理的业
务范围负资
可决定特定数
据的权限
细分说明
代理范田(MSc)
业务特点决定
的管理内容
业务范洲之间
立融文
对应的数据表!
数据项等组合
相互独立
业务二级了类
交易管理
站算管理
机构管理
投资者停理
监察管理
信息披露管理
技术管理
综合管理
属于级
了类“交
房十一级
子类“藍
属于一级
子类“信
息披露”
属一级
子类“其
确有必要,刊细分
《原则上不建议)
1.参照MSb-MSc方法
2、基于某二级了类对应的管挥
主休体和管理范用进步内部细分业务细分主要步骤(MSh-MSe)
业务细分,原则上按照6.4.1.2中的分类方法对业务一级子类进行一次划分。如确需进一步细分,宜保持细分层级体系唯一性。
示例:业务一级子类“交易“细分后.得到业务二级子类·包含“交易管理\\结算管理\\机构管理\等。业务一级子类“其他”细分后,得到业务二级子类.包含“技术管理\\综合管理等。6.4.2
第二阶段:数据归类阶段
阶段说明
在第一阶段对业务细分基础上,确定各个业务二级子类下的全部数据(各种数据表、数据项、数据义件等)。经归类细分后.确定数据一级子类·并根据需要进一步细分为二级子类。6.4.2.2
数据归类步骤
数据可按照以下步骤进行归类,见图3。6
GB/T42775—2023
确定业务二级子类的管理范围对应的管理对象(MSc-M()),即找到业务二级子类下的全部数据,称为\单类业务数据总和”。这个过程用于确定某类业务下存在的数据。说明如下。本步骤即针对每个业务子类:找到其对应的一系列数据总和。这此“数据总和”是全部数据的一个个子集。
部分数据表、数据项和数据文件可能出现在多个“数据总和”中。2
示例1:“结算管理\业务下的各类数据表、数据项、数据文件等构成“结算管理“对应的\单类业务数据总和”,包括客户信息、结算参数表、结算价、持仓明细表、交制明细表等,其中客户信息可能出现在多个不同业务对应的“单类业务数据总和\中。
数据资产
(数据衣/数据项/数据文件等)按照
MSc-MO方法
管理范围(MSe)
业务特点决定
的管理内窄
业务裁国之间
相互独立
臂理对象(MO)
特定业务功能点
对应的数据内案
业务功能点/业务面
求之间相互独立
对应的数据表/数据项组合相互独立A数据级子类
B数桐一级子类
艾数据一级子炎
图3数据归类方法图(MSc-MO)
对应采业务
数据总和
(过波成果)
细分方法
数据级分类
(数据表/数据项
等的不同纽合)
进一步细分
(加有必要)
可按照数据细分方法对各个“单类业务数据总和”分别细分,得到数据一级子类。通常一个“业务管理”子类下,有多个不同的数据一级子类。细分规则如下:依据数据性质、重要程度、管理需要、使用需要进行细分;1)
依据数据性质细分,一般指划分后的子类之问、数据性质之间有所差异:7
GB/T42775—2023
依据重要程度细分,一般指划分后的子类之间、重要程度之间有所差异:依据管理需要细分,一般指因不同的管理目的划分不同子类:依据使用需要细分·一股指划分后的子类之间、使用范用之间有所差异:行业机构可参照此方法,选择适当的要素进行细分。示例2:“交易管理“对应数据中,可以分为“成交信息““委托信息““交易参数信息““交易日志信息“等。其中“成交信息委托信息”可以视为数据性质不同而做的划分,“交易参数信息”“交易月志信息“等可以视为因管理需要不同面做的划分。
命名数据一级子类。即对步骤二完成后确定的数据一级子类命名。数据归类说明
在数据归类过程中,需注意以下内容。a)
如有数据无法确定对应业务二级子类.说明业务二级子类划分不完全,需对第一阶段工作进行检验。
如有业务二级子类下不存在数据,说明可能存在元余的业务二级子类或数据资产未厘清。根据实际业务需要、管理需要.依据数据细分规则可以对数据一级子类进一步细分。数据分类一般划分到适合本行业机构定级需要即可.不宜超过三个层级。数据分类示例
经过第一阶段、第二阶段后,得到的数据分类示例如表1所示。表1
业务条线
一级子类
信息披露
交易管理
二级子类
投资者管理
监察与评价管理
上报信息
信息披露管理
数据分类示例表
一级子类
成交信息
委托信息
交易日志信息
投资者基本信息
投资者开户/账户信息
投资者鉴别信息
监察参考信息
监管统计及预警信息
评价、处罚与违规信息
上报信息
产品发行信息(公开)
产品发行信息(未公开)
订单日志
成交日志
二级子类
个人投资者基本信息
机构投资者基本信息
监管统计分析结果
监管预警信息
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。