Law-lib.com 2022-5-3 11:19:31 中國證監(jiān)會(huì)
為建立健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系�,防范化解行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患��,維護(hù)資本市場安全平穩(wěn)高效運(yùn)行���,我會(huì)起草了《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)》���,現(xiàn)向社會(huì)公開征求意見��。公眾可通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)(www.moj.gov.cn���、www.chinalaw.gov.cn),進(jìn)入首頁主菜單的“立法意見征集”欄目提出意見����。
2.登錄中國證監(jiān)會(huì)網(wǎng)站(www.csrc.gov.cn),進(jìn)入首頁右側(cè)點(diǎn)擊“公開征求意見”欄目提出意見��。
3.傳真:010-88061444
4.電子郵箱:kejiju@csrc.gov.cn
5.通信地址:北京市西城區(qū)金融大街富凱大廈中國證監(jiān)會(huì)科技監(jiān)管局�����,郵政編碼:100033�����。
意見反饋截止時(shí)間為2022年5月29日��。
中國證監(jiān)會(huì)
2022年4月29日
證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)
第一章 總則
第一條 為了保障證券期貨業(yè)網(wǎng)絡(luò)安全��,保護(hù)投資者合法權(quán)益����,促進(jìn)證券期貨業(yè)穩(wěn)定健康發(fā)展,根據(jù)《證券法》����、《證券投資基金法》、《網(wǎng)絡(luò)安全法》�����、《數(shù)據(jù)安全法》����、《個(gè)人信息保護(hù)法》、《期貨交易管理?xiàng)l例》����、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī),制定本辦法�。
第二條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)在中華人民共和國境內(nèi)建設(shè)、運(yùn)營���、維護(hù)和使用網(wǎng)絡(luò)及信息系統(tǒng)��,信息技術(shù)服務(wù)機(jī)構(gòu)為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)的網(wǎng)絡(luò)安全保障��,以及證券期貨業(yè)網(wǎng)絡(luò)安全的監(jiān)督管理����,適用本辦法。
第三條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)遵循保障安全����、促進(jìn)發(fā)展的原則,建立健全網(wǎng)絡(luò)安全防護(hù)體系��,提升網(wǎng)絡(luò)安全保障水平�����,確保網(wǎng)絡(luò)安全與信息化工作同步推進(jìn)����,促進(jìn)本機(jī)構(gòu)相關(guān)工作穩(wěn)妥健康發(fā)展。
信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)遵循技術(shù)安全����、功能合規(guī)的原則,為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)����,與核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)共同保障行業(yè)網(wǎng)絡(luò)安全���,促進(jìn)行業(yè)信息化發(fā)展��。
第四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)依法履行網(wǎng)絡(luò)安全保護(hù)義務(wù)����,對本機(jī)構(gòu)網(wǎng)絡(luò)安全負(fù)責(zé)����,相關(guān)責(zé)任不因其他機(jī)構(gòu)提供產(chǎn)品或者服務(wù)進(jìn)行轉(zhuǎn)移或者減輕。
信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)勤勉盡責(zé)��,對提供產(chǎn)品或者服務(wù)的合規(guī)性����、安全性承擔(dān)責(zé)任。
第五條 中國證監(jiān)會(huì)依法履行以下監(jiān)督管理職責(zé):
����。ㄒ唬┙M織制定并推動(dòng)落實(shí)證券期貨業(yè)網(wǎng)絡(luò)安全和信息化發(fā)展規(guī)劃、監(jiān)管規(guī)則和行業(yè)標(biāo)準(zhǔn)���;
��。ǘ┴(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全的監(jiān)督管理�����,對證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行監(jiān)管�����;
�。ㄈ┴(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全重大技術(shù)路線、重大科技項(xiàng)目管理�;
(四)組織開展證券期貨業(yè)數(shù)據(jù)安全統(tǒng)籌管理��;
����。ㄎ澹┴(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全應(yīng)急演練、應(yīng)急處置和事件報(bào)告與調(diào)查處理��;
����。┲笇(dǎo)證券期貨業(yè)網(wǎng)絡(luò)安全促進(jìn)與發(fā)展����;
���。ㄆ撸┓煞ㄒ(guī)規(guī)定的其他網(wǎng)絡(luò)安全監(jiān)管職責(zé)。
第六條 中國證監(jiān)會(huì)建立集中管理���、分級負(fù)責(zé)的證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理體制���。中國證監(jiān)會(huì)科技監(jiān)管部門統(tǒng)一對證券期貨業(yè)網(wǎng)絡(luò)安全實(shí)施監(jiān)督管理。中國證監(jiān)會(huì)其他部門配合開展相關(guān)工作����。
中國證監(jiān)會(huì)派出機(jī)構(gòu)對本轄區(qū)經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)安全實(shí)施監(jiān)督管理。
中證信息技術(shù)服務(wù)有限責(zé)任公司在中國證監(jiān)會(huì)指導(dǎo)下�����,為證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理提供專業(yè)協(xié)助和支撐���。
第七條 中國證券業(yè)協(xié)會(huì)����、中國期貨業(yè)協(xié)會(huì)、中國證券投資基金業(yè)協(xié)會(huì)等行業(yè)協(xié)會(huì)(以下統(tǒng)稱行業(yè)協(xié)會(huì))依法制定行業(yè)網(wǎng)絡(luò)安全自律規(guī)則����,對經(jīng)營機(jī)構(gòu)網(wǎng)絡(luò)安全實(shí)施自律管理。
第八條 核心機(jī)構(gòu)依法制定保障市場相關(guān)主體與本機(jī)構(gòu)信息系統(tǒng)安全互聯(lián)的技術(shù)規(guī)則���,對與本機(jī)構(gòu)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施相關(guān)聯(lián)主體加強(qiáng)指導(dǎo)��,督促其強(qiáng)化網(wǎng)絡(luò)安全管理���,保障相關(guān)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施的安全平穩(wěn)運(yùn)行。
第二章 網(wǎng)絡(luò)安全運(yùn)行
第九條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)具有完善的信息技術(shù)治理架構(gòu)�����,健全網(wǎng)絡(luò)安全管理制度體系����,建立內(nèi)部決策、管理�、執(zhí)行和監(jiān)督機(jī)制,確保網(wǎng)絡(luò)安全管理能力與信息化發(fā)展水平相匹配����。
