證券期貨業網路和信息安全管理辦法

證券期貨業網路和信息安全管理辦法

《證券期貨業網路和信息安全管理辦法》是為有效落實《網路安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》相關要求,規範證券期貨業網路和信息安全管理,防範化解行業網路和信息安全風險,維護資本市場安全平穩高效運行,制定的辦法。

2023年2月27日,中國證券監督管理委員會令第218號予以印發,自2023年5月1日起施行。

基本介紹

  • 中文名:證券期貨業網路和信息安全管理辦法
  • 頒布時間:2023年2月27日
  • 實施時間:2023年5月1日
  • 發布單位:中國證券監督管理委員會
通過過程,辦法全文,內容解讀,

通過過程

2022年4月29日至2022年5月29日,證監會就《證券期貨業網路和信息安全管理辦法》草案向社會公開徵求意見。
2023年1月17日,中國證券監督管理委員會2023年第1次委務會議審議通過《證券期貨業網路和信息安全管理辦法》。
2023年2月27日,中國證券監督管理委員會主席易會滿簽發中國證券監督管理委員會令第218號印發《證券期貨業網路和信息安全管理辦法》,自2023年5月1日起施行。

辦法全文

第一章 總則
第一條 為了保障證券期貨業網路和信息安全,保護投資者合法權益,促進證券期貨業穩定健康發展,根據《中華人民共和國證券法》(以下簡稱《證券法》)、《中華人民共和國期貨和衍生品法》(以下簡稱《期貨和衍生品法》)、《中華人民共和國證券投資基金法》(以下簡稱《證券投資基金法》)、《中華人民共和國網路安全法》(以下簡稱《網路安全法》)、《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)、《關鍵信息基礎設施安全保護條例》等法律法規,制定本辦法。
第二條 核心機構和經營機構在中華人民共和國境內建設、運營、維護、使用網路及信息系統,信息技術系統服務機構為證券期貨業務活動提供產品或者服務的網路和信息安全保障,以及證券期貨業網路和信息安全的監督管理,適用本辦法。
第三條 核心機構和經營機構應當遵循保障安全、促進發展的原則,建立健全網路和信息安全防護體系,提升安全保障水平,確保與信息化工作同步推進,促進本機構相關工作穩妥健康發展。
信息技術系統服務機構應當遵循技術安全、服務合規的原則,為證券期貨業務活動提供產品或者服務,與核心機構、經營機構共同保障行業網路和信息安全,促進行業信息化發展。
第四條 核心機構和經營機構應當依法履行網路和信息安全保護義務,對本機構網路和信息安全負責,相關責任不因其他機構提供產品或者服務進行轉移或者減輕。
信息技術系統服務機構應當勤勉盡責,對提供產品或者服務的安全性、合規性承擔責任。
第五條 中國證監會依法履行以下監督管理職責:
(一)組織制定並推動落實證券期貨業網路和信息安全發展規劃、監管規則和行業標準;
(二)負責證券期貨業網路和信息安全的監督管理,按規定做好證券期貨業涉及的關鍵信息基礎設施安全保護工作;
(三)負責證券期貨業網路和信息安全重大技術路線、重大科技項目管理;
(四)組織開展證券期貨業投資者個人信息保護工作;
(五)負責證券期貨業網路安全應急演練、應急處置、事件報告與調查處理;
(六)指導證券期貨業網路和信息安全促進與發展;
(七)支持、協助國家有關部門組織實施網路和信息安全相關法律、行政法規;
(八)法律法規規定的其他網路和信息安全監管職責。
第六條 中國證監會建立集中管理、分級負責的證券期貨業網路和信息安全監督管理體制。中國證監會科技監管部門對證券期貨業網路和信息安全實施監督管理。中國證監會履行監管職責的其他部門配合開展相關工作。
中國證監會派出機構對本轄區經營機構和信息技術系統服務機構網路和信息安全實施日常監管。
第七條 中國證券業協會、中國期貨業協會、中國證券投資基金業協會等行業協會(以下統稱行業協會)依法制定行業網路和信息安全自律規則,對經營機構網路和信息安全實施自律管理。
第八條 核心機構依法制定保障市場相關主體與本機構信息系統安全互聯的技術規則,對與本機構信息系統和網路通信設施相關聯主體加強指導,督促其強化網路和信息安全管理,保障相關信息系統和網路通信設施的安全平穩運行。
第二章 網路和信息安全運行
第九條 核心機構和經營機構應當具有完善的信息技術治理架構,健全網路和信息安全管理制度體系,建立內部決策、管理、執行和監督機制,確保網路和信息安全管理能力與業務活動規模、複雜程度相匹配。
信息技術系統服務機構應當建立網路和信息安全管理制度,配備相應的安全、合規管理人員,建立與提供產品或者服務相適應的網路和信息安全管理機制。
第十條 核心機構和經營機構應當明確主要負責人為本機構網路和信息安全工作的第一責任人,分管網路和信息安全工作的領導班子成員或者高級管理人員為直接責任人。
