证监会《证券期货业网络和信息安全管理办法》V1.0.0

《证券期货业网络和信息安全管理办法》正式发布立法说明2023年】月17日中国证券监督管理委员会第1次委务会议审议通过为建立健全证券期貨业网络和信息安全监管制度体系，防范化解行业网络和信息安全风险隐息，维护资本市场安全平稳高效运行，在充分衔接上位要求、总结监管实践的基础上，证监会于2023年2月27日发布《证券期货业网络和信息安全管理办法》。《办法》自2023年5月1日起施行，2012年11月1日公布的《证券期货业值息安全保障管理办法》（证监会令第82号）同时废止。《办法》起草背景近年来，证券明货业机构对网络和信息安全重视程度大幅提升，组织架构和制度体系持续优化，信息技术投入逐年増加，行业网络和信息安全运行态势总体平稳C但随着行业数字化智能化加速发展、网堵和信息安全上升为国家战略..资本市场持续深化改革等内外部条件变化，证券期货业网络和信息安全面临的新情况新冋题逐渐凸显。曲行业网络和信息安全形势严峻复杂一是随看大数据'云计鼻'区块链和人工智能等新技术应用的不断深入，证券期货业务与技术加速雄合，各笑业务活动日益依短网络安全和信息化，增加了网络和值息安全管理的复杂度“二是随若行业机枸数字化智能化转型的提速，信息系统建设任务明显増加,上线变更操作较为频繫，行业网络和信息安全肴理能力面临更大说战c够法律法规的上位要求有待进一步落实郷监管实践成果制度化还需加强随着《网堵安全法》《数据安全法》《个人信息保护法》《关SfsSS础设施安全保护条例》尋法律法规絕集发布实施,我国网络和信息安全法律体系进一步健全，新型怜理框架基本成型。対此，证监会虽于2012年以来发布《证券期货业信息安全保障管理办法》（证监会令82号）《证券基金经营机构信息技术管理办法》（证监会令152号）等监管规则，但是由于制定时间较早、监管实歳变化等原因，相关监管规则在有效桁接上位要求方面有祷进一歩完善C2020年以来，证监会隐步推动科技监管深化改革，监管体制机制不断优化,信息技术系统服务机构备窠瞥理、资本市场金雁料技创新试点等工作全面履开，与相关部委落一步形成监管合力，沟通协作更加顺畅，需要及时总錯实践经骑，将改备成果制度化机制化。基于上述新情况新冋题」有必要进一步健全证券期货业网络和信息安全监管制度体系，制定专门的部门规章，构建证券期货业网络和信息安全管理的体系框架、提升行业安全保障能力U《办法》起草思路JKv5落实上位要求，汲取实践经验《办法》聚焦网络和信息安全管理，强化个人信息保护，结合证券期货业特点，为相关法律法规在证券期货业的有效落地，明确实施路径，提供制度保障“同时，总结行业近年来监管工作成效，将实践经验转化为制度成果，固化工作机制C種盖各类主体，厘清权责边界-一方面，充分考虑证券期貨业各类主体的责任义务和业务特点，对证券期货业关键信息基础设施运营者、核心机构、经营机构以及信息技术系统服务机札F网络和信息安全管理方面分别提出监管要求。.另一方面，厘清职责分工，对监管部门、自律组织的网络和信息安全监管职贵做出明确规定。严守安全底线，促进科技发展《办法》以保障安全为基本原则，丛建设、运维、使用网络及信息系统，到识别、监测、防范、处置风险等方面，构建了完整的网络和信息安全监管框架’対行业机构提出全方位的管理要求。在基础上，《办法》还注重通过发展解决问题，通过技术架构的升级优化，提升安全保障能力,并在信息基础设施建设、金融科技创新等方面作出制度安排。《办法》主要内容1!®v6《办法》共八章七+五条，对证券期货业网络和信息安全监督管理体系、网络和信息安全运行,投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理与法律责任等方面提出了要求。规定立法宗旨、适用范BB、适用主体、工作目标及监管职责,厘沽檳心机构、经這机构和值息技术系统工务机构等行业机构的责任边界.^^1督促行业机构建立健全网络和值息安全/理体制机制,提升安全运行保障能力U-一是要求核心机构、经营机构具冇宪善的治理架构,强化管理层责任，指定或设立牽头部门，保障资源投入。•二是对核心机构、经营听构的值息系统和相关基础设施提出基本要求,明确等级保护义务。-三是要求核心机构、经营机构审慎开展系统新建、变更和移除,充分评估技术和业务风险，保证充分测试，及时届行投资者告知义务，加强网络和信息安全日常监测。-四是要求核心机构、经营机构建立网络和信息安全防护体系,明确数据备份、信息系统备份有关要求，常态化开展压力测试。•五是强化核心机构、经营机构对供应商的曾理,督促信息技术系统服务机构履行备案义务，提升自主研发和安全可控能力，加强知识产权保护。.六是哪蛭信息发布和行业临番份中心相哄C《办法》主要内容2一是明确核心机构和经营机构处理投资者个人信息的基本原则，要求建立健全投资者个人信息保护体系和管理机制，履行保护义务。