信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全管理制度���,配備相應(yīng)的安全、合規(guī)管理人員�,建立與提供產(chǎn)品或者服務(wù)相適應(yīng)的網(wǎng)絡(luò)安全管理機(jī)制。
第十條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)明確主要負(fù)責(zé)人為本機(jī)構(gòu)網(wǎng)絡(luò)安全第一責(zé)任人����,分管科技工作的負(fù)責(zé)人為直接責(zé)任人�。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全工作協(xié)調(diào)和決策機(jī)制,保障網(wǎng)絡(luò)安全第一責(zé)任人和直接責(zé)任人履行職責(zé)�����。
第十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)指定網(wǎng)絡(luò)安全工作牽頭部門或者機(jī)構(gòu)����,負(fù)責(zé)管理重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施、制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案��、組織應(yīng)急演練�、認(rèn)定網(wǎng)絡(luò)安全關(guān)鍵崗位等工作。
第十二條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)配備網(wǎng)絡(luò)安全專職人員�����,保障技術(shù)人員數(shù)量和資金投入與業(yè)務(wù)活動(dòng)規(guī)模及復(fù)雜程度相適應(yīng),網(wǎng)絡(luò)安全專職人員應(yīng)當(dāng)具備與履行職責(zé)相匹配的專業(yè)知識(shí)和職業(yè)技能���。
第十三條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)確保信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施具備合理的架構(gòu)���,足夠的性能、容量��、可靠性��、擴(kuò)展性和安全性�����,并保證相關(guān)安全技術(shù)措施與信息化工作同步規(guī)劃�����、同步建設(shè)��、同步使用�。信息系統(tǒng)的性能容量不得低于歷史峰值的兩倍。
第十四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度����,依法履行網(wǎng)絡(luò)安全等級保護(hù)義務(wù)�,按照國家和證券期貨業(yè)定級標(biāo)準(zhǔn)和定級要求�,向公安機(jī)關(guān)辦理備案和變更。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照相關(guān)要求�����,將網(wǎng)絡(luò)安全等級保護(hù)定級����、變更和日常工作開展情況及時(shí)報(bào)告中國證監(jiān)會(huì)及其派出機(jī)構(gòu)。
第十五條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)新建上線�、運(yùn)行變更、下線移除重要信息系統(tǒng)的�,應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評估并開展充分測試�����,制定應(yīng)急處置和回退方案����;可能對證券期貨市場安全平穩(wěn)運(yùn)行產(chǎn)生較大影響的,應(yīng)當(dāng)提前向中國證監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告��。
第十六條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)暫停或者終止借助網(wǎng)絡(luò)向投資者提供服務(wù)前�,應(yīng)當(dāng)履行告知義務(wù),合理選取公告����、定向通知等方式告知投資者相關(guān)業(yè)務(wù)影響情況、替代方式及其他應(yīng)對措施���。
第十七條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警機(jī)制����,設(shè)定監(jiān)測指標(biāo)���,持續(xù)監(jiān)測信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施的運(yùn)行狀況����,及時(shí)處置異常情形�,對監(jiān)測機(jī)制執(zhí)行效果進(jìn)行定期評估并持續(xù)優(yōu)化。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)全面�����、準(zhǔn)確記錄并妥善保存生產(chǎn)運(yùn)營過程中的業(yè)務(wù)日志和系統(tǒng)日志�����,確保滿足故障分析、內(nèi)部控制����、調(diào)查取證等工作的需要。業(yè)務(wù)日志保存期限不得少于二十年����,系統(tǒng)日志保存期限不得少于六個(gè)月。
第十八條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立同城和異地?cái)?shù)據(jù)備份設(shè)施��,至少每天備份數(shù)據(jù)一次�,每季度至少對數(shù)據(jù)備份進(jìn)行一次有效性驗(yàn)證。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施�,根據(jù)信息系統(tǒng)的重要程度和影響范圍,確定恢復(fù)目標(biāo)��,保證業(yè)務(wù)活動(dòng)連續(xù)�����。災(zāi)難備份設(shè)施應(yīng)當(dāng)通過同城或者異地災(zāi)難備份中心的形式體現(xiàn)����。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)采取雙活或者多活架構(gòu)部署重要信息系統(tǒng)的,確保業(yè)務(wù)連續(xù)運(yùn)行能力不低于前款規(guī)定的前提下���,任一數(shù)據(jù)中心可以視為其他數(shù)據(jù)中心的災(zāi)難備份設(shè)施��。
第十九條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)至少每半年開展一次重要信息系統(tǒng)壓力測試�����,根據(jù)系統(tǒng)技術(shù)特點(diǎn)和承載業(yè)務(wù)類型����,制定壓力測試方案�����,設(shè)定測試場景�����,從系統(tǒng)處理能力�����、網(wǎng)絡(luò)冗余�����、災(zāi)備建設(shè)等方面設(shè)置測試指標(biāo),有序組織測試工作�����,測試完成后形成壓力測試報(bào)告存檔備查�。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)要求,參加中國證監(jiān)會(huì)組織開展的全行業(yè)重要信息系統(tǒng)壓力測試�����,并根據(jù)測試情況及時(shí)整改���;暫時(shí)無法整改的�,應(yīng)當(dāng)制定切實(shí)可行的整改計(jì)劃��。
第二十條 信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)依法向中國證監(jiān)會(huì)備案����,并按照有關(guān)業(yè)務(wù)規(guī)則為證券期貨業(yè)務(wù)活動(dòng)提供信息技術(shù)產(chǎn)品或者服務(wù)。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立健全內(nèi)部管理機(jī)制�����,完善信息技術(shù)產(chǎn)品和服務(wù)準(zhǔn)入標(biāo)準(zhǔn)�,審慎采購并持續(xù)評估相關(guān)產(chǎn)品和服務(wù)的質(zhì)量,加強(qiáng)保密管理����,及時(shí)改進(jìn)風(fēng)險(xiǎn)管理措施,健全應(yīng)急處置機(jī)制���,保障本機(jī)構(gòu)網(wǎng)絡(luò)安全和相關(guān)業(yè)務(wù)的安全平穩(wěn)運(yùn)行�����。
