华泰证券数据安全建设思路、实践及亮点有哪些？

以下介绍的是华泰证券数据安全建设思路、实践及亮点。

1. 建设思路

（1）厘清数据安全风险，明确安全治理方向

证券行业是产生和积累数据量最大、数据类型最丰富的领域之一，随着证券行业 数字化转型、深化，证券业数据有着更加广泛的应用场景、应用范围，有着更高的应 用价值。随着证券业数据的价值日益凸显，数据非法采集、数据贩卖、数据篡改、数 据攻击、数据权限滥用等安全问题也层出不穷。如何更加安全地保障企业的数字化转型， 降低数据安全风险，释放数据价值，成为了诸多转型企业中的重点工作。

面对新形势带来的安全挑战，华泰证券积极应对，从外部攻击风险、内部数据滥 用风险、外部渠道数据泄露风险三个方面，厘清当前面临的数据安全风险，梳理的风 险点覆盖管理体系、制度流程、技术手段、运营机制四个层面。

面对上述的数据安全风险，华泰证券开展了新一轮的数据安全治理工作。从完善 数据安全制度管理体系、建立数据安全风险评估机制、建设分层分级的数据权限管控 体系、提升数据安全风险监测和响应能力、强化外部渠道数据泄露跟踪调查能力五个 方面着手，全方位保护公司重要数据资产以及客户信息，为公司数字化转型保驾护航。

（2）构建数据安全治理体系，夯实数字化转型基础

华泰证券从顶层明确公司数据安全管理战略，强化公司数据安全管理体系，以贯 彻国家网络空间安全战略、满足政策合规要求、统筹全体系数据安全为目标，推进公 司整体安全管控水平不断提升，为业务发展保驾护航。

华泰证券以数字化转型战略为指引，以数据安全管理为保障，以技术体系为支撑， 建立了覆盖数据全生命周期的企业级数据安全治理体系。

华泰证券对标国家行业标准，并结合自身数据安全战略、数据安全管理体系，建 立了基于数据全生命周期的数据安全管理三层框架体系，从管控层、技术支撑层、运 营层三个维度开展数据全生命周期安全管理工作。

（3）共享行业经验，共建数据安全生态

华泰证券作为数据安全推进计划成员单位，积极参与行业数据安全交流，分享数 据安全治理经验，参加业界数据安全相关标准建设工作，如参与编写《证券期货业数 据安全风险防控 数据分类分级指引》，共同推进行业数据安全生态建设。

2. 治理实践及亮点

华泰证券严格按照国家《数据安全法》《个人信息保护法》等法律法规、行业规 范和监管规定，落实数据安全相关工作，通过建立健全数据安全管理机制，基于“制度、 组织、人员、技术”为核心的管理框架，规范数据处理活动，强化公司经营活动中相 关数据处理的合法合规性，从数据安全管理体系、数据安全技术体系、数据安全运营 体系等方面推进数据安全治理实践，打造证券行业数据安全治理标杆。

（1）建立规范化的数据安全管理体系

华泰证券从数据安全组织架构、数据安全制度体系两个方面开展数据安全治理工 作，以满足监管要求以及风险管理需要。

组织架构方面，华泰证券建立了完备的数据安全组织架构体系，设立公司数据治 理委员会，在经营管理层的领导下，负责统筹和领导数据安全工作；数据治理委员会 下辖数据安全与个人信息保护工作小组，由信息技术部门、业务部门、合规风控部门 派员参与，多部门协同推进数据安全工作，将数据安全责任落实到每个部门、每个业务、每个系统和每个员工。加强数据安全人才培养，建立起一支具备数据安全管理、数据 安全建设、数据安全运营等专业安全能力的自有人才队伍。

制度体系方面，华泰证券深入研究国家关于数据安全、个人信息保护相关的法律 法规和标准，结合公司实际情况，建立了公司的数据安全三层制度体系，包括：顶层 的公司级数据安全管理办法、围绕数据全生命周期的安全管理规范、以及细化的各类 数据安全细则，对数据安全管理职责分工、数据全生命周期安全保护要求、个人信息 保护要求、数据安全实施细则等进行了明确，实现对数据全生命周期安全防护保障以 及对数据安全管理和运营的支撑。

（2）建设覆盖数据全生命周期的数据安全技术体系

华泰证券以防范外部数据窃取、防范内部数据滥用和防范外部渠道泄露为抓手， 依托数据安全可视化能力、数据安全运营能力、数据安全平台能力，构建公司数据安全三层技术体系，进一步加强数据安全保护能力，防范信息泄露。

数据安全平台能力，基于 IPDR 框架，部署各类数据安全技术手段，覆盖网络、平台、 应用、终端，形成事前、事中、事后的数据安全技术能力，并通过各技术能力组合形 成风险识别、安全评估、安全防御、安全监测、安全响应五大服务能力。

数据安全运营能力，包括数据安全管理、能力运营、策略管理、安全事件分析四 个方面。数据安全管理方面，通过深度分析各类法律法规和标准，形成数据安全基线 和风险矩阵，为能力运营、策略管理和安全事件分析提供指引。能力运营方面，基于 数据安全平台能力，开展安全评估、安全监测、安全检测和应急处置。策略管理方面， 根据公司数据安全态势，动态调整数据安全管控策略，保障数据安全高效流转。安全 事件分析方面，对数据安全告警、数据流转记录、用户行为日志等进行分析溯源，发现数据安全风险。

数据安全可视化能力，基于数据安全平台能力和运营能力，绘制展示公司数据地 图、数据流向图，依托态势感知能力展现数据安全风险态势、用户行为画像。

（3）实施精细化的数据安全运营体系

华泰证券从风险防范、监控预警、应急处置三个方面，构建“感知风险、看见威胁、 抵御攻击”的数据安全运营体系，为公司数字化转型保驾护航。

风险防范，采用“基线化”+“工程化”+“技术化”理念，以法律法规、行业标准、 实践指南为切入点，将数据安全评估过程嵌入业务原有生产流程并在早期介入风险管 理，降低业务数据安全风险。

监控预警，依托数据安全技术体系，动态监控公司内部跨网、跨域、跨实体流转 的数据，实时发现数据安全威胁并预警，快速溯源处置安全事件。

应急处置，建立数据安全事件应急响应机制，编制应急预案，开展应急演练，确 保事件发生后可以快速响应，及时恢复，最大程度上减少损失，并降低事件造成的消 极影响。