,二是明确核心机构和经营机构在投资者个人信息处理、共事环节的安全防护要求,-三是提出核心机构和经营机构鱼网络宾全防貌边界处处理投资者个人信息的技术升求,防范化解信息泄露风险。.四是对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。了投资者'个人信息\保护，一是建立风险监测预警体制,加强日常漏洞扫描、安全评估，及时消除风险隐患。二是完善应急预案的应急场景和处■流程,要求定期开展应急演练。-三是强化网络安全専件报告和调査处理工作,明确故障排査、相关方告知等工作要求。W----------落实国■关于关键信息基础设施的安全保护娈求,结合行业特点，从，织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面,对关键信息基础设施运营者提出进一步的督导要求。提础设施銀全保拟《办法》主要内容3!®v6-—是鼓励相关机构在依法合规、风险可控'不损杏投资者利益的前提下，开晨行业网络和値息安全技术应用.-二是核心机构、经营机构可以在保障自身信息系祭安全的前提下，为行业提供值息基础设施服务C-三是連立金融科技创新监管机制,加强网络和信息安全监管专业支撑，核心机构可以申请国家相关专业资质，开展行业网络和信息安全相关认证、检测、测试和风睑评估等工作。-四是强化行业人才队伍建设,定期开展网络和信息安全宣传与教育C-五是曇挥行业协会作用，引导技术创新与应用，组织科技奖励，促进行业科技进步、市场公平竞争.._是规定行业机构的报告义务和流捏要求。.二是建立健全行业网络和他息安全态势感知工作机制,开展风险隐患行业通报。.三里明确证监会及其派出机构可以姿FL专业机构釆用溥透测试、漏洞扫描和风险评估等方式对行业机构开展监督检査。.四是对■畏时期的网络和值息安全保障工作明确制度安排・五是依据上位要求，结合违法违炕的具体情形，规定相应罚则，并规定创新容错担关制度與tfc此外，《办法》还明确了名词粹义、参照执行主体和情境。《办法》施行后，证监会此前发布的《证券期貨业信息安全保障管理办法》同时废止。JKv5炼石整理■《证券期货业网络和信息安全管理办法》总结构第七章监醫代理与法译贸任第一章总则第二・网绣和信息安全运行第三潭投资者个人信息保护第八・附则证券期货业网络和信息安全管理办5去■2人•和畦枝A■象15,♦,更1目的依据•停■6.相执行施志保，19.防，■康21.■力"■i■识产■2.适用遍3.・，原则29个人信,时原则33.向■方ISE形畏求4.3ft承担5.B9SRS4Z琳保关鼻颇安全/定延行50.宣励新技术应用孤风43.关■安■筋大责任■核凱制51.开展行业債息■■■求37月■安■应@，K明■安■■凱44.关呆安全配套人员52.金■科技创新与应用6JR贵分工7.协会取贪47.5RMS1絡产品或怨务饕家55.网络和信息安全宣传与救育41♦♦方知48.压加拙及系帆能容■56.协会引导促进8.横心机构职信,9.同城和■地灾定♦份中心4,美基颇变栗评审物，安■■冲报吿策四蔵网络和信息安全应急处置口,而■功制I23M^

1■•串■机鉗II27第五章关窿信息基础设施安全保护IBfl&AIU_<^：wr]第六童网络和信息安全促进与发展53.

监管支捍工作54.人才队伍,设130.个人信息伊护■系I勿.明琥吿知及不腱■朗劣I3Z个人信息全■M政全,1*.蚣UWm.71.用垮舎义•-72报告对・I73.除外适用74.，照适用75.膽行日朋（拓展）证券行业已出台多项数据安全政策规范信息技术管理网路通信主机安全糸统缱护网络管理运维賞理应用安全软件应急管理敦棍主饥和系统曾珂应急管哩理制度安全营理机构人员安全冒理系统建设肯逗&绕运增辨"信息科技管理规范的变化（绿色部分为新増领域）2072201620212005200720112012201320142016信息系統安全数据治涅软件正版化■中交I*系绒阿上佳，系銃■三方存覽系统信点泵竖安全等蚣保护教卷安全察备份慌复値息技术防务机构《证券期货业信息系统托管基本要求》《证券期货业信息系统审计指南第L7部分》《证券期货业数据分类分级指引》《证券期货业机构内部企业服务总线实施規范》答级保护基本要求》<JR/T0067-2021证券期货业网络安全等级保护测评要求》《证券公司《关干做好证券《证券期货《证券期货业《证券期货业《证券期货《证券期货业《证券基金《证券期货业《JR/T信息技术管业重要信息系统经营机构信隹息安全保障信息系统运雄业信息系続信息系统审计经营机构信网络安全罪件0250-2022埋规范》安全等级保护定息系统备份管理办法》管理规范》审计规范》指南第5部分息技术管理报告与调查处证券期货业级工作的通知》能力标准》《金融行业信:证券公司》办法》理办法》数据安全管瞽理体系础安全息系统信息安基本要求犯织管理,［信思檳處渣理］■代忠技爪治理{JR/T0060-埋与保护指机房与设备管理曜安全全等级保护实运彳顽5切房管理眄管理信寫枝木合规2021证券期引》施指引》与风般曾理货业网络安全核心机构和经营机构保障安全、促进发展，信息技术服务机构技术安全、功能合规—1.