季常青
(南京證券股份有限公司 江蘇 210001)
隨著我國資本市場的迅速發(fā)展,市場的規(guī)模擴(kuò)大的同時(shí)也增強(qiáng)了社會(huì)的影響力。作為國民經(jīng)濟(jì)的重要組成部分的證券市場,同時(shí)也是老百姓的投資理財(cái)渠道。證券市場的安全與穩(wěn)定對(duì)投資者、社會(huì)穩(wěn)定、國家金融安全都有著非常重要的意義。面對(duì)日益復(fù)雜的數(shù)據(jù)安全問題威脅,應(yīng)該積極采用防御措施,減少數(shù)據(jù)安全問題的發(fā)生。
證券業(yè)數(shù)據(jù)安全需要健全的數(shù)據(jù)安全法律法規(guī)與標(biāo)準(zhǔn)體系來保障,這些是數(shù)據(jù)安全的第一道防線。我國證監(jiān)會(huì)從 1998年開始就發(fā)布了一系列的安全法規(guī)和技術(shù)標(biāo)準(zhǔn),這些安全法規(guī)與標(biāo)準(zhǔn)體系的初步形成推動(dòng)者證券業(yè)數(shù)據(jù)安全的規(guī)范化與標(biāo)準(zhǔn)化。雖然我國有眾多的數(shù)據(jù)安全規(guī)范性文件,但是在現(xiàn)行的法律規(guī)范中,立體主體多、體系繁雜、沒有統(tǒng)籌規(guī)劃的問題突出,不能夠適應(yīng)新形勢下的數(shù)據(jù)安全保護(hù)工作。主要存在的問題有:法規(guī)建設(shè)滯后,沒有總體的規(guī)劃;規(guī)范不能互通和協(xié)調(diào),尤其不能注重結(jié)合行業(yè)特點(diǎn),可執(zhí)行性不高;一部分規(guī)范已經(jīng)不能夠應(yīng)對(duì)新型的數(shù)據(jù)安全威脅;部分規(guī)范不能夠得到落實(shí)[1]。
對(duì)數(shù)據(jù)安全的管理和保護(hù)都離不開人員的組織與實(shí)施,組織體系是數(shù)據(jù)安全保護(hù)工作最重要的部分。為了協(xié)調(diào)數(shù)據(jù)安全保障工作的組織,應(yīng)該建立與健全數(shù)據(jù)安全管理制度與運(yùn)行機(jī)制,提高整體的數(shù)據(jù)安全保障工作水平。作為一線的技術(shù)管理人員,我們認(rèn)識(shí)到組織體系和安全管理制度對(duì)于數(shù)據(jù)的保護(hù)是十分重要的。例如,公司應(yīng)設(shè)立專門的安全總監(jiān),負(fù)責(zé)技術(shù)、網(wǎng)絡(luò)安全;應(yīng)設(shè)立審核崗,專門負(fù)責(zé)審核運(yùn)維、開發(fā)工作人員的所有操作記錄;應(yīng)設(shè)立資料員崗,負(fù)責(zé)保管系統(tǒng)密碼,數(shù)據(jù)光盤;還有重要的業(yè)務(wù)數(shù)據(jù)需要提交測試時(shí),必須嚴(yán)格按照公司規(guī)定進(jìn)行脫敏處理等等。只有在制度上和運(yùn)行機(jī)制上堵住了數(shù)據(jù)泄漏或被篡改的渠道,才能建立起數(shù)據(jù)安全保障的基本防線。
從法律法規(guī)規(guī)劃上來說,應(yīng)該要統(tǒng)籌兼顧地制定數(shù)據(jù)安全規(guī)范與標(biāo)準(zhǔn)體系框架,一方面要做好立法工作規(guī)劃,另一方面要是數(shù)據(jù)安全標(biāo)準(zhǔn)與體系科學(xué)、規(guī)范。從法律法規(guī)制定上說,要將規(guī)范與發(fā)展統(tǒng)籌兼顧,提高法規(guī)的可操作性。從法律法規(guī)的實(shí)施上說,要將規(guī)范與引導(dǎo)結(jié)合起來,重視監(jiān)督工作,落實(shí)責(zé)任。
2.2.1 提高IT治理意識(shí)
中國證券協(xié)會(huì)加強(qiáng)IT治理理念的宣傳教育工作,尤其是單位的高層領(lǐng)導(dǎo),要對(duì)其進(jìn)行IT治理培訓(xùn),在高管任職考核中加入IT治理方面的理論知識(shí)[4]。通過讓證券經(jīng)營機(jī)構(gòu)參加論壇、交流會(huì)等方式加強(qiáng)IT管理意識(shí),提高積極性。
要充分認(rèn)識(shí)到數(shù)據(jù)安全治理的必要性:它是證券公司穩(wěn)定運(yùn)行的需要;是監(jiān)管部門風(fēng)險(xiǎn)管理的需要;是證券業(yè)務(wù)及管理創(chuàng)新的需要;是合規(guī)的需要;要明確IT治理中數(shù)據(jù)治理的要點(diǎn):(1)是明確證券公司數(shù)據(jù)治理的的主體,一定要落實(shí)到公司的高層管理人員;(2)是要建立數(shù)據(jù)質(zhì)量標(biāo)準(zhǔn)。明確業(yè)務(wù)框架,確定業(yè)務(wù)流程后,建立清晰的數(shù)據(jù)視圖;(3)加強(qiáng)數(shù)據(jù)生民周期全過程管理;數(shù)據(jù)的生成及傳輸、數(shù)據(jù)的存儲(chǔ)、數(shù)據(jù)處理和應(yīng)用、數(shù)據(jù)銷毀;等環(huán)節(jié)必須明確流程,落實(shí)到崗,全過程管控;這些關(guān)鍵點(diǎn)在IT治理中必須要明確,不能含糊或缺失。
