2023年3月3日,证监会发布《证券期货业网络和信息安全管理办法》(以下简称《办法》),全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求,将于2023年5月1日起正式实施。
《办法》主要内容梳理
《办法》共八章七十五条,包括主要内容:
第一章 总则
规定立法宗旨、适用范围、适用主体、工作目标及监管职责,厘清核心机构、经营机构和信息技术系统服务机构等行业机构的责任边界。
第二章 网络和信息安全运行
督促行业机构建立健全网络和信息安全管理体制机制,提升安全运行保障能力。
· 要求核心机构、经营机构指定或设立牵头部门,保障资源投入。
· 对核心机构、经营机构的信息系统和相关基础设施提出基本要求,明确等级保护义务。
· 要求核心机构、经营机构审慎开展系统新建、变更和移除,充分评估技术和业务风险,保证充分测试,及时履行投资者告知义务,加强网络和信息安全日常监测。
· 要求核心机构、经营机构建立网络和信息安全防护体系,明确数据备份、信息系统备份有关要求,常态化开展压力测试。
· 强化核心机构、经营机构对供应商的管理,督促信息技术系统服务机构履行备案义务,提升自主研发和安全可控能力。
· 明确安全信息发布和行业数据备份中心相关要求。
第三章 投资者个人信息保护
· 明确核心机构和经营机构建立健全投资者个人信息保护体系和管理机制,履行保护义务。
· 明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求。
· 要求核心机构和经营机构防范化解信息泄露风险。
· 对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。
第四章 网络和信息安全应急处置
· 建立风险监测预警体制,加强日常漏洞扫描、安全评估,及时消除风险隐患。
· 完善应急预案的应急场景和处置流程,要求定期开展应急演练。
· 强化网络安全事件报告和调查处理工作,明确故障排查、相关方告知等工作要求。
第五章 关键信息基础设施安全保护
落实国家关于关键信息基础设施的安全保护要求,结合行业特点,从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面,对关键信息基础设施运营者提出进一步的督导要求。
第六章 网络和信息安全促进与发展
· 鼓励相关机构在依法合规、风险可控、不损害投资者利益的前提下,开展行业网络和信息安全技术应用。
· 核心机构、经营机构可以在保障自身信息系统安全的前提下,为行业提供信息基础设施服务。
· 建立金融科技创新监管机制,加强网络和信息安全监管专业支撑,核心机构可以申请国家相关专业资质,开展行业网络和信息安全相关认证、检测、测试和风险评估等工作。
· 强化行业人才队伍建设,定期开展网络和信息安全宣传与教育。
· 发挥行业协会作用,引导技术创新与应用,组织科技奖励,促进行业科技进步、市场公平竞争。
第七章 监督管理与法律责任
· 规定行业机构的报告义务和流程要求。
· 建立健全行业网络和信息安全态势感知工作机制,开展风险隐患行业通报。
· 明确证监会及其派出机构可以委托专业机构采用渗透测试、漏洞扫描和风险评估等方式对行业机构开展监督检查。
· 对重要时期的网络和信息安全保障工作明确制度安排。
· 依据上位要求,结合违法违规的具体情形,规定相应罚则,并规定创新容错相关制度安排。
此外,《办法》还明确了名词释义、参照执行主体和情境。5月1日《办法》施行后,证监会此前发布的《证券期货业信息安全保障管理办法》将同时废止。
来源:网络资源
免责声明: 编撰:张宏魁 审核:李皓 本栏目的信息不构成任何投资建议,投资者不应以该等信息取代其独立判断或仅根据该等信息做出决策。供稿人力求本栏目文章所涉信息准确可靠,但并不对其准确性、完整性和及时性做出任何保证,亦不对因使用本栏目信息引发的损失承担责任。