《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》解讀2023 - 畢馬威

一、新規(guī)出臺(tái)背景監(jiān)會(huì)于2023年2月27日正式發(fā)布了218號(hào)令《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》(以下簡(jiǎn)稱《辦法》),并將于2023年5月1日起正式實(shí)施?！掇k法》的主要內(nèi)容包括網(wǎng)絡(luò)和信息安全運(yùn)行、投資者個(gè)人信《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相關(guān)法律法規(guī)要求，并為證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理提供了契合行業(yè)特性的高階指導(dǎo)、具體要求以及量化標(biāo)準(zhǔn)。《辦法》的第二章在網(wǎng)絡(luò)和信息安全運(yùn)行方面中投入了大量篇幅，從較為宏觀的健全制度、厘清責(zé)任，到更為細(xì)節(jié)的信息備份頻率及性能容量指標(biāo)，無(wú)不體現(xiàn)了監(jiān)管部門對(duì)不同成熟度階段適用對(duì)象如何落實(shí)新規(guī)的考慮。另外，原征求意見(jiàn)稿中的“數(shù)據(jù)安全統(tǒng)籌管理”被替換為“投資者個(gè)人信息保護(hù)”，從多個(gè)維度提出了對(duì)個(gè)人信息保護(hù)的相關(guān)要求，如信息收集的告知同意、最小必要原則、生命周期管理、個(gè)人信息脫敏、個(gè)人生物特征信息等，體現(xiàn)了行業(yè)監(jiān)管對(duì)個(gè)人信息保護(hù)的重視程度。屬機(jī)構(gòu)?！皣?guó)家金融監(jiān)督管理總局”在原銀保監(jiān)會(huì)基礎(chǔ)上組建，同時(shí)并入了人民銀行和中國(guó)證監(jiān)會(huì)的部分職責(zé)，包括：1)人民銀行的對(duì)金融控股公司等金融集團(tuán)的日常監(jiān)管以及有關(guān)金融消費(fèi)者保護(hù)職責(zé)，2)中國(guó)證監(jiān)會(huì)的投資者保護(hù)職責(zé)。二、《辦法》適用對(duì)象《辦法》適用于以下對(duì)象：1.在境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)、使用網(wǎng)絡(luò)及信息系統(tǒng)的核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)；2.為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)的網(wǎng)絡(luò)和信息安全保障的信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)；3.以及，為證券期貨業(yè)務(wù)活動(dòng)提供網(wǎng)絡(luò)和信息安全的監(jiān)督管理的信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)?！ⅲ壕硟?nèi)開(kāi)展證券公司客戶交易結(jié)算資金第三方存管業(yè)務(wù)、期貨保證金存管業(yè)務(wù)的商業(yè)銀行，證券投資咨詢機(jī)構(gòu)，基金托管機(jī)構(gòu)和從事公開(kāi)募集基金的銷售、銷售支付、份額登記、估值、投資顧問(wèn)、評(píng)價(jià)等基金服務(wù)業(yè)務(wù)的機(jī)構(gòu)，從事證券期貨業(yè)務(wù)活動(dòng)的經(jīng)營(yíng)機(jī)構(gòu)子公司，借助自身運(yùn)維管理的信息系統(tǒng)從事證券投資活動(dòng)且存續(xù)產(chǎn)品涉及基金份額持有人賬戶合計(jì)一千人以上的私募證券投資基金管理人，應(yīng)當(dāng)根據(jù)相關(guān)信息系統(tǒng)網(wǎng)絡(luò)和信息安全管理的特點(diǎn)，參照適用《辦法》。核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)設(shè)立信息科技專業(yè)子公司，為母公司提供信息科技服務(wù)的，信息科技專業(yè)子公司應(yīng)當(dāng)按照《辦法》落實(shí)網(wǎng)絡(luò)和信息安全相關(guān)要求。三、《辦法》與舊監(jiān)管要求的主要變化的行業(yè)監(jiān)管要求(包括《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》、《證券期貨業(yè)信息安全保障管理辦法》、《證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范》、《證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引(試行)》、《證券期貨業(yè)網(wǎng)絡(luò)安全事件報(bào)告與調(diào)查處理辦法》、《證券期貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《證券期貨業(yè)經(jīng)營(yíng)機(jī)構(gòu)內(nèi)部應(yīng)用系統(tǒng)日志規(guī)范》等)進(jìn)行比對(duì)，并分析總結(jié)了主要區(qū)別。