Law-lib.com 2022-5-3 11:19:31 中國證監(jiān)會
為建立健全證券期貨業(yè)網絡安全監(jiān)管制度體系,防范化解行業(yè)網絡安全風險隱患�,維護資本市場安全平穩(wěn)高效運行�,我會起草了《證券期貨業(yè)網絡安全管理辦法(征求意見稿)》,現(xiàn)向社會公開征求意見����。公眾可通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部 中國政府法制信息網(www.moj.gov.cn�、www.chinalaw.gov.cn)����,進入首頁主菜單的“立法意見征集”欄目提出意見�。
2.登錄中國證監(jiān)會網站(www.csrc.gov.cn)�,進入首頁右側點擊“公開征求意見”欄目提出意見。
3.傳真:010-88061444
4.電子郵箱:[email protected]
5.通信地址:北京市西城區(qū)金融大街富凱大廈中國證監(jiān)會科技監(jiān)管局��,郵政編碼:100033��。
意見反饋截止時間為2022年5月29日��。
中國證監(jiān)會
2022年4月29日
證券期貨業(yè)網絡安全管理辦法(征求意見稿)
第一章 總則
第一條 為了保障證券期貨業(yè)網絡安全,保護投資者合法權益,促進證券期貨業(yè)穩(wěn)定健康發(fā)展��,根據《證券法》��、《證券投資基金法》、《網絡安全法》�、《數(shù)據安全法》����、《個人信息保護法》����、《期貨交易管理條例》、《關鍵信息基礎設施安全保護條例》等法律法規(guī)�,制定本辦法����。
第二條 核心機構和經營機構在中華人民共和國境內建設、運營��、維護和使用網絡及信息系統(tǒng),信息技術服務機構為證券期貨業(yè)務活動提供產品或者服務的網絡安全保障����,以及證券期貨業(yè)網絡安全的監(jiān)督管理��,適用本辦法。
第三條 核心機構和經營機構應當遵循保障安全�、促進發(fā)展的原則���,建立健全網絡安全防護體系���,提升網絡安全保障水平���,確保網絡安全與信息化工作同步推進��,促進本機構相關工作穩(wěn)妥健康發(fā)展。
信息技術服務機構應當遵循技術安全、功能合規(guī)的原則���,為證券期貨業(yè)務活動提供產品或者服務,與核心機構、經營機構共同保障行業(yè)網絡安全�,促進行業(yè)信息化發(fā)展����。
第四條 核心機構和經營機構應當依法履行網絡安全保護義務����,對本機構網絡安全負責,相關責任不因其他機構提供產品或者服務進行轉移或者減輕。
信息技術服務機構應當勤勉盡責��,對提供產品或者服務的合規(guī)性����、安全性承擔責任。
第五條 中國證監(jiān)會依法履行以下監(jiān)督管理職責:
(一)組織制定并推動落實證券期貨業(yè)網絡安全和信息化發(fā)展規(guī)劃�����、監(jiān)管規(guī)則和行業(yè)標準��;
�����。ǘ┴撠熥C券期貨業(yè)網絡安全的監(jiān)督管理���,對證券期貨業(yè)關鍵信息基礎設施進行監(jiān)管�;
(三)負責證券期貨業(yè)網絡安全重大技術路線、重大科技項目管理;
���。ㄋ模┙M織開展證券期貨業(yè)數(shù)據安全統(tǒng)籌管理���;
���。ㄎ澹┴撠熥C券期貨業(yè)網絡安全應急演練�、應急處置和事件報告與調查處理����;
(六)指導證券期貨業(yè)網絡安全促進與發(fā)展�;
�����。ㄆ撸┓煞ㄒ�(guī)規(guī)定的其他網絡安全監(jiān)管職責��。
第六條 中國證監(jiān)會建立集中管理��、分級負責的證券期貨業(yè)網絡安全監(jiān)督管理體制����。中國證監(jiān)會科技監(jiān)管部門統(tǒng)一對證券期貨業(yè)網絡安全實施監(jiān)督管理����。中國證監(jiān)會其他部門配合開展相關工作。
中國證監(jiān)會派出機構對本轄區(qū)經營機構和信息技術服務機構網絡安全實施監(jiān)督管理。
中證信息技術服務有限責任公司在中國證監(jiān)會指導下�����,為證券期貨業(yè)網絡安全監(jiān)督管理提供專業(yè)協(xié)助和支撐��。
第七條 中國證券業(yè)協(xié)會��、中國期貨業(yè)協(xié)會�����、中國證券投資基金業(yè)協(xié)會等行業(yè)協(xié)會(以下統(tǒng)稱行業(yè)協(xié)會)依法制定行業(yè)網絡安全自律規(guī)則��,對經營機構網絡安全實施自律管理��。
第八條 核心機構依法制定保障市場相關主體與本機構信息系統(tǒng)安全互聯(lián)的技術規(guī)則,對與本機構信息系統(tǒng)和網絡通信設施相關聯(lián)主體加強指導�����,督促其強化網絡安全管理���,保障相關信息系統(tǒng)和網絡通信設施的安全平穩(wěn)運行��。
第二章 網絡安全運行