第二十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)自主研發(fā)能力建設(shè)���,持續(xù)提升自主可控能力,并按照國家及中國證監(jiān)會(huì)有關(guān)要求開展信息技術(shù)應(yīng)用創(chuàng)新相關(guān)工作�。
第二十二條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照知識(shí)產(chǎn)權(quán)相關(guān)法律法規(guī),制定知識(shí)產(chǎn)權(quán)保護(hù)策略和制度�����,采取有效措施保護(hù)本機(jī)構(gòu)自主知識(shí)產(chǎn)權(quán)��,不侵犯他人的知識(shí)產(chǎn)權(quán)���。
第三章 數(shù)據(jù)安全統(tǒng)籌管理
第二十三條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)履行數(shù)據(jù)安全管理責(zé)任�,包括但不限于以下方面:
(一)建立健全數(shù)據(jù)安全管理制度體系�����,完善數(shù)據(jù)運(yùn)營和管控機(jī)制��;
��。ǘ┙∪珨(shù)據(jù)安全管理組織架構(gòu)��,明確數(shù)據(jù)安全管理權(quán)責(zé)機(jī)制�����;
�。ㄈ┮罁(jù)行業(yè)相關(guān)數(shù)據(jù)標(biāo)準(zhǔn),制定覆蓋本機(jī)構(gòu)全部業(yè)務(wù)數(shù)據(jù)的相關(guān)標(biāo)準(zhǔn)�,實(shí)施與業(yè)務(wù)特點(diǎn)相適應(yīng)的數(shù)據(jù)分類分級管理;
�。ㄋ模┙(shù)據(jù)權(quán)限管理策略,按照最小授權(quán)原則設(shè)置數(shù)據(jù)訪問權(quán)限���,定期排查清理�����,并對數(shù)據(jù)訪問記錄進(jìn)行留痕審計(jì)����;
��。ㄎ澹(gòu)建數(shù)據(jù)質(zhì)量評估框架��,建立質(zhì)量管控和追責(zé)機(jī)制��;
���。┓煞ㄒ(guī)及中國證監(jiān)會(huì)規(guī)定的其他事項(xiàng)���。
第二十四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)處理重要數(shù)據(jù)、核心數(shù)據(jù)的��,應(yīng)當(dāng)依法明確數(shù)據(jù)安全負(fù)責(zé)人�,指定數(shù)據(jù)安全管理機(jī)構(gòu)或者部門。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)處理重要數(shù)據(jù)的信息系統(tǒng)原則上應(yīng)當(dāng)滿足三級以上網(wǎng)絡(luò)安全等級保護(hù)要求�,處理核心數(shù)據(jù)的信息系統(tǒng)依照有關(guān)法律法規(guī)從嚴(yán)保護(hù)。
第二十五條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)綜合采取網(wǎng)絡(luò)隔離、用戶認(rèn)證��、訪問控制�����、數(shù)據(jù)加密�、病毒防范、非法入侵檢測和網(wǎng)絡(luò)安全態(tài)勢感知等技術(shù)手段�����,及時(shí)識(shí)別�����、阻斷和溯源相關(guān)網(wǎng)絡(luò)攻擊�,保障數(shù)據(jù)安全。
第二十六條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)遵循合法����、正當(dāng)、必要和誠信原則處理投資者個(gè)人信息�����,依法履行投資者個(gè)人信息保護(hù)義務(wù),包括但不限于下列要求:
���。ㄒ唬┦占瘋(gè)人信息�,應(yīng)當(dāng)告知投資者個(gè)人信息處理的目的��、方式和范圍��,并取得個(gè)人同意����;
�。ǘ┎扇”匾陌踩夹g(shù)措施存儲(chǔ)、傳輸個(gè)人信息�����,防止個(gè)人信息泄露���、篡改����、丟失���;
���。ㄈ┖侠泶_定個(gè)人信息使用策略和操作權(quán)限���,不得濫用個(gè)人信息;
���。ㄋ模┨幚碜C券期貨賬戶等敏感個(gè)人信息�、向他人提供或者公開個(gè)人信息的�,應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。
為履行法定職責(zé)����、法定義務(wù)或者監(jiān)管要求所必需,核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)可以在未取得個(gè)人同意的情況下�����,處理個(gè)人信息�����。
第二十七條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立信息發(fā)布審核機(jī)制��,加強(qiáng)對本機(jī)構(gòu)和用戶發(fā)布信息的管理,發(fā)現(xiàn)違反法律法規(guī)和有關(guān)監(jiān)管規(guī)定的����,應(yīng)當(dāng)立即停止發(fā)布傳輸,采取必要的處置措施�����,防止信息擴(kuò)散���,積極消除負(fù)面影響,并及時(shí)向中國證監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告����。
信息技術(shù)服務(wù)機(jī)構(gòu)為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)的,應(yīng)當(dāng)按照前款規(guī)定執(zhí)行���。
第二十八條 任何機(jī)構(gòu)和個(gè)人不得違規(guī)開展證券期貨業(yè)重要信息系統(tǒng)認(rèn)證���、檢測、風(fēng)險(xiǎn)評估等活動(dòng)��,不得違規(guī)向社會(huì)發(fā)布證券期貨業(yè)系統(tǒng)漏洞�、計(jì)算機(jī)病毒��、網(wǎng)絡(luò)攻擊���、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息。
第二十九條 中國證監(jiān)會(huì)可以指定相關(guān)機(jī)構(gòu)建設(shè)證券期貨業(yè)戰(zhàn)略備份數(shù)據(jù)中心�,開展行業(yè)數(shù)據(jù)的集中備份和管理工作,持續(xù)提升證券期貨業(yè)重大災(zāi)難應(yīng)對能力����。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照規(guī)定及時(shí)向證券期貨業(yè)戰(zhàn)略數(shù)據(jù)備份中心報(bào)送數(shù)據(jù),報(bào)送的數(shù)據(jù)必須真實(shí)���、準(zhǔn)確�、完整�。
第四章 網(wǎng)絡(luò)安全應(yīng)急處置
第三十條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測預(yù)警機(jī)制,加強(qiáng)日常監(jiān)測��,定期開展漏洞掃描�、安全評估等工作。核心機(jī)構(gòu)�、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)發(fā)現(xiàn)網(wǎng)絡(luò)安全產(chǎn)品或者服務(wù)存在安全缺陷、系統(tǒng)漏洞等風(fēng)險(xiǎn)隱患的��,應(yīng)當(dāng)及時(shí)核實(shí)并加固整改����;可能對證券期貨業(yè)網(wǎng)絡(luò)安全產(chǎn)生較大影響的���,應(yīng)當(dāng)向中國證監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告。
