Law-lib.com 2022-5-3 11:19:31 中國證監(jiān)會
為建立健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系��,防范化解行業(yè)網(wǎng)絡(luò)安全風(fēng)險隱患�,維護(hù)資本市場安全平穩(wěn)高效運行���,我會起草了《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)》��,現(xiàn)向社會公開征求意見��。公眾可通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)(www.moj.gov.cn��、www.chinalaw.gov.cn)�����,進(jìn)入首頁主菜單的“立法意見征集”欄目提出意見��。
2.登錄中國證監(jiān)會網(wǎng)站(www.csrc.gov.cn)����,進(jìn)入首頁右側(cè)點擊“公開征求意見”欄目提出意見。
3.傳真:010-88061444
4.電子郵箱:kejiju@csrc.gov.cn
5.通信地址:北京市西城區(qū)金融大街富凱大廈中國證監(jiān)會科技監(jiān)管局�,郵政編碼:100033。
意見反饋截止時間為2022年5月29日���。
中國證監(jiān)會
2022年4月29日
證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)
第一章 總則
第一條 為了保障證券期貨業(yè)網(wǎng)絡(luò)安全�����,保護(hù)投資者合法權(quán)益����,促進(jìn)證券期貨業(yè)穩(wěn)定健康發(fā)展����,根據(jù)《證券法》�、《證券投資基金法》、《網(wǎng)絡(luò)安全法》��、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》�、《期貨交易管理條例》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)�,制定本辦法。
第二條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)在中華人民共和國境內(nèi)建設(shè)���、運營��、維護(hù)和使用網(wǎng)絡(luò)及信息系統(tǒng)�����,信息技術(shù)服務(wù)機(jī)構(gòu)為證券期貨業(yè)務(wù)活動提供產(chǎn)品或者服務(wù)的網(wǎng)絡(luò)安全保障���,以及證券期貨業(yè)網(wǎng)絡(luò)安全的監(jiān)督管理,適用本辦法����。
第三條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)遵循保障安全、促進(jìn)發(fā)展的原則��,建立健全網(wǎng)絡(luò)安全防護(hù)體系��,提升網(wǎng)絡(luò)安全保障水平����,確保網(wǎng)絡(luò)安全與信息化工作同步推進(jìn)����,促進(jìn)本機(jī)構(gòu)相關(guān)工作穩(wěn)妥健康發(fā)展�。
信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)遵循技術(shù)安全、功能合規(guī)的原則���,為證券期貨業(yè)務(wù)活動提供產(chǎn)品或者服務(wù)��,與核心機(jī)構(gòu)����、經(jīng)營機(jī)構(gòu)共同保障行業(yè)網(wǎng)絡(luò)安全�,促進(jìn)行業(yè)信息化發(fā)展。
第四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)依法履行網(wǎng)絡(luò)安全保護(hù)義務(wù)����,對本機(jī)構(gòu)網(wǎng)絡(luò)安全負(fù)責(zé),相關(guān)責(zé)任不因其他機(jī)構(gòu)提供產(chǎn)品或者服務(wù)進(jìn)行轉(zhuǎn)移或者減輕���。
信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)勤勉盡責(zé),對提供產(chǎn)品或者服務(wù)的合規(guī)性����、安全性承擔(dān)責(zé)任���。
第五條 中國證監(jiān)會依法履行以下監(jiān)督管理職責(zé):
(一)組織制定并推動落實證券期貨業(yè)網(wǎng)絡(luò)安全和信息化發(fā)展規(guī)劃�、監(jiān)管規(guī)則和行業(yè)標(biāo)準(zhǔn);
�。ǘ┴(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全的監(jiān)督管理,對證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行監(jiān)管����;
(三)負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全重大技術(shù)路線����、重大科技項目管理;
��。ㄋ模┙M織開展證券期貨業(yè)數(shù)據(jù)安全統(tǒng)籌管理�����;
�����。ㄎ澹┴(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全應(yīng)急演練、應(yīng)急處置和事件報告與調(diào)查處理����;
(六)指導(dǎo)證券期貨業(yè)網(wǎng)絡(luò)安全促進(jìn)與發(fā)展�����;
�。ㄆ撸┓煞ㄒ(guī)規(guī)定的其他網(wǎng)絡(luò)安全監(jiān)管職責(zé)。
第六條 中國證監(jiān)會建立集中管理�����、分級負(fù)責(zé)的證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理體制�。中國證監(jiān)會科技監(jiān)管部門統(tǒng)一對證券期貨業(yè)網(wǎng)絡(luò)安全實施監(jiān)督管理。中國證監(jiān)會其他部門配合開展相關(guān)工作�。
中國證監(jiān)會派出機(jī)構(gòu)對本轄區(qū)經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)安全實施監(jiān)督管理��。
中證信息技術(shù)服務(wù)有限責(zé)任公司在中國證監(jiān)會指導(dǎo)下�,為證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理提供專業(yè)協(xié)助和支撐����。
第七條 中國證券業(yè)協(xié)會���、中國期貨業(yè)協(xié)會��、中國證券投資基金業(yè)協(xié)會等行業(yè)協(xié)會(以下統(tǒng)稱行業(yè)協(xié)會)依法制定行業(yè)網(wǎng)絡(luò)安全自律規(guī)則�,對經(jīng)營機(jī)構(gòu)網(wǎng)絡(luò)安全實施自律管理�����。
第八條 核心機(jī)構(gòu)依法制定保障市場相關(guān)主體與本機(jī)構(gòu)信息系統(tǒng)安全互聯(lián)的技術(shù)規(guī)則��,對與本機(jī)構(gòu)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施相關(guān)聯(lián)主體加強指導(dǎo)�,督促其強化網(wǎng)絡(luò)安全管理����,保障相關(guān)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施的安全平穩(wěn)運行�。
第二章 網(wǎng)絡(luò)安全運行