总则2.网络和信息安全运行3.投资者个人值息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任适用范围经六"冬在中华人民共和国境内建设、运营、维护、使用网络及值息系统,穿袞系统橱予机枸为证券期货业务活动提供产品或者服务的网络和信息安全保障,以及证券期货业网络和信息安全的监督管理,适用本办法。核心机构和经营机构-基本原则：保陣安全、促进发展-逢立疊全网络和危思宾全所酬系，提升安全保陽水平，确保与信息化工作同歩推进，促逬本机构相关工作稳妥健康发居信息技术系统服务机构-基本原则：技术安全、服务合规-为证券期货业务活动起彰虽或者服务，与核心机构、经营机构共同保障行业网络和信息安全，促进行业信息化发展.责任义务：依法履行网络和值息安全保护义务,对本机构网络和信息安全负责，相关责任不因首他机构提供产品或者服务逬行转移或者减轻-贸任义务：当助勉尽责，对提供产品或者服务的安全性、合翅性承担责任。8.附则界定重要的名词释义JBV61.总则2.网络和信息安全运行3.投资者个人信息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任8.附则核心机构包括证券期货交易场所、证券登记结算机构等承担证券明货市场公共职能、承担证券期货业信息技术公共基础设施运营的证券朋货市场核心机构及其承担上述相关职能的下届机构。经营机构是指证券公司、期貨公司和基金管理公司等证券期货经营机构C信息技术系统服务机构是指为证券期货业多活动提供車婆信息系统的开发'測试、集成、潦评、运维及日常安全管理等产品或者服务的机构。双活或者多活架构是指在同城或者异地的两个或者多个数据中心同时対外提供服务，当其中一个或者多个数据中心发生灾难性事故时，可以将原先由其承裁的服务请求划拨至其他正常运作的数据中心，保障业务连续运行。■要隹息系统是指承载证券期货业关単业务活动，如出现系螃服努异常、数据泄露等情形，将对证券期货市场和投资者产生重大影响的信息系统9可能对证券期货市场安全平稳运行产生较大影响是指依据网络安全事件调査处理有关办法，可能引发较大或者以上级别网络安全事件的情形n■•以上”含本数，“以下”不含本数本办法规定的核心机构、经营机构和信息技术系统服务机构相关报吿事项是指依照监唐职責，核心机构应当向中国证监会报告；除中国证监会另有要求的，经营机构和值息技术系统服务机构原则上应当向属地中国证监会派出机构报告。中国证监会依法履行八大监督管理职责1,总则2.网络和信息安全运行3.投资者个人值息保护4.网络和信息安全应急处實5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任组织制定并推动落实证券期貨业网络和信息安全岌展理划、监管规则和行业标淮二鱼鱼证券期货业网络和信息耍荃的监督管理，按规定做好证券朗實业涉及的关键信息基础设施安全保护工作；些证券期货业网络和信息安荃重大技术路线、重大封技项百我訂蛭丑星证券期货业投资者个人信息保护工作8.附则JBv6负责证券期货业网络安全应羸漬■练、应急处置、事件痕告与调査处理厂擂昱证券期货业网络和信息受至役进与发展；支持、协助国家有关部门组蛆实施网络和信息安全相关法律、行政法规；法律法规规定的其他网络和信息安全监管职责。建立集中管理、分级负责的证券期货业网络和信息安全监督管理体制哽1,总则2.网络和信息安全运行3.投资者个人值息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任8.附则全实施日常监管。中国证监会•建立集中管理、分级负责的证券期货业网络和信息安全监督管理体制对证券期货业网络和信息安全实施监督管理°•中国证监会履行监管职责的其他部门配合开展相关工作。•（中国证监会派出机捌对本辖区经营机构和信息技术系统服务机构网络和信息安中国证券业协会、中国期货业协会.中国证券投资基金业协会等行业协会-依法制定行业网络和信息安全自律规则•对经营机构网络和信息安全实施自律管理核心机构•依法制定保障市场相关主体与本机构信息系统安全互联的技术规则，•对与本机构信息系统和网络通信设施相关联主体加强指导，督促其强化网络和信息安全管理，保障相关信息系统和网络通信设施的安全平稳运行完善网络和信息安全管理体系，强化管理层责任JKv51,总则2.网络和信息安全运行3.投资者个人信息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任核心机构和经营机构,应当建立网络和信息安全管理制度建立健全安全管理体系信息技术系统服务机构-应当具有完善的值思技术澄靈抱.