学习解读2023年新制定的证券期货业网络和信息安全管理办法(讲义).docx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《学习解读2023年新制定的证券期货业网络和信息安全管理办法(讲义).docx》由用户(大溪地)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 学习 解读 2023 新制 证券期货 网络 信息 安全管理 办法 讲义
- 资源描述:
-
1、证券期货业网络和信息安全管理办法学习解读证监会新制定的证券期货业网络和信息安全管理办法(讲义)为有效落实网络安全法数据安全法个人信息保护法关键信息基础设施安全保护条例相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了证券期货业网络和信息安全管理办法(以下简称办法)。办法将于2023年5月1日起正式实施。第一部分:办法的出台背景近年来,证券期货业机构对网络和信息安全的重视程度大幅提升,组织架构和制度体系持续优化,信息技术投入逐年增加,行业网络和信息安全运行态势总体平稳。但是,随着行业数字化智能化加速发展、网络和信息安全上升
2、为国家战略、资本市场持续深化改革等内外部条件的变化,证券期货业网络和信息安全面临的新情况新问题逐渐凸显,主要体现在以下:方面:(一)行业网络和信息安全形势严峻复杂。一是随着大数据、云计算、区块链和人工智能等新技术应用的不断深入,证券期货业务与技术加速融合,各类业务活动日益依赖网络安全和信息化,增加了网络和信息安全管理的复杂度。二是随着行业机构数字化智能化转型的提速,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络和信息安全管理能力面临更大挑战。(二)法律法规的上位要求有待进一步落实。随着网络安全法数据安全法个人信息保护法关键信息基础设施安全保护条例等法律法规密集发布实施,我国网络和信息
3、安全法律体系进一步健全,新型管理框架基本成型。对此,证监会虽于2012年以来发布证券期货业信息安全保障管理办法(证监会令82号)证券基金经营机构信息技术管理办法(证监会令152号)等监管规则,但是由于制定时间较早、监管实践变化等原因,相关监管规则在有效衔接上位要求方面有待进一步完善。(三)监管实践成果制度化还需加强。2020年以来,证监会稳步推动科技监管深化改革,监管体制机制不断优化,信息技术系统服务机构备案管理、资本市场金融科技创新试点等工作全面展开,与相关部委进一步形成监管合力,沟通协作更加顺畅,需要及时总结实践经验,将改革成果制度化机制化。基于上述新情况新问题,有必要进一步健全证券期货业
4、网络和信息安全监管制度体系,制定专门的部门规章,构建证券期货业网络和信息安全管理的体系框架,提升行业安全保障能力。第二部分:办法的起草思路(一)落实上位要求,汲取实践经验。办法聚焦网络和信息安全管理,强化个人信息保护,结合证券期货业特点,为相关法律法规在证券期货业的有效落地,明确实施路径,提供制度保障。同时,总结行业近年来监管工作成效,将实践经验转化为制度成果,固化工作机制。(二)覆盖各类主体,厘清权责边界。一方面,充分考虑证券期货业各类主体的责任义务和业务特点,对证券期货业关键信息基础设施运营者、核心机构、经营机构以及信息技术系统服务机构,从网络和信息安全管理方面分别提出监管要求。另一方面,
5、厘清职责分工,对监管部门、自律组织的网络和信息安全监管职责做出明确规定。(三)严守安全底线,促进科技发展。办法以保障安全为基本原则,从建设、运维、使用网络及信息系统,到识别、监测、防范、处置风险等方面,构建了完整的网络和信息安全监管框架,对行业机构提出全方位的管理要求。在此基础上,办法还注重通过发展解决问题,通过技术架构的升级优化,提升安全保障能力,并在信息基础设施建设、金融科技创新等方面作出制度安排。第三部分:办法的主要内容办法共八章七十五条,对证券期货业网络和信息安全监督管理体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与