第九條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)具有完善的信息技術(shù)治理架構(gòu)���,健全網(wǎng)絡(luò)安全管理制度體系,建立內(nèi)部決策��、管理����、執(zhí)行和監(jiān)督機(jī)制��,確保網(wǎng)絡(luò)安全管理能力與信息化發(fā)展水平相匹配��。
信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全管理制度,配備相應(yīng)的安全、合規(guī)管理人員,建立與提供產(chǎn)品或者服務(wù)相適應(yīng)的網(wǎng)絡(luò)安全管理機(jī)制。
第十條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)明確主要負(fù)責(zé)人為本機(jī)構(gòu)網(wǎng)絡(luò)安全第一責(zé)任人����,分管科技工作的負(fù)責(zé)人為直接責(zé)任人���。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全工作協(xié)調(diào)和決策機(jī)制����,保障網(wǎng)絡(luò)安全第一責(zé)任人和直接責(zé)任人履行職責(zé)���。
第十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)指定網(wǎng)絡(luò)安全工作牽頭部門或者機(jī)構(gòu)��,負(fù)責(zé)管理重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施�、制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案����、組織應(yīng)急演練、認(rèn)定網(wǎng)絡(luò)安全關(guān)鍵崗位等工作��。
第十二條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)配備網(wǎng)絡(luò)安全專職人員�����,保障技術(shù)人員數(shù)量和資金投入與業(yè)務(wù)活動規(guī)模及復(fù)雜程度相適應(yīng)��,網(wǎng)絡(luò)安全專職人員應(yīng)當(dāng)具備與履行職責(zé)相匹配的專業(yè)知識和職業(yè)技能��。
第十三條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)確保信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施具備合理的架構(gòu)����,足夠的性能�、容量、可靠性���、擴(kuò)展性和安全性����,并保證相關(guān)安全技術(shù)措施與信息化工作同步規(guī)劃����、同步建設(shè)、同步使用。信息系統(tǒng)的性能容量不得低于歷史峰值的兩倍���。
第十四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)落實網(wǎng)絡(luò)安全等級保護(hù)制度�,依法履行網(wǎng)絡(luò)安全等級保護(hù)義務(wù)��,按照國家和證券期貨業(yè)定級標(biāo)準(zhǔn)和定級要求�,向公安機(jī)關(guān)辦理備案和變更。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照相關(guān)要求����,將網(wǎng)絡(luò)安全等級保護(hù)定級、變更和日常工作開展情況及時報告中國證監(jiān)會及其派出機(jī)構(gòu)�����。
第十五條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)新建上線�、運行變更、下線移除重要信息系統(tǒng)的�,應(yīng)當(dāng)進(jìn)行風(fēng)險評估并開展充分測試,制定應(yīng)急處置和回退方案����;可能對證券期貨市場安全平穩(wěn)運行產(chǎn)生較大影響的,應(yīng)當(dāng)提前向中國證監(jiān)會及其派出機(jī)構(gòu)報告�。
第十六條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)暫�;蛘呓K止借助網(wǎng)絡(luò)向投資者提供服務(wù)前�����,應(yīng)當(dāng)履行告知義務(wù)�,合理選取公告、定向通知等方式告知投資者相關(guān)業(yè)務(wù)影響情況��、替代方式及其他應(yīng)對措施�����。
第十七條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警機(jī)制�����,設(shè)定監(jiān)測指標(biāo)����,持續(xù)監(jiān)測信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施的運行狀況�����,及時處置異常情形��,對監(jiān)測機(jī)制執(zhí)行效果進(jìn)行定期評估并持續(xù)優(yōu)化。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)全面�����、準(zhǔn)確記錄并妥善保存生產(chǎn)運營過程中的業(yè)務(wù)日志和系統(tǒng)日志���,確保滿足故障分析���、內(nèi)部控制、調(diào)查取證等工作的需要�����。業(yè)務(wù)日志保存期限不得少于二十年����,系統(tǒng)日志保存期限不得少于六個月。
第十八條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立同城和異地數(shù)據(jù)備份設(shè)施����,至少每天備份數(shù)據(jù)一次,每季度至少對數(shù)據(jù)備份進(jìn)行一次有效性驗證����。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施��,根據(jù)信息系統(tǒng)的重要程度和影響范圍�����,確定恢復(fù)目標(biāo)���,保證業(yè)務(wù)活動連續(xù)。災(zāi)難備份設(shè)施應(yīng)當(dāng)通過同城或者異地災(zāi)難備份中心的形式體現(xiàn)����。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)采取雙活或者多活架構(gòu)部署重要信息系統(tǒng)的,確保業(yè)務(wù)連續(xù)運行能力不低于前款規(guī)定的前提下���,任一數(shù)據(jù)中心可以視為其他數(shù)據(jù)中心的災(zāi)難備份設(shè)施��。
第十九條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)至少每半年開展一次重要信息系統(tǒng)壓力測試���,根據(jù)系統(tǒng)技術(shù)特點和承載業(yè)務(wù)類型����,制定壓力測試方案,設(shè)定測試場景�����,從系統(tǒng)處理能力、網(wǎng)絡(luò)冗余�����、災(zāi)備建設(shè)等方面設(shè)置測試指標(biāo)�����,有序組織測試工作�,測試完成后形成壓力測試報告存檔備查。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)要求�,參加中國證監(jiān)會組織開展的全行業(yè)重要信息系統(tǒng)壓力測試,并根據(jù)測試情況及時整改�;暫時無法整改的,應(yīng)當(dāng)制定切實可行的整改計劃�����。
