《证券期货业网络和信息安全管理办法》(以下简称“《管理办法》”)是中国证券监督管理委员会(以下简称“证监会”)于2023年2月27日发布的以规范证券期货业网络和信息安全管理的部门规章,其将于2023年5月1日起正式实施。该管理办法的主要内容包括:网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。
1 Q1: 《管理办法》是什么时候发布的,为什么要发布《管理办法》?
答 《管理办法》发布于2022年2月27日,目的在于有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行。
2 《管理办法》适用于哪些机构?
答 《管理办法》实现监管覆盖各位主体,其具体适用于以下机构:1)证券期货业核心机构,包括证券期货交易场所、证券登记结算机构等承担证券期货市场公共职能、承担证券期货业信息技术公共基础设施运营的证券期货市场核心机构及其承担上述相关职能的下属机构;2)证券期货业经营机构,包括证券公司、期货公司和基金管理公司等;3)信息技术系统服务机构,是指为证券期货业务活动提供重要信息系统的开发、测试、集成、测评、运维及日常安全管理等产品或者服务的机构;4)核心机构和经营机构设立信息科技专业子公司,为母公司提供信息科技服务的,应当按照本办法落实网络和信息安全相关要求。
另外,根据《管理办法》的要求,如下机构应根据相关信息系统网络和信息安全管理的特点,参照适用管理办法,包括:在境内开展证券公司客户交易结算资金第三方存管业务、期货保证金存管业务的商业银行,证券投资咨询机构,基金托管机构和从事公开募集基金的销售、销售支付、份额登记、估值、投资顾问、评价等基金服务业务的机构,从事证券期货业务活动的经营机构子公司,借助自身运维管理的信息系统从事证券投资活动且存续产品涉及基金份额持有人账户合计一千人以上的私募证券投资基金管理人。
3 《管理办法》规定了哪些网络和信息安全管理的基本原则和目标?
答 《管理办法》规定了网络和信息安全管理应遵循保障安全、促进发展两项原则。一方面以保障安全为基本原则,要求机构从建设、运维、使用网络及信息系统,到识别、监测、防范、处置风险等方面,构建完整的网络和信息安全监管框架。另一方面还注重通过发展解决问题,通过技术架构的升级优化,提升安全保障能力。《管理办法》规定了网络和信息安全管理的目标是保障机构网络系统正常运行,保护机构及其客户数据不受非法获取、篡改或泄露,防止发生危害国家安全或社会公共利益等重大事件。
4 《管理办法》要求机构建立哪些网络和信息安全管理的组织架构?
答 《管理办法》要求核心机构和经营机构应当建立健全网络和信息安全管理组织架构,并明确相关职责分工。具体包括:指定或者设立网络和信息安全工作牵头部门或者机构,设立专门负责网络和信息安全工作的部门或岗位;强化管理层责任,明确主要负责人为本机构网络和信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。
5 《管理办法》要求机构建立哪些网络和信息安全管理的制度和机制?
答 《管理办法》要求核心机构和经营机构健全网络和信息安全管理制度体系,建立内部决策、管理、执行和监督机制,网络和信息安全工作协调和决策机制,网络和信息安全监测预警机制,供应商管理机制,信息发布审核机制,落实网络安全等级保护制度;同时要求信息技术系统服务机构应当建立网络和信息安全管理制度,建立与提供产品或者服务相适应的网络和信息安全管理机制。
6 《管理办法》要求机构如何进行网络和信息安全风险评估?
答 《管理办法》要求证券期货业关键信息基础设施运营者至少每年进行一次网络与信息安全风险评估,并应当将风险评估情况纳入网络和信息安全管理年报。风险评估的内容主要针对关键信息基础设施的运行情况、面临的主要威胁、风险管理情况、应急处置情况等。
7 《管理办法》要求机构如何进行供应商管理?
答 管理办法要求核心机构和经营机构应当通过如下方式进行供应商管理:(1)与供应商签订合同及保密协议,明确各方保障网络和信息安全的权利和义务;(2)内部建立健全供应商管理机制,明确信息技术产品和服务准入标准,持续评估相关产品和服务质量,健全风险管理措施和应急处置措施;(3)应当督促为机构提供重要信息系统相关产品或者服务的供应商作为信息技术系统服务机构向中国证监会备案。
8 《管理办法》对机构在投资者个人信息保护上提出了哪些具体要求?
答 《管理办法》为落实《个人信息保护法》等上位法的要求,明确机构在处理投资者个人信息时应遵循合法、正当、必要和诚信原则,并进一步细化要求机构建立健全投资者个人信息保护体系和管理机制,履行安全保护义务。同时,《管理办法》明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求。三是提出核心机构和经营机构在网络安全防护边界外处理投资者个人信息的技术要求,防范化解信息泄露风险。四是对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。
9 《管理办法》要求机构如何进行网络和信息安全事件应急处置?
答 《管理办法》要求机构应主要从以下三方面落实网络和信息安全事件应急处置:一是建立风险监测预警体制,加强日常漏洞扫描、安全评估,及时消除风险隐患;二是完善应急预案的应急场景和处置流程,要求定期开展应急演练;三是强化网络安全事件报告和调查处理工作,明确故障排查、相关方告知等工作要求。
10 违反《管理办法》关于网络和信息安全管理的规定应当承担什么法律责任?
答 根据《管理办法》规定,证监会可以依照《网络安全法》相关规定予以处罚,对违反网络和信息安全管理规定的机构作出责令改正、警告、罚款等行政处罚;情节严重的,可以暂停或者取消业务资格;涉嫌犯罪的,移送司法机关依法处理。
《证券期货业网络和信息安全管理办法》系列解读(一)十个问题快速了解新规规定
作者:王渝伟 周丹来源:数据法律观察

《证券期货业网络和信息安全管理办法》(以下简称“《管理办法》”)是中国证券监督管理委员会(以下简称“证监会”)于2023年2月27日发布的以规范证券期货业网络和信息安全管理的部门规章,其将于2023年