健全网络和信，息安全管理制度体系.建立内部决策、管理、执行和监督机制-确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配-配备相应的安全、合规管理人员-建立与提供产品或者服务相适应的网络和信息安全管理机制明确第一责任人•核心机构和经曽机构应当明璃主旻负责人为本机构网络和信息安全工作的第一责任人O-分管网络和信息安全工作的领导班子成员或―者高蛾管理人员为頁接责任人-核心机构和经营机构应当建剪墜型宣息奖全工作协iM和决反机制,保障第一责任人和宜接责任人履行职责工作U确定牵头部门・核心机构和经营机构应当坦崖車晝蛭回络和信,安全工作牵头部门或者机构-负，■理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等8.附则对核心机构和经营机构资金、人员、设施等资源配置提出严要求1.总则2.网络和信息安全运行3.投资者个人值息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展保障人员与资金投入-核心机构和经营机构应当保障人员和资金投入与业务活动规模、養杂程度相适应.确保网络和信息安全人员具备与与行职责相匹配的专业知识和职业技能7.监督管理与法律责任确保信息系统和基础设施高可用-核心机构和经营机构应当确保值息案统和相关碁础设施具备合理的架构.足够的性能、容■、可靠性、扩展性和安全性•并保证相关安全技术措施与信息化工作同步规划、同步建设、同步使用8.附则依法履行网络安全等级保护和告知义务JKv61.总则告知义务按照国家和证券期货业网络安全等级保护相关要求，开展网络和信息系统核心机构和经营机构暂停或者终止借助网定级备案等级测评安全建设等工作-络向投资者提供服务前,应当履行告知义应当按照相关要求对措施。中国证监会及其派出机构公告定向通知任何机构和个人8.附则将网络安全等级保护工作开展情况报送3.投资者个人值息保护6.网络和信息安全促进与发展5.关键信息基础设施安全保护应当落实网络安全等级保护割度，依法履行网络安全等级保护义务4.网络和信息安全应急处置2.网络和信息安全运行美，合理选取公告、定向通知等方式告知投资者相关业务影响情况、替代方式及应0不得违规开展证券期货业信息系统认证、检测、风险评估等活动。B月确违规彳亍为Q不彳寻违规发布证券期货业信息安全漏洞、计算机病毒、网络攻击、网络侵入等信息。既核心机构和经营机构7.监督管理与法律责任风险评估、监测预警、防护体系等机制，保障重要信息系统和基础设施安全陛L总则风险评估防护体系?监测预警、日志留存2一网缗和信息安全运行3.投资者个人信息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任核心机构和经营机构新建上线、运行变更、下线移除重要信息系统的，应当充分评估技术和业务风为，制定风险防凝措施、应急处宣和回退方案弁对相关结果进行宣核验证可能对证券期货市场安全平用运行产生较大影响的应当提前向中国证监会及其派出机构报告不彳專在交易时段对■要値息系统进行变是右要信息系銃存存故障、球陷，經评估须逬行紧急修复的情形除外理立健全网络和信息安全监测预，机制，设定监測指标I持续监测信息系统和相关基础设施的运行状况及时处置异常情形：对监测机制执行效果进行定期评估并持续优化I全面、准确记录并妥陸保存生产运毯过程中的业务日志和系妹日志,博保莉足以下等工作鳶求：I故障分析内部控制调查取证重要信息系统业务日志应当保存五年以上系统日志应当保存六个月以上构靈网络和僖息安全防护体系综合采取以下等安全保障诺施：网络隔离策略管理病毒木马防范I非法入侵检测访间控制网站防■改网络安全态势感知提升网络和信息安全防护能力，及时识別、阻断相关网络攻击，保护重要信息系统和相关基础设施，防范僖息泄露与损毁8.附则建设常态化的测试机制，保障重要信息系统平稳安全运行!Sv51,总则2.网络和信息安全运行3.投资者个人信息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任8.附则核心机构和经营机构测试方案脱敏处理談网测试核心机构除必须使用數怒数据豹情形外在重要信息系统上经、变更前汎试完成后形成压力測试报告存档«S.丼保存五年以上压力测试毎年至少开展一次it要值息系统压力测试❶❷发现市场较大波即，重要信息系统的性能容星可能无法保障安全平榆运行的重要值息系统的性能&■应当在历史軽值的两倍，以上核心机构交易时段相关网'络近一年使用峰值应当在当前带宽的百分之五十以下经营机构交易时段相关网%近一年使用峰值应当在当前带宽的百分之八十以下强化供应商管理和准入机制1.