證監(jiān)會(huì)《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》V1.0.0

《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》正式發(fā)布2023年1月17日中國(guó)證券監(jiān)督管理委員會(huì)第1次委務(wù)會(huì)議審議通過(guò)充分銜接上位要求、總結(jié)監(jiān)管實(shí)踐的基礎(chǔ)上，證監(jiān)會(huì)于2023年2月27日發(fā)布《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》?！掇k法》自2023年5月1日起施行，2012年11月1日公布的《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)會(huì)令第82號(hào))同時(shí)廢止。en2#x-m*RAsEWmDoA=1aEAI-S4aT44dd*畫為了保障證券期貨業(yè)網(wǎng)絡(luò)和信息安全，保護(hù)投資者合法權(quán)益，促進(jìn)證券期貨業(yè)穩(wěn)定健康發(fā)展《證券法》《期貨和衍生品法》《證券投資基金法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》23年增加，行業(yè)網(wǎng)絡(luò)和信息安全運(yùn)行態(tài)勢(shì)總體平穩(wěn)。但隨著行業(yè)數(shù)字化智能化加速發(fā)展、網(wǎng)絡(luò)和信息安全上升為國(guó)家戰(zhàn)略、資本市場(chǎng)持續(xù)深化改革等內(nèi)外部條件變化，證券期貨業(yè)網(wǎng)絡(luò)和信息安全面臨的新情況新問題逐漸凸顯。法律法規(guī)的上位要求有待進(jìn)一步落實(shí)監(jiān)管實(shí)踐成果制度化還需加強(qiáng)基于上述新情況新問題，有必要進(jìn)一步健全證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)管制度體系，制定專門的部門規(guī)章，構(gòu)建證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理的體系框架，提升行業(yè)安全保障能力。4落實(shí)上位要求，汲取實(shí)踐經(jīng)驗(yàn)覆蓋各類主體，厘清權(quán)責(zé)邊界嚴(yán)守安全底線，促進(jìn)科技發(fā)展56·一是明確核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)處理投資者個(gè)人信息的基本原則，要求建立健全投資者個(gè)人信息保護(hù)體系和管理機(jī)制，履行今·二是明確核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在投資者個(gè)人信息處理、共享環(huán)節(jié)的安全防護(hù)要求。·三是提出核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在網(wǎng)絡(luò)安全防護(hù)邊界外處理投資者個(gè)人信息的技術(shù)要求，防范化解信息泄露風(fēng)險(xiǎn)?！に氖菍?duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)收集客戶生物特征的必要性和安全性提出評(píng)估要求?！ひ皇墙L(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警體制，加強(qiáng)日常漏洞掃描、安全評(píng)估，及時(shí)消除風(fēng)險(xiǎn)隱患。。二是完善應(yīng)急預(yù)案的應(yīng)急場(chǎng)景和處置流程，要求定期開展應(yīng)急演練?！と菑?qiáng)化網(wǎng)絡(luò)安全事件報(bào)告和調(diào)查處理工作，明確故障排查、相關(guān)方告知等工作要求。網(wǎng)絲切網(wǎng)絲切仁它羅全·落實(shí)國(guó)家關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)要求，結(jié)合行業(yè)特點(diǎn)，從組織保障、建設(shè)評(píng)審、監(jiān)測(cè)評(píng)估、采購(gòu)管理、性能容量、災(zāi)難備份等方面，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提出進(jìn)一步的督導(dǎo)要求。7 與法作=與法作=8證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法第一章總則1目的依據(jù)22.供應(yīng)商管理機(jī)制23.備豪義務(wù)4不提25.申核機(jī)制6.自土強(qiáng)發(fā)27粉照語(yǔ)中心通單識(shí)產(chǎn)權(quán)40.起合兩絡(luò)安全件請(qǐng)主處理第七章監(jiān)督管理與法律責(zé)任9,網(wǎng)終吊信縣安生算理岸報(bào)9,網(wǎng)終吊信縣安生算理岸報(bào)8,抱皂，煙異監(jiān)管檢主罰則8,抱皂，煙異監(jiān)管檢主罰則70.70.