第二十條 信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)依法向中國證監(jiān)會備案��,并按照有關(guān)業(yè)務(wù)規(guī)則為證券期貨業(yè)務(wù)活動提供信息技術(shù)產(chǎn)品或者服務(wù)����。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立健全內(nèi)部管理機(jī)制��,完善信息技術(shù)產(chǎn)品和服務(wù)準(zhǔn)入標(biāo)準(zhǔn)��,審慎采購并持續(xù)評估相關(guān)產(chǎn)品和服務(wù)的質(zhì)量�,加強保密管理�,及時改進(jìn)風(fēng)險管理措施,健全應(yīng)急處置機(jī)制��,保障本機(jī)構(gòu)網(wǎng)絡(luò)安全和相關(guān)業(yè)務(wù)的安全平穩(wěn)運行�。
第二十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)加強自主研發(fā)能力建設(shè),持續(xù)提升自主可控能力��,并按照國家及中國證監(jiān)會有關(guān)要求開展信息技術(shù)應(yīng)用創(chuàng)新相關(guān)工作���。
第二十二條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照知識產(chǎn)權(quán)相關(guān)法律法規(guī)���,制定知識產(chǎn)權(quán)保護(hù)策略和制度,采取有效措施保護(hù)本機(jī)構(gòu)自主知識產(chǎn)權(quán)���,不侵犯他人的知識產(chǎn)權(quán)��。
第三章 數(shù)據(jù)安全統(tǒng)籌管理
第二十三條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)履行數(shù)據(jù)安全管理責(zé)任,包括但不限于以下方面:
�����。ㄒ唬┙⒔∪珨(shù)據(jù)安全管理制度體系,完善數(shù)據(jù)運營和管控機(jī)制����;
(二)健全數(shù)據(jù)安全管理組織架構(gòu)��,明確數(shù)據(jù)安全管理權(quán)責(zé)機(jī)制��;
��。ㄈ┮罁(jù)行業(yè)相關(guān)數(shù)據(jù)標(biāo)準(zhǔn)���,制定覆蓋本機(jī)構(gòu)全部業(yè)務(wù)數(shù)據(jù)的相關(guān)標(biāo)準(zhǔn)����,實施與業(yè)務(wù)特點相適應(yīng)的數(shù)據(jù)分類分級管理���;
��。ㄋ模┙(shù)據(jù)權(quán)限管理策略����,按照最小授權(quán)原則設(shè)置數(shù)據(jù)訪問權(quán)限,定期排查清理����,并對數(shù)據(jù)訪問記錄進(jìn)行留痕審計;
�。ㄎ澹(gòu)建數(shù)據(jù)質(zhì)量評估框架,建立質(zhì)量管控和追責(zé)機(jī)制��;
����。┓煞ㄒ(guī)及中國證監(jiān)會規(guī)定的其他事項。
第二十四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)處理重要數(shù)據(jù)��、核心數(shù)據(jù)的�����,應(yīng)當(dāng)依法明確數(shù)據(jù)安全負(fù)責(zé)人���,指定數(shù)據(jù)安全管理機(jī)構(gòu)或者部門�。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)處理重要數(shù)據(jù)的信息系統(tǒng)原則上應(yīng)當(dāng)滿足三級以上網(wǎng)絡(luò)安全等級保護(hù)要求����,處理核心數(shù)據(jù)的信息系統(tǒng)依照有關(guān)法律法規(guī)從嚴(yán)保護(hù)�����。
第二十五條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)綜合采取網(wǎng)絡(luò)隔離、用戶認(rèn)證���、訪問控制��、數(shù)據(jù)加密�、病毒防范�、非法入侵檢測和網(wǎng)絡(luò)安全態(tài)勢感知等技術(shù)手段,及時識別��、阻斷和溯源相關(guān)網(wǎng)絡(luò)攻擊��,保障數(shù)據(jù)安全��。
第二十六條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)遵循合法��、正當(dāng)����、必要和誠信原則處理投資者個人信息����,依法履行投資者個人信息保護(hù)義務(wù)��,包括但不限于下列要求:
�。ㄒ唬┦占瘋人信息,應(yīng)當(dāng)告知投資者個人信息處理的目的���、方式和范圍�����,并取得個人同意����;
���。ǘ┎扇”匾陌踩夹g(shù)措施存儲�����、傳輸個人信息��,防止個人信息泄露����、篡改、丟失����;
(三)合理確定個人信息使用策略和操作權(quán)限�,不得濫用個人信息�;
(四)處理證券期貨賬戶等敏感個人信息����、向他人提供或者公開個人信息的,應(yīng)當(dāng)取得個人的單獨同意�。
為履行法定職責(zé)、法定義務(wù)或者監(jiān)管要求所必需�����,核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)可以在未取得個人同意的情況下�,處理個人信息。
第二十七條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立信息發(fā)布審核機(jī)制�����,加強對本機(jī)構(gòu)和用戶發(fā)布信息的管理,發(fā)現(xiàn)違反法律法規(guī)和有關(guān)監(jiān)管規(guī)定的�����,應(yīng)當(dāng)立即停止發(fā)布傳輸����,采取必要的處置措施,防止信息擴(kuò)散����,積極消除負(fù)面影響,并及時向中國證監(jiān)會及其派出機(jī)構(gòu)報告�。
信息技術(shù)服務(wù)機(jī)構(gòu)為證券期貨業(yè)務(wù)活動提供產(chǎn)品或者服務(wù)的,應(yīng)當(dāng)按照前款規(guī)定執(zhí)行���。
第二十八條 任何機(jī)構(gòu)和個人不得違規(guī)開展證券期貨業(yè)重要信息系統(tǒng)認(rèn)證��、檢測���、風(fēng)險評估等活動,不得違規(guī)向社會發(fā)布證券期貨業(yè)系統(tǒng)漏洞�、計算機(jī)病毒、網(wǎng)絡(luò)攻擊����、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息����。
第二十九條 中國證監(jiān)會可以指定相關(guān)機(jī)構(gòu)建設(shè)證券期貨業(yè)戰(zhàn)略備份數(shù)據(jù)中心�����,開展行業(yè)數(shù)據(jù)的集中備份和管理工作��,持續(xù)提升證券期貨業(yè)重大災(zāi)難應(yīng)對能力���。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照規(guī)定及時向證券期貨業(yè)戰(zhàn)略數(shù)據(jù)備份中心報送數(shù)據(jù),報送的數(shù)據(jù)必須真實�、準(zhǔn)確、完整�����。
第四章 網(wǎng)絡(luò)安全應(yīng)急處置
第三十條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全風(fēng)險監(jiān)測預(yù)警機(jī)制����,加強日常監(jiān)測,定期開展漏洞掃描��、安全評估等工作。核心機(jī)構(gòu)���、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)發(fā)現(xiàn)網(wǎng)絡(luò)安全產(chǎn)品或者服務(wù)存在安全缺陷�����、系統(tǒng)漏洞等風(fēng)險隱患的��,應(yīng)當(dāng)及時核實并加固整改��;可能對證券期貨業(yè)網(wǎng)絡(luò)安全產(chǎn)生較大影響的��,應(yīng)當(dāng)向中國證監(jiān)會及其派出機(jī)構(gòu)報告���。
