4月2日，證監(jiān)會就《關(guān)于加強境內(nèi)企業(yè)境外發(fā)行證券和上市相關(guān)保密和檔案管理工作的規(guī)定（征求意見稿）》（以下簡稱《規(guī)定》）公開征求意見,，為境外上市涉及的相關(guān)保密和檔案管理工作提供更加清晰的指引,，明確上市公司信息安全主體責任，完善跨境監(jiān)管合作安排,，為安全高效開展跨境監(jiān)管合作提供制度保障,。

此次《規(guī)定》是對2009年原文件的升級，縱覽全文及其修訂內(nèi)容,，此次修訂集中體現(xiàn)了加強國家信息安全管理,、提高效率、明晰責任,、兼顧統(tǒng)籌發(fā)展與安全的理念,。本文著重分析《規(guī)定》關(guān)于信息安全主體責任的內(nèi)涵和要求，分享對應的合規(guī)思路和措施,，為廣大企業(yè)提供參考。

01

嚴格履行程序明確企業(yè)保密責任

為使企業(yè)切實擔負信息安全的主體責任,，修訂后的《規(guī)定》將要求企業(yè)在境外發(fā)行上市過程中向中介機構(gòu)及境外監(jiān)管機構(gòu)提供,、披露資料時，需要遵守保密相關(guān)法律法規(guī),，做好書面說明和備查工作（詳見《規(guī)定》第三,、四、五條）,。

從境內(nèi)企業(yè)赴境外上市的實際情況來看,，企業(yè)經(jīng)營活動中產(chǎn)生的各種業(yè)務(wù)數(shù)據(jù)，以及采集的客戶數(shù)據(jù),，如個人信息等,，不應該在未經(jīng)得客戶同意的情況下提供給中介機構(gòu)，更不會被納入審計底稿,。此次《規(guī)定》修訂所增加的程序性要求,，將避免不必要的涉密或敏感信息進入審計底稿，對確因?qū)徲嬓枰M入底稿的涉密敏感信息依法依規(guī)做好全流程的記錄和履行必要的程序,。

特別地,，企業(yè)經(jīng)營活動中涉及的數(shù)據(jù)安全受到我國相關(guān)法律政策的有效監(jiān)管。對于必要的數(shù)據(jù)出境活動,，我國相關(guān)監(jiān)管機構(gòu)正在對其持續(xù)完善及規(guī)范,，如國家互聯(lián)網(wǎng)信息辦公室于2021年10月29日發(fā)布了《數(shù)據(jù)出境安全評估辦法（征求意見稿）》，已經(jīng)明確對于國家信息安全,、數(shù)據(jù)安全方面予以規(guī)定,，和本次《規(guī)定》的要求互為補充,，分別從不同角度對不同行為予以規(guī)管。

本次修訂實質(zhì)上重申了企業(yè)及中介機構(gòu)應當審慎對待有關(guān)國家安全的涉密敏感信息,，如非絕對必要且經(jīng)過主管部門批準,，涉密信息不能進入審計底稿，加強國家安全信息保護和明確責任,。同時體現(xiàn)了統(tǒng)籌發(fā)展和安全的要求,，既要維護好企業(yè)所在地數(shù)據(jù)安全，又要適應上市地審計監(jiān)管要求,，為企業(yè)依法依規(guī)開展境外上市活動提供了準繩,。

02

企業(yè)落實《規(guī)定》的可行性建議

企業(yè)落實《規(guī)定》條款，需要避免涉密敏感信息不當對外提供及進入審計底稿,，即使少量敏感信息確因?qū)徲嬓枰M入底稿,，也須在提供、保存和接受檢查的全鏈條上按相關(guān)規(guī)定加以管理和保護,。

這將要求企業(yè)：首先,，需要非常清楚地掌握自身的數(shù)據(jù)資產(chǎn)情況，包括業(yè)務(wù)數(shù)據(jù)和客戶數(shù)據(jù),，能夠準確定義并標注數(shù)據(jù)的敏感級別和涉密情況,。同時，需要非常清晰地掌握敏感信息的流動及變化過程,，以杜絕涉密敏感信息意外地或不受控地對外提供,。另外，對于必須進入底稿的敏感信息,，通過技術(shù)手段提供相適應的防護措施,，履行程序性要求，加強安全管理,。

基于數(shù)安行在數(shù)據(jù)安全領(lǐng)域的長期實踐,，分享幾點關(guān)于合規(guī)及安全保護、管理的可行性建議,。

1,、對于數(shù)據(jù)資產(chǎn)的梳理盤點是數(shù)據(jù)利用、數(shù)據(jù)治理以及數(shù)據(jù)安全保護的基礎(chǔ),，盤點工作包括發(fā)現(xiàn)及識別組織內(nèi)的數(shù)據(jù)資產(chǎn)類型,、數(shù)量、分布位置以及敏感級別,。對于企業(yè)而言,，難點在于數(shù)據(jù)量大并且持續(xù)新增，數(shù)據(jù)來源廣泛，劃分數(shù)據(jù)類別以及確定敏感級別缺少可參考的標準和依據(jù),。使用自動化的數(shù)據(jù)盤點工具代替人工操作是目前的主流趨勢,，企業(yè)在選擇過程中需要考慮是否支持結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)，數(shù)據(jù)模型的行業(yè)覆蓋度是否齊全,，是否支持識別足夠豐富的數(shù)據(jù)格式,。