第九條 核心機構和經營機構應當具有完善的信息技術治理架構��,健全網絡安全管理制度體系,建立內部決策�、管理�、執(zhí)行和監(jiān)督機制�,確保網絡安全管理能力與信息化發(fā)展水平相匹配。
信息技術服務機構應當建立網絡安全管理制度����,配備相應的安全��、合規(guī)管理人員,建立與提供產品或者服務相適應的網絡安全管理機制�。
第十條 核心機構和經營機構應當明確主要負責人為本機構網絡安全第一責任人����,分管科技工作的負責人為直接責任人����。
核心機構和經營機構應當建立網絡安全工作協(xié)調和決策機制����,保障網絡安全第一責任人和直接責任人履行職責。
第十一條 核心機構和經營機構應當指定網絡安全工作牽頭部門或者機構,負責管理重要信息系統(tǒng)和相關基礎設施����、制定網絡安全應急預案����、組織應急演練����、認定網絡安全關鍵崗位等工作�。
第十二條 核心機構和經營機構應當配備網絡安全專職人員�,保障技術人員數(shù)量和資金投入與業(yè)務活動規(guī)模及復雜程度相適應,網絡安全專職人員應當具備與履行職責相匹配的專業(yè)知識和職業(yè)技能�。
第十三條 核心機構和經營機構應當確保信息系統(tǒng)和相關基礎設施具備合理的架構����,足夠的性能���、容量�����、可靠性����、擴展性和安全性����,并保證相關安全技術措施與信息化工作同步規(guī)劃���、同步建設�、同步使用。信息系統(tǒng)的性能容量不得低于歷史峰值的兩倍。
第十四條 核心機構和經營機構應當落實網絡安全等級保護制度���,依法履行網絡安全等級保護義務,按照國家和證券期貨業(yè)定級標準和定級要求,向公安機關辦理備案和變更。
核心機構和經營機構應當按照相關要求�,將網絡安全等級保護定級��、變更和日常工作開展情況及時報告中國證監(jiān)會及其派出機構。
第十五條 核心機構和經營機構新建上線、運行變更��、下線移除重要信息系統(tǒng)的�,應當進行風險評估并開展充分測試,制定應急處置和回退方案;可能對證券期貨市場安全平穩(wěn)運行產生較大影響的,應當提前向中國證監(jiān)會及其派出機構報告�。
第十六條 核心機構和經營機構暫����;蛘呓K止借助網絡向投資者提供服務前����,應當履行告知義務�,合理選取公告、定向通知等方式告知投資者相關業(yè)務影響情況、替代方式及其他應對措施�。
第十七條 核心機構和經營機構應當建立健全網絡安全監(jiān)測預警機制��,設定監(jiān)測指標,持續(xù)監(jiān)測信息系統(tǒng)和相關基礎設施的運行狀況,及時處置異常情形,對監(jiān)測機制執(zhí)行效果進行定期評估并持續(xù)優(yōu)化���。
核心機構和經營機構應當全面、準確記錄并妥善保存生產運營過程中的業(yè)務日志和系統(tǒng)日志,確保滿足故障分析����、內部控制�、調查取證等工作的需要���。業(yè)務日志保存期限不得少于二十年��,系統(tǒng)日志保存期限不得少于六個月。
第十八條 核心機構和經營機構應當建立同城和異地數(shù)據備份設施���,至少每天備份數(shù)據一次,每季度至少對數(shù)據備份進行一次有效性驗證���。
核心機構和經營機構應當建立信息系統(tǒng)的故障備份設施和災難備份設施,根據信息系統(tǒng)的重要程度和影響范圍�,確定恢復目標����,保證業(yè)務活動連續(xù)。災難備份設施應當通過同城或者異地災難備份中心的形式體現(xiàn)��。
核心機構和經營機構采取雙活或者多活架構部署重要信息系統(tǒng)的���,確保業(yè)務連續(xù)運行能力不低于前款規(guī)定的前提下��,任一數(shù)據中心可以視為其他數(shù)據中心的災難備份設施���。
第十九條 核心機構和經營機構應當至少每半年開展一次重要信息系統(tǒng)壓力測試����,根據系統(tǒng)技術特點和承載業(yè)務類型����,制定壓力測試方案�,設定測試場景,從系統(tǒng)處理能力�����、網絡冗余��、災備建設等方面設置測試指標,有序組織測試工作,測試完成后形成壓力測試報告存檔備查��。
核心機構和經營機構應當按照有關要求��,參加中國證監(jiān)會組織開展的全行業(yè)重要信息系統(tǒng)壓力測試����,并根據測試情況及時整改�;暫時無法整改的��,應當制定切實可行的整改計劃�。
第二十條 信息技術服務機構應當依法向中國證監(jiān)會備案,并按照有關業(yè)務規(guī)則為證券期貨業(yè)務活動提供信息技術產品或者服務。
核心機構和經營機構應當建立健全內部管理機制�,完善信息技術產品和服務準入標準,審慎采購并持續(xù)評估相關產品和服務的質量,加強保密管理�,及時改進風險管理措施����,健全應急處置機制�,保障本機構網絡安全和相關業(yè)務的安全平穩(wěn)運行����。