對(duì)于大部分證券公司、期貨公司和基金管理公司等證券期貨經(jīng)營(yíng)機(jī)構(gòu)最主要的三大影響及可以考慮的應(yīng)對(duì)措施如下：具體的《辦法》與過(guò)往監(jiān)管要求的比對(duì)及主要區(qū)別，請(qǐng)參見(jiàn)下列表格：【218號(hào)令】條款比對(duì)過(guò)往監(jiān)管要求主要區(qū)別管理制度第九條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有完善的信息技術(shù)治絡(luò)和信息安全管理制度體策、管理、執(zhí)行和監(jiān)督機(jī)和信息安全管理能力與業(yè)務(wù)活動(dòng)規(guī)模、復(fù)《證券期貨業(yè)信息安全保障第十七條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息技術(shù)管理制度和操格執(zhí)行?！蹲C券基金經(jīng)營(yíng)機(jī)構(gòu)信息技有效銜接《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等上位要為全面的信息技術(shù)管理制度辦法強(qiáng)調(diào)突出網(wǎng)絡(luò)和信息安全管理方面的制度完善和要求細(xì)分。雜程度相匹術(shù)管理辦法》：第六條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)完善信息技術(shù)運(yùn)用過(guò)程中的權(quán)責(zé)分配機(jī)信息技術(shù)管理制度和操作流務(wù)活動(dòng)規(guī)模及復(fù)雜程度相適應(yīng)的信息技術(shù)續(xù)滿足信息技術(shù)資源的可用性、安全性與合規(guī)性要求。位責(zé)任第十條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)明確主要負(fù)責(zé)人為本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全工作的第一責(zé)和信息安全工作的領(lǐng)導(dǎo)班子成員或者高級(jí)管理人員為直接責(zé)《證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引(試行)》：第十三條公司總經(jīng)理對(duì)IT治理的有效性及IT安全負(fù)有最終責(zé)定具有IT專業(yè)工作經(jīng)驗(yàn)的高級(jí)管理人員作為公司IT治理的直在原有較為寬泛的IT治理職責(zé)辦法強(qiáng)調(diào)突出了網(wǎng)絡(luò)和信息安全工作的第一責(zé)任人、直接責(zé)任人和牽頭部門。式發(fā)文弱化了“核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)?shù)谑粭l核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)指定或者設(shè)立網(wǎng)絡(luò)和信息安全工作牽責(zé)管理重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施、制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案、組織應(yīng)急演練等工作。設(shè)立IT總監(jiān)或其它類似職位的IT專職負(fù)責(zé)人?！蹲C券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第十一條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)設(shè)立信息技術(shù)管理部門或指定專門機(jī)構(gòu)(以下統(tǒng)稱信息技術(shù)管理部門)負(fù)責(zé)實(shí)施信息技術(shù)規(guī)劃、信息系統(tǒng)建設(shè)、信息技術(shù)質(zhì)量控制、信息安全保障、運(yùn)維管理等工作。配備網(wǎng)絡(luò)安全專職人員”的要求。等級(jí)保護(hù)第十四條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)落實(shí)網(wǎng)絡(luò)安依法履行網(wǎng)絡(luò)安全等級(jí)保護(hù)家和證券期貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)要《證券期貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》規(guī)定了證券期貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)以及第一級(jí)到第四級(jí)等級(jí)保護(hù)對(duì)象的安全通用要求和安有效銜接《網(wǎng)絡(luò)安全法》等以往行業(yè)標(biāo)準(zhǔn)和審計(jì)規(guī)范的式在行業(yè)監(jiān)督管理辦法之中明確提出了網(wǎng)絡(luò)安全等級(jí)保和信息系統(tǒng)定級(jí)備案、等級(jí)測(cè)評(píng)和安全建設(shè)等工作。適用于證券期貨業(yè)分等級(jí)的非涉密對(duì)象的安全建設(shè)和監(jiān)督管理?！