炼石图解-证监会《证券期货业网络和信息安全管理办法》V1.0.0_第1页
炼石图解-证监会《证券期货业网络和信息安全管理办法》V1.0.0_第2页
炼石图解-证监会《证券期货业网络和信息安全管理办法》V1.0.0_第3页
炼石图解-证监会《证券期货业网络和信息安全管理办法》V1.0.0_第4页
炼石图解-证监会《证券期货业网络和信息安全管理办法》V1.0.0_第5页
已阅读5页,还剩74页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

炼石图解证监会炼石炼石网络2023年3月a引名【第218号令1(江券期货业网络和信息安全管理办法号立法说明2023年1月17日中国证券监督管理委员会第1次委务会议审议通过2023年5月1日起施行,2012年11月1日公布的《证券期货业信息安全保障管理办法》(证监为了保障证券期货业网络和信息安全,保护投资者合法为了保障证券期货业网络和信息安全,保护投资者合法权益,促进证券期货业稳定健康发展《证券法》《期货和衍生品法》《证券投资基金法》《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规《证券期货业网络和信息安全管理办法》23炼石近年来,证券期货业机构对网络和信息安全重视程度大幅提升,组织架构和制度体系持续优化,信息技术投入逐年增加,行业网络和信息安全运行态势总体平稳。但随着行业数字化智能化加速发展、网络和信息安全上升为国家战略、资本市场持续深化改革等内外部条件变化,证券期货业网络和信息安全面临的新情况新问题逐渐凸显。行业网络和信息安全形势严峻复杂法律法规的上位要求有待进一步落实一是随着大数据、云计算、区块链和人工智能等新技术应用的不断深入,证券期货业务与技术加速融合,各类业务活动日益依赖网络安全和信息化,增加了网络和信息安全管理的复杂度。二是随着行业机构数字化智能化转型的提速,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络和信息随着《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规密集发布实施,我国网络和信息安全法律体系进一步健全,新型管理框架基本成型。对此,证监会虽于2012年以来发布《证券期货业信息安全保障管理办法》(证监会令82号)《证券基金经营机构信息技术管理办法》(证监会令152号)等监管规则,但是由于制定时间较早、监管实践变化等原因,相关监03监管实践成果制度化还需加强2020年以来,证监会稳步推动科技监管深化改革,监管体制机制不断优化,信息技术系统服务机构备案管理、资本市场金融科技创新试点等工作全面展开,与相关部委进一步形成监管合力,沟通协作更加顺畅,需要及时总结实践经验,将改革成果制度化机基于上述新情况新问题,有必要进一步健全证券期货业网络和信息安全监管制度体系,制定专门的部门规章,构建证券期货业网络和信息安全管理的体系框架,提升行业安全保障能力。4落实上位要求,汲取实践经验《办法》聚焦网络和信息安全管理,强化个人信息保护,结合证券期货业特点,为相关法律法规在证券期货业的有效落地,明确实施路径,提供制度保障。同时,总结行业近年来监管工作成效,将实践经验转化为制度成果,固化工作机制。·一方面,充分考虑证券期货业各类券期货业关键信息基础设施运营者、核心机构、经营机构以及信息技术系统服务机构,从网络和信息安部门、自律组织的网络和信息安全监管职责做出明确规定。《办法》以保障安全为基本原则,丛建设、运维、使用网络及信息系统,到识别、监测、防范、处置风险等方面,构建了完整的网络和信息安全监管框架,对行业机构提出全方位的管理要求。在基础上,《办法》还注重通过发展解决问题,通过技术架构的升级优化,提升安全保障能力,并在信息基础设施建设、金融科技创新等5《办法》共八章七十五条,对证券期货业网络和信息安全监督管理体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理与法律责任等方面提出了要求。