第二十一條 核心機構和經營機構應當加強自主研發(fā)能力建設,持續(xù)提升自主可控能力��,并按照國家及中國證監(jiān)會有關要求開展信息技術應用創(chuàng)新相關工作。
第二十二條 核心機構和經營機構應當按照知識產權相關法律法規(guī)�,制定知識產權保護策略和制度��,采取有效措施保護本機構自主知識產權,不侵犯他人的知識產權��。
第三章 數(shù)據安全統(tǒng)籌管理
第二十三條 核心機構和經營機構應當履行數(shù)據安全管理責任�����,包括但不限于以下方面:
���。ㄒ唬┙⒔∪珨�(shù)據安全管理制度體系�����,完善數(shù)據運營和管控機制��;
��。ǘ┙∪珨�(shù)據安全管理組織架構,明確數(shù)據安全管理權責機制;
�����。ㄈ┮罁袠I(yè)相關數(shù)據標準,制定覆蓋本機構全部業(yè)務數(shù)據的相關標準,實施與業(yè)務特點相適應的數(shù)據分類分級管理�;
��。ㄋ模┙�(shù)據權限管理策略��,按照最小授權原則設置數(shù)據訪問權限�����,定期排查清理,并對數(shù)據訪問記錄進行留痕審計;
�����。ㄎ澹嫿〝�(shù)據質量評估框架,建立質量管控和追責機制���;
(六)法律法規(guī)及中國證監(jiān)會規(guī)定的其他事項��。
第二十四條 核心機構和經營機構處理重要數(shù)據��、核心數(shù)據的�,應當依法明確數(shù)據安全負責人��,指定數(shù)據安全管理機構或者部門���。
核心機構和經營機構處理重要數(shù)據的信息系統(tǒng)原則上應當滿足三級以上網絡安全等級保護要求����,處理核心數(shù)據的信息系統(tǒng)依照有關法律法規(guī)從嚴保護��。
第二十五條 核心機構和經營機構應當綜合采取網絡隔離���、用戶認證���、訪問控制����、數(shù)據加密����、病毒防范、非法入侵檢測和網絡安全態(tài)勢感知等技術手段����,及時識別、阻斷和溯源相關網絡攻擊����,保障數(shù)據安全。
第二十六條 核心機構和經營機構應當遵循合法����、正當�、必要和誠信原則處理投資者個人信息���,依法履行投資者個人信息保護義務���,包括但不限于下列要求:
������。ㄒ唬┦占瘋人信息���,應當告知投資者個人信息處理的目的����、方式和范圍,并取得個人同意����;
��。ǘ┎扇”匾陌踩夹g措施存儲����、傳輸個人信息,防止個人信息泄露、篡改����、丟失;
��。ㄈ┖侠泶_定個人信息使用策略和操作權限�,不得濫用個人信息��;
��。ㄋ模┨幚碜C券期貨賬戶等敏感個人信息����、向他人提供或者公開個人信息的,應當取得個人的單獨同意��。
為履行法定職責�、法定義務或者監(jiān)管要求所必需,核心機構和經營機構可以在未取得個人同意的情況下�,處理個人信息���。
第二十七條 核心機構和經營機構應當建立信息發(fā)布審核機制�,加強對本機構和用戶發(fā)布信息的管理�����,發(fā)現(xiàn)違反法律法規(guī)和有關監(jiān)管規(guī)定的���,應當立即停止發(fā)布傳輸�����,采取必要的處置措施,防止信息擴散��,積極消除負面影響�,并及時向中國證監(jiān)會及其派出機構報告��。
信息技術服務機構為證券期貨業(yè)務活動提供產品或者服務的�����,應當按照前款規(guī)定執(zhí)行。
第二十八條 任何機構和個人不得違規(guī)開展證券期貨業(yè)重要信息系統(tǒng)認證、檢測�、風險評估等活動�,不得違規(guī)向社會發(fā)布證券期貨業(yè)系統(tǒng)漏洞����、計算機病毒����、網絡攻擊�、網絡侵入等網絡安全信息。
第二十九條 中國證監(jiān)會可以指定相關機構建設證券期貨業(yè)戰(zhàn)略備份數(shù)據中心��,開展行業(yè)數(shù)據的集中備份和管理工作,持續(xù)提升證券期貨業(yè)重大災難應對能力����。
核心機構和經營機構應當按照規(guī)定及時向證券期貨業(yè)戰(zhàn)略數(shù)據備份中心報送數(shù)據����,報送的數(shù)據必須真實、準確、完整。
第四章 網絡安全應急處置
第三十條 核心機構和經營機構應當建立網絡安全風險監(jiān)測預警機制,加強日常監(jiān)測,定期開展漏洞掃描���、安全評估等工作。核心機構�、經營機構和信息技術服務機構發(fā)現(xiàn)網絡安全產品或者服務存在安全缺陷、系統(tǒng)漏洞等風險隱患的,應當及時核實并加固整改;可能對證券期貨業(yè)網絡安全產生較大影響的,應當向中國證監(jiān)會及其派出機構報告。
中國證監(jiān)會及其派出機構可以就相關安全缺陷����、系統(tǒng)漏洞等風險隱患開展行業(yè)通報,核心機構、經營機構和信息技術服務機構應當及時排查并采取風險防范措施�����。
第三十一條 核心機構和經營機構應當根據業(yè)務影響分析情況�,建立健全網絡安全應急預案,明確應急目標����、應急組織和處置流程��,應急場景應當覆蓋網絡安全事件和自然災害突發(fā)、重大人事變動����、信息技術服務機構退出等情形�。
