Law-lib.com 2022-5-3 11:19:31 中國證監會
為建立健全證券期貨業網絡安全監管制度體系,防范化解行業網絡安全風險隱患,維護資本市場安全平穩高效運行,我會起草了《證券期貨業網絡安全管理辦法(征求意見稿)》,現向社會公開征求意見。公眾可通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部 中國政府法制信息網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁主菜單的“立法意見征集”欄目提出意見。
2.登錄中國證監會網站(www.csrc.gov.cn),進入首頁右側點擊“公開征求意見”欄目提出意見。
3.傳真:010-88061444
4.電子郵箱:kejiju@csrc.gov.cn
5.通信地址:北京市西城區金融大街富凱大廈中國證監會科技監管局,郵政編碼:100033。
意見反饋截止時間為2022年5月29日。
中國證監會
2022年4月29日
證券期貨業網絡安全管理辦法(征求意見稿)
第一章 總則
第一條 為了保障證券期貨業網絡安全,保護投資者合法權益,促進證券期貨業穩定健康發展,根據《證券法》、《證券投資基金法》、《網絡安全法》、《數據安全法》、《個人信息保護法》、《期貨交易管理條例》、《關鍵信息基礎設施安全保護條例》等法律法規,制定本辦法。
第二條 核心機構和經營機構在中華人民共和國境內建設、運營、維護和使用網絡及信息系統,信息技術服務機構為證券期貨業務活動提供產品或者服務的網絡安全保障,以及證券期貨業網絡安全的監督管理,適用本辦法。
第三條 核心機構和經營機構應當遵循保障安全、促進發展的原則,建立健全網絡安全防護體系,提升網絡安全保障水平,確保網絡安全與信息化工作同步推進,促進本機構相關工作穩妥健康發展。
信息技術服務機構應當遵循技術安全、功能合規的原則,為證券期貨業務活動提供產品或者服務,與核心機構、經營機構共同保障行業網絡安全,促進行業信息化發展。
第四條 核心機構和經營機構應當依法履行網絡安全保護義務,對本機構網絡安全負責,相關責任不因其他機構提供產品或者服務進行轉移或者減輕。
信息技術服務機構應當勤勉盡責,對提供產品或者服務的合規性、安全性承擔責任。
第五條 中國證監會依法履行以下監督管理職責:
(一)組織制定并推動落實證券期貨業網絡安全和信息化發展規劃、監管規則和行業標準;
(二)負責證券期貨業網絡安全的監督管理,對證券期貨業關鍵信息基礎設施進行監管;
(三)負責證券期貨業網絡安全重大技術路線、重大科技項目管理;
(四)組織開展證券期貨業數據安全統籌管理;
(五)負責證券期貨業網絡安全應急演練、應急處置和事件報告與調查處理;
(六)指導證券期貨業網絡安全促進與發展;
(七)法律法規規定的其他網絡安全監管職責。
第六條 中國證監會建立集中管理、分級負責的證券期貨業網絡安全監督管理體制。中國證監會科技監管部門統一對證券期貨業網絡安全實施監督管理。中國證監會其他部門配合開展相關工作。
中國證監會派出機構對本轄區經營機構和信息技術服務機構網絡安全實施監督管理。
中證信息技術服務有限責任公司在中國證監會指導下,為證券期貨業網絡安全監督管理提供專業協助和支撐。
第七條 中國證券業協會、中國期貨業協會、中國證券投資基金業協會等行業協會(以下統稱行業協會)依法制定行業網絡安全自律規則,對經營機構網絡安全實施自律管理。
第八條 核心機構依法制定保障市場相關主體與本機構信息系統安全互聯的技術規則,對與本機構信息系統和網絡通信設施相關聯主體加強指導,督促其強化網絡安全管理,保障相關信息系統和網絡通信設施的安全平穩運行。
第二章 網絡安全運行