总则Q建立健全供应商管理机制明确信息技术产品和服务准入标准认定网络安全事件责任与供应商签订合同及保密协议明确约定各方保障网络和信息安全的权利和义务核心机构和经营机构供应商3.投资者个人信息保护6.网络和信息安全促进与发展供应商为核心机构和经营机构提供重要信息系统相关产品或者服务的2.网络和信息安全运行7.监督管理与法律责任5.关键信息基础设施安全保护4.网络和信息安全应急处置在使用供应商提供产品或者服务时引发网络安全事件的依法作为信息技术系统服务机构向中国证监会备案督促相关信息技术系统服务机构依法履行备案义务审慎釆购并持续评估机制相关产品和服务的质星，及时改进风险管埋措施，健全应急处置机制，确保豆要信息系统运行安全可控有义务配合中国证监会及其派出机构査明网络安全事件原因8.附则共建数据备份机制，提升重大灾难应对能力***rG0iwy1.总则2.网络和信息安全运行3.投资者个人信息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任核心机构和经营机构应当建立本地、同城和异地数据番份设施車要信息系统应当每天至少备份数据一次，毎季度至少对数据备份进—行一次有效性验证❷I应当建立重要信息系统的故障备份设施和灾难备份设施根据僖息系统的耋要程度和业务影响情况，确定恢复目标，保证业务遅续运行C灾难备份设施应当通过同城或异地灾难备份中心形式体现。1釆取双活或多活架构部署重要信息系统的，在确保业务连续运行前提下任一数据中心可视为其他数据中心的灾难备份设施鼓励证券期货业关键信息基础设施运营者其他核心机构和经营机构[可以结合I经营需要T及时向证券期货业备份数据中心备份数据自主选择证券期货业备份数据竺中国证券监晉言理委员会中国证监会委托相关机构建设证券期货业备份数据中心开展行业数据的集中备份和官建工作釆取有效安全防护手段，防范数据损毁泄霎风险，持续提升证券期货业重大灾难应对能力8.附则开展数据级灾难备份工作加强审核管理、自主研发、商用密码及知识产权能力1.总则±2.网络和信息安全运行建立审核机制3.投资者个人億息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任・核心机构和经营机构应当建立信息发布审核机制。-昭对本机构和本机构运营平台发布信息的管理。-发现违反法律法规和有关监管规定的，应当立即停止发布传输,釆取必要的处冒楮施，防止信思扩散，积极消除负面影响，并及时向中国证监会及其派出机构报告。8.附则提升自主可控能力.核心机构应当对交易、行情、开户、结算、风控、通信等食要信息系统具有自主开发能力,掌握执行程序和源代码井安全可靠存放。-经营机构应当根据自身发展需要，加强自主研发能力建设，持续握升自主可揑能力•核心机构和经营机构应当按照国家及中国证监会有关要求，幵展信息技术应用创新以及商用密码应用相关工作。强化自主知识产权保护核心机构和经营机构应当按照知识产权相关法律法规，制定知识产权保护策略和制度。不侵犯他人的知识产权，并釆取有效措施保护本机构自主知识产权。核心机构和经营机构应当遵循合法、正当、必要和诚信原则1.总则秉承原则:践行责任:1处理投资者个人信息2.网络和信息安全运行2些投资者个人信息处理行为3.投资者个人值息保护履宣投资者个人信息保护义务L一«*—丄一——————————————基本职责4.网络和信息安全应急处置核心机枸和经营机构型落实的基本职责核心机桐和经营机构应当落实的基本职责.关键信息基础设施安全保护6.网络和信息安全促进与发展体系建立建立健全投资者个人信息保护体系职责明确明确相关岗位及职责要求7.监督管理与法律责任活知七盖建立健全投资者个人信息处理、安全防护、应急处投、审计机同兀番监督等管理机制8.附则加强防护加强投资者个人信息保护核心机构和经营机构应当确保个人信息流转过程中的安全合规个人信息流转各环节的安全管理要求1.总则2.网络和信息安全运行3.投责者个人信息保［户4.网络和信息安全应急处置个人信息收集、使用个人信息处理核心机构和经营机构应当按照法術法规的规定及合同的约定处理投资者个人信息，明繡告知投资者处建个人信息的目的、方式、范困和險私保护政策，不得超范BB收集和使用投資新F人値息，不得收集提供服务日蹴要的投责者个人信息。合同约定事现应当墓于从事证券明货业务活动的必WpIS；核心机构和经茕机构理以投责者不同憲处理其个人信息或者撤回同憲为由，猝向投资者提供服务,为投蜜者提供核心机构和经/机构处理投资者个人信息3头应当确保个人信息在收集..存储、使用、加工、传籟、提供、公开、网除等处理过程中的合规、妥至，防止个人信息的泄霉、■改、報一5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督冒理与法律责任8.