第三十二條 核心機構應當組織與本機構信息系統(tǒng)和網絡通信設施相關聯(lián)主體開展網絡安全應急演練�,頻率不低于每年一次,并于演練后15個工作日內將相關情況報告中國證監(jiān)會�。
核心機構和經營機構應當定期開展網絡安全應急演練�,并形成應急演練報告存檔備查��。
第三十三條 核心機構和經營機構應當建立網絡安全應急處置機制�,及時處置網絡安全事件���,盡快恢復信息系統(tǒng)的正常運行����,保護事件現(xiàn)場和相關證據��,向中國證監(jiān)會及其派出機構進行應急報告,不得瞞報�����、謊報、遲報����、漏報。
信息技術服務機構應當協(xié)助開展信息系統(tǒng)故障排查����、修復等工作��,并及時告知使用同類產品或者服務的核心機構和經營機構,配合開展風險排查和整改工作��。
第三十四條 核心機構和經營機構應當在網絡安全事件應急處置結束、系統(tǒng)恢復正常運行后組織內部調查����,認定并追究事件責任�,按照有關規(guī)定報告中國證監(jiān)會及其派出機構��。
核心機構和經營機構應當配合中國證監(jiān)會及其派出機構��,對網絡安全事件進行調查處理,盡快完成整改�。
第三十五條 核心機構和經營機構發(fā)生網絡安全事件的��,應當及時通過官方網站、自媒體等渠道公示相關方可以采取的替代方式或者其他應急措施����,提示相關方防范和應對可能出現(xiàn)的風險��。
核心機構和經營機構發(fā)生網絡安全事件,損害投資者合法權益的�����,中國證監(jiān)會及其派出機構可以要求其履行投資者告知義務����。
第五章 關鍵信息基礎設施網絡安全
第三十六條 運營關鍵信息基礎設施的核心機構和經營機構(以下簡稱證券期貨業(yè)關基單位)應當按照法律法規(guī)及中國證監(jiān)會有關規(guī)定,開展關鍵信息基礎設施安全保護工作��,保障關鍵信息基礎設施安全穩(wěn)定運行����,維護數(shù)據的完整性、保密性和可用性。
第三十七條 證券期貨業(yè)關基單位應當將關鍵信息基礎設施安全保護情況納入網絡安全第一責任人�����、直接責任人和相關人員的責任考核機制��。
證券期貨業(yè)關基單位應當指定專項工作領導機構或者部門負責關鍵信息基礎設施安全保護����,配備至少五名網絡安全專職人員�����,為每個關鍵信息基礎設施指定一名網絡安全管理責任人���,并明確崗位職責和分工�。網絡安全專職人員履職前��,證券期貨業(yè)關基單位應當依法開展安全背景審查�,相關人員不適合崗位要求的,應當及時調整。
第三十八條 證券期貨業(yè)關基單位對關鍵信息基礎設施實施運行變更或者下線移除��,可能對證券期貨市場安全平穩(wěn)運行產生較大影響的���,應當在遵守本辦法第十五條的前提下��,組織來自監(jiān)管部門����、行業(yè)機構�����、外部專業(yè)機構的專家開展專項評審���;未通過評審的�,證券期貨業(yè)關基單位原則上不得實施運行變更����、下線移除等操作。
證券期貨業(yè)關鍵信息基礎設施停止運營或者發(fā)生較大變化,可能影響認定結果的��,相關機構應當及時將相關情況報告中國證監(jiān)會及其派出機構��。
第三十九條 證券期貨業(yè)關基單位應當每年至少進行一次網絡安全檢測和風險評估�,對發(fā)現(xiàn)的安全問題及時整改�,網絡安全檢測和風險評估的內容包括但不限于:關鍵信息基礎設施的運行情況�、面臨的主要威脅���、風險管理情況����、應急處置情況等。
第四十條 證券期貨業(yè)關基單位采購網絡產品和服務的��,應當按照有關要求開展風險預判工作��,評估投入使用后可能對關鍵信息基礎設施安全保護����、金融安全和國家安全帶來的風險隱患,形成評估報告報送中國證監(jiān)會及其派出機構��,并依法開展網絡安全審查�。
第四十一條 證券期貨業(yè)關基單位應當對關鍵信息基礎設施的安全運行進行持續(xù)監(jiān)測��,定期開展壓力測試����,發(fā)現(xiàn)系統(tǒng)性能和網絡容量不足的�,應當及時采取系統(tǒng)升級、擴容等處置措施����,確保系統(tǒng)性能容量不低于歷史峰值的三倍�,網絡帶寬不得低于歷史峰值的兩倍�。
第四十二條 證券期貨業(yè)關基單位應當在符合本辦法第十八條規(guī)定的基礎上,建設同城和異地災難備份中心�����,實現(xiàn)數(shù)據同步保存��。
證券期貨業(yè)關基單位采取雙活或者多活架構部署關鍵信息基礎設施的���,確保業(yè)務連續(xù)運行能力不低于前款規(guī)定的前提下����,任一數(shù)據中心可視為其他數(shù)據中心的災難備份設施��。
第六章 網絡安全促進與發(fā)展
第四十三條 鼓勵核心機構�����、經營機構和信息技術服務機構在依法合規(guī)的前提下,積極開展網絡安全技術應用工作�,運用新技術提升網絡安全保障水平�����。