6、发展、监督管理与法律责任等方面提出了要求。具体包括:(一)总则。规定立法宗旨、适用范围、适用主体、工作目标及监管职责,厘清核心机构、经营机构和信息技术系统服务机构等行业机构的责任边界。(二)网络和信息安全运行。督促行业机构建立健全网络和信息安全管理体制机制,提升安全运行保障能力。一是要求核心机构、经营机构具有完善的治理架构,强化管理层责任,指定或设立牵头部门,保障资源投入。二是对核心机构、经营机构的信息系统和相关基础设施提出基本要求,明确等级保护义务。三是要求核心机构、经营机构审慎开展系统新建、变更和移除,充分评估技术和业务风险,保证充分测试,及时履行投资者告知义务,加强网络和信息安全日常监测
7、。四是要求核心机构、经营机构建立网络和信息安全防护体系,明确数据备份、信息系统备份有关要求,常态化开展压力测试。五是强化核心机构、经营机构对供应商的管理,督促信息技术系统服务机构履行备案义务,提升自主研发和安全可控能力,加强知识产权保护。六是明确安全信息发布和行业数据备份中心相关要求。(三)投资者个人信息保护。一是明确核心机构和经营机构处理投资者个人信息的基本原则,要求建立健全投资者个人信息保护体系和管理机制,履行保护义务。二是明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求。三是提出核心机构和经营机构在网络安全防护边界外处理投资者个人信息的技术要求,防范化解信息泄露风险。四
8、是对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。(四)网络和信息安全应急处置。一是建立风险监测预警体制,加强日常漏洞扫描、安全评估,及时消除风险隐患。二是完善应急预案的应急场景和处置流程,要求定期开展应急演练。三是强化网络安全事件报告和调查处理工作,明确故障排查、相关方告知等工作要求。(五)关键信息基础设施安全保护。落实国家关于关键信息基础设施的安全保护要求,结合行业特点,从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面,对关键信息基础设施运营者提出进一步的督导要求。(六)网络和信息安全促进与发展。一是鼓励相关机构在依法合规、风险可控、不损害投资者利益的前
9、提下,开展行业网络和信息安全技术应用。二是核心机构、经营机构可以在保障自身信息系统安全的前提下,为行业提供信息基础设施服务。三是建立金融科技创新监管机制,加强网络和信息安全监管专业支撑,核心机构可以申请国家相关专业资质,开展行业网络和信息安全相关认证、检测、测试和风险评估等工作。四是强化行业人才队伍建设,定期开展网络和信息安全宣传与教育。五是发挥行业协会作用,引导技术创新与应用,组织科技奖励,促进行业科技进步、市场公平竞争。(七)监督管理与法律责任。一是规定行业机构的报告义务和流程要求。二是建立健全行业网络和信息安全态势感知工作机制,开展风险隐患行业通报。三是明确证监会及其派出机构可以委托专业
10、机构采用渗透测试、漏洞扫描和风险评估等方式对行业机构开展监督检查。四是对重要时期的网络和信息安全保障工作明确制度安排。五是依据上位要求,结合违法违规的具体情形,规定相应罚则,并规定创新容错相关制度安排。此外,办法还明确了名词释义、参照执行主体和情境。办法施行后,证监会此前发布的证券期货业信息安全保障管理办法同时废止。第四部分:办法的全文学习证券期货业网络和信息安全管理办法(2023 年 1 月 17 日中国证券监督管理委员会第 1 次委务会议审议通过)第一章 总 则第一条 为了保障证券期货业网络和信息安全,保护投资者合法权益,促进证券期货业稳定健康发展,根据中华人民共和国证券法(以下简称证券法
11、)、中华人民共和国期货和衍生品法(以下简称期货和衍生品法)、中华人民共和国证券投资基金法(以下简称证券投资基金法)、中华人民共和国网络安全法(以下简称网络安全法)、中华人民共和国数据安全法中华人民共和国个人信息保护法(以下简称个人信息保护法)、关键信息基础设施安全保护条例等法律法规,制定本办法。第二条 核心机构和经营机构在中华人民共和国境内建设、运营、维护、使用网络及信息系统,信息技术系统服务机构为证券期货业务活动提供产品或者服务的网络和信息安全保障,以及证券期货业网络和信息安全的监督管理,适用本办法。第三条 核心机构和经营机构应当遵循保障安全、促进发展的原则,建立健全网络和信息安全防护体系,