中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以就相關(guān)安全缺陷����、系統(tǒng)漏洞等風(fēng)險(xiǎn)隱患開展行業(yè)通報(bào),核心機(jī)構(gòu)�����、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)及時(shí)排查并采取風(fēng)險(xiǎn)防范措施�����。
第三十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)根據(jù)業(yè)務(wù)影響分析情況��,建立健全網(wǎng)絡(luò)安全應(yīng)急預(yù)案���,明確應(yīng)急目標(biāo)、應(yīng)急組織和處置流程���,應(yīng)急場景應(yīng)當(dāng)覆蓋網(wǎng)絡(luò)安全事件和自然災(zāi)害突發(fā)��、重大人事變動(dòng)��、信息技術(shù)服務(wù)機(jī)構(gòu)退出等情形�。
第三十二條 核心機(jī)構(gòu)應(yīng)當(dāng)組織與本機(jī)構(gòu)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施相關(guān)聯(lián)主體開展網(wǎng)絡(luò)安全應(yīng)急演練,頻率不低于每年一次���,并于演練后15個(gè)工作日內(nèi)將相關(guān)情況報(bào)告中國證監(jiān)會(huì)����。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)定期開展網(wǎng)絡(luò)安全應(yīng)急演練���,并形成應(yīng)急演練報(bào)告存檔備查��。
第三十三條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全應(yīng)急處置機(jī)制����,及時(shí)處置網(wǎng)絡(luò)安全事件�,盡快恢復(fù)信息系統(tǒng)的正常運(yùn)行,保護(hù)事件現(xiàn)場和相關(guān)證據(jù)�����,向中國證監(jiān)會(huì)及其派出機(jī)構(gòu)進(jìn)行應(yīng)急報(bào)告�,不得瞞報(bào)�、謊報(bào)���、遲報(bào)����、漏報(bào)�����。
信息技術(shù)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)協(xié)助開展信息系統(tǒng)故障排查�����、修復(fù)等工作�,并及時(shí)告知使用同類產(chǎn)品或者服務(wù)的核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu),配合開展風(fēng)險(xiǎn)排查和整改工作�����。
第三十四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)在網(wǎng)絡(luò)安全事件應(yīng)急處置結(jié)束����、系統(tǒng)恢復(fù)正常運(yùn)行后組織內(nèi)部調(diào)查�,認(rèn)定并追究事件責(zé)任����,按照有關(guān)規(guī)定報(bào)告中國證監(jiān)會(huì)及其派出機(jī)構(gòu)�。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)配合中國證監(jiān)會(huì)及其派出機(jī)構(gòu),對網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查處理�,盡快完成整改。
第三十五條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件的��,應(yīng)當(dāng)及時(shí)通過官方網(wǎng)站����、自媒體等渠道公示相關(guān)方可以采取的替代方式或者其他應(yīng)急措施,提示相關(guān)方防范和應(yīng)對可能出現(xiàn)的風(fēng)險(xiǎn)����。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件,損害投資者合法權(quán)益的����,中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以要求其履行投資者告知義務(wù)。
第五章 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全
第三十六條 運(yùn)營關(guān)鍵信息基礎(chǔ)設(shè)施的核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)(以下簡稱證券期貨業(yè)關(guān)基單位)應(yīng)當(dāng)按照法律法規(guī)及中國證監(jiān)會(huì)有關(guān)規(guī)定�,開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作,保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行�,維護(hù)數(shù)據(jù)的完整性、保密性和可用性。
第三十七條 證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)情況納入網(wǎng)絡(luò)安全第一責(zé)任人�、直接責(zé)任人和相關(guān)人員的責(zé)任考核機(jī)制。
證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)指定專項(xiàng)工作領(lǐng)導(dǎo)機(jī)構(gòu)或者部門負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)����,配備至少五名網(wǎng)絡(luò)安全專職人員,為每個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施指定一名網(wǎng)絡(luò)安全管理責(zé)任人�����,并明確崗位職責(zé)和分工����。網(wǎng)絡(luò)安全專職人員履職前,證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)依法開展安全背景審查����,相關(guān)人員不適合崗位要求的,應(yīng)當(dāng)及時(shí)調(diào)整����。
第三十八條 證券期貨業(yè)關(guān)基單位對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施運(yùn)行變更或者下線移除,可能對證券期貨市場安全平穩(wěn)運(yùn)行產(chǎn)生較大影響的���,應(yīng)當(dāng)在遵守本辦法第十五條的前提下,組織來自監(jiān)管部門、行業(yè)機(jī)構(gòu)��、外部專業(yè)機(jī)構(gòu)的專家開展專項(xiàng)評審�;未通過評審的,證券期貨業(yè)關(guān)基單位原則上不得實(shí)施運(yùn)行變更���、下線移除等操作�����。
證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施停止運(yùn)營或者發(fā)生較大變化�,可能影響認(rèn)定結(jié)果的��,相關(guān)機(jī)構(gòu)應(yīng)當(dāng)及時(shí)將相關(guān)情況報(bào)告中國證監(jiān)會(huì)及其派出機(jī)構(gòu)����。
第三十九條 證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險(xiǎn)評估,對發(fā)現(xiàn)的安全問題及時(shí)整改�,網(wǎng)絡(luò)安全檢測和風(fēng)險(xiǎn)評估的內(nèi)容包括但不限于:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行情況、面臨的主要威脅��、風(fēng)險(xiǎn)管理情況����、應(yīng)急處置情況等�。
第四十條 證券期貨業(yè)關(guān)基單位采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的����,應(yīng)當(dāng)按照有關(guān)要求開展風(fēng)險(xiǎn)預(yù)判工作,評估投入使用后可能對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)�、金融安全和國家安全帶來的風(fēng)險(xiǎn)隱患,形成評估報(bào)告報(bào)送中國證監(jiān)會(huì)及其派出機(jī)構(gòu)�����,并依法開展網(wǎng)絡(luò)安全審查�����。