蹲C券期貨業(yè)信息系統(tǒng)審計(jì)A.1.5.1.2方案設(shè)計(jì)b)以書(shū)面形式描述對(duì)系統(tǒng)的安全保護(hù)要求、策略和形成系統(tǒng)的安全方案(本項(xiàng)適用于：信息系統(tǒng)等級(jí)保護(hù)二級(jí)系統(tǒng))；f)根據(jù)等級(jí)劃規(guī)劃總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等配套文。 (本項(xiàng)適用于：信息系統(tǒng)等級(jí)保護(hù)三級(jí)系統(tǒng))。測(cè)評(píng)等。系統(tǒng)上線第十五條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)新建上線、運(yùn)行變更、下線移除重要信當(dāng)充分評(píng)估技術(shù)和業(yè)務(wù)風(fēng)措施、應(yīng)急處置和回退方果進(jìn)行復(fù)核驗(yàn)《證券期貨業(yè)信息安全保障第二十二條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)開(kāi)展信息系統(tǒng)新建、升級(jí)、變更、換代等建設(shè)項(xiàng)充分論證和測(cè)試?！蹲C券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第二十一條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立獨(dú)立于生產(chǎn)環(huán)境的專用開(kāi)發(fā)測(cè)風(fēng)險(xiǎn)傳導(dǎo)；開(kāi)發(fā)測(cè)試環(huán)境使用未脫敏數(shù)據(jù)與生產(chǎn)環(huán)境同等的安全控制《證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范》：6.2.3證券期貨在原有較為籠統(tǒng)的系統(tǒng)開(kāi)發(fā)流程要求基礎(chǔ)結(jié)合運(yùn)維管理細(xì)化了重要信息系統(tǒng)的開(kāi)發(fā)及變更流程中風(fēng)控、測(cè)試、節(jié)等要求。針對(duì)測(cè)試環(huán)境內(nèi)敏感數(shù)據(jù)的以往的監(jiān)管規(guī)定基本保持一致。第十六條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在重要信息系統(tǒng)上線、變更前應(yīng)當(dāng)制定持續(xù)完善測(cè)試用例障測(cè)試的有效執(zhí)行。除必須使用敏感數(shù)據(jù)的情形和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)對(duì)測(cè)試環(huán)境涉及的敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)須采取與生產(chǎn)環(huán)境同等的安全控制措機(jī)構(gòu)應(yīng)根據(jù)系統(tǒng)上線要求制確定采用的測(cè)試方法和測(cè)試6.3.3變更申請(qǐng)人應(yīng)提交正式申請(qǐng)中應(yīng)有明確的變更方度、操作步驟、測(cè)試方案、實(shí)施方案、風(fēng)險(xiǎn)防控措施、應(yīng)急預(yù)等。安全監(jiān)測(cè)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)全面、準(zhǔn)確記錄并妥善保存生產(chǎn)運(yùn)營(yíng)過(guò)程中的業(yè)務(wù)日志和保滿足故障分制、調(diào)查取證等工作的需《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第二十五條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)妥善保存信息系統(tǒng)開(kāi)發(fā)、測(cè)試、上線、變更及運(yùn)維過(guò)程中產(chǎn)生新辦法將重要信息系統(tǒng)的日志細(xì)分為業(yè)務(wù)日志和系統(tǒng)日相應(yīng)的保存期日志的保存期限顯著高于以往要求。要。重要信息系統(tǒng)業(yè)務(wù)日志應(yīng)當(dāng)日志應(yīng)當(dāng)保存六個(gè)以上。據(jù)業(yè)務(wù)開(kāi)展情況以及信息系統(tǒng)的重要程度建立與監(jiān)測(cè)工作相適應(yīng)的日確保滿足應(yīng)急處置和審計(jì)需要。《證券期貨業(yè)經(jīng)營(yíng)機(jī)構(gòu)內(nèi)部應(yīng)用系統(tǒng)日志規(guī)范》：7.2備份歸檔b)安全級(jí)別為高的應(yīng)用系時(shí)間建議至少為36個(gè)月；安全級(jí)別為中或者低的應(yīng)用系時(shí)間建議至少基礎(chǔ)設(shè)備和系統(tǒng)的日志保存時(shí)間建議至少為12個(gè)月。正式發(fā)文弱化了“業(yè)務(wù)日志保存期限不得少于二十年”的要求。安全防護(hù)第十九條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)構(gòu)建網(wǎng)絡(luò)和信息安全《證券期貨業(yè)信息安全保障第十二條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)新辦法在網(wǎng)絡(luò)和信息安全防列舉了策略管合采取網(wǎng)絡(luò)隔離、用戶認(rèn)證、訪問(wèn)控制、策略管理、數(shù)據(jù)加密、網(wǎng)站防篡改、病毒木馬防范、非法入侵檢測(cè)和網(wǎng)絡(luò)安全態(tài)勢(shì)感知等安全保障絡(luò)和信息安全相關(guān)網(wǎng)絡(luò)攻信息系統(tǒng)和相防范信息泄露與損毀。