12、提升安全保障水平,确保与信息化工作同步推进,促进本机构相关工作稳妥健康发展。信息技术系统服务机构应当遵循技术安全、服务合规的原则,为证券期货业务活动提供产品或者服务,与核心机构、经营机构共同保障行业网络和信息安全,促进行业信息化发展。第四条 核心机构和经营机构应当依法履行网络和信息安全保护义务,对本机构网络和信息安全负责,相关责任不因其他机构提供产品或者服务进行转移或者减轻。信息技术系统服务机构应当勤勉尽责,对提供产品或者服务的安全性、合规性承担责任。第五条 中国证监会依法履行以下监督管理职责:(一)组织制定并推动落实证券期货业网络和信息安全发展规划、监管规则和行业标准;(二)负责证券期货业网
13、络和信息安全的监督管理,按规定做好证券期货业涉及的关键信息基础设施安全保护工作;(三)负责证券期货业网络和信息安全重大技术路线、重大科技项目管理;(四)组织开展证券期货业投资者个人信息保护工作;(五)负责证券期货业网络安全应急演练、应急处置、事件报告与调查处理;(六)指导证券期货业网络和信息安全促进与发展;(七)支持、协助国家有关部门组织实施网络和信息安全相关法律、行政法规;(八)法律法规规定的其他网络和信息安全监管职责。第六条 中国证监会建立集中管理、分级负责的证券期货业网络和信息安全监督管理体制。中国证监会科技监管部门对证券期货业网络和信息安全实施监督管理。中国证监会履行监管职责的其他部门
14、配合开展相关工作。中国证监会派出机构对本辖区经营机构和信息技术系统服务机构网络和信息安全实施日常监管。第七条 中国证券业协会、中国期货业协会、中国证券投资基金业协会等行业协会(以下统称行业协会)依法制定行业网络和信息安全自律规则,对经营机构网络和信息安全实施自律管理。第八条 核心机构依法制定保障市场相关主体与本机构信息系统安全互联的技术规则,对与本机构信息系统和网络通信设施相关联主体加强指导,督促其强化网络和信息安全管理,保障相关信息系统和网络通信设施的安全平稳运行。第二章 网络和信息安全运行第九条 核心机构和经营机构应当具有完善的信息技术治理架构,健全网络和信息安全管理制度体系,建立内部决策
15、、管理、执行和监督机制,确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配。信息技术系统服务机构应当建立网络和信息安全管理制度,配备相应的安全、合规管理人员,建立与提供产品或者服务相适应的网络和信息安全管理机制。第十条 核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。核心机构和经营机构应当建立网络和信息安全工作协调和决策机制,保障第一责任人和直接责任人履行职责。第十一条 核心机构和经营机构应当指定或者设立网络和信息安全工作牵头部门或者机构,负责管理重要信息系统和相关基础设施、制定网络安全应急预案
16、、组织应急演练等工作。第十二条 核心机构和经营机构应当保障人员和资金投入与业务活动规模、复杂程度相适应,确保网络和信息安全人员具备与履行职责相匹配的专业知识和职业技能。第十三条 核心机构和经营机构应当确保信息系统和相关基础设施具备合理的架构,足够的性能、容量、可靠性、扩展性和安全性,并保证相关安全技术措施与信息化工作同步规划、同步建设、同步使用。第十四条 核心机构和经营机构应当落实网络安全等级保护制度,依法履行网络安全等级保护义务,按照国家和证券期货业网络安全等级保护相关要求,开展网络和信息系统定级备案、等级测评和安全建设等工作。核心机构和经营机构应当按照相关要求,将网络安全等级保护工作开展情
17、况报送中国证监会及其派出机构。第十五条 核心机构和经营机构新建上线、运行变更、下线移除重要信息系统的,应当充分评估技术和业务风险,制定风险防控措施、应急处置和回退方案,并对相关结果进行复核验证;可能对证券期货市场安全平稳运行产生较大影响的,应当提前向中国证监会及其派出机构报告。核心机构和经营机构不得在交易时段对重要信息系统进行变更,重要信息系统存在故障、缺陷,经评估须进行紧急修复的情形除外。第十六条 核心机构和经营机构在重要信息系统上线、变更前应当制定全面的测试方案,持续完善测试用例和测试数据,并保障测试的有效执行。除必须使用敏感数据的情形外,核心机构和经营机构应当对测试环境涉及的敏感数据进行