第四十一條 證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)對關(guān)鍵信息基礎(chǔ)設(shè)施的安全運(yùn)行進(jìn)行持續(xù)監(jiān)測���,定期開展壓力測試�����,發(fā)現(xiàn)系統(tǒng)性能和網(wǎng)絡(luò)容量不足的��,應(yīng)當(dāng)及時(shí)采取系統(tǒng)升級��、擴(kuò)容等處置措施�,確保系統(tǒng)性能容量不低于歷史峰值的三倍,網(wǎng)絡(luò)帶寬不得低于歷史峰值的兩倍���。
第四十二條 證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)在符合本辦法第十八條規(guī)定的基礎(chǔ)上,建設(shè)同城和異地災(zāi)難備份中心��,實(shí)現(xiàn)數(shù)據(jù)同步保存��。
證券期貨業(yè)關(guān)基單位采取雙活或者多活架構(gòu)部署關(guān)鍵信息基礎(chǔ)設(shè)施的����,確保業(yè)務(wù)連續(xù)運(yùn)行能力不低于前款規(guī)定的前提下,任一數(shù)據(jù)中心可視為其他數(shù)據(jù)中心的災(zāi)難備份設(shè)施���。
第六章 網(wǎng)絡(luò)安全促進(jìn)與發(fā)展
第四十三條 鼓勵(lì)核心機(jī)構(gòu)�、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)在依法合規(guī)的前提下����,積極開展網(wǎng)絡(luò)安全技術(shù)應(yīng)用工作,運(yùn)用新技術(shù)提升網(wǎng)絡(luò)安全保障水平����。
第四十四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)組織開展行業(yè)信息基礎(chǔ)設(shè)施建設(shè)的,應(yīng)當(dāng)在保障本機(jī)構(gòu)網(wǎng)絡(luò)安全的前提下����,為行業(yè)統(tǒng)籌提供服務(wù)�,提升信息技術(shù)資源利用和服務(wù)水平����。
第四十五條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)參加資本市場金融科技創(chuàng)新機(jī)制的,應(yīng)當(dāng)遵守有關(guān)規(guī)定���,在依法合規(guī)����、風(fēng)險(xiǎn)可控的前提下��,有序開展金融科技創(chuàng)新與應(yīng)用��,借助新型信息技術(shù)手段���,提升本機(jī)構(gòu)證券期貨業(yè)務(wù)活動(dòng)的運(yùn)行質(zhì)量和效能�。
信息技術(shù)服務(wù)機(jī)構(gòu)參加資本市場金融科技創(chuàng)新機(jī)制的�,應(yīng)當(dāng)遵守有關(guān)規(guī)定,持續(xù)優(yōu)化技術(shù)服務(wù)水平�����,增強(qiáng)安全合規(guī)管理能力。
第四十六條 核心機(jī)構(gòu)可以申請國家專業(yè)資質(zhì)�,開展證券期貨業(yè)網(wǎng)絡(luò)安全認(rèn)證、檢測��、測試和風(fēng)險(xiǎn)評估等工作����。相關(guān)核心機(jī)構(gòu)應(yīng)當(dāng)保障充足的資源投入�,完善內(nèi)部管理制度和工作流程,保證工作專業(yè)性��、獨(dú)立性和公信力�����。
中國證監(jiān)會(huì)定期對核心機(jī)構(gòu)前款工作開展情況開展評估�����,評估通過的�����,可以將其作為證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管支撐單位���,相關(guān)工作開展情況可以作為中國證監(jiān)會(huì)及其派出機(jī)構(gòu)實(shí)施監(jiān)督管理的參考依據(jù)����。
第四十七條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè),建立與網(wǎng)絡(luò)安全工作特點(diǎn)相適應(yīng)的人才培養(yǎng)機(jī)制��,確保網(wǎng)絡(luò)安全人才的資質(zhì)���、經(jīng)驗(yàn)����、專業(yè)素質(zhì)及職業(yè)道德符合崗位要求�����。
行業(yè)協(xié)會(huì)應(yīng)當(dāng)制定網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃��,定期組織培訓(xùn)交流����,提高證券期貨從業(yè)人員網(wǎng)絡(luò)安全意識(shí)和專業(yè)素養(yǎng)。
第四十八條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)本機(jī)構(gòu)網(wǎng)絡(luò)安全宣傳與教育���,每年至少開展一次網(wǎng)絡(luò)安全教育活動(dòng)�,提升員工網(wǎng)絡(luò)安全意識(shí)。
經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)定期組織開展面向投資者的網(wǎng)絡(luò)安全宣傳教育活動(dòng)��,結(jié)合網(wǎng)上證券期貨業(yè)務(wù)活動(dòng)的特點(diǎn)��,揭示網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���,增強(qiáng)投資者風(fēng)險(xiǎn)防范能力����。
第四十九條 行業(yè)協(xié)會(huì)應(yīng)當(dāng)鼓勵(lì)�����、引導(dǎo)網(wǎng)絡(luò)安全技術(shù)創(chuàng)新與應(yīng)用����,增強(qiáng)自主可控能力�����,組織開展科技獎(jiǎng)勵(lì)���,促進(jìn)行業(yè)科技進(jìn)步�。
行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)信息技術(shù)服務(wù)機(jī)構(gòu)規(guī)范參與行業(yè)網(wǎng)絡(luò)安全和信息化工作,促進(jìn)市場公平競爭�。
第七章 監(jiān)督管理與法律責(zé)任
第五十條 中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以要求核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)提供證券期貨業(yè)網(wǎng)絡(luò)安全管理相關(guān)信息和數(shù)據(jù)���。相關(guān)機(jī)構(gòu)應(yīng)當(dāng)配合�,及時(shí)����、準(zhǔn)確、完整提供相關(guān)資料��。
第五十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)于每年4月30日前�,完成對上一年網(wǎng)絡(luò)安全工作的網(wǎng)絡(luò)安全專項(xiàng)評估,編制網(wǎng)絡(luò)安全管理年報(bào)�,報(bào)送中國證監(jiān)會(huì)及其派出機(jī)構(gòu),年報(bào)內(nèi)容包括但不限于網(wǎng)絡(luò)安全治理情況���、人員情況���、投入情況、風(fēng)險(xiǎn)情況����、處置情況和下一年度工作計(jì)劃等���。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)報(bào)送網(wǎng)絡(luò)安全管理年報(bào)時(shí),可以與中國證監(jiān)會(huì)要求的信息技術(shù)管理專項(xiàng)報(bào)告等其他年度信息技術(shù)類報(bào)告合并報(bào)送����。
證券期貨業(yè)關(guān)基單位應(yīng)當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢測和風(fēng)險(xiǎn)評估情況納入網(wǎng)絡(luò)安全管理年報(bào)。
