证监会《证券期货业网络和信息安全管理办法》V1.0.0

《证券期货业网络和信息安全管理办法》正式发布2023年1月17日中国证券监督管理委员会第1次委务会议审议通过充分衔接上位要求、总结监管实践的基础上，证监会于2023年2月27日发布《证券期货业网络和信息安全管理办法》。《办法》自2023年5月1日起施行，2012年11月1日公布的《证券期货业信息安全保障管理办法》(证监会令第82号)同时废止。en2#x-m*RAsEWmDoA=1aEAI-S4aT44dd*画为了保障证券期货业网络和信息安全，保护投资者合法权益，促进证券期货业稳定健康发展《证券法》《期货和衍生品法》《证券投资基金法》《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规《证券期货业网络和信息安全管理办法》23年增加，行业网络和信息安全运行态势总体平稳。但随着行业数字化智能化加速发展、网络和信息安全上升为国家战略、资本市场持续深化改革等内外部条件变化，证券期货业网络和信息安全面临的新情况新问题逐渐凸显。法律法规的上位要求有待进一步落实监管实践成果制度化还需加强基于上述新情况新问题，有必要进一步健全证券期货业网络和信息安全监管制度体系，制定专门的部门规章，构建证券期货业网络和信息安全管理的体系框架，提升行业安全保障能力。4落实上位要求，汲取实践经验覆盖各类主体，厘清权责边界严守安全底线，促进科技发展56·一是明确核心机构和经营机构处理投资者个人信息的基本原则，要求建立健全投资者个人信息保护体系和管理机制，履行今·二是明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求。·三是提出核心机构和经营机构在网络安全防护边界外处理投资者个人信息的技术要求，防范化解信息泄露风险。·四是对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。·一是建立风险监测预警体制，加强日常漏洞扫描、安全评估，及时消除风险隐患。。二是完善应急预案的应急场景和处置流程，要求定期开展应急演练。·三是强化网络安全事件报告和调查处理工作，明确故障排查、相关方告知等工作要求。网丝切网丝切仁它罗全·落实国家关于关键信息基础设施的安全保护要求，结合行业特点，从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面，对关键信息基础设施运营者提出进一步的督导要求。7 与法作=与法作=8证券期货业网络和信息安全管理办法第一章总则1目的依据22.供应商管理机制23.备豪义务4不提25.申核机制6.自土强发27粉照语中心通单识产权40.起合两络安全件请主处理第七章监督管理与法律责任9,网终吊信县安生算理岸报9,网终吊信县安生算理岸报8,抱皂，烟异监管检主罚则8,抱皂，烟异监管检主罚则70.70.经、免十处罚情形第八章附则:证券公司》:证券公司》信息技术管理《证券公司信息技术管《关于做好证券业重要信息系统安全等级保护定《证券期货经营机构信息系统备份《证券期货业信息安全保障管理办法》级工作的通知》《金融行业信息系统信息安全等级保护实施指引》*信息科技管理规范的变化(绿色部分为新增领域)《证券期货业信息系统运维《证券期货业信息系统审计规范》《证券期货业信息系统审计托管基本要求》《证券期货业信息系统《证券基金经营机构信息技术管理磷县長求要《证券期货业数据分类分级《证券期货业机构内部企业服务总线实施《证券期货业网络安全事件报告与调查处理办法》2021证券期货业网络安全等级保护基本2021证券期货业网络安全等级保护测评证券期货业数据安全管理与保护指9核心机构和经营机构在中华人民共和国境内建设、运营、维护、使用网络及信息系统，信息技术系统服务机构为证券期货业务活动提供产品或者服务的网络和信息安全保障，以及证券期货业网络和信息安全的监督管理，用本办法。↓↓ψ息系统的开发、测试、集成、测评、息系统的开发、测试、集成、测评、算机构等承担证券期货市场公共职能、承担证券期货业信息技术公共基础设施运营的证券期货市场核心机构及是指承载证券期货业关键业务活动，如出现系统服务异常、是指承载证券期货业关键业务活动，如出现系统服务异常、的信息系统。是指依照监管职贡，核心机构应当向中国证监会报告；除中国证监会另有要求的，经营机构和信息技术系统服务机规划规划项目处置处置信息技术系统服务机构1.总则保障人员与资金投入确保信息系统和基础设施高可用告知义务告知义务核心机构和经营机构暂停或者终止借助网核心机构和经营机构暂停或者终止借助网络向投资者提供服务前，应当履行告知义务务，合理选取公告、定向通知等方式告知投资者相关业务影响情况、替代方式及应将网络安全等级保护工作开展情况报送对措施。明确违规行为任何机构和个人不得违规发布证券期货业信息安全漏洞、计算机病毒、网络攻击、网络侵入等信息。jo核心机构和经营机构人信息保护全保护与发展与法律责任测试方案数据进行脱敏施联网测试核心机构联网测试序组织测试工作重要信息系统的性能容量应当在历史峰值的两倍以上当前带宽的百分之八十以下建立健全供应商管理机制明确信息技术产品和服务准入标准与供应商签订合同及保密协议明确约定各方保障网络和信息安全的权利和义务督促相关信息技术系统服务机构依法履行备案义务供应商有义务配合中国证监会及其派出机构查明网络安全事件原因认定网络安全事件责任依法作为信息技术系统服务机构向中国证监会备案应当建立重要信息系统的故障备份设施和灾难备份设施1.