18、脱敏,对未脱敏数据须采取与生产环境同等的安全控制措施。核心机构交易、行情、开户、结算、通信等重要信息系统上线或者进行重大升级变更时,应当组织市场相关主体进行联网测试。第十七条 核心机构和经营机构暂停或者终止借助网络向投资者提供服务前,应当履行告知义务,合理选取公告、定向通知等方式告知投资者相关业务影响情况、替代方式及应对措施。第十八条 核心机构和经营机构应当建立健全网络和信息安全监测预警机制,设定监测指标,持续监测信息系统和相关基础设施的运行状况,及时处置异常情形,对监测机制执行效果进行定期评估并持续优化。核心机构和经营机构应当全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志,确保满
19、足故障分析、内部控制、调查取证等工作的需要。重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上。第十九条 核心机构和经营机构应当构建网络和信息安全防护体系,综合采取网络隔离、用户认证、访问控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等安全保障措施,提升网络和信息安全防护能力,及时识别、阻断相关网络攻击,保护重要信息系统和相关基础设施,防范信息泄露与损毁。第二十条 核心机构和经营机构应当建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证。核心机构和经营机构应当建立重要信息系统的故障备份
20、设施和灾难备份设施,根据信息系统的重要程度和业务影响情况,确定恢复目标,保证业务连续运行。灾难备份设施应当通过同城或者异地灾难备份中心的形式体现。核心机构和经营机构采取双活或者多活架构部署重要信息系统的,在确保业务连续运行的前提下,任一数据中心可视为其他数据中心的灾难备份设施。第二十一条 核心机构和经营机构应当每年至少开展一次重要信息系统压力测试;发现市场较大波动,重要信息系统的性能容量可能无法保障安全平稳运行的,应当及时对相关信息系统开展压力测试。核心机构和经营机构应当依照有关行业标准,根据系统技术特点和承载业务类型,制定压力测试方案,设定测试场景,从系统性能、网络负载、灾备建设等方面设置测
21、试指标,有序组织测试工作,测试完成后形成压力测试报告存档备查,并保存五年以上。核心机构和经营机构重要信息系统的性能容量应当在历史峰值的两倍以上。核心机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之五十以下,经营机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之八十以下。第二十二条 核心机构和经营机构应当建立健全供应商管理机制,明确信息技术产品和服务准入标准,审慎采购并持续评估相关产品和服务的质量,及时改进风险管理措施,健全应急处置机制,确保重要信息系统运行安全可控。核心机构和经营机构应当与供应商签订合同及保密协议,明确约定各方保障网络和信息安全的权利和义务;在使用供应商提供产品或
22、者服务时引发网络安全事件的,相关供应商有义务配合中国证监会及其派出机构查明网络安全事件原因,认定网络安全事件责任。第二十三条 供应商为核心机构和经营机构提供重要信息系统相关产品或者服务的,应当依法作为信息技术系统服务机构向中国证监会备案。核心机构和经营机构应当督促相关信息技术系统服务机构依法履行备案义务。第二十四条 任何机构和个人不得违规开展证券期货业信息系统认证、检测、风险评估等活动,不得违规发布证券期货业信息安全漏洞、计算机病毒、网络攻击、网络侵入等信息。第二十五条 核心机构和经营机构应当建立信息发布审核机制,加强对本机构和本机构运营平台发布信息的管理,发现违反法律法规和有关监管规定的,应
展开阅读全文