第五十二條 中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以委托國家��、行業(yè)有關(guān)專業(yè)機(jī)構(gòu)采用滲透測試�����、漏洞掃描及信息技術(shù)風(fēng)險(xiǎn)評估等方式�,協(xié)助對核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)開展監(jiān)督�、檢查�。
第五十三條 中國證監(jiān)會(huì)可以根據(jù)國家有關(guān)要求或者行業(yè)工作需要,組織開展證券期貨業(yè)重要時(shí)期網(wǎng)絡(luò)安全保障���。中國證監(jiān)會(huì)派出機(jī)構(gòu)負(fù)責(zé)督促本轄區(qū)經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)落實(shí)相關(guān)工作要求�。
證券期貨業(yè)重要時(shí)期網(wǎng)絡(luò)安全保障期間���,核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)遵循安全優(yōu)先的原則�,加強(qiáng)安全生產(chǎn)值守工作,嚴(yán)格落實(shí)信息報(bào)送要求��,原則上不得對重要信息系統(tǒng)和門戶網(wǎng)站開展運(yùn)行變更�����、下線刪除等操作����。
第五十四條 核心機(jī)構(gòu)違反本辦法規(guī)定的,中國證監(jiān)會(huì)可以對其采取監(jiān)管談話�����、責(zé)令限期整改等監(jiān)管措施�;對有關(guān)高級管理人員給予警告、記過�、誡勉談話、通報(bào)批評���、撤職等行政處分����,并責(zé)令核心機(jī)構(gòu)對其他責(zé)任人給予紀(jì)律處分。
經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)違反本辦法規(guī)定的�,中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以對其采取責(zé)令改正、監(jiān)管談話����、出具警示函等監(jiān)管措施;對直接責(zé)任人和其他責(zé)任人員采取責(zé)令改正��、監(jiān)管談話��、出具警示函等監(jiān)管措施�;情節(jié)嚴(yán)重的,對相關(guān)機(jī)構(gòu)及責(zé)任人員單處或者并處警告�、十萬元以下罰款,涉及金融安全且有危害后果的����,并處二十萬元以下罰款。
第五十五條 經(jīng)營機(jī)構(gòu)違反本辦法規(guī)定����,反映機(jī)構(gòu)治理混亂����、內(nèi)控失效或者不符合持續(xù)性經(jīng)營規(guī)則的�����,中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《證券公司監(jiān)督管理?xiàng)l例》第七十條�、《證券投資基金法》第二十四條���、《期貨交易管理?xiàng)l例》規(guī)定���,采取責(zé)令暫停借助網(wǎng)絡(luò)開展部分業(yè)務(wù)或者全部業(yè)務(wù)、責(zé)令更換董事���、監(jiān)事���、高級管理人員或者限制其權(quán)利等監(jiān)管措施。
信息技術(shù)服務(wù)機(jī)構(gòu)違反本辦法規(guī)定�����,未履行備案義務(wù)的�����,中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《證券法》第二百一十三條規(guī)定予以處罰�����。
第五十六條 核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)違反本辦法第九條�、第十條、第十七條�、第十八條、第二十三條��、第二十五條���、第三十條�����、第三十一條�����、第三十三條規(guī)定�����,未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)��,或者應(yīng)急管理存在重大過失的����,中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依據(jù)《網(wǎng)絡(luò)安全法》第五十九條第一款規(guī)定予以處罰�。
第五十七條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)違反本辦法第十六條、第三十五條規(guī)定�����,擅自暫�;蛘呓K止借助網(wǎng)絡(luò)向投資者提供服務(wù)的,或者未按照規(guī)定及時(shí)告知投資者����,中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》第六十條規(guī)定予以處罰。
第五十八條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)違反本辦法第二十六條規(guī)定���,違規(guī)處理個(gè)人信息�,或者處理個(gè)人信息未履行個(gè)人信息保護(hù)義務(wù)的����,中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》第六十四條、《個(gè)人信息保護(hù)法》第六十六條規(guī)定予以處罰�����。
第五十九條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)違反本辦法第二十七條規(guī)定的,對法律法規(guī)禁止發(fā)布或者傳輸?shù)男畔⑽赐V箓鬏�、采取消除等處置措施、保存有關(guān)記錄的����,中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》第六十八條第一款、第六十九條規(guī)定予以處罰�����。
第六十條 核心機(jī)構(gòu)����、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)拒絕、阻礙中國證監(jiān)會(huì)及其派出機(jī)構(gòu)行使監(jiān)督檢查�、調(diào)查職權(quán)的,中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依法予以處罰�。
第六十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)參加資本市場金融科技創(chuàng)新機(jī)制或者信息技術(shù)應(yīng)用創(chuàng)新機(jī)制,相關(guān)項(xiàng)目發(fā)生網(wǎng)絡(luò)安全事件�,相關(guān)機(jī)構(gòu)處置得當(dāng),積極消除不良影響的�,中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以予以從輕或者減輕處罰,未對證券期貨市場產(chǎn)生不良影響的��,可以免于處罰。
第八章 附則
第六十二條 本辦法中下列用語的含義:
��。ㄒ唬┖诵臋C(jī)構(gòu)���,是指證券期貨交易場所�、證券登記結(jié)算機(jī)構(gòu)�����、期貨保證金安全存管監(jiān)控機(jī)構(gòu)等承擔(dān)證券期貨市場公共職能�、承擔(dān)證券期貨業(yè)信息基礎(chǔ)設(shè)施運(yùn)營的機(jī)構(gòu)及其下屬機(jī)構(gòu)�。
(二)經(jīng)營機(jī)構(gòu)�,是指證券公司、期貨公司和基金管理公司等證券期貨經(jīng)營機(jī)構(gòu)�。
(三)信息技術(shù)服務(wù)機(jī)構(gòu)�,是指為證券期貨業(yè)務(wù)活動(dòng)提供重要信息系統(tǒng)的開發(fā)、測試��、集成�����、測評、運(yùn)維及日常安全管理等產(chǎn)品或者服務(wù)的機(jī)構(gòu)��。
�。ㄋ模┳C券期貨業(yè)網(wǎng)絡(luò)安全,是指核心機(jī)構(gòu)�、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)采取必要措施,對內(nèi)外部網(wǎng)絡(luò)攻擊���、入侵����、干擾和破壞進(jìn)行有效識(shí)別��、監(jiān)測����、防范和處置,保障承載證券期貨業(yè)務(wù)活動(dòng)的信息系統(tǒng)安全平穩(wěn)運(yùn)行�����,確保相關(guān)網(wǎng)絡(luò)數(shù)據(jù)的完整性��、保密性和可用性�����。