經(jīng)、免十處罰情形第八章附則:證券公司》:證券公司》信息技術(shù)管理《證券公司信息技術(shù)管《關(guān)于做好證券業(yè)重要信息系統(tǒng)安全等級(jí)保護(hù)定《證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息系統(tǒng)備份《證券期貨業(yè)信息安全保障管理辦法》級(jí)工作的通知》《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》*信息科技管理規(guī)范的變化(綠色部分為新增領(lǐng)域)《證券期貨業(yè)信息系統(tǒng)運(yùn)維《證券期貨業(yè)信息系統(tǒng)審計(jì)規(guī)范》《證券期貨業(yè)信息系統(tǒng)審計(jì)托管基本要求》《證券期貨業(yè)信息系統(tǒng)《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理磷縣長(zhǎng)求要《證券期貨業(yè)數(shù)據(jù)分類分級(jí)《證券期貨業(yè)機(jī)構(gòu)內(nèi)部企業(yè)服務(wù)總線實(shí)施《證券期貨業(yè)網(wǎng)絡(luò)安全事件報(bào)告與調(diào)查處理辦法》2021證券期貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本2021證券期貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)證券期貨業(yè)數(shù)據(jù)安全管理與保護(hù)指9核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)、使用網(wǎng)絡(luò)及信息系統(tǒng)，信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)的網(wǎng)絡(luò)和信息安全保障，以及證券期貨業(yè)網(wǎng)絡(luò)和信息安全的監(jiān)督管理，用本辦法。↓↓ψ息系統(tǒng)的開發(fā)、測(cè)試、集成、測(cè)評(píng)、息系統(tǒng)的開發(fā)、測(cè)試、集成、測(cè)評(píng)、算機(jī)構(gòu)等承擔(dān)證券期貨市場(chǎng)公共職能、承擔(dān)證券期貨業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營(yíng)的證券期貨市場(chǎng)核心機(jī)構(gòu)及是指承載證券期貨業(yè)關(guān)鍵業(yè)務(wù)活動(dòng)，如出現(xiàn)系統(tǒng)服務(wù)異常、是指承載證券期貨業(yè)關(guān)鍵業(yè)務(wù)活動(dòng)，如出現(xiàn)系統(tǒng)服務(wù)異常、的信息系統(tǒng)。是指依照監(jiān)管職貢，核心機(jī)構(gòu)應(yīng)當(dāng)向中國(guó)證監(jiān)會(huì)報(bào)告；除中國(guó)證監(jiān)會(huì)另有要求的，經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)規(guī)劃規(guī)劃項(xiàng)目處置處置信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)1.總則保障人員與資金投入確保信息系統(tǒng)和基礎(chǔ)設(shè)施高可用告知義務(wù)告知義務(wù)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)暫?；蛘呓K止借助網(wǎng)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)暫停或者終止借助網(wǎng)絡(luò)向投資者提供服務(wù)前，應(yīng)當(dāng)履行告知義務(wù)務(wù)，合理選取公告、定向通知等方式告知投資者相關(guān)業(yè)務(wù)影響情況、替代方式及應(yīng)將網(wǎng)絡(luò)安全等級(jí)保護(hù)工作開展情況報(bào)送對(duì)措施。明確違規(guī)行為任何機(jī)構(gòu)和個(gè)人不得違規(guī)發(fā)布證券期貨業(yè)信息安全漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等信息。jo核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)人信息保護(hù)全保護(hù)與發(fā)展與法律責(zé)任測(cè)試方案數(shù)據(jù)進(jìn)行脫敏施聯(lián)網(wǎng)測(cè)試核心機(jī)構(gòu)聯(lián)網(wǎng)測(cè)試序組織測(cè)試工作重要信息系統(tǒng)的性能容量應(yīng)當(dāng)在歷史峰值的兩倍以上當(dāng)前帶寬的百分之八十以下建立健全供應(yīng)商管理機(jī)制明確信息技術(shù)產(chǎn)品和服務(wù)準(zhǔn)入標(biāo)準(zhǔn)與供應(yīng)商簽訂合同及保密協(xié)議明確約定各方保障網(wǎng)絡(luò)和信息安全的權(quán)利和義務(wù)督促相關(guān)信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)依法履行備案義務(wù)供應(yīng)商有義務(wù)配合中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)查明網(wǎng)絡(luò)安全事件原因認(rèn)定網(wǎng)絡(luò)安全事件責(zé)任依法作為信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)向中國(guó)證監(jiān)會(huì)備案應(yīng)當(dāng)建立重要信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施1.