第四十四條 核心機構和經營機構組織開展行業(yè)信息基礎設施建設的�,應當在保障本機構網絡安全的前提下,為行業(yè)統(tǒng)籌提供服務��,提升信息技術資源利用和服務水平�。
第四十五條 核心機構和經營機構參加資本市場金融科技創(chuàng)新機制的����,應當遵守有關規(guī)定,在依法合規(guī)�����、風險可控的前提下�����,有序開展金融科技創(chuàng)新與應用�����,借助新型信息技術手段,提升本機構證券期貨業(yè)務活動的運行質量和效能�����。
信息技術服務機構參加資本市場金融科技創(chuàng)新機制的����,應當遵守有關規(guī)定,持續(xù)優(yōu)化技術服務水平����,增強安全合規(guī)管理能力。
第四十六條 核心機構可以申請國家專業(yè)資質,開展證券期貨業(yè)網絡安全認證、檢測����、測試和風險評估等工作��。相關核心機構應當保障充足的資源投入�,完善內部管理制度和工作流程�����,保證工作專業(yè)性����、獨立性和公信力�����。
中國證監(jiān)會定期對核心機構前款工作開展情況開展評估��,評估通過的,可以將其作為證券期貨業(yè)網絡安全監(jiān)管支撐單位���,相關工作開展情況可以作為中國證監(jiān)會及其派出機構實施監(jiān)督管理的參考依據。
第四十七條 核心機構和經營機構應當加強網絡安全人才隊伍建設���,建立與網絡安全工作特點相適應的人才培養(yǎng)機制,確保網絡安全人才的資質��、經驗���、專業(yè)素質及職業(yè)道德符合崗位要求��。
行業(yè)協(xié)會應當制定網絡安全培訓計劃��,定期組織培訓交流��,提高證券期貨從業(yè)人員網絡安全意識和專業(yè)素養(yǎng)�。
第四十八條 核心機構和經營機構應當加強本機構網絡安全宣傳與教育��,每年至少開展一次網絡安全教育活動��,提升員工網絡安全意識。
經營機構應當定期組織開展面向投資者的網絡安全宣傳教育活動����,結合網上證券期貨業(yè)務活動的特點�,揭示網絡安全風險����,增強投資者風險防范能力�。
第四十九條 行業(yè)協(xié)會應當鼓勵�、引導網絡安全技術創(chuàng)新與應用,增強自主可控能力����,組織開展科技獎勵����,促進行業(yè)科技進步。
行業(yè)協(xié)會應當引導信息技術服務機構規(guī)范參與行業(yè)網絡安全和信息化工作�,促進市場公平競爭��。
第七章 監(jiān)督管理與法律責任
第五十條 中國證監(jiān)會及其派出機構可以要求核心機構、經營機構和信息技術服務機構提供證券期貨業(yè)網絡安全管理相關信息和數(shù)據。相關機構應當配合,及時���、準確、完整提供相關資料。
第五十一條 核心機構和經營機構應當于每年4月30日前�����,完成對上一年網絡安全工作的網絡安全專項評估���,編制網絡安全管理年報�����,報送中國證監(jiān)會及其派出機構,年報內容包括但不限于網絡安全治理情況�、人員情況�����、投入情況、風險情況�����、處置情況和下一年度工作計劃等�。
核心機構和經營機構報送網絡安全管理年報時,可以與中國證監(jiān)會要求的信息技術管理專項報告等其他年度信息技術類報告合并報送��。
證券期貨業(yè)關基單位應當將關鍵信息基礎設施網絡安全檢測和風險評估情況納入網絡安全管理年報。
第五十二條 中國證監(jiān)會及其派出機構可以委托國家����、行業(yè)有關專業(yè)機構采用滲透測試���、漏洞掃描及信息技術風險評估等方式��,協(xié)助對核心機構、經營機構和信息技術服務機構開展監(jiān)督�、檢查����。
第五十三條 中國證監(jiān)會可以根據國家有關要求或者行業(yè)工作需要�����,組織開展證券期貨業(yè)重要時期網絡安全保障。中國證監(jiān)會派出機構負責督促本轄區(qū)經營機構和信息技術服務機構落實相關工作要求。
證券期貨業(yè)重要時期網絡安全保障期間��,核心機構和經營機構應當遵循安全優(yōu)先的原則�,加強安全生產值守工作��,嚴格落實信息報送要求,原則上不得對重要信息系統(tǒng)和門戶網站開展運行變更、下線刪除等操作�。
第五十四條 核心機構違反本辦法規(guī)定的�����,中國證監(jiān)會可以對其采取監(jiān)管談話、責令限期整改等監(jiān)管措施;對有關高級管理人員給予警告、記過��、誡勉談話�����、通報批評����、撤職等行政處分,并責令核心機構對其他責任人給予紀律處分�。
經營機構和信息技術服務機構違反本辦法規(guī)定的�,中國證監(jiān)會及其派出機構可以對其采取責令改正��、監(jiān)管談話����、出具警示函等監(jiān)管措施�;對直接責任人和其他責任人員采取責令改正、監(jiān)管談話�、出具警示函等監(jiān)管措施����;情節(jié)嚴重的����,對相關機構及責任人員單處或者并處警告����、十萬元以下罰款,涉及金融安全且有危害后果的����,并處二十萬元以下罰款�。