第九條 核心機構和經營機構應當具有完善的信息技術治理架構,健全網絡安全管理制度體系,建立內部決策、管理、執行和監督機制,確保網絡安全管理能力與信息化發展水平相匹配。
信息技術服務機構應當建立網絡安全管理制度,配備相應的安全、合規管理人員,建立與提供產品或者服務相適應的網絡安全管理機制。
第十條 核心機構和經營機構應當明確主要負責人為本機構網絡安全第一責任人,分管科技工作的負責人為直接責任人。
核心機構和經營機構應當建立網絡安全工作協調和決策機制,保障網絡安全第一責任人和直接責任人履行職責。
第十一條 核心機構和經營機構應當指定網絡安全工作牽頭部門或者機構,負責管理重要信息系統和相關基礎設施、制定網絡安全應急預案、組織應急演練、認定網絡安全關鍵崗位等工作。
第十二條 核心機構和經營機構應當配備網絡安全專職人員,保障技術人員數量和資金投入與業務活動規模及復雜程度相適應,網絡安全專職人員應當具備與履行職責相匹配的專業知識和職業技能。
第十三條 核心機構和經營機構應當確保信息系統和相關基礎設施具備合理的架構,足夠的性能、容量、可靠性、擴展性和安全性,并保證相關安全技術措施與信息化工作同步規劃、同步建設、同步使用。信息系統的性能容量不得低于歷史峰值的兩倍。
第十四條 核心機構和經營機構應當落實網絡安全等級保護制度,依法履行網絡安全等級保護義務,按照國家和證券期貨業定級標準和定級要求,向公安機關辦理備案和變更。
核心機構和經營機構應當按照相關要求,將網絡安全等級保護定級、變更和日常工作開展情況及時報告中國證監會及其派出機構。
第十五條 核心機構和經營機構新建上線、運行變更、下線移除重要信息系統的,應當進行風險評估并開展充分測試,制定應急處置和回退方案;可能對證券期貨市場安全平穩運行產生較大影響的,應當提前向中國證監會及其派出機構報告。
第十六條 核心機構和經營機構暫停或者終止借助網絡向投資者提供服務前,應當履行告知義務,合理選取公告、定向通知等方式告知投資者相關業務影響情況、替代方式及其他應對措施。
第十七條 核心機構和經營機構應當建立健全網絡安全監測預警機制,設定監測指標,持續監測信息系統和相關基礎設施的運行狀況,及時處置異常情形,對監測機制執行效果進行定期評估并持續優化。
核心機構和經營機構應當全面、準確記錄并妥善保存生產運營過程中的業務日志和系統日志,確保滿足故障分析、內部控制、調查取證等工作的需要。業務日志保存期限不得少于二十年,系統日志保存期限不得少于六個月。
第十八條 核心機構和經營機構應當建立同城和異地數據備份設施,至少每天備份數據一次,每季度至少對數據備份進行一次有效性驗證。
核心機構和經營機構應當建立信息系統的故障備份設施和災難備份設施,根據信息系統的重要程度和影響范圍,確定恢復目標,保證業務活動連續。災難備份設施應當通過同城或者異地災難備份中心的形式體現。
核心機構和經營機構采取雙活或者多活架構部署重要信息系統的,確保業務連續運行能力不低于前款規定的前提下,任一數據中心可以視為其他數據中心的災難備份設施。
第十九條 核心機構和經營機構應當至少每半年開展一次重要信息系統壓力測試,根據系統技術特點和承載業務類型,制定壓力測試方案,設定測試場景,從系統處理能力、網絡冗余、災備建設等方面設置測試指標,有序組織測試工作,測試完成后形成壓力測試報告存檔備查。
核心機構和經營機構應當按照有關要求,參加中國證監會組織開展的全行業重要信息系統壓力測試,并根據測試情況及時整改;暫時無法整改的,應當制定切實可行的整改計劃。
第二十條 信息技術服務機構應當依法向中國證監會備案,并按照有關業務規則為證券期貨業務活動提供信息技術產品或者服務。
核心機構和經營機構應當建立健全內部管理機制,完善信息技術產品和服務準入標準,審慎采購并持續評估相關產品和服務的質量,加強保密管理,及時改進風險管理措施,健全應急處置機制,保障本機構網絡安全和相關業務的安全平穩運行。