附则个人信息分享个人信息风险处理个人信息生物认证核心机构和经营机构应当依法依规向第三方机构提供投爽者个人信息，明确吿知投资者个人信息处理目的、处理方式、个人值息种类、保存期限、保护措施以及根关方的权利和义务签，并取得投责者个人箪独向*,J■行法定职贾妹话定义务丽常除外。核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的，应当采取和据脱敏、数据加些等措施，防范化鮮投资者个人信息在处理过程中的泄毒风险。核心机构和经营机构通过短信、邮件等非自主运营渠道发送投谴春量患个人侑思的，应当将役责者账号信息、身份证号码等敏感个人信息进行脱敏处理收集其个人:値息。核心机构和经营机构利用生物特征逬行客户身份认证的，应当对其必豐性、安全性进行风险评估,不得将人脸、歩态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式，强制*户同意核心机构应当组织开展网络安全应急演练每年至少一次1.总则隐患发现应急预案应急演练应急处置組统内部调调查整改风险提示者应怠措施，提示相关方防范和应対可能出5.关键信息基础设施安全保护6.网络和信息安全促进与发展2.网络和信息安全运行4.网络和伯息安全应琶3.投资者个人11息保护7.监督曾理与法律责任核心机构和经营机构匝選査，完成问題整改，不定核心机构和经音机构应当瞠立应急处■机制,及时处焉网络安全事件，尽快恢复信息系蜻正常运行，保护事件现场和相关证据.向中国证监会及我派出机构进行应急报告，不得瞒报、齊报、退报、州报，信息技术系统服务机杓应当协助开展信息系统故障排査、信宴等工作，并及时吿知使用同类产品或•服务的核心机枸和经蕾机构，配合开展风险播査和整改工作。核心机构、经甘机构和信息技术系统服务机构发现网络和信息安全产品或者服务存在安全缺陷、安全不洞等风险隐理，应当及时核实井加固魏改；可能对延券期货业网络和信息安全平稳运行产生较大影响的，应当向兩国证监会及商出机构报住心机拘应当组织与本机构信息系统和网络通值设施相关联主体开展网络安全应急演练，板年翌顷展一次，拜于演练后15个丁作日内将相关情况报吿中国证监会＜,溪心机构和经彦机构应当定期开展网络安全应意演练，井形成应急演练报告存档备査修心机构和经莒机构发生网络安全專件，对投责者造成赃机的，应当及安ii过件方网站，客户成影缝的、电话或者邮件等有效襄谐通知相关方可以采取的曾代方:现的顽傻心机拘和堤苜机构应当根和业务机响分当情况，建立健全网络安全应急预案，明确应急目标、应急组织和处實流程,应急场景应当覆盖网络安全韓件、自然灾害和公共卫生事件、本凯梅网络和信息安全相关卖大人事变勁、主要信息技术系统服务机构退出等情形，会及其3.弁按卩8.附则!Bv6—y敬据特征产牌酒中lifth不造成任伺蜘无4级《证券期货业网络安全事件报吿与调查处理办法》」、可能辱致个副业富頂凹间无注开傷.法成轻防的经济损失・Z可泥引为或导致《证判期荷业佢恩安全♦件狠色与询盧处财法？确定的一般事件.3.可能号由至壽唐/门I?制处罚饱括罚骸.公开批评专）的情园4.可将1本机构爾誉造成一定衽度损害-«•*：1万人以下的投資者数搪发主榻毀、進B.最改的；1、可il导致令部'"芸无飞幵解，话应*次蟬洞橱.2、司雙引发建辱致<u£«mt!Ufa息安全，忡吿与坦僦n办譲》瞳定的持別■大、■大•件3、可照引发公众广泛诉讫包耍■体诉松，旌至引发修体性不件，4、可能导致监髯部门严単处罚（包括取消绊言蜡格.长期暂停相关业务等）的信況.1、可能导致部分业易无i伊展，造fit较大经济糧失2、可養引发或导数《诃券明页独信.専安全•件报杳与凋查处II分法》确定的较大'事件..3.可能引慶一定教■投変者对本机构诉松。4、可能导致监詈部门攻严重处曰（包括一段时间向坦停经菅貪格貫业务等）的情;5L蜘is宗饵中【响‘影响炉彖：宥业机构-客q或喳竺’刪，珈范圈：多个行业、行业内多机构、本机构三要素v彩Mi虔：严安中等、轻做、无（按CIMU仰坏有抱初向分娜；it.級■数据重，別：要程度:•1.段据的安全線位保密度.司用性）價剁破坪；后数緡损失后;.怡响范，中国（一般局限在奉机构），•駿哺程度一般是•产亘；2.—费特征：款挺用于亘耍吐务使用，一傍针討持定人击公开，且仅为必须知悉的讨駁访间3H史用，XH8IJB大■件：1。0万人,以上的投倒者敎据发生K3毁、他疝或裳改的，-■大•件：10万入以上的检錢者敎提发生掲近.泄霧、喜改侬1.故据的安全属住I敬忸、保色崖、可用性）51到破讦务的据掛先后•影响范・位小（一的扃限在本机构），i・b^r等■,酿_,lTf,擬祈一2.一暧特征：詩提用于一股业务使用，一般■时受躍般条公开；一儒宿内部检悝巨不亘广泛公开的蝕椎1.数据的安全属性（完费性、保密性、可用性）il到破坏皿后数据损失后，影响范EB■小（TS局失后本机枸）•fB