第五十五條 經營機構違反本辦法規(guī)定����,反映機構治理混亂、內控失效或者不符合持續(xù)性經營規(guī)則的����,中國證監(jiān)會及其派出機構可以依照《證券公司監(jiān)督管理條例》第七十條�、《證券投資基金法》第二十四條���、《期貨交易管理條例》規(guī)定���,采取責令暫停借助網絡開展部分業(yè)務或者全部業(yè)務��、責令更換董事��、監(jiān)事���、高級管理人員或者限制其權利等監(jiān)管措施����。
信息技術服務機構違反本辦法規(guī)定�����,未履行備案義務的,中國證監(jiān)會及其派出機構可以依照《證券法》第二百一十三條規(guī)定予以處罰�����。
第五十六條 核心機構����、經營機構和信息技術服務機構違反本辦法第九條����、第十條���、第十七條����、第十八條、第二十三條����、第二十五條���、第三十條��、第三十一條����、第三十三條規(guī)定�,未履行網絡安全保護義務�����,或者應急管理存在重大過失的�,中國證監(jiān)會及其派出機構可以依據《網絡安全法》第五十九條第一款規(guī)定予以處罰����。
第五十七條 核心機構和經營機構違反本辦法第十六條、第三十五條規(guī)定���,擅自暫停或者終止借助網絡向投資者提供服務的�,或者未按照規(guī)定及時告知投資者��,中國證監(jiān)會及其派出機構可以依照《網絡安全法》第六十條規(guī)定予以處罰。
第五十八條 核心機構和經營機構違反本辦法第二十六條規(guī)定�,違規(guī)處理個人信息���,或者處理個人信息未履行個人信息保護義務的���,中國證監(jiān)會及其派出機構可以依照《網絡安全法》第六十四條����、《個人信息保護法》第六十六條規(guī)定予以處罰����。
第五十九條 核心機構和經營機構違反本辦法第二十七條規(guī)定的,對法律法規(guī)禁止發(fā)布或者傳輸?shù)男畔⑽赐V箓鬏�����、采取消除等處置措施����、保存有關記錄的��,中國證監(jiān)會及其派出機構可以依照《網絡安全法》第六十八條第一款、第六十九條規(guī)定予以處罰。
第六十條 核心機構�����、經營機構和信息技術服務機構拒絕�����、阻礙中國證監(jiān)會及其派出機構行使監(jiān)督檢查���、調查職權的����,中國證監(jiān)會及其派出機構可以依法予以處罰����。
第六十一條 核心機構和經營機構參加資本市場金融科技創(chuàng)新機制或者信息技術應用創(chuàng)新機制,相關項目發(fā)生網絡安全事件,相關機構處置得當,積極消除不良影響的�,中國證監(jiān)會及其派出機構可以予以從輕或者減輕處罰�,未對證券期貨市場產生不良影響的��,可以免于處罰�。
第八章 附則
第六十二條 本辦法中下列用語的含義:
���。ㄒ唬┖诵臋C構����,是指證券期貨交易場所、證券登記結算機構、期貨保證金安全存管監(jiān)控機構等承擔證券期貨市場公共職能、承擔證券期貨業(yè)信息基礎設施運營的機構及其下屬機構����。
�����。ǘ┙洜I機構�,是指證券公司、期貨公司和基金管理公司等證券期貨經營機構。
(三)信息技術服務機構��,是指為證券期貨業(yè)務活動提供重要信息系統(tǒng)的開發(fā)��、測試��、集成、測評、運維及日常安全管理等產品或者服務的機構。
����。ㄋ模┳C券期貨業(yè)網絡安全,是指核心機構、經營機構和信息技術服務機構采取必要措施�,對內外部網絡攻擊��、入侵����、干擾和破壞進行有效識別����、監(jiān)測、防范和處置�����,保障承載證券期貨業(yè)務活動的信息系統(tǒng)安全平穩(wěn)運行���,確保相關網絡數(shù)據的完整性��、保密性和可用性���。
(五)重要數(shù)據��、核心數(shù)據����,是指按照《數(shù)據安全法》、國家和證券期貨業(yè)有關數(shù)據分類分級保護制度����,確定的重要數(shù)據��、核心數(shù)據。
���。╇p活或者多活架構����,是指在同城或者異地的兩個或者多個數(shù)據中心同時對外提供服務,當其中一個或者多個數(shù)據中心發(fā)生災難性事故時��,可以將原先由其承載的服務請求劃撥至其他正常運作的數(shù)據中心���,保障業(yè)務連續(xù)運行��。
������。ㄆ撸┮陨希侵副緮�(shù)以上(含本數(shù))����。
第六十三條 本辦法規(guī)定的核心機構���、經營機構和信息技術服務機構相關報告事項�,是指依照監(jiān)管職責�����,核心機構應當向中國證監(jiān)會報告��;除中國證監(jiān)會另有要求的�����,經營機構和信息技術服務機構原則上應當向屬地中國證監(jiān)會派出機構報告。