構(gòu)應(yīng)當(dāng)設(shè)置合理的網(wǎng)絡(luò)結(jié)區(qū)域之間應(yīng)當(dāng)進(jìn)行有效隔范、監(jiān)控和阻斷來(lái)自內(nèi)外部網(wǎng)絡(luò)攻擊破壞的能力。第十五條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有防范木馬、病毒等惡意代碼的意代碼對(duì)信息系統(tǒng)造成破泄露或者被篡改?！蹲C券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第三十一條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)完善網(wǎng)絡(luò)隔離、用戶認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密、數(shù)據(jù)備份、數(shù)據(jù)銷態(tài)勢(shì)感知等近年來(lái)較為普及的安全保障措施。錄、病毒防范和非法入侵檢測(cè)等安全保障營(yíng)數(shù)據(jù)和客戶范信息泄露與損毀。備份管理第二十條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立本地、同城和異地?cái)?shù)據(jù)備信息系統(tǒng)應(yīng)當(dāng)每天至少備份數(shù)據(jù)對(duì)數(shù)據(jù)備份進(jìn)行一次有效性《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第四十一條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)確保備份系統(tǒng)與生產(chǎn)系統(tǒng)具備同等保持備份數(shù)據(jù)與原始數(shù)據(jù)的一致性。重要信息系統(tǒng)應(yīng)當(dāng)符合下列信息系統(tǒng)備份能力等級(jí)要求： (一)實(shí)時(shí)信息系統(tǒng)、非實(shí)時(shí)信息系統(tǒng)的數(shù)據(jù)備份能力應(yīng)當(dāng)達(dá)到第一《證券期貨經(jīng)新辦法結(jié)合重要信息系統(tǒng)的備份能力標(biāo)地?cái)?shù)據(jù)備份的應(yīng)的備份頻監(jiān)管規(guī)定基本保持一致。營(yíng)機(jī)構(gòu)信息系統(tǒng)備份能力標(biāo)準(zhǔn)》附錄《證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息系統(tǒng)備份能力表》第一級(jí)要求：至少每天備份數(shù)據(jù)一次；備份介質(zhì)應(yīng)當(dāng)在本及異地安全可靠存放；每季度至少對(duì)數(shù)據(jù)備份進(jìn)行一次有效性驗(yàn)證。壓力測(cè)試第二十一條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)每年至少開(kāi)展一次重要信息系統(tǒng)壓力測(cè)試；發(fā)現(xiàn)市場(chǎng)較大波系統(tǒng)的性能容量可能無(wú)法保障安全平穩(wěn)運(yùn)時(shí)對(duì)相關(guān)信息系統(tǒng)開(kāi)展壓力完成后形成壓力測(cè)試報(bào)告存《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第二十三條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)結(jié)合公司發(fā)展戰(zhàn)略、市場(chǎng)交易規(guī)模等因素定期對(duì)重要信息系統(tǒng)開(kāi)展壓力測(cè)試確保其容量滿足業(yè)務(wù)開(kāi)展需要。在原有較為籠統(tǒng)的“定期”要求基礎(chǔ)之確了重要信息系統(tǒng)壓力測(cè)試的頻率為“每年至少開(kāi)展一次”、壓力測(cè)試報(bào)告“保存另外新增了重要信息系統(tǒng)性能容量的量化標(biāo)準(zhǔn)。征求意見(jiàn)稿，存五年以上。核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)重要信息系統(tǒng)的性能容量應(yīng)當(dāng)在歷史峰經(jīng)營(yíng)機(jī)構(gòu)交易時(shí)段相關(guān)網(wǎng)絡(luò)近一年使用峰值應(yīng)當(dāng)在當(dāng)前帶寬的百分之八十以下。正式發(fā)文弱化了“至少每半年開(kāi)展一次重要信息系統(tǒng)壓力測(cè)試”的要求。信息發(fā)布第二十五條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立信強(qiáng)對(duì)本機(jī)構(gòu)和本機(jī)構(gòu)運(yùn)營(yíng)平臺(tái)發(fā)布信息的《證券期貨業(yè)信息系統(tǒng)審計(jì)A.2.1.1.2d)建立信息發(fā)布管理審核制度；安全管理制度是否通過(guò)正式、有效的方式發(fā)布。新辦法在以往審計(jì)規(guī)范的基在信息技術(shù)類的行業(yè)監(jiān)督管理辦法之中明確提出了信息發(fā)布的要求。