第二十一條 核心機構和經營機構應當加強自主研發能力建設,持續提升自主可控能力,并按照國家及中國證監會有關要求開展信息技術應用創新相關工作。
第二十二條 核心機構和經營機構應當按照知識產權相關法律法規,制定知識產權保護策略和制度,采取有效措施保護本機構自主知識產權,不侵犯他人的知識產權。
第三章 數據安全統籌管理
第二十三條 核心機構和經營機構應當履行數據安全管理責任,包括但不限于以下方面:
(一)建立健全數據安全管理制度體系,完善數據運營和管控機制;
(二)健全數據安全管理組織架構,明確數據安全管理權責機制;
(三)依據行業相關數據標準,制定覆蓋本機構全部業務數據的相關標準,實施與業務特點相適應的數據分類分級管理;
(四)建立數據權限管理策略,按照最小授權原則設置數據訪問權限,定期排查清理,并對數據訪問記錄進行留痕審計;
(五)構建數據質量評估框架,建立質量管控和追責機制;
(六)法律法規及中國證監會規定的其他事項。
第二十四條 核心機構和經營機構處理重要數據、核心數據的,應當依法明確數據安全負責人,指定數據安全管理機構或者部門。
核心機構和經營機構處理重要數據的信息系統原則上應當滿足三級以上網絡安全等級保護要求,處理核心數據的信息系統依照有關法律法規從嚴保護。
第二十五條 核心機構和經營機構應當綜合采取網絡隔離、用戶認證、訪問控制、數據加密、病毒防范、非法入侵檢測和網絡安全態勢感知等技術手段,及時識別、阻斷和溯源相關網絡攻擊,保障數據安全。
第二十六條 核心機構和經營機構應當遵循合法、正當、必要和誠信原則處理投資者個人信息,依法履行投資者個人信息保護義務,包括但不限于下列要求:
(一)收集個人信息,應當告知投資者個人信息處理的目的、方式和范圍,并取得個人同意;
(二)采取必要的安全技術措施存儲、傳輸個人信息,防止個人信息泄露、篡改、丟失;
(三)合理確定個人信息使用策略和操作權限,不得濫用個人信息;
(四)處理證券期貨賬戶等敏感個人信息、向他人提供或者公開個人信息的,應當取得個人的單獨同意。
為履行法定職責、法定義務或者監管要求所必需,核心機構和經營機構可以在未取得個人同意的情況下,處理個人信息。
第二十七條 核心機構和經營機構應當建立信息發布審核機制,加強對本機構和用戶發布信息的管理,發現違反法律法規和有關監管規定的,應當立即停止發布傳輸,采取必要的處置措施,防止信息擴散,積極消除負面影響,并及時向中國證監會及其派出機構報告。
信息技術服務機構為證券期貨業務活動提供產品或者服務的,應當按照前款規定執行。
第二十八條 任何機構和個人不得違規開展證券期貨業重要信息系統認證、檢測、風險評估等活動,不得違規向社會發布證券期貨業系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息。
第二十九條 中國證監會可以指定相關機構建設證券期貨業戰略備份數據中心,開展行業數據的集中備份和管理工作,持續提升證券期貨業重大災難應對能力。
核心機構和經營機構應當按照規定及時向證券期貨業戰略數據備份中心報送數據,報送的數據必須真實、準確、完整。
第四章 網絡安全應急處置
第三十條 核心機構和經營機構應當建立網絡安全風險監測預警機制,加強日常監測,定期開展漏洞掃描、安全評估等工作。核心機構、經營機構和信息技術服務機構發現網絡安全產品或者服務存在安全缺陷、系統漏洞等風險隱患的,應當及時核實并加固整改;可能對證券期貨業網絡安全產生較大影響的,應當向中國證監會及其派出機構報告。
中國證監會及其派出機構可以就相關安全缺陷、系統漏洞等風險隱患開展行業通報,核心機構、經營機構和信息技術服務機構應當及時排查并采取風險防范措施。