第六十四條 國家對存儲�、處理涉及國家秘密信息的網絡安全管理另有規(guī)定的�,從其規(guī)定����。
第六十五條 境內開展證券公司客戶交易結算資金第三方存管業(yè)務、期貨保證金存管業(yè)務的商業(yè)銀行�,證券投資咨詢機構��,基金托管機構和從事基金銷售支付、份額登記�、估值����、評價等基金服務業(yè)務的機構,借助信息系統(tǒng)從事證券期貨業(yè)務活動的經營機構子公司��,借助自身運維管理的信息系統(tǒng)從事證券投資活動且存續(xù)產品涉及投資者人數(shù)合計一千人以上的私募證券投資基金管理人����,區(qū)域性股權市場運營機構,應當根據相關信息系統(tǒng)網絡安全管理的特點��,參照適用本辦法�。
第六十六條 本辦法自2022 年 月 日起施行。2012年11月1日公布的《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)會令第82號)同時廢止��。
《證券期貨業(yè)網絡安全管理辦法(征求意見稿)》起草說明
為建立健全證券期貨業(yè)網絡安全監(jiān)管制度體系�,防范化解行業(yè)網絡安全風險隱患�,維護資本市場安全平穩(wěn)高效運行,在充分銜接上位要求、總結監(jiān)管實踐的基礎上��,證監(jiān)會研究起草了《證券期貨業(yè)網絡安全管理辦法(征求意見稿)》(以下簡稱《辦法》)��,F(xiàn)說明如下:
一、起草背景
近年來,證券期貨業(yè)機構對網絡安全的重視程度大幅提升����,組織架構和制度體系持續(xù)優(yōu)化�,信息技術投入逐年增加�����,行業(yè)網絡安全運行態(tài)勢總體平穩(wěn)�。但是�����,隨著行業(yè)數(shù)字化加速發(fā)展����、網絡安全上升為國家戰(zhàn)略�、資本市場持續(xù)深化改革等內外部條件的變化,證券期貨業(yè)網絡安全面臨的新情況新問題逐漸凸顯����,主要體現(xiàn)在以下方面:
�����。ㄒ唬┬袠I(yè)網絡安全形勢嚴峻復雜���。一是隨著大數(shù)據�、云計算、區(qū)塊鏈和人工智能等新技術應用的不斷深入,證券期貨業(yè)務與技術加速融合,各類業(yè)務活動日益依賴網絡安全和信息化�,增加了網絡安全管理的復雜度�����。二是隨著行業(yè)機構數(shù)字化轉型的提速����,信息系統(tǒng)建設任務明顯增加,上線變更操作較為頻繁���,行業(yè)網絡安全管理能力面臨更大挑戰(zhàn)�。
��。ǘ┓煞ㄒ�(guī)的上位要求有待進一步落實�����!毒W絡安全法》于2017年6月正式施行����,2021年下半年以來,《數(shù)據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規(guī)密集發(fā)布實施����,我國網絡安全法律體系進一步健全�,新型網絡安全管理框架基本成型��。對此�����,證監(jiān)會雖于2012年以來發(fā)布《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)會令82號)《證券基金經營機構信息技術管理辦法》(證監(jiān)會令152號)等監(jiān)管規(guī)則,但是由于制定時間較早、監(jiān)管實踐變化等原因,相關監(jiān)管規(guī)則在有效銜接上位要求方面有待進一步完善��。
�����。ㄈ┍O(jiān)管實踐成果制度化還需加強�。2020年以來,證監(jiān)會穩(wěn)步推動科技監(jiān)管深化改革�����,監(jiān)管體制機制不斷優(yōu)化��,信息技術服務機構備案管理���、資本市場金融科技創(chuàng)新試點等工作全面展開�,與相關部委進一步形成監(jiān)管合力����,溝通協(xié)作更加順暢,需要及時總結實踐經驗�����,將改革成果制度化機制化�����。
基于上述新情況新問題���,亟需進一步健全證券期貨業(yè)網絡安全監(jiān)管制度體系�,制定專門的行業(yè)網絡安全管理相關的部門規(guī)章���,補齊制度供給短板��,構建證券期貨業(yè)網絡安全管理的體系框架����,提升行業(yè)網絡安全保障能力�����。
二、起草思路
(一)落實上位要求�����,汲取實踐經驗�。《辦法》聚焦網絡安全管理,強化數(shù)據安全和個人信息保護��,結合證券期貨業(yè)特點�,為《網絡安全法》《關鍵信息基礎設施安全保護條例》等法律法規(guī)在證券期貨業(yè)的有效落地,明確實施路徑����,提供制度保障�。同時,總結行業(yè)近年來監(jiān)管工作成效�,將實踐經驗轉化為制度成果��,固化工作機制。
���。ǘ└采w各類主體��,厘清權責邊界�。一方面�,充分考慮證券期貨業(yè)各類主體的責任義務和業(yè)務特點,對證券期貨業(yè)關鍵信息基礎設施運營單位��、核心機構、經營機構以及信息技術服務機構�����,從網絡安全管理方面分別提出監(jiān)管要求�����。另一方面,理清職責分工,對各方監(jiān)管部門、自律組織的網絡安全監(jiān)管職責做出明確規(guī)定��。