知識(shí)產(chǎn)權(quán)第二十八條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照知識(shí)產(chǎn)權(quán)相關(guān)法律法產(chǎn)權(quán)保護(hù)策略犯他人的知識(shí)有效措施保護(hù)本機(jī)構(gòu)自主知識(shí)產(chǎn)權(quán)?！蹲C券期貨業(yè)信息安全保障第三十七條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在采購(gòu)軟硬件產(chǎn)品或者應(yīng)當(dāng)與供應(yīng)商簽訂合同和保合同和保密協(xié)考慮到證券期貨業(yè)內(nèi)信息系統(tǒng)建設(shè)任務(wù)明提升自主研發(fā)和安全可控能出了建立知識(shí)產(chǎn)權(quán)保護(hù)相關(guān)方面制度的要求。議中明確約定信息安全和保密的權(quán)利和義個(gè)保體系建立健全投資者個(gè)人信息處理、安全防護(hù)、應(yīng)急處等管理機(jī)第三十一條資者處理個(gè)人、方式、不得超范圍收集和使用投資者個(gè)人信提供服務(wù)非必要的投資者個(gè)第三十二條……應(yīng)當(dāng)確保個(gè)人信息在收集、存提供、公開(kāi)、刪除等處理過(guò)程中的第三十三條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)依法依規(guī)向第三方機(jī)構(gòu)提供投資《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第十四條證券基金經(jīng)營(yíng)機(jī)構(gòu)借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動(dòng)證下列事項(xiàng)并建立存檔記錄： 善的信息安全夠保障經(jīng)營(yíng)數(shù)據(jù)和客戶信息的安全、完第三十四條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立健全數(shù)據(jù)安全管收集與服務(wù)無(wú)關(guān)的客戶信或使用非法獲有效銜接《個(gè)人信息保護(hù)法》等上位要為寬泛的信息管理制度基礎(chǔ)出了個(gè)人信息保護(hù)的管理機(jī)需要告知隱私保護(hù)政策以及取得單獨(dú)同意收集的要求與以往的監(jiān)管規(guī)定基本保持一致。明確告知投資者個(gè)人信息處理目的、處理方式、個(gè)人信息種類、保存期限、保護(hù)措施以及相關(guān)方的權(quán)利和義務(wù)資者個(gè)人單獨(dú)同責(zé)或者法定義務(wù)的情形除外。取或來(lái)源不明的數(shù)據(jù)。在收集使用客戶信基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)公開(kāi)收集、使用的規(guī)征得客戶同個(gè)人信息脫敏第三十四條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在本機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)邊界以外處理投資者個(gè)人信取數(shù)據(jù)脫敏、數(shù)據(jù)加密心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)通過(guò)短自主運(yùn)營(yíng)渠道發(fā)送投資者敏感個(gè)人信息資者賬號(hào)信息、身份證號(hào)碼等敏感個(gè)人《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第二十一條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立獨(dú)立于生產(chǎn)環(huán)境的專用開(kāi)發(fā)測(cè)風(fēng)險(xiǎn)傳導(dǎo)；開(kāi)發(fā)測(cè)試環(huán)境使用未脫敏數(shù)據(jù)與生產(chǎn)環(huán)境同等的安全控制有效銜接《個(gè)人信息保護(hù)法》等上位要開(kāi)發(fā)測(cè)試環(huán)境辦法另外明確了網(wǎng)絡(luò)安全防護(hù)邊界以外、非自主運(yùn)營(yíng)渠道發(fā)送情形中的數(shù)據(jù)脫敏要求。理信息進(jìn)行脫敏處理。生物特征第三十五條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)利用生物特征進(jìn)行客戶應(yīng)當(dāng)對(duì)其必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的客戶身份認(rèn)證方同意收集其個(gè)人生物特征信息?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例 (征求意見(jiàn)稿)》：第二十五條數(shù)據(jù)處理者利用生物特征進(jìn)行個(gè)人身份認(rèn)證要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方人同意收集其個(gè)人生物特征新辦法結(jié)合網(wǎng)信辦的安全管在行業(yè)監(jiān)督管理辦法之中明確提出了生物特征的要求。