(五)重要數(shù)據(jù)�、核心數(shù)據(jù),是指按照《數(shù)據(jù)安全法》����、國家和證券期貨業(yè)有關(guān)數(shù)據(jù)分類分級保護(hù)制度,確定的重要數(shù)據(jù)、核心數(shù)據(jù)。
����。╇p活或者多活架構(gòu),是指在同城或者異地的兩個(gè)或者多個(gè)數(shù)據(jù)中心同時(shí)對外提供服務(wù)�,當(dāng)其中一個(gè)或者多個(gè)數(shù)據(jù)中心發(fā)生災(zāi)難性事故時(shí),可以將原先由其承載的服務(wù)請求劃撥至其他正常運(yùn)作的數(shù)據(jù)中心���,保障業(yè)務(wù)連續(xù)運(yùn)行�����。
����。ㄆ撸┮陨希侵副緮(shù)以上(含本數(shù))��。
第六十三條 本辦法規(guī)定的核心機(jī)構(gòu)��、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)相關(guān)報(bào)告事項(xiàng)�����,是指依照監(jiān)管職責(zé)��,核心機(jī)構(gòu)應(yīng)當(dāng)向中國證監(jiān)會(huì)報(bào)告�;除中國證監(jiān)會(huì)另有要求的,經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)原則上應(yīng)當(dāng)向?qū)俚刂袊C監(jiān)會(huì)派出機(jī)構(gòu)報(bào)告�。
第六十四條 國家對存儲(chǔ)、處理涉及國家秘密信息的網(wǎng)絡(luò)安全管理另有規(guī)定的�,從其規(guī)定。
第六十五條 境內(nèi)開展證券公司客戶交易結(jié)算資金第三方存管業(yè)務(wù)��、期貨保證金存管業(yè)務(wù)的商業(yè)銀行���,證券投資咨詢機(jī)構(gòu)�����,基金托管機(jī)構(gòu)和從事基金銷售支付�、份額登記、估值��、評價(jià)等基金服務(wù)業(yè)務(wù)的機(jī)構(gòu)����,借助信息系統(tǒng)從事證券期貨業(yè)務(wù)活動(dòng)的經(jīng)營機(jī)構(gòu)子公司,借助自身運(yùn)維管理的信息系統(tǒng)從事證券投資活動(dòng)且存續(xù)產(chǎn)品涉及投資者人數(shù)合計(jì)一千人以上的私募證券投資基金管理人�,區(qū)域性股權(quán)市場運(yùn)營機(jī)構(gòu),應(yīng)當(dāng)根據(jù)相關(guān)信息系統(tǒng)網(wǎng)絡(luò)安全管理的特點(diǎn)�,參照適用本辦法。
第六十六條 本辦法自2022 年 月 日起施行�。2012年11月1日公布的《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)會(huì)令第82號)同時(shí)廢止。
《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)》起草說明
為建立健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系�����,防范化解行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患�����,維護(hù)資本市場安全平穩(wěn)高效運(yùn)行����,在充分銜接上位要求�����、總結(jié)監(jiān)管實(shí)踐的基礎(chǔ)上,證監(jiān)會(huì)研究起草了《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)》(以下簡稱《辦法》)��,F(xiàn)說明如下:
一�����、起草背景
近年來���,證券期貨業(yè)機(jī)構(gòu)對網(wǎng)絡(luò)安全的重視程度大幅提升��,組織架構(gòu)和制度體系持續(xù)優(yōu)化�,信息技術(shù)投入逐年增加��,行業(yè)網(wǎng)絡(luò)安全運(yùn)行態(tài)勢總體平穩(wěn)���。但是��,隨著行業(yè)數(shù)字化加速發(fā)展�、網(wǎng)絡(luò)安全上升為國家戰(zhàn)略�、資本市場持續(xù)深化改革等內(nèi)外部條件的變化,證券期貨業(yè)網(wǎng)絡(luò)安全面臨的新情況新問題逐漸凸顯��,主要體現(xiàn)在以下方面:
(一)行業(yè)網(wǎng)絡(luò)安全形勢嚴(yán)峻復(fù)雜��。一是隨著大數(shù)據(jù)�、云計(jì)算、區(qū)塊鏈和人工智能等新技術(shù)應(yīng)用的不斷深入����,證券期貨業(yè)務(wù)與技術(shù)加速融合,各類業(yè)務(wù)活動(dòng)日益依賴網(wǎng)絡(luò)安全和信息化����,增加了網(wǎng)絡(luò)安全管理的復(fù)雜度。二是隨著行業(yè)機(jī)構(gòu)數(shù)字化轉(zhuǎn)型的提速��,信息系統(tǒng)建設(shè)任務(wù)明顯增加��,上線變更操作較為頻繁�,行業(yè)網(wǎng)絡(luò)安全管理能力面臨更大挑戰(zhàn)。
���。ǘ┓煞ㄒ(guī)的上位要求有待進(jìn)一步落實(shí)����!毒W(wǎng)絡(luò)安全法》于2017年6月正式施行��,2021年下半年以來�,《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)密集發(fā)布實(shí)施�����,我國網(wǎng)絡(luò)安全法律體系進(jìn)一步健全�,新型網(wǎng)絡(luò)安全管理框架基本成型。對此�����,證監(jiān)會(huì)雖于2012年以來發(fā)布《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)會(huì)令82號)《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》(證監(jiān)會(huì)令152號)等監(jiān)管規(guī)則���,但是由于制定時(shí)間較早����、監(jiān)管實(shí)踐變化等原因�����,相關(guān)監(jiān)管規(guī)則在有效銜接上位要求方面有待進(jìn)一步完善��。
�����。ㄈ┍O(jiān)管實(shí)踐成果制度化還需加強(qiáng)。2020年以來�,證監(jiān)會(huì)穩(wěn)步推動(dòng)科技監(jiān)管深化改革,監(jiān)管體制機(jī)制不斷優(yōu)化����,信息技術(shù)服務(wù)機(jī)構(gòu)備案管理、資本市場金融科技創(chuàng)新試點(diǎn)等工作全面展開�����,與相關(guān)部委進(jìn)一步形成監(jiān)管合力����,溝通協(xié)作更加順暢,需要及時(shí)總結(jié)實(shí)踐經(jīng)驗(yàn)���,將改革成果制度化機(jī)制化�。
基于上述新情況新問題�,亟需進(jìn)一步健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系,制定專門的行業(yè)網(wǎng)絡(luò)安全管理相關(guān)的部門規(guī)章�����,補(bǔ)齊制度供給短板���,構(gòu)建證券期貨業(yè)網(wǎng)絡(luò)安全管理的體系框架���,提升行業(yè)網(wǎng)絡(luò)安全保障能力。
二�����、起草思路
����。ㄒ唬┞鋵(shí)上位要求,汲取實(shí)踐經(jīng)驗(yàn)������!掇k法》聚焦網(wǎng)絡(luò)安全管理,強(qiáng)化數(shù)據(jù)安全和個(gè)人信息保護(hù)�,結(jié)合證券期貨業(yè)特點(diǎn),為《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)在證券期貨業(yè)的有效落地���,明確實(shí)施路徑�,提供制度保障。同時(shí)��,總結(jié)行業(yè)近年來監(jiān)管工作成效�,將實(shí)踐經(jīng)驗(yàn)轉(zhuǎn)化為制度成果,固化工作機(jī)制�����。
