證券公司的數(shù)據(jù)是如何治理的？

證券公司（Securities Company）是專門從事有價證券買賣的法人企業(yè)，分為證券經(jīng)營公司和證券登記公司。狹義的證券公司是指證券經(jīng)營公司，是經(jīng)主管機(jī)關(guān)批準(zhǔn)并到有關(guān)工商行政管理局領(lǐng)取營業(yè)執(zhí)照后專門經(jīng)營證券業(yè)務(wù)的機(jī)構(gòu)。它具有證券交易所的會員資格，可以承銷發(fā)行、自營買賣或自營兼代理買賣證券。普通投資人的證券投資都要通過證券商來進(jìn)行。

證券公司應(yīng)當(dāng)結(jié)合公司發(fā)展戰(zhàn)略，建立全面、科學(xué)、有效的數(shù)據(jù)治理組織架構(gòu)以及數(shù)據(jù)全生命周期管理機(jī)制，確保數(shù)據(jù)統(tǒng)一管理、持續(xù)可控和安全存儲，切實(shí)履行數(shù)據(jù)安全及數(shù)據(jù)質(zhì)量管理職責(zé)，不斷提升數(shù)據(jù)使用價值。

1. 數(shù)據(jù)分類分級

證券公司應(yīng)當(dāng)將經(jīng)營及客戶數(shù)據(jù)按照重要性和敏感性進(jìn)行分類分級，并根據(jù)不同類別和級別作出差異化數(shù)據(jù)管理制度安排。

2. 數(shù)據(jù)安全保障措施

證券公司應(yīng)當(dāng)完善網(wǎng)絡(luò)隔離、用戶認(rèn)證、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份、數(shù)據(jù)銷毀、日志記錄、病毒防范和非法入侵檢測等安全保障措施，保護(hù)經(jīng)營數(shù)據(jù)和客戶信息安全，防范信息泄露與損毀。

3. 信息系統(tǒng)權(quán)限管理

證券公司應(yīng)當(dāng)遵循最少功能以及最小權(quán)限等原則分配信息系統(tǒng)管理、操作和訪問權(quán)限，并履行審批流程。

合規(guī)管理和風(fēng)險管理部門應(yīng)當(dāng)對權(quán)限管理制度和操作流程進(jìn)行合規(guī)審査及風(fēng)險控制。

證券公司應(yīng)當(dāng)建立對信息系統(tǒng)權(quán)限的定期檢査與核對機(jī)制，確保用戶權(quán)限與其工作職責(zé)相匹配，防止出現(xiàn)授權(quán)不當(dāng)的情形。

證券公司應(yīng)當(dāng)對重要信息系統(tǒng)的開發(fā)、測試、運(yùn)維實(shí)施必要分離，保證信息技術(shù)管理部門內(nèi)部崗位的相互制衡。

4. 經(jīng)營數(shù)據(jù)和客戶信息保護(hù)

證券公司應(yīng)當(dāng)記錄經(jīng)營數(shù)據(jù)和客戶信息的使用情況，并持續(xù)監(jiān)督信息技術(shù)服務(wù)機(jī)構(gòu)等相關(guān)方落實(shí)保密協(xié)議的情況。

證券公司發(fā)現(xiàn)其他機(jī)構(gòu)、個人違規(guī)存儲或使用自身經(jīng)營數(shù)據(jù)和客戶信息的，應(yīng)當(dāng)排查數(shù)據(jù)泄露途徑、評估影響范圍，采取合理可行的整改措施，及時處置風(fēng)險隱患，并按照中國證監(jiān)會規(guī)定履行報告和調(diào)查處理職責(zé)。

證券公司發(fā)現(xiàn)信息技術(shù)服務(wù)機(jī)構(gòu)等相關(guān)方違規(guī)存儲或者使用自身經(jīng)營數(shù)據(jù)和客戶信息的，應(yīng)當(dāng)責(zé)令其立即改正并銷毀已獲取的經(jīng)營數(shù)據(jù)和客戶信息；信息技術(shù)服務(wù)機(jī)構(gòu)等相關(guān)方拒絕配合整改的，證券公司應(yīng)當(dāng)立即停止與其合作，并采取措施維護(hù)自身及客戶的合法權(quán)益。

證券公司應(yīng)當(dāng)建立健全數(shù)據(jù)安全管理制度，不得收集與服務(wù)無關(guān)的客戶信息，不得購買或使用非法獲取或來源不明的數(shù)據(jù)。在收集使用客戶信息之前，證券公司應(yīng)當(dāng)公開收集、使用的規(guī)則和目的，并征得客戶同意。除法律法規(guī)和中國證監(jiān)會另有規(guī)定外，證券公司不得允許或者配合其他機(jī)構(gòu)、個人截取、留存客戶信息，不得以任何方式向其他機(jī)構(gòu)、個人提供客戶信息。