776·一是明确核心机构和经营机构处理投资者个人信息的基本原则,要求建立健全投资者个人信息保护体系和管理机制,履行扫梁者扫梁者保·二是明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求。·三是提出核心机构和经营机构在网络安全防护边界外处理投资者个人信息的技术要求,防范化解信息泄露风险。·四是对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。网维干E旦支公前色处置·网维干E旦支公前色处置·二是完善应急预案的应急场景和处置流程,要求定期开展应急演练。·三是强化网络安全事件报告和调查处理工作,明确故障排查、相关方告知等工作要求。关胜二息关胜二息·落实国家关于关键信息基础设施的安全保护要求,结合行业特点,从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面,对关键信息基础设施运营者提出进一步的督导要求。7安空5安空5 ·五是发挥行业协会作用,引导技术创新与应用,组织科技奖励,促进行业科技进步、市场公平竞争。督百理督百理二体是1815.系统变更21.压力测试28.知识产权30.个人信息保护体系29个人信息保护原则32.个人信息全生命周期安全33.向第三方提供情形要求34.脱敏加密72.报告对象73.除外适用74.参照适用75.施行日期炼石整理-《证券期货业网络和信息安全管理办法15.系统变更21.压力测试28.知识产权30.个人信息保护体系29个人信息保护原则32.个人信息全生命周期安全33.向第三方提供情形要求34.脱敏加密72.报告对象73.除外适用74.参照适用75.施行日期炼石1.目的依据2.适用范围3.基本原则5.管理职责7.协会职责8.核心机构职责9.制度建设9.制度建设10.责任人11.牵头部门12.人员和资金投入要求13.系统要求14.等级保护16.测试执行17.停止服务前告知18.监测预警及日志保存19.防护体系20.数据备份22.供应商管理机制23.备案义务24.不得违规25.审核机制26.自主研发27.备份数据中心31.明确告知及不得拒绝服务31.明确告知及不得拒绝服务35.生物特征35.生物特征网络和信息安全应急处置36.风险核实整改36.风险核实整改37.网络安全应急预案38.网络安全应急演练39.网络安全事件报告40.配合网络安全事件调查处理40.配合网络安全事件调查处理41.相关方告知41.相关方告知关键信息基础设施安全保护42.确保关基设施安全稳定运行43.关基安全纳入责任考核机制43.关基安全纳入责任考核机制44.关基安全配套人员44.关基安全配套人员45.关基设施变更评审45.关基设施变更评审46.定期安全检测和风险评估46.定期安全检测和风险评估47.采购网络产品或服务要求48.压力测试及系统性能容量49.同城和异地灾难备份中心网络和信息安全促进与发展50.鼓励新技术应用50.鼓励新技术应用51.开展行业信息基建要求51.开展行业信息基建要求52.金融科技创新与应用52.金融科技创新与应用53.监管支撑工作53.监管支撑工作54.人才队伍建设54.人才队伍建设55.网络和信息安全宣传与教育55.网络和信息安全宣传与教育56.协会引导促进56.协会引导促进第七章监督管理与法律责任57.相关信息数据报送提供57.相关信息数据报送提供58.态势感知工作机制58.态势感知工作机制59.网络和信息安全管理年报59.网络和信息安全管理年报60.委托监督检查60.委托监督检查61.重要时期安全保障61.重要时期安全保障62.机构及管理人员责任62.机构及管理人员责任63.治理机制混乱的罚则63.治理机制混乱的罚则64.未履行安全保护义务罚则64.未履行安全保护义务罚则67.违规发布或者传输罚则68.违规处理个人信息罚则68.违规处理个人信息罚则69.拒绝、阻碍监督检查罚则69.拒绝、阻碍监督检查罚则70.减轻、免于处罚情形70.减轻、免于处罚情形71.用语含义71.