����。ǘ└采w各類主體,厘清權(quán)責(zé)邊界�。一方面,充分考慮證券期貨業(yè)各類主體的責(zé)任義務(wù)和業(yè)務(wù)特點(diǎn)�����,對證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位�����、核心機(jī)構(gòu)��、經(jīng)營機(jī)構(gòu)以及信息技術(shù)服務(wù)機(jī)構(gòu),從網(wǎng)絡(luò)安全管理方面分別提出監(jiān)管要求����。另一方面�,理清職責(zé)分工,對各方監(jiān)管部門����、自律組織的網(wǎng)絡(luò)安全監(jiān)管職責(zé)做出明確規(guī)定。
���。ㄈ﹪(yán)守安全底線�����,促進(jìn)科技發(fā)展���。《辦法》以保障安全為基本原則��,從建設(shè)����、運(yùn)維�����、使用網(wǎng)絡(luò)及信息系統(tǒng)���,到識(shí)別、監(jiān)測��、防范�、處置風(fēng)險(xiǎn)等方面,構(gòu)建了完整的網(wǎng)絡(luò)安全監(jiān)管框架�,對行業(yè)機(jī)構(gòu)提出全方位的網(wǎng)絡(luò)安全管理要求。在此基礎(chǔ)上�����,《辦法》還注重通過發(fā)展解決問題�,通過技術(shù)架構(gòu)的升級優(yōu)化,提升安全保障能力�����,并在信息基礎(chǔ)設(shè)施建設(shè)���、金融科技創(chuàng)新等方面做出了制度安排��。
三����、主要內(nèi)容
《辦法》共八章六十六條,對證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理體系���、網(wǎng)絡(luò)安全運(yùn)行、數(shù)據(jù)安全統(tǒng)籌管理����、網(wǎng)絡(luò)安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全�、網(wǎng)絡(luò)安全促進(jìn)與發(fā)展、監(jiān)督管理與法律責(zé)任等方面提出了要求�。具體包括:
(一)總則��。規(guī)定立法宗旨���、適用范圍�����、適用主體�、工作目標(biāo)及監(jiān)管職責(zé),厘清核心機(jī)構(gòu)�����、經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)等行業(yè)機(jī)構(gòu)的責(zé)任邊界����。
(二)網(wǎng)絡(luò)安全運(yùn)行�����。督促行業(yè)機(jī)構(gòu)建立健全網(wǎng)絡(luò)安全管理體制機(jī)制���,提升網(wǎng)絡(luò)安全運(yùn)行保障能力�。一是要求核心機(jī)構(gòu)�、經(jīng)營機(jī)構(gòu)具有完善的治理架構(gòu),強(qiáng)化管理層責(zé)任��,指定牽頭部門�����,保障資源投入���。二是對核心機(jī)構(gòu)���、經(jīng)營機(jī)構(gòu)的信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施提出基本要求���,明確等級保護(hù)義務(wù)。三是要求核心機(jī)構(gòu)�、經(jīng)營機(jī)構(gòu)審慎開展系統(tǒng)新建、變更和移除���,及時(shí)履行投資者告知義務(wù),加強(qiáng)日常監(jiān)測����。四是對核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)明確信息系統(tǒng)備份能力有關(guān)要求����,提出壓力測試常態(tài)化要求。五是從制度體系���、人員配備�����、合規(guī)安全等方面�,對信息技術(shù)服務(wù)機(jī)構(gòu)提出監(jiān)管要求。六是強(qiáng)化核心機(jī)構(gòu)���、經(jīng)營機(jī)構(gòu)采購產(chǎn)品和服務(wù)的準(zhǔn)入�、評估�、改進(jìn)要求,提升自主研發(fā)和安全可控能力����,加強(qiáng)知識(shí)產(chǎn)權(quán)保護(hù)。
��。ㄈ⿺(shù)據(jù)安全統(tǒng)籌管理�。一是從制度機(jī)制、組織架構(gòu)��、行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)����、權(quán)限管理、質(zhì)量評估�����、防范泄露損毀等方面,明確證券期貨業(yè)的具體要求�。二是配套上位要求,對數(shù)據(jù)分類分級���、個(gè)人信息保護(hù)�、規(guī)范信息發(fā)布等方面作進(jìn)一步強(qiáng)調(diào)��。三是為建立證券期貨業(yè)戰(zhàn)略備份數(shù)據(jù)中心預(yù)留制度空間��,提升行業(yè)極限災(zāi)難應(yīng)對能力���。
����。ㄋ模┚W(wǎng)絡(luò)安全應(yīng)急處置�����。一是建立風(fēng)險(xiǎn)監(jiān)測預(yù)警體制�����,加強(qiáng)日常漏洞掃描�����、安全評估�,及時(shí)消除風(fēng)險(xiǎn)隱患。二是完善應(yīng)急預(yù)案的應(yīng)急場景和處置流程�,要求定期開展應(yīng)急演練。三是強(qiáng)化網(wǎng)絡(luò)安全事件報(bào)告和調(diào)查處理工作�����,明確故障排查��、相關(guān)方告知等工作要求�����。
�����。ㄎ澹╆P(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全�。落實(shí)國家關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)要求,結(jié)合行業(yè)特點(diǎn)����,從組織保障��、建設(shè)評審�����、變化報(bào)告�、檢測評估����、采購管理、性能容量�����、災(zāi)難備份等方面�����,對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位提出進(jìn)一步的督導(dǎo)要求�����。
�。┚W(wǎng)絡(luò)安全促進(jìn)與發(fā)展。一是鼓勵(lì)相關(guān)機(jī)構(gòu)在依法合規(guī)���、風(fēng)險(xiǎn)可控�、不損害投資者利益的前提下����,開展行業(yè)網(wǎng)絡(luò)安全技術(shù)應(yīng)用。二是核心機(jī)構(gòu)�����、經(jīng)營機(jī)構(gòu)可以在保障自身信息系統(tǒng)安全的前提下�,為行業(yè)提供信息基礎(chǔ)設(shè)施服務(wù)。三是建立金融科技創(chuàng)新監(jiān)管機(jī)制����,加強(qiáng)網(wǎng)絡(luò)安全監(jiān)管專業(yè)支撐,核心機(jī)構(gòu)可以申請國家相關(guān)專業(yè)資質(zhì)����,開展行業(yè)網(wǎng)絡(luò)安全認(rèn)證、檢測�、測試和風(fēng)險(xiǎn)評估等工作。四是強(qiáng)化行業(yè)網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)��,定期開展網(wǎng)絡(luò)安全宣傳與教育。五是發(fā)揮行業(yè)協(xié)會(huì)作用�����,引導(dǎo)網(wǎng)絡(luò)安全技術(shù)創(chuàng)新與應(yīng)用���,組織科技獎(jiǎng)勵(lì)�,促進(jìn)行業(yè)科技進(jìn)步�����、市場公平競爭�。
(七)監(jiān)督管理與法律責(zé)任���。一是規(guī)定行業(yè)機(jī)構(gòu)的報(bào)告義務(wù)和流程要求�。二是明確證監(jiān)會(huì)及其派出機(jī)構(gòu)可以委托專業(yè)機(jī)構(gòu)采用滲透測試����、漏洞掃描和風(fēng)險(xiǎn)評估等方式對行業(yè)機(jī)構(gòu)開展監(jiān)督檢查。三是對重要時(shí)期的網(wǎng)絡(luò)安全保障工作明確制度安排�。四是依據(jù)上位要求,結(jié)合違法違規(guī)的具體情形����,規(guī)定相應(yīng)罰則,并規(guī)定創(chuàng)新容錯(cuò)相關(guān)制度安排�����。
此外�,《辦法》還明確了名詞釋義、參照執(zhí)行主體和情境����、實(shí)施時(shí)間以及相關(guān)辦法銜接等事項(xiàng)。
日期:2022-5-3 11:19:31 | 關(guān)閉 |