影响程度一般是•轻1T或“君：2.一般特征：数据可被公开或可被公众获知、使用。’咬大■件：】万入以上的♦6金君散區岌王地投、定».■律的;I1数据的安全属性（宪盘性、保窖注、可用性）il到破坏“，•后数据损失后，敏电范即大：跨行业或胃机构）.S撇咼；<iga-«g-FF~I2.一船♦征：數据主堪用于行业肉大型成特大型机构中的:重要业务使用.一服卄时特定人员公开，且仅为必须知悉的混撮访间或使用「（拓展）证监会：结合影响对象、范围和程度将证券数据分为四级靡响参夸说明1贏1,攏自*JR/10158-2018ii券期賃业敌据分类分级指引》证券期货业关键信息基础设施运营者需确保设施安全稳定运行婴基本要求和义务1.总则根据要求依凭手段实现目的责任考核机构指定1.指定专门机构或者部门负责关礎信息基础设施安全保护管理工作2.为每个关縫信息姓础设掩指定网络和信息安全管理责任人3.依法认定网络安全关键肉位4.配备充足的网络和信息安全人员5.对专门安全菅理机构负责人和关键岗位人员进行安全背景审査8.附则鴻5.关3?信息基础设施安全保护2.网络和信息安全运行7.监督管理与法律责任6.网络和信息安全促进与发展4.网络和信息安全应急处置3.投资者个人值息保护证券期货业关键信息基础设施运营者应当将关键值息基础设施安全保护情况舖入网络和信息安全工作第一责任人、直接责任人和相关人员的责任考核机制。证券期货业关裡信息基础设施运营者应当按照法律法规及中国证监会有关规定□强化安全管理措施、技术防护及其他必要手段，保障经费投入□境保关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性新建重要设施系统等投入使用前需开展安全检测和风险评估Wv61.总则灑馨：新建系统3.投资者个人億息保护4.网络和信息安全应急处置变更/下线5.关键信息|基础设施安全茹I6.网络和信息安全促进与发展!条件满足证券期货业美密信息專础设施运营者新建承■关31业，的■要网络设施、信息系鶏检测评估上线运行没入使用前应当扳照关键值息n础设施安全保护希检测评估通过后关■求开展安全检测和风上綫运行险评估不得实施条件满足专家评审条件满足情况报告证券期货业关襪信息基湖没施运营者：施实施运行变更或者下线移険，可能対证券期货市场安至平稳运行产生较大影响的1应当在避守本办法第+五条的前提下，组织开展专原则上不得实施运行变更、下雄移除■摄作7.监督管理与法律责任较大变化证券期货业关键信息基础设施停止运营或者发生较大变也，可能影响i相关运食者应当及时将相关情况报吿中国证监会及其派出机构8.附则四维度高要求保障关键信息基础设施安全保护1®^1.总则2.网络和信息安全运行3.投资者个人值息保护4.网络和信息安全应急处置5.美瑋侑息基础设施安全保伊6.网络和信息安全促进与发展证券期货业关禮信息基础设施运营者应当每年至少进行一次网络和信息安全检测和风险风险评估理估，对发现的安全问题及时整改，网络和信息安全检测和风险评估的内容包括但不限一于：关键信息基础设施的运行情况、面临的主要威胁、风险管理情况、应急处置情况等。证券期货业关镇信息基础设施运营者采购网络产品或者服务的，应当按照国家网络安全风险预判审査制度要求开展风险预判工作；采购网络产品或者服务与关键信息基础设施密切相关,投入使用后可能影■国彖安全的，应当及时申报网络安全安全检测证券期货业关键信息基础设施运营者应当对关键信息基础设施的安全运行进行持续监测,定期开展压力測试，发现系统性能和网络容鱼不足的，应当及时采取系统升级、扩容等处置措施，确保系统性能容■在历史峰值的三倍以上，交在时段相关网络带置应当在近年使用峰值的两倍以上;一7.监督冒理与法律责任容灾处理证券期货业关键信息基础设施运营者应当在符合本办法第二十条规定的基础上，建设同城和异地灾难备份中心，实现数据同步保存。8.附则核心机构、经营机构和信息技术系统服务机构落实网络和信息安全保护工作咽1.总则2.网络和信息安全运行3.投资者个人信息保护4.网络和信息安全应急处實5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任8.附则核心机构.经营机构EI圏■，魂矣机构、参加资本市场金融科技创新机制的机构加强本机构网络信息安全宣传与教育保障本机构网络和信息安全组织开展行业信息基加强网络和信息安础设施建设的机构\［全人才队伍建设提升员工网络和信息安全意识每年至少幵展一次全员网络和信息安全數膚活动为行业统筹提供服务，提升信息技术资源利用服务水平应当遵守有关规定'持续优化技术服务水平，增强安全合规管理能力确保人才资质、经验、专业素质职业道德符合岗位要求与网络和信息安全工作特点相适应的人才培养机制;有序开展金融科技创新，与应用，借助新型信息!技术手段，提升本机构|证券期货业务活动的运!