應(yīng)急預(yù)案第三十七條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)業(yè)務(wù)影響分析全網(wǎng)絡(luò)安全應(yīng)應(yīng)急目標(biāo)、應(yīng)急組織和處置《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第三十八條……證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)急預(yù)案應(yīng)當(dāng)充分考慮重要信息系統(tǒng)故障、相關(guān)在原有的應(yīng)急場(chǎng)景基礎(chǔ)之調(diào)突出了網(wǎng)絡(luò)安全事件、本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全相關(guān)重大人事變動(dòng)的新辦法并未明景應(yīng)當(dāng)覆蓋網(wǎng)絡(luò)安全事件、自然災(zāi)害和公共衛(wèi)生事件、本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全相關(guān)重大人事變動(dòng)、主要信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)退出等情形。第三十八條……核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)定期開(kāi)展網(wǎng)絡(luò)安全應(yīng)急演急演練報(bào)告存檔備查。信息技術(shù)服務(wù)機(jī)構(gòu)無(wú)法繼續(xù)提供服務(wù)、證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)高管或重要技術(shù)團(tuán)隊(duì)發(fā)生重大變動(dòng)以及自然災(zāi)害等可能影響重要信息系統(tǒng)平穩(wěn)運(yùn)行的事件。《證券期貨業(yè)信息系統(tǒng)運(yùn)維7.1.5證券期貨機(jī)構(gòu)應(yīng)制定網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)7.1.8b)每半年應(yīng)至少組織一次網(wǎng)絡(luò)與信息安全應(yīng)急演練。確網(wǎng)絡(luò)安全應(yīng)急演練的執(zhí)行行標(biāo)準(zhǔn)可以參考以往的系統(tǒng)運(yùn)維管理規(guī)范。應(yīng)急處置第三十九條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立應(yīng)急處置機(jī)網(wǎng)絡(luò)安全事信息系統(tǒng)正常《證券期貨業(yè)信息安全保障第三十二條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立信息安全應(yīng)急在原有的應(yīng)急處置要求基礎(chǔ)強(qiáng)調(diào)突出了保護(hù)事件現(xiàn)場(chǎng)和于留痕提出了一定的要求。國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)進(jìn)行第四十一條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)投資者造成影時(shí)通過(guò)官方網(wǎng)站、客戶交易者郵件等有效渠道通知相關(guān)方可以采取的替代方式或者應(yīng)急措時(shí)處置突發(fā)信盡快恢復(fù)信息系統(tǒng)的正常運(yùn)不得遲報(bào)、漏《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第四十條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)在公司網(wǎng)站、客戶交易終端等渠道公示信息技術(shù)突發(fā)事件發(fā)生時(shí)客戶可采取的替代交易方式客戶防范和應(yīng)對(duì)可能出現(xiàn)的風(fēng)險(xiǎn)?！蹲C券期貨業(yè)網(wǎng)絡(luò)安全事件報(bào)告與調(diào)查處理辦法》規(guī)范了網(wǎng)絡(luò)和信息然災(zāi)害引起的網(wǎng)絡(luò)安全事件處理流程。組織保障第四十三條證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)情況納入網(wǎng)絡(luò)和信息安全工作第一責(zé)任人、直接責(zé)任人和相關(guān)人員的責(zé)任考核機(jī)制。四十四條證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)指定專門機(jī)構(gòu)或者部門負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理關(guān)鍵信息基礎(chǔ)設(shè)施指定網(wǎng)絡(luò)和信息安全管法認(rèn)定網(wǎng)絡(luò)安全關(guān)鍵的網(wǎng)絡(luò)和信息對(duì)專門安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》：第十四條運(yùn)營(yíng)者應(yīng)當(dāng)設(shè)置專門安全管理機(jī)安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審家安全機(jī)關(guān)應(yīng)當(dāng)予以協(xié)助。