中國證監(jiān)會及其派出機(jī)構(gòu)可以就相關(guān)安全缺陷、系統(tǒng)漏洞等風(fēng)險隱患開展行業(yè)通報���,核心機(jī)構(gòu)����、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)及時排查并采取風(fēng)險防范措施��。
第三十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)根據(jù)業(yè)務(wù)影響分析情況,建立健全網(wǎng)絡(luò)安全應(yīng)急預(yù)案��,明確應(yīng)急目標(biāo)�����、應(yīng)急組織和處置流程�����,應(yīng)急場景應(yīng)當(dāng)覆蓋網(wǎng)絡(luò)安全事件和自然災(zāi)害突發(fā)�、重大人事變動、信息技術(shù)服務(wù)機(jī)構(gòu)退出等情形�����。
第三十二條 核心機(jī)構(gòu)應(yīng)當(dāng)組織與本機(jī)構(gòu)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施相關(guān)聯(lián)主體開展網(wǎng)絡(luò)安全應(yīng)急演練���,頻率不低于每年一次,并于演練后15個工作日內(nèi)將相關(guān)情況報告中國證監(jiān)會���。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)定期開展網(wǎng)絡(luò)安全應(yīng)急演練����,并形成應(yīng)急演練報告存檔備查�����。
第三十三條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全應(yīng)急處置機(jī)制,及時處置網(wǎng)絡(luò)安全事件��,盡快恢復(fù)信息系統(tǒng)的正常運行����,保護(hù)事件現(xiàn)場和相關(guān)證據(jù),向中國證監(jiān)會及其派出機(jī)構(gòu)進(jìn)行應(yīng)急報告����,不得瞞報、謊報����、遲報、漏報���。
信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)協(xié)助開展信息系統(tǒng)故障排查����、修復(fù)等工作����,并及時告知使用同類產(chǎn)品或者服務(wù)的核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)�����,配合開展風(fēng)險排查和整改工作。
第三十四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)在網(wǎng)絡(luò)安全事件應(yīng)急處置結(jié)束���、系統(tǒng)恢復(fù)正常運行后組織內(nèi)部調(diào)查���,認(rèn)定并追究事件責(zé)任,按照有關(guān)規(guī)定報告中國證監(jiān)會及其派出機(jī)構(gòu)�����。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)配合中國證監(jiān)會及其派出機(jī)構(gòu),對網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查處理,盡快完成整改�。
第三十五條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件的,應(yīng)當(dāng)及時通過官方網(wǎng)站����、自媒體等渠道公示相關(guān)方可以采取的替代方式或者其他應(yīng)急措施���,提示相關(guān)方防范和應(yīng)對可能出現(xiàn)的風(fēng)險��。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件���,損害投資者合法權(quán)益的,中國證監(jiān)會及其派出機(jī)構(gòu)可以要求其履行投資者告知義務(wù)�����。
第五章 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全
第三十六條 運營關(guān)鍵信息基礎(chǔ)設(shè)施的核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)(以下簡稱證券期貨業(yè)關(guān)基單位)應(yīng)當(dāng)按照法律法規(guī)及中國證監(jiān)會有關(guān)規(guī)定���,開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作,保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行���,維護(hù)數(shù)據(jù)的完整性���、保密性和可用性。
第三十七條 證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)情況納入網(wǎng)絡(luò)安全第一責(zé)任人�����、直接責(zé)任人和相關(guān)人員的責(zé)任考核機(jī)制��。
證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)指定專項工作領(lǐng)導(dǎo)機(jī)構(gòu)或者部門負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)����,配備至少五名網(wǎng)絡(luò)安全專職人員���,為每個關(guān)鍵信息基礎(chǔ)設(shè)施指定一名網(wǎng)絡(luò)安全管理責(zé)任人���,并明確崗位職責(zé)和分工����。網(wǎng)絡(luò)安全專職人員履職前,證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)依法開展安全背景審查,相關(guān)人員不適合崗位要求的����,應(yīng)當(dāng)及時調(diào)整。
第三十八條 證券期貨業(yè)關(guān)基單位對關(guān)鍵信息基礎(chǔ)設(shè)施實施運行變更或者下線移除����,可能對證券期貨市場安全平穩(wěn)運行產(chǎn)生較大影響的���,應(yīng)當(dāng)在遵守本辦法第十五條的前提下��,組織來自監(jiān)管部門、行業(yè)機(jī)構(gòu)、外部專業(yè)機(jī)構(gòu)的專家開展專項評審���;未通過評審的�,證券期貨業(yè)關(guān)基單位原則上不得實施運行變更���、下線移除等操作����。
證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施停止運營或者發(fā)生較大變化���,可能影響認(rèn)定結(jié)果的�,相關(guān)機(jī)構(gòu)應(yīng)當(dāng)及時將相關(guān)情況報告中國證監(jiān)會及其派出機(jī)構(gòu)。
第三十九條 證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估����,對發(fā)現(xiàn)的安全問題及時整改,網(wǎng)絡(luò)安全檢測和風(fēng)險評估的內(nèi)容包括但不限于:關(guān)鍵信息基礎(chǔ)設(shè)施的運行情況���、面臨的主要威脅���、風(fēng)險管理情況、應(yīng)急處置情況等�����。
第四十條 證券期貨業(yè)關(guān)基單位采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的,應(yīng)當(dāng)按照有關(guān)要求開展風(fēng)險預(yù)判工作���,評估投入使用后可能對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)����、金融安全和國家安全帶來的風(fēng)險隱患��,形成評估報告報送中國證監(jiān)會及其派出機(jī)構(gòu)�����,并依法開展網(wǎng)絡(luò)安全審查�。