用语含义(拓展)证券行业已出台多项数据安全政策规范信息技术管理炼石《证券公司信息技术管理规范》《关于做好证券业重要信息系统安全等级保护定《证券期货经营机构信息系统备份能力标准》《证券期货业信息安全保障管理办法》《金融行业信息系统信息安全等级保护实施指引》软件数据《《证券期货业信息系统审计规范》《证券期货业信息系统审计:证券公司》《证券期货业信息系统托管基本要求》《证券期货业信息系统审计指南第1-7部分》经营机构信办法》机构《证券期货业数据分类分级指引》《证券期货业机构内部企业服务总线实施规范》《证券期货业信息系统运维管理规范》《证券期货业网络安全事件报告与调查处理办法》货业网络安全等级保护基本要求》货业网络安全等级保护测评要求》证券期货业数据安全管理与保护指91.总则1.总则8.附则适用范围适用范围核心机构和经营机构在中华人民共和国境内建设、运营、维护、使用网络及信息系统,信息技术系统服务机构为证券期货业务活动提供产品或者服务的网络和信息安全保障,以及证券期货业网络和信息安全的监督管理,适用本办法。核心机构和经营机构核心机构和经营机构信息技术系统服务机构1.总则8.附则是指承载证券期货业关键业务活动,如出现系统服务异常、“以上”含本数,“以下”不含本数是指依照监管职责,核心机构应当向中国证监会报告;除中国证监会另有要求的,经营机构和信息技术系统服务机中国证监会依法履行八大监督管理职责1.总则8.附则规划规划标准监督管理技术项目个人信息组织制定并推动落实证券期货业网络和信息安全发展规负责证券期货业网络和信息安全的监督管理,按规定做好证券期货业涉及的关键信负责证券期货业网络和信息安全重大技术路线、重大科技项目管理;组织开展证券期货业投资者应急应急处置促进发展法律法规其他职责负责证券期货业网络安全应急演练、应急处置、事件报告与调查处理;指导证券期货业网络和信息安全促进与发展;支持、协助国家有关部门组织实施网络和信息安全相关法律法规规定的其他网络和1.总则1.总则8.附则中国证监会中国证监会·中国证监会科技监管部门对证券期货业网络和信息安全实施监督管理。·(中国证监会派出机构对本辖区经营机构和信息技术系统服务机构网络和信息安中国证券投资基金业协会等行业协会核心机构核心机构·对与本机构信息系统和网络通信设施相关联主体加强指导,督促其强化网络和信信设施的安全平稳运行完善网络和信息安全管理体系,强化管理层责任1.总则1.总则8.附则核心机构和经营机构·应当具有完善的信息技术治理架构·健全网络和信息安全管理制度体系·建立内部决策、管理、执行和监督机制·确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配信息技术系统服务机构·配备相应的安全、合规管理人员·建立与提供产品或者服务相适应的网络和信息安全管理机制确定牵头部门明确第一责任人确定牵头部门·核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人·分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人·核心机构和经营机构应当建立网络和信息安全工作协调和决策机制,保障第一责任人和直接责任人履行职责·核心机构和经营机构应当指定或者设立网络和信息安全工作牵头部门或者机构·负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等工作。1.总则8.附则·核心机构和经营机构应当保障人员和资金投入与业务活动规模、复杂程度相适应·核心机构和经营机构应当确保信息系·足够的性能、容量、可靠性、扩展性·并保证相关安全技术措施与信息化工1.总则1.总则8.附则核心机构和经营机构暂停或者终止借助网络向投资者提供服务前,应当履行告知义核心机构和经营机构暂停或者终止借助网络向投资者提供服务前,应当履行告知义投资者相关业务影响情况、替代方式及应对措施。中国证监会及其派出机构任何机构和个人不得违规开展证券期货业信息系统认证、检测、风险评估等活动。不得违规发布证券期货业信息安全漏洞、计算机病毒、网络攻击、网络侵入等信息。炼石1.总则炼石1.总则8.