第三十一條 核心機構和經營機構應當根據業務影響分析情況,建立健全網絡安全應急預案,明確應急目標、應急組織和處置流程,應急場景應當覆蓋網絡安全事件和自然災害突發、重大人事變動、信息技術服務機構退出等情形。
第三十二條 核心機構應當組織與本機構信息系統和網絡通信設施相關聯主體開展網絡安全應急演練,頻率不低于每年一次,并于演練后15個工作日內將相關情況報告中國證監會。
核心機構和經營機構應當定期開展網絡安全應急演練,并形成應急演練報告存檔備查。
第三十三條 核心機構和經營機構應當建立網絡安全應急處置機制,及時處置網絡安全事件,盡快恢復信息系統的正常運行,保護事件現場和相關證據,向中國證監會及其派出機構進行應急報告,不得瞞報、謊報、遲報、漏報。
信息技術服務機構應當協助開展信息系統故障排查、修復等工作,并及時告知使用同類產品或者服務的核心機構和經營機構,配合開展風險排查和整改工作。
第三十四條 核心機構和經營機構應當在網絡安全事件應急處置結束、系統恢復正常運行后組織內部調查,認定并追究事件責任,按照有關規定報告中國證監會及其派出機構。
核心機構和經營機構應當配合中國證監會及其派出機構,對網絡安全事件進行調查處理,盡快完成整改。
第三十五條 核心機構和經營機構發生網絡安全事件的,應當及時通過官方網站、自媒體等渠道公示相關方可以采取的替代方式或者其他應急措施,提示相關方防范和應對可能出現的風險。
核心機構和經營機構發生網絡安全事件,損害投資者合法權益的,中國證監會及其派出機構可以要求其履行投資者告知義務。
第五章 關鍵信息基礎設施網絡安全
第三十六條 運營關鍵信息基礎設施的核心機構和經營機構(以下簡稱證券期貨業關基單位)應當按照法律法規及中國證監會有關規定,開展關鍵信息基礎設施安全保護工作,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。
第三十七條 證券期貨業關基單位應當將關鍵信息基礎設施安全保護情況納入網絡安全第一責任人、直接責任人和相關人員的責任考核機制。
證券期貨業關基單位應當指定專項工作領導機構或者部門負責關鍵信息基礎設施安全保護,配備至少五名網絡安全專職人員,為每個關鍵信息基礎設施指定一名網絡安全管理責任人,并明確崗位職責和分工。網絡安全專職人員履職前,證券期貨業關基單位應當依法開展安全背景審查,相關人員不適合崗位要求的,應當及時調整。
第三十八條 證券期貨業關基單位對關鍵信息基礎設施實施運行變更或者下線移除,可能對證券期貨市場安全平穩運行產生較大影響的,應當在遵守本辦法第十五條的前提下,組織來自監管部門、行業機構、外部專業機構的專家開展專項評審;未通過評審的,證券期貨業關基單位原則上不得實施運行變更、下線移除等操作。
證券期貨業關鍵信息基礎設施停止運營或者發生較大變化,可能影響認定結果的,相關機構應當及時將相關情況報告中國證監會及其派出機構。
第三十九條 證券期貨業關基單位應當每年至少進行一次網絡安全檢測和風險評估,對發現的安全問題及時整改,網絡安全檢測和風險評估的內容包括但不限于:關鍵信息基礎設施的運行情況、面臨的主要威脅、風險管理情況、應急處置情況等。
第四十條 證券期貨業關基單位采購網絡產品和服務的,應當按照有關要求開展風險預判工作,評估投入使用后可能對關鍵信息基礎設施安全保護、金融安全和國家安全帶來的風險隱患,形成評估報告報送中國證監會及其派出機構,并依法開展網絡安全審查。
第四十一條 證券期貨業關基單位應當對關鍵信息基礎設施的安全運行進行持續監測,定期開展壓力測試,發現系統性能和網絡容量不足的,應當及時采取系統升級、擴容等處置措施,確保系統性能容量不低于歷史峰值的三倍,網絡帶寬不得低于歷史峰值的兩倍。
第四十二條 證券期貨業關基單位應當在符合本辦法第十八條規定的基礎上,建設同城和異地災難備份中心,實現數據同步保存。