第四十一條 證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)對關(guān)鍵信息基礎(chǔ)設(shè)施的安全運行進(jìn)行持續(xù)監(jiān)測,定期開展壓力測試�����,發(fā)現(xiàn)系統(tǒng)性能和網(wǎng)絡(luò)容量不足的���,應(yīng)當(dāng)及時采取系統(tǒng)升級���、擴(kuò)容等處置措施�,確保系統(tǒng)性能容量不低于歷史峰值的三倍����,網(wǎng)絡(luò)帶寬不得低于歷史峰值的兩倍。
第四十二條 證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)在符合本辦法第十八條規(guī)定的基礎(chǔ)上���,建設(shè)同城和異地災(zāi)難備份中心����,實現(xiàn)數(shù)據(jù)同步保存���。
證券期貨業(yè)關(guān)基單位采取雙活或者多活架構(gòu)部署關(guān)鍵信息基礎(chǔ)設(shè)施的���,確保業(yè)務(wù)連續(xù)運行能力不低于前款規(guī)定的前提下,任一數(shù)據(jù)中心可視為其他數(shù)據(jù)中心的災(zāi)難備份設(shè)施���。
第六章 網(wǎng)絡(luò)安全促進(jìn)與發(fā)展
第四十三條 鼓勵核心機(jī)構(gòu)�、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)在依法合規(guī)的前提下�,積極開展網(wǎng)絡(luò)安全技術(shù)應(yīng)用工作���,運用新技術(shù)提升網(wǎng)絡(luò)安全保障水平����。
第四十四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)組織開展行業(yè)信息基礎(chǔ)設(shè)施建設(shè)的����,應(yīng)當(dāng)在保障本機(jī)構(gòu)網(wǎng)絡(luò)安全的前提下�����,為行業(yè)統(tǒng)籌提供服務(wù)�,提升信息技術(shù)資源利用和服務(wù)水平�。
第四十五條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)參加資本市場金融科技創(chuàng)新機(jī)制的�,應(yīng)當(dāng)遵守有關(guān)規(guī)定�,在依法合規(guī)�����、風(fēng)險可控的前提下,有序開展金融科技創(chuàng)新與應(yīng)用�,借助新型信息技術(shù)手段��,提升本機(jī)構(gòu)證券期貨業(yè)務(wù)活動的運行質(zhì)量和效能�。
信息技術(shù)服務(wù)機(jī)構(gòu)參加資本市場金融科技創(chuàng)新機(jī)制的����,應(yīng)當(dāng)遵守有關(guān)規(guī)定,持續(xù)優(yōu)化技術(shù)服務(wù)水平�����,增強安全合規(guī)管理能力�。
第四十六條 核心機(jī)構(gòu)可以申請國家專業(yè)資質(zhì),開展證券期貨業(yè)網(wǎng)絡(luò)安全認(rèn)證�、檢測��、測試和風(fēng)險評估等工作��。相關(guān)核心機(jī)構(gòu)應(yīng)當(dāng)保障充足的資源投入�����,完善內(nèi)部管理制度和工作流程��,保證工作專業(yè)性���、獨立性和公信力。
中國證監(jiān)會定期對核心機(jī)構(gòu)前款工作開展情況開展評估��,評估通過的,可以將其作為證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管支撐單位����,相關(guān)工作開展情況可以作為中國證監(jiān)會及其派出機(jī)構(gòu)實施監(jiān)督管理的參考依據(jù)。
第四十七條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)加強網(wǎng)絡(luò)安全人才隊伍建設(shè)�,建立與網(wǎng)絡(luò)安全工作特點相適應(yīng)的人才培養(yǎng)機(jī)制���,確保網(wǎng)絡(luò)安全人才的資質(zhì)、經(jīng)驗���、專業(yè)素質(zhì)及職業(yè)道德符合崗位要求��。
行業(yè)協(xié)會應(yīng)當(dāng)制定網(wǎng)絡(luò)安全培訓(xùn)計劃��,定期組織培訓(xùn)交流�,提高證券期貨從業(yè)人員網(wǎng)絡(luò)安全意識和專業(yè)素養(yǎng)����。
第四十八條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)加強本機(jī)構(gòu)網(wǎng)絡(luò)安全宣傳與教育,每年至少開展一次網(wǎng)絡(luò)安全教育活動���,提升員工網(wǎng)絡(luò)安全意識����。
經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)定期組織開展面向投資者的網(wǎng)絡(luò)安全宣傳教育活動����,結(jié)合網(wǎng)上證券期貨業(yè)務(wù)活動的特點,揭示網(wǎng)絡(luò)安全風(fēng)險�����,增強投資者風(fēng)險防范能力。
第四十九條 行業(yè)協(xié)會應(yīng)當(dāng)鼓勵��、引導(dǎo)網(wǎng)絡(luò)安全技術(shù)創(chuàng)新與應(yīng)用,增強自主可控能力����,組織開展科技獎勵����,促進(jìn)行業(yè)科技進(jìn)步���。
行業(yè)協(xié)會應(yīng)當(dāng)引導(dǎo)信息技術(shù)服務(wù)機(jī)構(gòu)規(guī)范參與行業(yè)網(wǎng)絡(luò)安全和信息化工作���,促進(jìn)市場公平競爭。
第七章 監(jiān)督管理與法律責(zé)任
第五十條 中國證監(jiān)會及其派出機(jī)構(gòu)可以要求核心機(jī)構(gòu)��、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)提供證券期貨業(yè)網(wǎng)絡(luò)安全管理相關(guān)信息和數(shù)據(jù)�。相關(guān)機(jī)構(gòu)應(yīng)當(dāng)配合��,及時����、準(zhǔn)確、完整提供相關(guān)資料�����。
第五十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)于每年4月30日前�����,完成對上一年網(wǎng)絡(luò)安全工作的網(wǎng)絡(luò)安全專項評估�����,編制網(wǎng)絡(luò)安全管理年報�,報送中國證監(jiān)會及其派出機(jī)構(gòu)���,年報內(nèi)容包括但不限于網(wǎng)絡(luò)安全治理情況���、人員情況���、投入情況��、風(fēng)險情況����、處置情況和下一年度工作計劃等��。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)報送網(wǎng)絡(luò)安全管理年報時�,可以與中國證監(jiān)會要求的信息技術(shù)管理專項報告等其他年度信息技術(shù)類報告合并報送。
證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢測和風(fēng)險評估情況納入網(wǎng)絡(luò)安全管理年報��。
