为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券期货业网络和信息安全管理办法》(以下简称《办法》)。
2022年4月29日至2022年5月29日,证监会就《办法》草案向社会公开征求意见。总体看,各方对《办法》草案的起草思路、主要内容认可度较高。经认真研究,证监会对其中部分意见予以吸收采纳。
《办法》聚焦网络和信息安全领域,在总结实践经验的基础上,为上位法在证券期货行业的落地实施明确了路径。《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求,主要内容包括:网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。
《办法》将于2023年5月1日起正式实施。证监会将组织开展相关专项培训,持续做好督导落实。《办法》规定的参照适用主体无需报送《办法》第五十九条规定的网络和信息安全管理年报。关于参照适用主体落实《办法》第二十条规定的数据备份义务,中国证监会将指导有关行业协会进一步细化有关要求。
以下主要内容:
《办法》共八章七十五条,对证券期货业网络和信息安全监督管理体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理与法律责任等方面提出了要求。具体包括:
(一)总则。规定立法宗旨、适用范围、适用主体、工作目标及监管职责,厘清核心机构、经营机构和信息技术系统服务机构等行业机构的责任边界。
(二)网络和信息安全运行。督促行业机构建立健全网络和信息安全管理体制机制,提升安全运行保障能力。
一是要求核心机构、经营机构具有完善的治理架构,强化管理层责任,指定或设立牵头部门,保障资源投入。
二是对核心机构、经营机构的信息系统和相关基础设施提出基本要求,明确等级保护义务。
三是要求核心机构、经营机构审慎开展系统新建、变更和移除,充分评估技术和业务风险,保证充分测试,及时履行投资者告知义务,加强网络和信息安全日常监测。
四是要求核心机构、经营机构建立网络和信息安全防护体系,明确数据备份、信息系统备份有关要求,常态化开展压力测试。
五是强化核心机构、经营机构对供应商的管理,督促信息技术系统服务机构履行备案义务,提升自主研发和安全可控能力,加强知识产权保护。
六是明确安全信息发布和行业数据备份中心相关要求。
(三)投资者个人信息保护。
一是明确核心机构和经营机构处理投资者个人信息的基本原则,要求建立健全投资者个人信息保护体系和管理机制,履行保护义务。
二是明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求。
三是提出核心机构和经营机构在网络安全防护边界外处理投资者个人信息的技术要求,防范化解信息泄露风险。四是对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。
(四)网络和信息安全应急处置。
一是建立风险监测预警体制,加强日常漏洞扫描、安全评估,及时消除风险隐患。
二是完善应急预案的应急场景和处置流程,要求定期开展应急演练。
三是强化网络安全事件报告和调查处理工作,明确故障排查、相关方告知等工作要求。
(五)关键信息基础设施安全保护。落实国家关于关键信息基础设施的安全保护要求,结合行业特点,从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面,对关键信息基础设施运营者提出进一步的督导要求。
(六)网络和信息安全促进与发展。
一是鼓励相关机构在依法合规、风险可控、不损害投资者利益的前提下,开展行业网络和信息安全技术应用。
二是核心机构、经营机构可以在保障自身信息系统安全的前提下,为行业提供信息基础设施服务。
三是建立金融科技创新监管机制,加强网络和信息安全监管专业支撑,核心机构可以申请国家相关专业资质,开展行业网络和信息安全相关认证、检测、测试和风险评估等工作。
四是强化行业人才队伍建设,定期开展网络和信息安全宣传与教育。
五是发挥行业协会作用,引导技术创新与应用,组织科技奖励,促进行业科技进步、市场公平竞争。
(七)监督管理与法律责任。
一是规定行业机构的报告义务和流程要求。
二是建立健全行业网络和信息安全态势感知工作机制,开展风险隐患行业通报。
三是明确证监会及其派出机构可以委托专业机构采用渗透测试、漏洞扫描和风险评估等方式对行业机构开展监督检查。
四是对重要时期的网络和信息安全保障工作明确制度安排。
五是依据上位要求,结合违法违规的具体情形,规定相应罚则,并规定创新容错相关制度安排。
此外,《办法》还明确了名词释义、参照执行主体和情境。《办法》施行后,证监会此前发布的《证券期货业信息安全保障管理办法》同时废止。
本文摘编自证监会发布的《证券期货业网络和信息安全管理办法》及立法说明,全文下载:
证券期货业网络和信息安全管理办法
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
证券期货业相关内容推荐:
证监会发布七项金融行业标准 围绕证券期货业的数据安全管理与保护 (附下载)
数据已成为证券期货业的重要资产和核心竞争力,充分发挥数据价值,用数据驱动创新,在数据应用得到不断发展的同时,数据安全问题也日益受到重视。