附则3防护体系风险评估风险评估核心机构和经营机构新建上线、运行变更、下线移除重要信息风险防控措施、应急处置和回退方案并对相关结果进行复核验证应当提前向中国证监会及其派出机构报告建立健全网络和信息安全监测预警机制,设定监测指标持续监测信息系统和相关基础设施的运行状况及时处置异常情形,对监测机制执行效果进行定期评估并持续优化全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志,确保满足以下等工作需求:故障分析内部控制调查取证构建网络和信息安全防护体系综合采取以下等安全保障措施:网络隔离用户认证访问控制策略管理数据加密网站防篡改病毒木马防范非法入侵检测网络安全态势感知不得在交易时段对重要信息系统进行变更重要信息系统业务日志系统日志提升网络和信息安全防护能力,及时识别、阻断相关网络攻击,保护重要信息系统和相关基础设施,防范信息泄露与损毁1.总则8.附则测试方案制定全面的测试方案脱敏处理对测试环境涉及的敏感数据进行脱敏施联网测试核心机构组织市场相关主体进行联网测试压力测试及时对相关信息系统开展压力测试33制定压力测试方案,设定测试场景,从系统性能序组织测试工作测试完成后形成压力测试报告存档备查,并保存五年以上两倍以上核心机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之五十以下经营机构交易时段相关网络近一年使用峰值应当在强化供应商管理和准入机制2.网络和信2.网络和信息安全运行人信息保护息安全应急处置基础设施安全保护审慎采购并持续评估机制相关产品和服务的质量,及时改进风险管理措施,健全应急处置机制,确保重要信息系统运行安全可控②供应商为核心机构和经营机构提供重供应商为核心机构和经营机构提供重息安全促进息安全促进与发展33与法律责任炼石炼石息安全运行人信息保护息安全应急处置基础设施安全保护息安全促进与发展与法律责任委托相关机构采取有效安全防护手段,防范数据损毁泄露风险,持续提升证券期货业重大灾难应对能力②行一次有效性验证应当建立重要信息系统的故障备份设施和灾难备份设施根据信息系统的重要程度和业务影响情况,确定恢复目标,保证业务连续运行。灾难备份设施应当通过同城或异地3采取双活或多活架构部署重要信息系统的,在确保业务连续运行前提下提升自主可控能力建立审核机制1.总则提升自主可控能力建立审核机制1.总则8.附则·核心机构和经营机构应当建立信息·发现违反法律法规和有关监管规定必要的处置措施,防止信息扩散,积极消除负面影响,并及时向中国·核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,掌握执行程序和源代码并安全可·经营机构应当根据自身发展需要,加强自主研发能力建设,持续提升自主可控能力·核心机构和经营机构应当按照国家及中国证监会有关要求,开展信息技术应用创新强化自主知识产权保护核心机构和经营机构应当按照知识产权相关法律法规,制定知识产权保护策略和制度。不侵犯他人的知识产权,并采取有效措施保护本机构自主知识产权。22秉承原则1.总则不得损害投资合法必要秉承原则1.总则不得损害投资合法必要当当建立健全投资者个人信息保护体系职责明确8.附则加强防护加强投资者个人信息保护1.总则1.总则服务,为投资者提供服务所必需、履行法定8.附则1.总则组织和处置流程,应急场景应当覆盖网络安全事件、自然灾害和公相关重大人事变动、主要信息技术系统服务机构退出等情形。护事件现场和相关证据,向中国证监会及其派出机构进行应急报告,不得瞒报、谎报、迟报、漏报。核心机构和经营机构发生网络安全事件,对投资者造成影响的,应当及时通过官方网站、客户交易终端、8.附则级别高级别高中低炼石4级3级1.数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围大(跨行业或跨机构),影响程度一般是“严重2.一般特征:数据主要用于行业内大型或特大型机构中的知悉的对象访问或使用。1.数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围中等(一般局限在本机构),影响程度一般是平重员公开,且仅为必须知悉的对象访问或使用。1.