第五十二條 中國證監(jiān)會及其派出機(jī)構(gòu)可以委托國家�、行業(yè)有關(guān)專業(yè)機(jī)構(gòu)采用滲透測試、漏洞掃描及信息技術(shù)風(fēng)險評估等方式��,協(xié)助對核心機(jī)構(gòu)��、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)開展監(jiān)督��、檢查���。
第五十三條 中國證監(jiān)會可以根據(jù)國家有關(guān)要求或者行業(yè)工作需要����,組織開展證券期貨業(yè)重要時期網(wǎng)絡(luò)安全保障����。中國證監(jiān)會派出機(jī)構(gòu)負(fù)責(zé)督促本轄區(qū)經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)落實相關(guān)工作要求。
證券期貨業(yè)重要時期網(wǎng)絡(luò)安全保障期間����,核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)遵循安全優(yōu)先的原則,加強安全生產(chǎn)值守工作���,嚴(yán)格落實信息報送要求�,原則上不得對重要信息系統(tǒng)和門戶網(wǎng)站開展運行變更����、下線刪除等操作。
第五十四條 核心機(jī)構(gòu)違反本辦法規(guī)定的�����,中國證監(jiān)會可以對其采取監(jiān)管談話�����、責(zé)令限期整改等監(jiān)管措施;對有關(guān)高級管理人員給予警告�����、記過��、誡勉談話����、通報批評、撤職等行政處分���,并責(zé)令核心機(jī)構(gòu)對其他責(zé)任人給予紀(jì)律處分���。
經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)違反本辦法規(guī)定的,中國證監(jiān)會及其派出機(jī)構(gòu)可以對其采取責(zé)令改正��、監(jiān)管談話�、出具警示函等監(jiān)管措施;對直接責(zé)任人和其他責(zé)任人員采取責(zé)令改正�����、監(jiān)管談話、出具警示函等監(jiān)管措施����;情節(jié)嚴(yán)重的,對相關(guān)機(jī)構(gòu)及責(zé)任人員單處或者并處警告���、十萬元以下罰款,涉及金融安全且有危害后果的����,并處二十萬元以下罰款。
第五十五條 經(jīng)營機(jī)構(gòu)違反本辦法規(guī)定��,反映機(jī)構(gòu)治理混亂����、內(nèi)控失效或者不符合持續(xù)性經(jīng)營規(guī)則的,中國證監(jiān)會及其派出機(jī)構(gòu)可以依照《證券公司監(jiān)督管理條例》第七十條���、《證券投資基金法》第二十四條、《期貨交易管理條例》規(guī)定����,采取責(zé)令暫停借助網(wǎng)絡(luò)開展部分業(yè)務(wù)或者全部業(yè)務(wù)、責(zé)令更換董事��、監(jiān)事、高級管理人員或者限制其權(quán)利等監(jiān)管措施�。
信息技術(shù)服務(wù)機(jī)構(gòu)違反本辦法規(guī)定�,未履行備案義務(wù)的����,中國證監(jiān)會及其派出機(jī)構(gòu)可以依照《證券法》第二百一十三條規(guī)定予以處罰�����。
第五十六條 核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)違反本辦法第九條��、第十條、第十七條���、第十八條、第二十三條����、第二十五條�����、第三十條、第三十一條、第三十三條規(guī)定����,未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)�,或者應(yīng)急管理存在重大過失的��,中國證監(jiān)會及其派出機(jī)構(gòu)可以依據(jù)《網(wǎng)絡(luò)安全法》第五十九條第一款規(guī)定予以處罰。
第五十七條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)違反本辦法第十六條�、第三十五條規(guī)定����,擅自暫�;蛘呓K止借助網(wǎng)絡(luò)向投資者提供服務(wù)的�����,或者未按照規(guī)定及時告知投資者,中國證監(jiān)會及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》第六十條規(guī)定予以處罰���。
第五十八條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)違反本辦法第二十六條規(guī)定�,違規(guī)處理個人信息���,或者處理個人信息未履行個人信息保護(hù)義務(wù)的�,中國證監(jiān)會及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》第六十四條���、《個人信息保護(hù)法》第六十六條規(guī)定予以處罰。
第五十九條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)違反本辦法第二十七條規(guī)定的���,對法律法規(guī)禁止發(fā)布或者傳輸?shù)男畔⑽赐V箓鬏�����、采取消除等處置措施�����、保存有關(guān)記錄的�,中國證監(jiān)會及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》第六十八條第一款��、第六十九條規(guī)定予以處罰。
第六十條 核心機(jī)構(gòu)�����、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)拒絕���、阻礙中國證監(jiān)會及其派出機(jī)構(gòu)行使監(jiān)督檢查��、調(diào)查職權(quán)的���,中國證監(jiān)會及其派出機(jī)構(gòu)可以依法予以處罰���。
第六十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)參加資本市場金融科技創(chuàng)新機(jī)制或者信息技術(shù)應(yīng)用創(chuàng)新機(jī)制,相關(guān)項目發(fā)生網(wǎng)絡(luò)安全事件���,相關(guān)機(jī)構(gòu)處置得當(dāng)����,積極消除不良影響的�����,中國證監(jiān)會及其派出機(jī)構(gòu)可以予以從輕或者減輕處罰,未對證券期貨市場產(chǎn)生不良影響的����,可以免于處罰。
第八章 附則
第六十二條 本辦法中下列用語的含義:
�����。ㄒ唬┖诵臋C(jī)構(gòu),是指證券期貨交易場所��、證券登記結(jié)算機(jī)構(gòu)����、期貨保證金安全存管監(jiān)控機(jī)構(gòu)等承擔(dān)證券期貨市場公共職能���、承擔(dān)證券期貨業(yè)信息基礎(chǔ)設(shè)施運營的機(jī)構(gòu)及其下屬機(jī)構(gòu)�。
���。ǘ┙(jīng)營機(jī)構(gòu)�,是指證券公司����、期貨公司和基金管理公司等證券期貨經(jīng)營機(jī)構(gòu)。
���。ㄈ┬畔⒓夹g(shù)服務(wù)機(jī)構(gòu)��,是指為證券期貨業(yè)務(wù)活動提供重要信息系統(tǒng)的開發(fā)�����、測試、集成�、測評��、運維及日常安全管理等產(chǎn)品或者服務(wù)的機(jī)構(gòu)。
���。ㄋ模┳C券期貨業(yè)網(wǎng)絡(luò)安全,是指核心機(jī)構(gòu)���、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)采取必要措施,對內(nèi)外部網(wǎng)絡(luò)攻擊�、入侵���、干擾和破壞進(jìn)行有效識別���、監(jiān)測、防范和處置�����,保障承載證券期貨業(yè)務(wù)活動的信息系統(tǒng)安全平穩(wěn)運行,確保相關(guān)網(wǎng)絡(luò)數(shù)據(jù)的完整性���、保密性和可用性�。