證券期貨業關基單位采取雙活或者多活架構部署關鍵信息基礎設施的,確保業務連續運行能力不低于前款規定的前提下,任一數據中心可視為其他數據中心的災難備份設施。
第六章 網絡安全促進與發展
第四十三條 鼓勵核心機構、經營機構和信息技術服務機構在依法合規的前提下,積極開展網絡安全技術應用工作,運用新技術提升網絡安全保障水平。
第四十四條 核心機構和經營機構組織開展行業信息基礎設施建設的,應當在保障本機構網絡安全的前提下,為行業統籌提供服務,提升信息技術資源利用和服務水平。
第四十五條 核心機構和經營機構參加資本市場金融科技創新機制的,應當遵守有關規定,在依法合規、風險可控的前提下,有序開展金融科技創新與應用,借助新型信息技術手段,提升本機構證券期貨業務活動的運行質量和效能。
信息技術服務機構參加資本市場金融科技創新機制的,應當遵守有關規定,持續優化技術服務水平,增強安全合規管理能力。
第四十六條 核心機構可以申請國家專業資質,開展證券期貨業網絡安全認證、檢測、測試和風險評估等工作。相關核心機構應當保障充足的資源投入,完善內部管理制度和工作流程,保證工作專業性、獨立性和公信力。
中國證監會定期對核心機構前款工作開展情況開展評估,評估通過的,可以將其作為證券期貨業網絡安全監管支撐單位,相關工作開展情況可以作為中國證監會及其派出機構實施監督管理的參考依據。
第四十七條 核心機構和經營機構應當加強網絡安全人才隊伍建設,建立與網絡安全工作特點相適應的人才培養機制,確保網絡安全人才的資質、經驗、專業素質及職業道德符合崗位要求。
行業協會應當制定網絡安全培訓計劃,定期組織培訓交流,提高證券期貨從業人員網絡安全意識和專業素養。
第四十八條 核心機構和經營機構應當加強本機構網絡安全宣傳與教育,每年至少開展一次網絡安全教育活動,提升員工網絡安全意識。
經營機構應當定期組織開展面向投資者的網絡安全宣傳教育活動,結合網上證券期貨業務活動的特點,揭示網絡安全風險,增強投資者風險防范能力。
第四十九條 行業協會應當鼓勵、引導網絡安全技術創新與應用,增強自主可控能力,組織開展科技獎勵,促進行業科技進步。
行業協會應當引導信息技術服務機構規范參與行業網絡安全和信息化工作,促進市場公平競爭。
第七章 監督管理與法律責任
第五十條 中國證監會及其派出機構可以要求核心機構、經營機構和信息技術服務機構提供證券期貨業網絡安全管理相關信息和數據。相關機構應當配合,及時、準確、完整提供相關資料。
第五十一條 核心機構和經營機構應當于每年4月30日前,完成對上一年網絡安全工作的網絡安全專項評估,編制網絡安全管理年報,報送中國證監會及其派出機構,年報內容包括但不限于網絡安全治理情況、人員情況、投入情況、風險情況、處置情況和下一年度工作計劃等。
核心機構和經營機構報送網絡安全管理年報時,可以與中國證監會要求的信息技術管理專項報告等其他年度信息技術類報告合并報送。
證券期貨業關基單位應當將關鍵信息基礎設施網絡安全檢測和風險評估情況納入網絡安全管理年報。
第五十二條 中國證監會及其派出機構可以委托國家、行業有關專業機構采用滲透測試、漏洞掃描及信息技術風險評估等方式,協助對核心機構、經營機構和信息技術服務機構開展監督、檢查。
第五十三條 中國證監會可以根據國家有關要求或者行業工作需要,組織開展證券期貨業重要時期網絡安全保障。中國證監會派出機構負責督促本轄區經營機構和信息技術服務機構落實相關工作要求。
證券期貨業重要時期網絡安全保障期間,核心機構和經營機構應當遵循安全優先的原則,加強安全生產值守工作,嚴格落實信息報送要求,原則上不得對重要信息系統和門戶網站開展運行變更、下線刪除等操作。
第五十四條 核心機構違反本辦法規定的,中國證監會可以對其采取監管談話、責令限期整改等監管措施;對有關高級管理人員給予警告、記過、誡勉談話、通報批評、撤職等行政處分,并責令核心機構對其他責任人給予紀律處分。