總則秉承原則處理投資者個(gè)人信息者合法權(quán)益履行投資者個(gè)人信息保護(hù)義務(wù)合法正當(dāng)必要職責(zé)明確加強(qiáng)防護(hù)8.附則核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照法律法規(guī)的規(guī)定及合同的約定處理投資者個(gè)人信息，明確告知不得收集提供服務(wù)非必要的投資者個(gè)人信息。合同約定事項(xiàng)應(yīng)當(dāng)基于從事證券期貨業(yè)務(wù)活動(dòng)的必服務(wù)，為投資者提供服務(wù)所必需、屈行法定核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)處理投資者個(gè)人信息時(shí)，應(yīng)當(dāng)確保個(gè)人信息在收集、存儲(chǔ)、使用、加工、傳核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)依法依規(guī)向第三方機(jī)構(gòu)提供投資者個(gè)入信核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在本機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)邊界以外處理投資者個(gè)人信息的，應(yīng)當(dāng)采取數(shù)據(jù)脫敏、核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)通過(guò)短信、郵件等非自主運(yùn)營(yíng)渠道發(fā)送投資者敏感個(gè)人信息的，應(yīng)當(dāng)將投資核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)利用生物特征進(jìn)行客戶身份認(rèn)證的，應(yīng)當(dāng)對(duì)其必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估，3核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立應(yīng)急處置機(jī)制，及時(shí)處置網(wǎng)絡(luò)安全事護(hù)事件現(xiàn)場(chǎng)和相關(guān)證據(jù)，向中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)進(jìn)行應(yīng)急報(bào)告，不得瞞報(bào)、謊報(bào)、遲報(bào)、漏報(bào)。核心機(jī)構(gòu)和經(jīng)言機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件，對(duì)投資者造成影響的，應(yīng)當(dāng)及時(shí)通過(guò)官方網(wǎng)站、客戶交易終端、商中商中低級(jí)|數(shù)據(jù)重4級(jí)極高2級(jí)后數(shù)據(jù)拔失后，影響范國(guó)大(鴨行業(yè)或蹲機(jī)構(gòu)),影影響程度一展是“產(chǎn)重后數(shù)據(jù)損失后，影響范圍較小(一般局限在本機(jī)構(gòu)),2二般特征：數(shù)據(jù)可被公開或可被公眾獲知、使用。中等無(wú)參考說(shuō)明《證券期貨業(yè)網(wǎng)絡(luò)安全事件報(bào)告與調(diào)查處理辦法》實(shí)現(xiàn)目的基本要求和義務(wù)實(shí)現(xiàn)目的機(jī)構(gòu)指定責(zé)任考核機(jī)構(gòu)指定應(yīng)一責(zé)任人應(yīng)一責(zé)任人、直當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)情況納入網(wǎng)絡(luò)和信息安全工作第接責(zé)任人和相關(guān)人員的責(zé)任考核機(jī)制。1.總則1.總則等上線運(yùn)行情況報(bào)告關(guān)鍵信息基礎(chǔ)設(shè)旅安全保護(hù)在風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)預(yù)判、安全檢測(cè)、容災(zāi)處理等維重的亞求風(fēng)險(xiǎn)預(yù)判定期開展壓力測(cè)試，發(fā)現(xiàn)系統(tǒng)性能和網(wǎng)絡(luò)容量不足的，應(yīng)當(dāng)及時(shí)采取系統(tǒng)升級(jí)、擴(kuò)容等核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)為行業(yè)統(tǒng)籌提供服務(wù)，提升信息技術(shù)資源利用服務(wù)水平組織開展行業(yè)信息基礎(chǔ)設(shè)施建設(shè)的機(jī)構(gòu)確保人才資質(zhì)、經(jīng)驗(yàn)、專業(yè)素質(zhì)職業(yè)道德符合崗位要求人才培養(yǎng)機(jī)制提升員工網(wǎng)絡(luò)和信息安全意識(shí)周期依法合規(guī)、風(fēng)險(xiǎn)可控應(yīng)當(dāng)遵守有關(guān)規(guī)中國(guó)證監(jiān)會(huì)中國(guó)證監(jiān)會(huì)行業(yè)協(xié)會(huì)經(jīng)營(yíng)機(jī)構(gòu)行業(yè)協(xié)會(huì)經(jīng)營(yíng)機(jī)構(gòu)證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)管支撐網(wǎng)絡(luò)和信息安全技術(shù)創(chuàng)新網(wǎng)絡(luò)和信息安全技術(shù)創(chuàng)新開展面向投資者的網(wǎng)絡(luò)促進(jìn)行業(yè)科技進(jìn)步。