����。ㄎ澹┲匾獢(shù)據(jù)�、核心數(shù)據(jù)��,是指按照《數(shù)據(jù)安全法》���、國家和證券期貨業(yè)有關(guān)數(shù)據(jù)分類分級保護(hù)制度���,確定的重要數(shù)據(jù)、核心數(shù)據(jù)�����。
(六)雙活或者多活架構(gòu)����,是指在同城或者異地的兩個或者多個數(shù)據(jù)中心同時對外提供服務(wù)���,當(dāng)其中一個或者多個數(shù)據(jù)中心發(fā)生災(zāi)難性事故時����,可以將原先由其承載的服務(wù)請求劃撥至其他正常運作的數(shù)據(jù)中心��,保障業(yè)務(wù)連續(xù)運行��。
��。ㄆ撸┮陨���,是指本數(shù)以上(含本數(shù))�。
第六十三條 本辦法規(guī)定的核心機(jī)構(gòu)��、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)相關(guān)報告事項�,是指依照監(jiān)管職責(zé),核心機(jī)構(gòu)應(yīng)當(dāng)向中國證監(jiān)會報告���;除中國證監(jiān)會另有要求的��,經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)原則上應(yīng)當(dāng)向?qū)俚刂袊C監(jiān)會派出機(jī)構(gòu)報告���。
第六十四條 國家對存儲��、處理涉及國家秘密信息的網(wǎng)絡(luò)安全管理另有規(guī)定的����,從其規(guī)定�����。
第六十五條 境內(nèi)開展證券公司客戶交易結(jié)算資金第三方存管業(yè)務(wù)����、期貨保證金存管業(yè)務(wù)的商業(yè)銀行���,證券投資咨詢機(jī)構(gòu)���,基金托管機(jī)構(gòu)和從事基金銷售支付、份額登記�����、估值��、評價等基金服務(wù)業(yè)務(wù)的機(jī)構(gòu)���,借助信息系統(tǒng)從事證券期貨業(yè)務(wù)活動的經(jīng)營機(jī)構(gòu)子公司���,借助自身運維管理的信息系統(tǒng)從事證券投資活動且存續(xù)產(chǎn)品涉及投資者人數(shù)合計一千人以上的私募證券投資基金管理人���,區(qū)域性股權(quán)市場運營機(jī)構(gòu),應(yīng)當(dāng)根據(jù)相關(guān)信息系統(tǒng)網(wǎng)絡(luò)安全管理的特點����,參照適用本辦法。
第六十六條 本辦法自2022 年 月 日起施行����。2012年11月1日公布的《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)會令第82號)同時廢止。
《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)》起草說明
為建立健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系����,防范化解行業(yè)網(wǎng)絡(luò)安全風(fēng)險隱患,維護(hù)資本市場安全平穩(wěn)高效運行�����,在充分銜接上位要求�����、總結(jié)監(jiān)管實踐的基礎(chǔ)上,證監(jiān)會研究起草了《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)》(以下簡稱《辦法》)��,F(xiàn)說明如下:
一��、起草背景
近年來����,證券期貨業(yè)機(jī)構(gòu)對網(wǎng)絡(luò)安全的重視程度大幅提升��,組織架構(gòu)和制度體系持續(xù)優(yōu)化��,信息技術(shù)投入逐年增加����,行業(yè)網(wǎng)絡(luò)安全運行態(tài)勢總體平穩(wěn)��。但是����,隨著行業(yè)數(shù)字化加速發(fā)展����、網(wǎng)絡(luò)安全上升為國家戰(zhàn)略�、資本市場持續(xù)深化改革等內(nèi)外部條件的變化���,證券期貨業(yè)網(wǎng)絡(luò)安全面臨的新情況新問題逐漸凸顯,主要體現(xiàn)在以下方面:
��。ㄒ唬┬袠I(yè)網(wǎng)絡(luò)安全形勢嚴(yán)峻復(fù)雜����。一是隨著大數(shù)據(jù)��、云計算�����、區(qū)塊鏈和人工智能等新技術(shù)應(yīng)用的不斷深入�,證券期貨業(yè)務(wù)與技術(shù)加速融合,各類業(yè)務(wù)活動日益依賴網(wǎng)絡(luò)安全和信息化�,增加了網(wǎng)絡(luò)安全管理的復(fù)雜度�。二是隨著行業(yè)機(jī)構(gòu)數(shù)字化轉(zhuǎn)型的提速,信息系統(tǒng)建設(shè)任務(wù)明顯增加��,上線變更操作較為頻繁�,行業(yè)網(wǎng)絡(luò)安全管理能力面臨更大挑戰(zhàn)。
�。ǘ┓煞ㄒ(guī)的上位要求有待進(jìn)一步落實����!毒W(wǎng)絡(luò)安全法》于2017年6月正式施行�����,2021年下半年以來��,《數(shù)據(jù)安全法》《個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)密集發(fā)布實施��,我國網(wǎng)絡(luò)安全法律體系進(jìn)一步健全,新型網(wǎng)絡(luò)安全管理框架基本成型�����。對此����,證監(jiān)會雖于2012年以來發(fā)布《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)會令82號)《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》(證監(jiān)會令152號)等監(jiān)管規(guī)則,但是由于制定時間較早����、監(jiān)管實踐變化等原因,相關(guān)監(jiān)管規(guī)則在有效銜接上位要求方面有待進(jìn)一步完善����。
(三)監(jiān)管實踐成果制度化還需加強�����。2020年以來����,證監(jiān)會穩(wěn)步推動科技監(jiān)管深化改革�����,監(jiān)管體制機(jī)制不斷優(yōu)化���,信息技術(shù)服務(wù)機(jī)構(gòu)備案管理�����、資本市場金融科技創(chuàng)新試點等工作全面展開�����,與相關(guān)部委進(jìn)一步形成監(jiān)管合力�,溝通協(xié)作更加順暢�,需要及時總結(jié)實踐經(jīng)驗,將改革成果制度化機(jī)制化�����。
基于上述新情況新問題�����,亟需進(jìn)一步健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系,制定專門的行業(yè)網(wǎng)絡(luò)安全管理相關(guān)的部門規(guī)章��,補齊制度供給短板�����,構(gòu)建證券期貨業(yè)網(wǎng)絡(luò)安全管理的體系框架��,提升行業(yè)網(wǎng)絡(luò)安全保障能力��。
二��、起草思路
�����。ㄒ唬┞鋵嵣衔灰���,汲取實踐經(jīng)驗�����!掇k法》聚焦網(wǎng)絡(luò)安全管理,強化數(shù)據(jù)安全和個人信息保護(hù)����,結(jié)合證券期貨業(yè)特點,為《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)在證券期貨業(yè)的有效落地����,明確實施路徑,提供制度保障�����。同時�,總結(jié)行業(yè)近年來監(jiān)管工作成效,將實踐經(jīng)驗轉(zhuǎn)化為制度成果��,固化工作機(jī)制��。