經營機構和信息技術服務機構違反本辦法規定的,中國證監會及其派出機構可以對其采取責令改正、監管談話、出具警示函等監管措施;對直接責任人和其他責任人員采取責令改正、監管談話、出具警示函等監管措施;情節嚴重的,對相關機構及責任人員單處或者并處警告、十萬元以下罰款,涉及金融安全且有危害后果的,并處二十萬元以下罰款。
第五十五條 經營機構違反本辦法規定,反映機構治理混亂、內控失效或者不符合持續性經營規則的,中國證監會及其派出機構可以依照《證券公司監督管理條例》第七十條、《證券投資基金法》第二十四條、《期貨交易管理條例》規定,采取責令暫停借助網絡開展部分業務或者全部業務、責令更換董事、監事、高級管理人員或者限制其權利等監管措施。
信息技術服務機構違反本辦法規定,未履行備案義務的,中國證監會及其派出機構可以依照《證券法》第二百一十三條規定予以處罰。
第五十六條 核心機構、經營機構和信息技術服務機構違反本辦法第九條、第十條、第十七條、第十八條、第二十三條、第二十五條、第三十條、第三十一條、第三十三條規定,未履行網絡安全保護義務,或者應急管理存在重大過失的,中國證監會及其派出機構可以依據《網絡安全法》第五十九條第一款規定予以處罰。
第五十七條 核心機構和經營機構違反本辦法第十六條、第三十五條規定,擅自暫停或者終止借助網絡向投資者提供服務的,或者未按照規定及時告知投資者,中國證監會及其派出機構可以依照《網絡安全法》第六十條規定予以處罰。
第五十八條 核心機構和經營機構違反本辦法第二十六條規定,違規處理個人信息,或者處理個人信息未履行個人信息保護義務的,中國證監會及其派出機構可以依照《網絡安全法》第六十四條、《個人信息保護法》第六十六條規定予以處罰。
第五十九條 核心機構和經營機構違反本辦法第二十七條規定的,對法律法規禁止發布或者傳輸的信息未停止傳輸、采取消除等處置措施、保存有關記錄的,中國證監會及其派出機構可以依照《網絡安全法》第六十八條第一款、第六十九條規定予以處罰。
第六十條 核心機構、經營機構和信息技術服務機構拒絕、阻礙中國證監會及其派出機構行使監督檢查、調查職權的,中國證監會及其派出機構可以依法予以處罰。
第六十一條 核心機構和經營機構參加資本市場金融科技創新機制或者信息技術應用創新機制,相關項目發生網絡安全事件,相關機構處置得當,積極消除不良影響的,中國證監會及其派出機構可以予以從輕或者減輕處罰,未對證券期貨市場產生不良影響的,可以免于處罰。
第八章 附則
第六十二條 本辦法中下列用語的含義:
(一)核心機構,是指證券期貨交易場所、證券登記結算機構、期貨保證金安全存管監控機構等承擔證券期貨市場公共職能、承擔證券期貨業信息基礎設施運營的機構及其下屬機構。
(二)經營機構,是指證券公司、期貨公司和基金管理公司等證券期貨經營機構。
(三)信息技術服務機構,是指為證券期貨業務活動提供重要信息系統的開發、測試、集成、測評、運維及日常安全管理等產品或者服務的機構。
(四)證券期貨業網絡安全,是指核心機構、經營機構和信息技術服務機構采取必要措施,對內外部網絡攻擊、入侵、干擾和破壞進行有效識別、監測、防范和處置,保障承載證券期貨業務活動的信息系統安全平穩運行,確保相關網絡數據的完整性、保密性和可用性。
(五)重要數據、核心數據,是指按照《數據安全法》、國家和證券期貨業有關數據分類分級保護制度,確定的重要數據、核心數據。
(六)雙活或者多活架構,是指在同城或者異地的兩個或者多個數據中心同時對外提供服務,當其中一個或者多個數據中心發生災難性事故時,可以將原先由其承載的服務請求劃撥至其他正常運作的數據中心,保障業務連續運行。
(七)以上,是指本數以上(含本數)。