新辦法結(jié)合《關(guān)鍵信息基礎(chǔ)設(shè)施安全保式在行業(yè)監(jiān)督管理辦法之中以“證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”作為主體提出管理要網(wǎng)絡(luò)和信息安全納入責(zé)任考核機(jī)制。式發(fā)文弱化了“配備至少五名網(wǎng)絡(luò)安全專職人員”的要求。員進(jìn)行安全背景審。安全監(jiān)測(cè)第四十八條證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全運(yùn)行進(jìn)行持續(xù)監(jiān)現(xiàn)系統(tǒng)性能和網(wǎng)絡(luò)容量不足采取系統(tǒng)升級(jí)、擴(kuò)容等處系統(tǒng)性能容量在歷史峰值的三倍以關(guān)網(wǎng)絡(luò)帶寬應(yīng)當(dāng)在近一年使用峰值兩倍以上?！蹲C券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第二十三條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)結(jié)合公司發(fā)展戰(zhàn)略、市場(chǎng)交易規(guī)模等因素定期對(duì)重要信息系統(tǒng)開(kāi)展壓力測(cè)試確保其容量滿足業(yè)務(wù)開(kāi)展需要。不同于對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的性能容量對(duì)于證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提出了更高的量化標(biāo)準(zhǔn)。正式發(fā)文弱化了“網(wǎng)絡(luò)帶寬不得低于歷史峰值的兩倍”的要求。宣傳與教育第五十五條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全宣傳少開(kāi)展一次全員網(wǎng)絡(luò)和信息安全教育活《證券期貨業(yè)信息安全保障第三十四條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)對(duì)信息技術(shù)人員進(jìn)其具有履行崗位職責(zé)的能有效銜接《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等上位要為寬泛的信息技術(shù)培訓(xùn)之調(diào)突出網(wǎng)絡(luò)和網(wǎng)絡(luò)和信息安力。力《證券期貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中針對(duì)第一級(jí)到第四級(jí)對(duì)各類人員進(jìn)行安全意識(shí)教育和崗位技能相關(guān)的安全責(zé)任和懲戒措施。信息安全教育培訓(xùn)。網(wǎng)絡(luò)和信息安全管理年報(bào)第五十九條核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)于每年4上一年網(wǎng)絡(luò)和信息安全工作編制網(wǎng)絡(luò)和信息安全國(guó)證監(jiān)會(huì)及其報(bào)內(nèi)容包括但不限于網(wǎng)絡(luò)和信息安投入情況、風(fēng)險(xiǎn)情況、處置情況和下一年度工作計(jì)《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》：第五十三條證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)在報(bào)送年度報(bào)告的同時(shí)報(bào)送年度信息技術(shù)管理專報(bào)告期內(nèi)信息技術(shù)治理、信息技術(shù)合規(guī)與風(fēng)險(xiǎn)管理、信息技術(shù)安全管理、信息技術(shù)審計(jì)等執(zhí)行本在證監(jiān)會(huì)要求的信息科技管理專項(xiàng)報(bào)告等其他年度信息科技類報(bào)告基法新增了《網(wǎng)絡(luò)和信息安全管理年報(bào)》相確了年報(bào)內(nèi)容和報(bào)送期限。辦法規(guī)定的情▲注：《辦法》于2023年5月1日正式施行后，證監(jiān)會(huì)此前發(fā)布的《證券期貨業(yè)信息安全保法》同時(shí)廢止。四、新規(guī)落地時(shí)關(guān)注要點(diǎn)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在推進(jìn)新規(guī)落地時(shí)，可重點(diǎn)圍繞以下要點(diǎn)制定切實(shí)可行的實(shí)建立和完善信息技術(shù)治理體系建立完善的信息技術(shù)治理架構(gòu)以及網(wǎng)絡(luò)和信息安全管理制度體系；明確主要負(fù)責(zé)人為本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全工作的第一責(zé)任人，分管網(wǎng)絡(luò)和信息安全工作的領(lǐng)導(dǎo)班子成員或者高級(jí)管理人員為直接責(zé)任人，同時(shí)指定或設(shè)立網(wǎng)絡(luò)和信息安全工作牽頭部門或機(jī)構(gòu)；落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，按相關(guān)要求開(kāi)展網(wǎng)絡(luò)和