在滿足盤點通用數(shù)據(jù)的基礎(chǔ)上，針對不同企業(yè)各自特有的業(yè)務(wù)數(shù)據(jù),，需要使用人工智能分析工具自學習并生成敏感數(shù)據(jù)分類模型進行梳理,。數(shù)安行的實踐經(jīng)驗證明，小數(shù)據(jù)機器學習在少量樣本支撐下即可實現(xiàn)特有數(shù)據(jù)的精細分類標注,，降低了企業(yè)配合門檻,，更具有可落地性。

2,、避免涉密敏感信息不當對外提供及進入審計底稿并非意味著持續(xù)嚴密地控制數(shù)據(jù)的使用,。眾所周知，數(shù)據(jù)需要保持流動才能發(fā)揮應有的價值,，安全保障不應該成為業(yè)務(wù)發(fā)展的阻力,，《規(guī)定》統(tǒng)籌發(fā)展和安全即要求企業(yè)在正常的數(shù)據(jù)流動過程中嵌入安全屬性，實時掌握敏感數(shù)據(jù)的潛在安全威脅,?；跀?shù)據(jù)資產(chǎn)盤點的清單，通過對敏感數(shù)據(jù)運行軌跡,、數(shù)據(jù)版本以及形態(tài)變化進行全流程跟蹤標注，可以實時感知數(shù)據(jù)違規(guī)使用及流轉(zhuǎn)風險,。這里的重點在于不受數(shù)據(jù)存儲位置,、格式、形態(tài)的改變而丟失數(shù)據(jù)軌跡及數(shù)據(jù)血親關(guān)系,，真正定位于數(shù)據(jù)本身及其生命周期進行跟蹤溯源,。

3、針對可能存在的潛在安全風險,，給予足夠細粒度的安全措施是很關(guān)鍵的,。在不影響數(shù)據(jù)正常流轉(zhuǎn)效率及業(yè)務(wù)正常運行的前提下，最精準,、最適宜的防護手段需要根據(jù)風險級別,、使用環(huán)境、流轉(zhuǎn)環(huán)節(jié)以及用戶角色等差異來提供,?；跓o感數(shù)據(jù)安全沙箱以及微隔離存儲等技術(shù)，可以建立多種安全級別的應用系統(tǒng)訪問及數(shù)據(jù)使用環(huán)境，建立應用系統(tǒng)與用戶之間的零信任數(shù)據(jù)安全通道,。精準識別用戶身份,，動態(tài)定義應用系統(tǒng)訪問邊界，自適應調(diào)整應用系統(tǒng)訪問權(quán)限,，防控各種越權(quán)訪問,、身份仿冒、違規(guī)下載等危險行為,，保證業(yè)務(wù)數(shù)據(jù)在線使用及流出安全,。

待《規(guī)定》發(fā)布后，企業(yè)和中介機構(gòu)也需要進一步完善內(nèi)部規(guī)則和流程,，高度重視和加強數(shù)據(jù)安全,，持續(xù)提升審計質(zhì)量?！兑?guī)定》的落實,，將提升企業(yè)維護數(shù)據(jù)安全和防范法律風險的能力，促進企業(yè)依法合規(guī)開展境外發(fā)行上市活動,。

（本文作者：北京數(shù)安行科技有限公司 郭靈）

北京卓越同舟咨詢有限公司成立于2002年,經(jīng)國家認證認可監(jiān)督管理委員會批準設(shè)立的專業(yè)企業(yè)認證及咨詢機構(gòu)(批準號: CNCA-Z-01Q-2006-038),，能為各種行業(yè)、各種規(guī)模的組織提供ISO9001 質(zhì)量管理體系,、IATF16949汽車生產(chǎn)件及相關(guān)服務(wù)件組織的質(zhì)量管理體系要求,、ISO14001環(huán)境管理體系、 ISO45001職業(yè)健康安全 管理體系,、ISO22000/HACCP食品安全管理體系/危害分析與關(guān)鍵控制點ISO/IEC27001信息安全管理體系,、ISO/IEC200001T服務(wù)管理體系、ISO22301業(yè)務(wù)連續(xù)性管理體系等管理體系認證咨詢,、產(chǎn)品認證咨詢,、企業(yè)資質(zhì)認證咨詢、企業(yè)管理咨詢(組織設(shè)計,、流程優(yōu)化,、成本審計、品控管理,、顧客滿意度測評,、5S管理等)及相關(guān)培訓服務(wù)。