行质量和效能j应当遵守有关规定,，依法合规、风险可控在依法合规的前提下，积极开展网络和值息安全技术应用工作，运用新技术提升网络和值息安全保障水平j29,鼓励引导定期组织活动引导結合、\核心机构经营机构开展面向投资者的网络和信息安全宣传教育活动.规范参与行业网络和信息安全和信息化工作安;■回,i行业协会网上证业务活动的特］揭示网络和信息安全风险，増强投責者风险防范能力。1.总则2.网络和信息安全运行3.投资者个人值息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任8.附则证券期货业网络和信息安全监管支撑工作保障充足的资源投入，完，内部管理制度和工作流程，保证工作专业性、独立■和公信力中国证监会对证券期货业网络和信息安全工作进行监管关工作情况可以作为中国证监会及其派出机构实施监督管理的擎考依锯c各方主体履行网络和信息安全义务1.总则2.网络和信息安全运行3.投资者个人值息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展主体责任与义务中国证监会■负責建立健全行业网络和信息安全态势恳知工彳乍机制，并就相关安全缺陷、安全漏洞等风险隐患升展行业通报预警。■可以根据国家有关要求或者行业工作需要，鎮総开展证券期贷业■要时期网国和信息安全保障c中国证监会派出机构负責督促本辖区经营机构和信息技术系统服务机构落实相关工作要求。■证券期萸业重要时期网络和信息安全保障期冋，核心机构和经营机构应当if搪安全优先的原则，加强安全生产值守，严格落实信息报送要疝中国证监会及其派出机构■可以委托国家、行业有关专业机构采用漏洞扫描、风险怦估等方式，切助对核心机构、经营机构和信息技术系统服务机构开展监督、检查C核心机构、经营机构和值息技术系统服务机构■应当向中国证监会及其派出机构报送或者提供证券鴻货业网络和信息安全H理相关信息和数据，确保有关信息和数据的史实、准确、完整。■应当及时排査并采取风险防范措施。核心机构和经营机构■应当于莓年4月30日前，完成对上一年网络和信息安全工作的专项评估，编制冋络和信息安全管理年根，报送中国证监会及其派出机构，年报内容包褚但不限干网络和信息安全治理情况、人员情况、投入情;兄、风险情况、处湾清况和下一年度工作计划等、■报送网络和信息安全管理年报时，可以与中国证监会要求的信恩科技管理专项报告等其他任度信息科技笑报告合并报送，关員信息裏础爆施安全保护年度计划除外,■证券期货业关靈信息基础设施运营者应当捋关键信息基础设施网络和信息安全检测和风险评估情况纳入网络和信息安全•理年虬7.监働曾理与法律责仔8.附则监管落实机构法律责任Rv5—FT.，1.总则2.网络和信息安全运行3.投资者个人億息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护6.网络和信息安全促进与发展7.监督管理与法律责任8.附则主体I■■_L1

jJl核心机构■违反本办法规定■中国证监会可以对其釆取责令改正、监营谈话等监管措施；对有关葛她曾理人员給予曾吿、记过、记大过、降级•.撇职、开除専行政处分，井贵令橙心机构对其他责任人鎗予纪律处分V轻管机构和值息技术系统服务机构■违反本办法规定■中国证监会及其派出机梅可以对其釆取责令改正、监管谈话、出臭警示函、员令公开说明、责令定期报吿、责令増加内部合规检查次数等监管措施；对直接责任人和其他责任人员采取责令改正、监管谈话、出具警示函等监管措施；情节产重的，対相关机构及责任人员单处或者并处警告、十万元以下罚款，渉及金融安全且有危害后果的，井处二十万元以下罚款。■反映机构治理混国、内控失效或者不符合持续性经营规则■中国证监会及其派出机构可以依照《证券法》‘X期货和衍生品法》《证券投资基金法》相关规定，采取责令暂停借助网络开展部分业务或者全部业务、责令更换量事、监事、高级管理人员或者限制其权利等监管措施。核心机构、螳营机构和信息技术系统服务机构■违反本办法第九条、第十条、第+八条、第+九条、第二+奈、第三十七条、第三十九条规定，未履行网結和信息安全保护义务，成者应急曾理存在重大过失■中国证监会及其訴出机构可以依黒《网络安全法》相关规定予以处制。■拒绝、阻碍中国证监会及其派出机构行使监督治査、调査职权■中国证监会及其派出机构可以依法予以处罚C监管落实机构法律责任■,处罚!Bv61.总则8.附则3.投资者个人值息保护5.关键信息基础设施安全保护6.网络和信息安全促进与发展4.网络和信息安全应急处置2.网络和信息安全运行7.监資曾理与法律金任核心机构和经营机构■通反本办法第十七寺、第三十六条规定，攬自■停或砂止僧幼网络向投宏着捷價服务，时其产員＞、損房存在安s倦.琳箜风勲天立IP采取补澈馅施，受君未投風綻定及时报告■中国证监会及其派出机构可以依瞬《网埔安全注）相关规足予以处罚。■浅反本办注黑二十五条规定，对法據、行政法规禁止发布或者传知的信息未停止传墉、采取