�����。ǘ└采w各類主體����,厘清權(quán)責(zé)邊界�����。一方面,充分考慮證券期貨業(yè)各類主體的責(zé)任義務(wù)和業(yè)務(wù)特點�,對證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營單位、核心機(jī)構(gòu)����、經(jīng)營機(jī)構(gòu)以及信息技術(shù)服務(wù)機(jī)構(gòu),從網(wǎng)絡(luò)安全管理方面分別提出監(jiān)管要求���。另一方面��,理清職責(zé)分工����,對各方監(jiān)管部門�����、自律組織的網(wǎng)絡(luò)安全監(jiān)管職責(zé)做出明確規(guī)定�����。
�。ㄈ﹪(yán)守安全底線���,促進(jìn)科技發(fā)展�������!掇k法》以保障安全為基本原則����,從建設(shè)��、運維��、使用網(wǎng)絡(luò)及信息系統(tǒng)��,到識別�、監(jiān)測���、防范�、處置風(fēng)險等方面�,構(gòu)建了完整的網(wǎng)絡(luò)安全監(jiān)管框架,對行業(yè)機(jī)構(gòu)提出全方位的網(wǎng)絡(luò)安全管理要求�。在此基礎(chǔ)上,《辦法》還注重通過發(fā)展解決問題��,通過技術(shù)架構(gòu)的升級優(yōu)化���,提升安全保障能力,并在信息基礎(chǔ)設(shè)施建設(shè)���、金融科技創(chuàng)新等方面做出了制度安排。
三��、主要內(nèi)容
《辦法》共八章六十六條�����,對證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理體系����、網(wǎng)絡(luò)安全運行、數(shù)據(jù)安全統(tǒng)籌管理、網(wǎng)絡(luò)安全應(yīng)急處置�、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全促進(jìn)與發(fā)展�����、監(jiān)督管理與法律責(zé)任等方面提出了要求����。具體包括:
�����。ㄒ唬┛倓t��。規(guī)定立法宗旨�、適用范圍、適用主體���、工作目標(biāo)及監(jiān)管職責(zé)�����,厘清核心機(jī)構(gòu)���、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)等行業(yè)機(jī)構(gòu)的責(zé)任邊界�。
���。ǘ┚W(wǎng)絡(luò)安全運行。督促行業(yè)機(jī)構(gòu)建立健全網(wǎng)絡(luò)安全管理體制機(jī)制����,提升網(wǎng)絡(luò)安全運行保障能力��。一是要求核心機(jī)構(gòu)�、經(jīng)營機(jī)構(gòu)具有完善的治理架構(gòu),強化管理層責(zé)任�����,指定牽頭部門�����,保障資源投入�����。二是對核心機(jī)構(gòu)��、經(jīng)營機(jī)構(gòu)的信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施提出基本要求�����,明確等級保護(hù)義務(wù)����。三是要求核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)審慎開展系統(tǒng)新建���、變更和移除���,及時履行投資者告知義務(wù),加強日常監(jiān)測���。四是對核心機(jī)構(gòu)���、經(jīng)營機(jī)構(gòu)明確信息系統(tǒng)備份能力有關(guān)要求,提出壓力測試常態(tài)化要求�。五是從制度體系、人員配備����、合規(guī)安全等方面,對信息技術(shù)服務(wù)機(jī)構(gòu)提出監(jiān)管要求�。六是強化核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)采購產(chǎn)品和服務(wù)的準(zhǔn)入���、評估、改進(jìn)要求�����,提升自主研發(fā)和安全可控能力�,加強知識產(chǎn)權(quán)保護(hù)。
�。ㄈ⿺(shù)據(jù)安全統(tǒng)籌管理���。一是從制度機(jī)制�����、組織架構(gòu)�、行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)、權(quán)限管理�、質(zhì)量評估��、防范泄露損毀等方面�,明確證券期貨業(yè)的具體要求���。二是配套上位要求�����,對數(shù)據(jù)分類分級���、個人信息保護(hù)�����、規(guī)范信息發(fā)布等方面作進(jìn)一步強調(diào)。三是為建立證券期貨業(yè)戰(zhàn)略備份數(shù)據(jù)中心預(yù)留制度空間��,提升行業(yè)極限災(zāi)難應(yīng)對能力�。
�。ㄋ模┚W(wǎng)絡(luò)安全應(yīng)急處置。一是建立風(fēng)險監(jiān)測預(yù)警體制����,加強日常漏洞掃描、安全評估�,及時消除風(fēng)險隱患。二是完善應(yīng)急預(yù)案的應(yīng)急場景和處置流程��,要求定期開展應(yīng)急演練��。三是強化網(wǎng)絡(luò)安全事件報告和調(diào)查處理工作�����,明確故障排查�����、相關(guān)方告知等工作要求。
��。ㄎ澹╆P(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全��。落實國家關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)要求�,結(jié)合行業(yè)特點���,從組織保障���、建設(shè)評審、變化報告���、檢測評估�、采購管理����、性能容量�����、災(zāi)難備份等方面���,對關(guān)鍵信息基礎(chǔ)設(shè)施運營單位提出進(jìn)一步的督導(dǎo)要求。
����。┚W(wǎng)絡(luò)安全促進(jìn)與發(fā)展。一是鼓勵相關(guān)機(jī)構(gòu)在依法合規(guī)�����、風(fēng)險可控�、不損害投資者利益的前提下,開展行業(yè)網(wǎng)絡(luò)安全技術(shù)應(yīng)用��。二是核心機(jī)構(gòu)����、經(jīng)營機(jī)構(gòu)可以在保障自身信息系統(tǒng)安全的前提下����,為行業(yè)提供信息基礎(chǔ)設(shè)施服務(wù)。三是建立金融科技創(chuàng)新監(jiān)管機(jī)制�����,加強網(wǎng)絡(luò)安全監(jiān)管專業(yè)支撐����,核心機(jī)構(gòu)可以申請國家相關(guān)專業(yè)資質(zhì)����,開展行業(yè)網(wǎng)絡(luò)安全認(rèn)證���、檢測���、測試和風(fēng)險評估等工作�����。四是強化行業(yè)網(wǎng)絡(luò)安全人才隊伍建設(shè)�����,定期開展網(wǎng)絡(luò)安全宣傳與教育�����。五是發(fā)揮行業(yè)協(xié)會作用��,引導(dǎo)網(wǎng)絡(luò)安全技術(shù)創(chuàng)新與應(yīng)用�����,組織科技獎勵���,促進(jìn)行業(yè)科技進(jìn)步、市場公平競爭��。
�。ㄆ撸┍O(jiān)督管理與法律責(zé)任。一是規(guī)定行業(yè)機(jī)構(gòu)的報告義務(wù)和流程要求���。二是明確證監(jiān)會及其派出機(jī)構(gòu)可以委托專業(yè)機(jī)構(gòu)采用滲透測試�、漏洞掃描和風(fēng)險評估等方式對行業(yè)機(jī)構(gòu)開展監(jiān)督檢查�����。三是對重要時期的網(wǎng)絡(luò)安全保障工作明確制度安排���。四是依據(jù)上位要求,結(jié)合違法違規(guī)的具體情形����,規(guī)定相應(yīng)罰則�,并規(guī)定創(chuàng)新容錯相關(guān)制度安排。
此外��,《辦法》還明確了名詞釋義�、參照執(zhí)行主體和情境、實施時間以及相關(guān)辦法銜接等事項��。
日期:2022-5-3 11:19:31 | 關(guān)閉 |