总则秉承原则处理投资者个人信息者合法权益履行投资者个人信息保护义务合法正当必要职责明确加强防护8.附则核心机构和经营机构应当按照法律法规的规定及合同的约定处理投资者个人信息，明确告知不得收集提供服务非必要的投资者个人信息。合同约定事项应当基于从事证券期货业务活动的必服务，为投资者提供服务所必需、屈行法定核心机构和经营机构处理投资者个人信息时，应当确保个人信息在收集、存储、使用、加工、传核心机构和经营机构应当依法依规向第三方机构提供投资者个入信核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的，应当采取数据脱敏、核心机构和经营机构通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的，应当将投资核心机构和经营机构利用生物特征进行客户身份认证的，应当对其必要性、安全性进行风险评估，3核心机构和经营机构应当建立应急处置机制，及时处置网络安全事护事件现场和相关证据，向中国证监会及其派出机构进行应急报告，不得瞒报、谎报、迟报、漏报。核心机构和经言机构发生网络安全事件，对投资者造成影响的，应当及时通过官方网站、客户交易终端、商中商中低级|数据重4级极高2级后数据拔失后，影响范国大(鸭行业或蹲机构),影影响程度一展是“产重后数据损失后，影响范围较小(一般局限在本机构),2二般特征：数据可被公开或可被公众获知、使用。中等无参考说明《证券期货业网络安全事件报告与调查处理办法》实现目的基本要求和义务实现目的机构指定责任考核机构指定应一责任人应一责任人、直当将关键信息基础设施安全保护情况纳入网络和信息安全工作第接责任人和相关人员的责任考核机制。1.总则1.总则等上线运行情况报告关键信息基础设旅安全保护在风险评估、风险预判、安全检测、容灾处理等维重的亚求风险预判定期开展压力测试，发现系统性能和网络容量不足的，应当及时采取系统升级、扩容等核心机构、经营机构核心机构、经营机构为行业统筹提供服务，提升信息技术资源利用服务水平组织开展行业信息基础设施建设的机构确保人才资质、经验、专业素质职业道德符合岗位要求人才培养机制提升员工网络和信息安全意识周期依法合规、风险可控应当遵守有关规中国证监会中国证监会行业协会经营机构行业协会经营机构证券期货业网络和信息安全监管支撑网络和信息安全技术创新网络和信息安全技术创新开展面向投资者的网络促进行业科技进步。应当引导信息技术系统服应当引导信息技术系统服,提升服务的安全合规水平，促造市场有序死争。息安全风险，增强投资者风险防范能力。关工作情况可以作为中国证监会及其派出机构实施监督管理的参考依据。1.总则2.网络和信息安全运行1.总则2.网络和信息安全运行■可以委托国家、行业有关专业机构采用漏洞扫描、风险评估等方式，协助对核心机构、经营机构和信息技术系统服务机系统服务机构会及其派出机构，年报内容包括但不限于网络和信息安全治理情况、人员情况、投入情况、风险情况、处置情况和下一1.总则2.网络和信息安全运行1.总则2.网络和信息安全运行8.附则处罚■违反本办法规定■违反本办法规定■中国证监会及其派出机构可以对其采取责令改正、监管谈话、出具警示函、责令公开说明、责令定期报告、责令增加内部合规检查次数等监管措施；对直接责任人和其他责任人员采取责令改正、监管谈话、出具警示函等监管措施；情节严重的，对相关机构及责任人员单处或者并处警告、十万元以下罚款，涉及金融安全且有危害后果的，并处二十资基金法》相关规定，采取责令暂停借助网络开展部分业务或者全部业务、网络和信息安全保护义务：或者应急管理存在重大过失■中国证监会及其派出机构可以依照《网络安全法》相关规定予以处■中国证监会及其派出机构可以依法予以处罚。1.总则2.网络和信息安全运行1.总则2.网络和信息安全运行人信息保护息安全应急5.关键信息全保护6.网络和信息安全促进与发展8.附则-石-处窃网络向投资者提供服务，对其产品、服务存在安全缺陷，漏润等风险末立即采取补救措施，或者未按照规定及时报告■中国证监会及其派出机构可以依照《网络安全法■中国证监会及其派出机构可以依照《网络安全法》相《个人信息保护法》相关规定予以处罚。■中国证监会及其派出机构可以予以从轻或者减轻处罚未对证券期货市场产生不良影响的，可以免于处罚。■未履行备案义务的■中国证监会及其派出机构可以依累《证券法》《期货和衍生品法》相关规定予以处罚。《关键信息基础设施安全保护条例》相关规定予以处罚。■违反本办法第二十四条现定，开展证券期货■中国证监会及其派出机构可以依照《网络安全法》相关规定予以处罚。国家对存储、处理涉及国家秘密信息的网络和信息安全管理另有规定的，从其规定。本办法自2023年5月1日起施行。2012年11月1日公布的《证券期货业信息安全保障管理办法》(证监会令第82号)同时废止。应当根据相关信息系统网络和信息安全管理的特点，参照适用本办法信息科技专业子公司应当按照本办法落实网络和信息安全相关要求免改造