第六十三條 本辦法規定的核心機構、經營機構和信息技術服務機構相關報告事項,是指依照監管職責,核心機構應當向中國證監會報告;除中國證監會另有要求的,經營機構和信息技術服務機構原則上應當向屬地中國證監會派出機構報告。
第六十四條 國家對存儲、處理涉及國家秘密信息的網絡安全管理另有規定的,從其規定。
第六十五條 境內開展證券公司客戶交易結算資金第三方存管業務、期貨保證金存管業務的商業銀行,證券投資咨詢機構,基金托管機構和從事基金銷售支付、份額登記、估值、評價等基金服務業務的機構,借助信息系統從事證券期貨業務活動的經營機構子公司,借助自身運維管理的信息系統從事證券投資活動且存續產品涉及投資者人數合計一千人以上的私募證券投資基金管理人,區域性股權市場運營機構,應當根據相關信息系統網絡安全管理的特點,參照適用本辦法。
第六十六條 本辦法自2022 年 月 日起施行。2012年11月1日公布的《證券期貨業信息安全保障管理辦法》(證監會令第82號)同時廢止。
《證券期貨業網絡安全管理辦法(征求意見稿)》起草說明
為建立健全證券期貨業網絡安全監管制度體系,防范化解行業網絡安全風險隱患,維護資本市場安全平穩高效運行,在充分銜接上位要求、總結監管實踐的基礎上,證監會研究起草了《證券期貨業網絡安全管理辦法(征求意見稿)》(以下簡稱《辦法》)。現說明如下:
一、起草背景
近年來,證券期貨業機構對網絡安全的重視程度大幅提升,組織架構和制度體系持續優化,信息技術投入逐年增加,行業網絡安全運行態勢總體平穩。但是,隨著行業數字化加速發展、網絡安全上升為國家戰略、資本市場持續深化改革等內外部條件的變化,證券期貨業網絡安全面臨的新情況新問題逐漸凸顯,主要體現在以下方面:
(一)行業網絡安全形勢嚴峻復雜。一是隨著大數據、云計算、區塊鏈和人工智能等新技術應用的不斷深入,證券期貨業務與技術加速融合,各類業務活動日益依賴網絡安全和信息化,增加了網絡安全管理的復雜度。二是隨著行業機構數字化轉型的提速,信息系統建設任務明顯增加,上線變更操作較為頻繁,行業網絡安全管理能力面臨更大挑戰。
(二)法律法規的上位要求有待進一步落實。《網絡安全法》于2017年6月正式施行,2021年下半年以來,《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規密集發布實施,我國網絡安全法律體系進一步健全,新型網絡安全管理框架基本成型。對此,證監會雖于2012年以來發布《證券期貨業信息安全保障管理辦法》(證監會令82號)《證券基金經營機構信息技術管理辦法》(證監會令152號)等監管規則,但是由于制定時間較早、監管實踐變化等原因,相關監管規則在有效銜接上位要求方面有待進一步完善。
(三)監管實踐成果制度化還需加強。2020年以來,證監會穩步推動科技監管深化改革,監管體制機制不斷優化,信息技術服務機構備案管理、資本市場金融科技創新試點等工作全面展開,與相關部委進一步形成監管合力,溝通協作更加順暢,需要及時總結實踐經驗,將改革成果制度化機制化。
基于上述新情況新問題,亟需進一步健全證券期貨業網絡安全監管制度體系,制定專門的行業網絡安全管理相關的部門規章,補齊制度供給短板,構建證券期貨業網絡安全管理的體系框架,提升行業網絡安全保障能力。
二、起草思路
(一)落實上位要求,汲取實踐經驗。《辦法》聚焦網絡安全管理,強化數據安全和個人信息保護,結合證券期貨業特點,為《網絡安全法》《關鍵信息基礎設施安全保護條例》等法律法規在證券期貨業的有效落地,明確實施路徑,提供制度保障。同時,總結行業近年來監管工作成效,將實踐經驗轉化為制度成果,固化工作機制。
(二)覆蓋各類主體,厘清權責邊界。一方面,充分考慮證券期貨業各類主體的責任義務和業務特點,對證券期貨業關鍵信息基礎設施運營單位、核心機構、經營機構以及信息技術服務機構,從網絡安全管理方面分別提出監管要求。另一方面,理清職責分工,對各方監管部門、自律組織的網絡安全監管職責做出明確規定。