應(yīng)當(dāng)引導(dǎo)信息技術(shù)系統(tǒng)服應(yīng)當(dāng)引導(dǎo)信息技術(shù)系統(tǒng)服,提升服務(wù)的安全合規(guī)水平，促造市場(chǎng)有序死爭(zhēng)。息安全風(fēng)險(xiǎn)，增強(qiáng)投資者風(fēng)險(xiǎn)防范能力。關(guān)工作情況可以作為中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)實(shí)施監(jiān)督管理的參考依據(jù)。1.總則2.網(wǎng)絡(luò)和信息安全運(yùn)行1.總則2.網(wǎng)絡(luò)和信息安全運(yùn)行■可以委托國(guó)家、行業(yè)有關(guān)專業(yè)機(jī)構(gòu)采用漏洞掃描、風(fēng)險(xiǎn)評(píng)估等方式，協(xié)助對(duì)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)系統(tǒng)服務(wù)機(jī)構(gòu)會(huì)及其派出機(jī)構(gòu)，年報(bào)內(nèi)容包括但不限于網(wǎng)絡(luò)和信息安全治理情況、人員情況、投入情況、風(fēng)險(xiǎn)情況、處置情況和下一1.總則2.網(wǎng)絡(luò)和信息安全運(yùn)行1.總則2.網(wǎng)絡(luò)和信息安全運(yùn)行8.附則處罰■違反本辦法規(guī)定■違反本辦法規(guī)定■中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以對(duì)其采取責(zé)令改正、監(jiān)管談話、出具警示函、責(zé)令公開說(shuō)明、責(zé)令定期報(bào)告、責(zé)令增加內(nèi)部合規(guī)檢查次數(shù)等監(jiān)管措施；對(duì)直接責(zé)任人和其他責(zé)任人員采取責(zé)令改正、監(jiān)管談話、出具警示函等監(jiān)管措施；情節(jié)嚴(yán)重的，對(duì)相關(guān)機(jī)構(gòu)及責(zé)任人員單處或者并處警告、十萬(wàn)元以下罰款，涉及金融安全且有危害后果的，并處二十資基金法》相關(guān)規(guī)定，采取責(zé)令暫停借助網(wǎng)絡(luò)開展部分業(yè)務(wù)或者全部業(yè)務(wù)、網(wǎng)絡(luò)和信息安全保護(hù)義務(wù)：或者應(yīng)急管理存在重大過(guò)失■中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定予以處■中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依法予以處罰。1.總則2.網(wǎng)絡(luò)和信息安全運(yùn)行1.總則2.網(wǎng)絡(luò)和信息安全運(yùn)行人信息保護(hù)息安全應(yīng)急5.關(guān)鍵信息全保護(hù)6.網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展8.附則-石-處竊網(wǎng)絡(luò)向投資者提供服務(wù)，對(duì)其產(chǎn)品、服務(wù)存在安全缺陷，漏潤(rùn)等風(fēng)險(xiǎn)末立即采取補(bǔ)救措施，或者未按照規(guī)定及時(shí)報(bào)告■中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法■中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》相《個(gè)人信息保護(hù)法》相關(guān)規(guī)定予以處罰。■中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以予以從輕或者減輕處罰未對(duì)證券期貨市場(chǎng)產(chǎn)生不良影響的，可以免于處罰。■未履行備案義務(wù)的■中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依累《證券法》《期貨和衍生品法》相關(guān)規(guī)定予以處罰。《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》相關(guān)規(guī)定予以處罰?！鲞`反本辦法第二十四條現(xiàn)定，開展證券期貨■中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定予以處罰。國(guó)家對(duì)存儲(chǔ)、處理涉及國(guó)家秘密信息的網(wǎng)絡(luò)和信息安全管理另有規(guī)定的，從其規(guī)定。本辦法自2023年5月1日起施行。2012年11月1日公布的《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)會(huì)令第82號(hào))同時(shí)廢止。應(yīng)當(dāng)根據(jù)相關(guān)信息系統(tǒng)網(wǎng)絡(luò)和信息安全管理的特點(diǎn)，參照適用本辦法信息科技專業(yè)子公司應(yīng)當(dāng)按照本辦法落實(shí)網(wǎng)絡(luò)和信息安全相關(guān)要求免改造