2.2.2 通過IT治理試點(diǎn)最終實(shí)現(xiàn)以點(diǎn)帶面
IT治理不同的模式具有不同的特點(diǎn),在證券經(jīng)營機(jī)構(gòu)不同的階層要根據(jù)具體情況采用不同的IT治理模式。證監(jiān)會(huì)要制定一些證券公司作為試點(diǎn)單位,對(duì)IT治理模式進(jìn)行實(shí)踐與探索,通過這些優(yōu)秀范例的樹立來帶動(dòng)整個(gè)證券業(yè) IT 治理水平的提高。
在行業(yè)信息安全等級(jí)保護(hù)工作中行業(yè)監(jiān)管部門有著非常重要的作用,應(yīng)該監(jiān)管部門的任務(wù)與機(jī)制進(jìn)行進(jìn)一步的明確,通過統(tǒng)一的部署與組織來實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)工作,為數(shù)據(jù)安全保護(hù)保護(hù)工作的展開提供組織基礎(chǔ)[5]。證券業(yè)各機(jī)構(gòu)應(yīng)該自主貫徹信息系統(tǒng)安全等級(jí)保護(hù),并對(duì)實(shí)施情況進(jìn)行評(píng)估,一旦發(fā)現(xiàn)不足應(yīng)立刻制定整改方案并實(shí)施。
證券業(yè)應(yīng)當(dāng)依托證券業(yè)協(xié)會(huì),組織技術(shù)力量根據(jù)國家的《信息安全等級(jí)保護(hù)辦法》制定符合自己行業(yè)特點(diǎn)的等保規(guī)范,按照這個(gè)行業(yè)規(guī)范實(shí)施能跟好的保護(hù)券商信息系統(tǒng)安全,達(dá)到防范數(shù)據(jù)風(fēng)險(xiǎn)的目的。
2.4.1 進(jìn)行以等級(jí)保護(hù)為依據(jù)的統(tǒng)籌規(guī)劃
圍繞信息安全的全過程的基礎(chǔ)性的管理制度就是等級(jí)保護(hù),通過等級(jí)化的方法將其與安全體系規(guī)劃結(jié)合起來,對(duì)證券網(wǎng)絡(luò)的安全體系進(jìn)行統(tǒng)籌規(guī)劃與建設(shè),建立一套數(shù)據(jù)安全保障體系,是解決證券業(yè)網(wǎng)絡(luò)安全問題的有效辦法,能夠最大程度地保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全。
2.4.2 提高網(wǎng)絡(luò)防護(hù)能力
加強(qiáng)對(duì)證券業(yè)提供設(shè)備、技術(shù)、服務(wù)的IT公司的管理,確保這些設(shè)備、技術(shù)、服務(wù)等符合國家與行業(yè)的相關(guān)技術(shù)標(biāo)準(zhǔn)。依據(jù)網(wǎng)絡(luò)隔離的觀點(diǎn),在業(yè)務(wù)網(wǎng)與辦公網(wǎng)、互聯(lián)網(wǎng)之間分別建立網(wǎng)絡(luò)隔離,網(wǎng)上交易的子系統(tǒng)之間也要建立有效的網(wǎng)絡(luò)隔離。從技術(shù)上來說,就是針對(duì)不同的業(yè)務(wù)區(qū)域利用網(wǎng)閘來進(jìn)行隔離;主要的網(wǎng)絡(luò)邊界和外部進(jìn)口都要進(jìn)行滲透測試,加固系統(tǒng)和設(shè)備的安全性,降低由于系統(tǒng)漏洞帶來的安全風(fēng)險(xiǎn);網(wǎng)上交易是要采用高強(qiáng)度的認(rèn)證方法,如電子簽名、數(shù)字認(rèn)證等,通過訪問控制的加強(qiáng)來保護(hù)數(shù)據(jù)安全;面對(duì)惡意攻擊事件越演越烈的情況,要通過一系列措施的加強(qiáng)來實(shí)現(xiàn)網(wǎng)站的保護(hù),提高對(duì)惡意攻擊的防護(hù)能力;采用高科技手段來提高客戶端軟件交易的安全性[6]。
數(shù)據(jù)的安全與保護(hù)工作要重視平時(shí)的工作。市場的監(jiān)管、組織、參與等方面要通過長期的、不間斷的努力來實(shí)現(xiàn)證券業(yè)數(shù)據(jù)安全,使證券業(yè)數(shù)據(jù)保護(hù)工作向著安全、經(jīng)濟(jì)、高效的方向不斷前進(jìn)與發(fā)展,滿足資金市場創(chuàng)新、規(guī)范、穩(wěn)定的新需求,為證券業(yè)的穩(wěn)定運(yùn)行與發(fā)展提供保障,從而保障資本市場的快速的、平穩(wěn)的發(fā)展。
[1]張蕊.發(fā)揮證券業(yè)后發(fā)優(yōu)勢 實(shí)現(xiàn)IT穩(wěn)步發(fā)展——訪中國銀河證券股份有限公司信息技術(shù)部副總經(jīng)理唐沛來[J].中國金融電腦,2010,03(09):19-24.
[2]陳建明.中國金融證券業(yè)軟件與信息服務(wù)市場分析[J].發(fā)展的信息技術(shù)對(duì)管理的挑戰(zhàn)——管理科學(xué)學(xué)術(shù)會(huì)議專輯(下),2010,12(11):11-13.
[3]謝濤,陳天華.信息技術(shù)革命與證券業(yè)的發(fā)展——訪國泰證券公司副總經(jīng)理趙大建[J].企業(yè)家天地下半月刊(理論版),2011,23(14):19-26.