��。ㄈ﹪朗匕踩拙,促進科技發(fā)展����������!掇k法》以保障安全為基本原則,從建設、運維、使用網絡及信息系統(tǒng)�����,到識別��、監(jiān)測��、防范、處置風險等方面,構建了完整的網絡安全監(jiān)管框架����,對行業(yè)機構提出全方位的網絡安全管理要求��。在此基礎上,《辦法》還注重通過發(fā)展解決問題,通過技術架構的升級優(yōu)化����,提升安全保障能力����,并在信息基礎設施建設�、金融科技創(chuàng)新等方面做出了制度安排。
三����、主要內容
《辦法》共八章六十六條����,對證券期貨業(yè)網絡安全監(jiān)督管理體系����、網絡安全運行、數(shù)據安全統(tǒng)籌管理��、網絡安全應急處置����、關鍵信息基礎設施網絡安全、網絡安全促進與發(fā)展����、監(jiān)督管理與法律責任等方面提出了要求��。具體包括:
��。ㄒ唬┛倓t��。規(guī)定立法宗旨����、適用范圍����、適用主體、工作目標及監(jiān)管職責�,厘清核心機構��、經營機構和信息技術服務機構等行業(yè)機構的責任邊界。
��。ǘ┚W絡安全運行。督促行業(yè)機構建立健全網絡安全管理體制機制��,提升網絡安全運行保障能力��。一是要求核心機構��、經營機構具有完善的治理架構,強化管理層責任����,指定牽頭部門�,保障資源投入�。二是對核心機構、經營機構的信息系統(tǒng)和相關基礎設施提出基本要求��,明確等級保護義務��。三是要求核心機構�、經營機構審慎開展系統(tǒng)新建��、變更和移除��,及時履行投資者告知義務,加強日常監(jiān)測����。四是對核心機構��、經營機構明確信息系統(tǒng)備份能力有關要求,提出壓力測試常態(tài)化要求�。五是從制度體系����、人員配備�、合規(guī)安全等方面,對信息技術服務機構提出監(jiān)管要求����。六是強化核心機構��、經營機構采購產品和服務的準入�、評估、改進要求����,提升自主研發(fā)和安全可控能力��,加強知識產權保護。
(三)數(shù)據安全統(tǒng)籌管理�。一是從制度機制��、組織架構、行業(yè)數(shù)據標準、權限管理����、質量評估��、防范泄露損毀等方面,明確證券期貨業(yè)的具體要求。二是配套上位要求����,對數(shù)據分類分級��、個人信息保護、規(guī)范信息發(fā)布等方面作進一步強調。三是為建立證券期貨業(yè)戰(zhàn)略備份數(shù)據中心預留制度空間�,提升行業(yè)極限災難應對能力�。
���。ㄋ模┚W絡安全應急處置�。一是建立風險監(jiān)測預警體制�,加強日常漏洞掃描、安全評估����,及時消除風險隱患�。二是完善應急預案的應急場景和處置流程,要求定期開展應急演練。三是強化網絡安全事件報告和調查處理工作��,明確故障排查�、相關方告知等工作要求。
(五)關鍵信息基礎設施網絡安全。落實國家關于關鍵信息基礎設施的安全保護要求�,結合行業(yè)特點����,從組織保障�、建設評審�、變化報告、檢測評估、采購管理�、性能容量��、災難備份等方面,對關鍵信息基礎設施運營單位提出進一步的督導要求。
(六)網絡安全促進與發(fā)展�。一是鼓勵相關機構在依法合規(guī)�、風險可控��、不損害投資者利益的前提下�,開展行業(yè)網絡安全技術應用����。二是核心機構、經營機構可以在保障自身信息系統(tǒng)安全的前提下,為行業(yè)提供信息基礎設施服務�。三是建立金融科技創(chuàng)新監(jiān)管機制�,加強網絡安全監(jiān)管專業(yè)支撐��,核心機構可以申請國家相關專業(yè)資質�,開展行業(yè)網絡安全認證、檢測��、測試和風險評估等工作����。四是強化行業(yè)網絡安全人才隊伍建設,定期開展網絡安全宣傳與教育��。五是發(fā)揮行業(yè)協(xié)會作用��,引導網絡安全技術創(chuàng)新與應用�,組織科技獎勵�,促進行業(yè)科技進步、市場公平競爭����。
�����。ㄆ撸┍O(jiān)督管理與法律責任����。一是規(guī)定行業(yè)機構的報告義務和流程要求��。二是明確證監(jiān)會及其派出機構可以委托專業(yè)機構采用滲透測試�、漏洞掃描和風險評估等方式對行業(yè)機構開展監(jiān)督檢查�。三是對重要時期的網絡安全保障工作明確制度安排。四是依據上位要求��,結合違法違規(guī)的具體情形����,規(guī)定相應罰則�����,并規(guī)定創(chuàng)新容錯相關制度安排。
此外����,《辦法》還明確了名詞釋義��、參照執(zhí)行主體和情境、實施時間以及相關辦法銜接等事項��。
日期:2022-5-3 11:19:31 | 關閉 |