数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围较小(一般局限在本机构),影响程度一般是“中等”或“轻微”。1.数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围较小(一般局限在本机构),影响程度一般是“轻微”或“无”。数据定级影响三要素数据定级影响三要素√影响范围:多个行业、行业内多机构、本机构√影响程度:严重、中等、轻微、无严重中等轻微无参考说明《证券期货业网络安全事件报告与调查处理办法》重大事件:10万人以上*摘自《JR/T0158-2018证券期货业数据分类分级指引》炼石炼石息安全运行4.网络和信息安全应急5.关键信息基础设施安全保护息安全促进与发展与法律责任基本要求和义务1.总则根据要求3.投资者个责任考核证券期货业关键信息基础设施运营者应当将关键信息基础设施安全保护情况纳机构指定1.指定专门机构或者部门负责关键信息基础入网络和信息安全工作第一责任人、直5.对专门安全管理机构负责人和关键岗位人员进新建重要设施系统等投入使用前需开展安全检测和风险评估1.总则1.总则息安全运行3.投资者个人信息保护4.网络和信息安全应急处置5.关键信息基础设施安全保护息安全促进与发展与法律责任新建系统变更/下线较大变化信息基础设施安全保护相关要求开展资金检测和圆险评估检测评估通过后检测评估通过后施运营者新建承载关键业务的重要网络设施、信息系统等证券期货业关键信息基础设施运营者对关键信息基础设应当在遵守本办法第干五未通过评审原则上不得实施运行变更、施实施运行变更或者下线移条的前提下,组织开展专下线移除等操作除,可能对证券期货市场安家评审全平稳运行产生较大影响的证券期货业关键信息基础设施停止运营或者发生较大变相关运营者应当及时将相关情况报告中国证监会及其派出机构1.总则1.总则8.附则证券期货业关键信息基础设施运营者应当每年至少进行一次网络和信息安全检测和风险评估,对发现的安全问题及时整改,网络和信息安全检测和风险评估的内容包括但不限安全检测定期开展压力测试,发现系统性能和网络容量不足的,应当及时采取系统升级、扩容等证券期货业关键信息基础设施运营者应当在符合本办法第二十条规定的基础上,建设同炼石信息技术系统服务机构核心机构、经营机构提升员工网络和信息安全意识全教育活动炼石信息技术系统服务机构核心机构、经营机构提升员工网络和信息安全意识全教育活动依法合规、风险可控能力确保人才资质、经验、专业素质职业道德符合岗位要求人才培养机制为行业统筹提供服务,提升信息技术资源利用服务水平信息安全组织开展行业信息基础设施建设的机构1.总则8.附则1.总则8.附则中国证监会核心机构定期开展评估认证定期开展评估认证保障充足的资源投入,完善内部管理制度和工作流程,保证工修专业性、独立性和公信力评估通过作为证券期货业网络和信息安全监管支撑单位,相关工作情况可以作为中国证监会及其派出机构实施开展面向投资者的网络和信息安全宣传教育活网上证券期货业务活动炼石主体1.总则■可以委托国家、行业有关专业机构采用漏洞扫描、风险评估等方式,协助对核心机构、经营机构和信息技术系统服务机构开展监督、检查。真实、准确、完整。会及其派出机构,年报内容包括但不限于网络和信息安全治理情况、人员情况、年度工作计划等。■报送网络和信息安全管理年报时,可以与中国证监会要求的信息科技管理专项报告等其他年度信息科技类报告合并报送,证券期货业关键信息基础设施运营者应当将关键信息基础设施网络和信息安全检测和风险评估情况8.附则事项处罚■违反本办法规定■违反本办法规定■中国证监会及其派出机构可以对其采取责令改正、监管谈话、出具警示函、责令公开说明、责令定期报告、责令增加内部合规检查次数等监管措施;对直接责任人和其他责任人员采取责令改正、监管谈话、出具警示函等监管措施;情节严重的,对相关机构及责任人员单处或者并处警告、十万元以下罚款,涉及金融安全且有危害后果的,并处二十万元以下罚不符合持续性经营规则资基金法》相关

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论