(三)嚴守安全底線,促進科技發展。《辦法》以保障安全為基本原則,從建設、運維、使用網絡及信息系統,到識別、監測、防范、處置風險等方面,構建了完整的網絡安全監管框架,對行業機構提出全方位的網絡安全管理要求。在此基礎上,《辦法》還注重通過發展解決問題,通過技術架構的升級優化,提升安全保障能力,并在信息基礎設施建設、金融科技創新等方面做出了制度安排。
三、主要內容
《辦法》共八章六十六條,對證券期貨業網絡安全監督管理體系、網絡安全運行、數據安全統籌管理、網絡安全應急處置、關鍵信息基礎設施網絡安全、網絡安全促進與發展、監督管理與法律責任等方面提出了要求。具體包括:
(一)總則。規定立法宗旨、適用范圍、適用主體、工作目標及監管職責,厘清核心機構、經營機構和信息技術服務機構等行業機構的責任邊界。
(二)網絡安全運行。督促行業機構建立健全網絡安全管理體制機制,提升網絡安全運行保障能力。一是要求核心機構、經營機構具有完善的治理架構,強化管理層責任,指定牽頭部門,保障資源投入。二是對核心機構、經營機構的信息系統和相關基礎設施提出基本要求,明確等級保護義務。三是要求核心機構、經營機構審慎開展系統新建、變更和移除,及時履行投資者告知義務,加強日常監測。四是對核心機構、經營機構明確信息系統備份能力有關要求,提出壓力測試常態化要求。五是從制度體系、人員配備、合規安全等方面,對信息技術服務機構提出監管要求。六是強化核心機構、經營機構采購產品和服務的準入、評估、改進要求,提升自主研發和安全可控能力,加強知識產權保護。
(三)數據安全統籌管理。一是從制度機制、組織架構、行業數據標準、權限管理、質量評估、防范泄露損毀等方面,明確證券期貨業的具體要求。二是配套上位要求,對數據分類分級、個人信息保護、規范信息發布等方面作進一步強調。三是為建立證券期貨業戰略備份數據中心預留制度空間,提升行業極限災難應對能力。
(四)網絡安全應急處置。一是建立風險監測預警體制,加強日常漏洞掃描、安全評估,及時消除風險隱患。二是完善應急預案的應急場景和處置流程,要求定期開展應急演練。三是強化網絡安全事件報告和調查處理工作,明確故障排查、相關方告知等工作要求。
(五)關鍵信息基礎設施網絡安全。落實國家關于關鍵信息基礎設施的安全保護要求,結合行業特點,從組織保障、建設評審、變化報告、檢測評估、采購管理、性能容量、災難備份等方面,對關鍵信息基礎設施運營單位提出進一步的督導要求。
(六)網絡安全促進與發展。一是鼓勵相關機構在依法合規、風險可控、不損害投資者利益的前提下,開展行業網絡安全技術應用。二是核心機構、經營機構可以在保障自身信息系統安全的前提下,為行業提供信息基礎設施服務。三是建立金融科技創新監管機制,加強網絡安全監管專業支撐,核心機構可以申請國家相關專業資質,開展行業網絡安全認證、檢測、測試和風險評估等工作。四是強化行業網絡安全人才隊伍建設,定期開展網絡安全宣傳與教育。五是發揮行業協會作用,引導網絡安全技術創新與應用,組織科技獎勵,促進行業科技進步、市場公平競爭。
(七)監督管理與法律責任。一是規定行業機構的報告義務和流程要求。二是明確證監會及其派出機構可以委托專業機構采用滲透測試、漏洞掃描和風險評估等方式對行業機構開展監督檢查。三是對重要時期的網絡安全保障工作明確制度安排。四是依據上位要求,結合違法違規的具體情形,規定相應罰則,并規定創新容錯相關制度安排。
此外,《辦法》還明確了名詞釋義、參照執行主體和情境、實施時間以及相關辦法銜接等事項。
日期:2022-5-3 11:19:31 | 關閉 |
Copyright © 1999-2021 法律圖書館
.
.