核心機構和經營機構應當建立網路和信息安全工作協調和決策機制,保障第一責任人和直接責任人履行職責。
第十一條 核心機構和經營機構應當指定或者設立網路和信息安全工作牽頭部門或者機構,負責管理重要信息系統和相關基礎設施、制定網路安全應急預案、組織應急演練等工作。
第十二條 核心機構和經營機構應當保障人員和資金投入與業務活動規模、複雜程度相適應,確保網路和信息安全人員具備與履行職責相匹配的專業知識和職業技能。
第十三條 核心機構和經營機構應當確保信息系統和相關基礎設施具備合理的架構,足夠的性能、容量、可靠性、擴展性和安全性,並保證相關安全技術措施與信息化工作同步規劃、同步建設、同步使用。
第十四條 核心機構和經營機構應當落實網路安全等級保護制度,依法履行網路安全等級保護義務,按照國家和證券期貨業網路安全等級保護相關要求,開展網路和信息系統定級備案、等級測評和安全建設等工作。
核心機構和經營機構應當按照相關要求,將網路安全等級保護工作開展情況報送中國證監會及其派出機構。
第十五條 核心機構和經營機構新建上線、運行變更、下線移除重要信息系統的,應當充分評估技術和業務風險,制定風險防控措施、應急處置和回退方案,並對相關結果進行覆核驗證;可能對證券期貨市場安全平穩運行產生較大影響的,應當提前向中國證監會及其派出機構報告。
核心機構和經營機構不得在交易時段對重要信息系統進行變更,重要信息系統存在故障、缺陷,經評估須進行緊急修復的情形除外。
第十六條 核心機構和經營機構在重要信息系統上線、變更前應當制定全面的測試方案,持續完善測試用例和測試數據,並保障測試的有效執行。
除必須使用敏感數據的情形外,核心機構和經營機構應當對測試環境涉及的敏感數據進行脫敏,對未脫敏數據須採取與生產環境同等的安全控制措施。核心機構交易、行情、開戶、結算、通信等重要信息系統上線或者進行重大升級變更時,應當組織市場相關主體進行聯網測試。
第十七條 核心機構和經營機構暫停或者終止藉助網路向投資者提供服務前,應當履行告知義務,合理選取公告、定向通知等方式告知投資者相關業務影響情況、替代方式及應對措施。
第十八條 核心機構和經營機構應當建立健全網路和信息安全監測預警機制,設定監測指標,持續監測信息系統和相關基礎設施的運行狀況,及時處置異常情形,對監測機制執行效果進行定期評估並持續最佳化。
核心機構和經營機構應當全面、準確記錄並妥善保存生產運營過程中的業務日誌和系統日誌,確保滿足故障分析、內部控制、調查取證等工作的需要。重要信息系統業務日誌應當保存五年以上,系統日誌應當保存六個月以上。
第十九條 核心機構和經營機構應當構建網路和信息安全防護體系,綜合採取網路隔離、用戶認證、訪問控制、策略管理、數據加密、網站防篡改、病毒木馬防範、非法入侵檢測和網路安全態勢感知等安全保障措施,提升網路和信息安全防護能力,及時識別、阻斷相關網路攻擊,保護重要信息系統和相關基礎設施,防範信息泄露與損毀。
第二十條 核心機構和經營機構應當建立本地、同城和異地數據備份設施,重要信息系統應當每天至少備份數據一次,每季度至少對數據備份進行一次有效性驗證。
核心機構和經營機構應當建立重要信息系統的故障備份設施和災難備份設施,根據信息系統的重要程度和業務影響情況,確定恢複目標,保證業務連續運行。災難備份設施應當通過同城或者異地災難備份中心的形式體現。
核心機構和經營機構採取雙活或者多活架構部署重要信息系統的,在確保業務連續運行的前提下,任一數據中心可視為其他數據中心的災難備份設施。
第二十一條 核心機構和經營機構應當每年至少開展一次重要信息系統壓力測試;發現市場較大波動,重要信息系統的性能容量可能無法保障安全平穩運行的,應當及時對相關信息系統開展壓力測試。
核心機構和經營機構應當依照有關行業標準,根據系統技術特點和承載業務類型,制定壓力測試方案,設定測試場景,從系統性能、網路負載、災備建設等方面設定測試指標,有序組織測試工作,測試完成後形成壓力測試報告存檔備查,並保存五年以上。
核心機構和經營機構重要信息系統的性能容量應當在歷史峰值的兩倍以上。核心機構交易時段相關網路近一年使用峰值應當在當前頻寬的百分之五十以下,經營機構交易時段相關網路近一年使用峰值應當在當前頻寬的百分之八十以下。
第二十二條 核心機構和經營機構應當建立健全供應商管理機制,明確信息技術產品和服務準入標準,審慎採購並持續評估相關產品和服務的質量,及時改進風險管理措施,健全應急處置機制,確保重要信息系統運行安全可控。核心機構和經營機構應當與供應商簽訂契約及保密協定,明確約定各方保障網路和信息安全的權利和義務;在使用供應商提供產品或者服務時引發網路安全事件的,相關供應商有義務配合中國證監會及其派出機構查明網路安全事件原因,認定網路安全事件責任。
第二十三條 供應商為核心機構和經營機構提供重要信息系統相關產品或者服務的,應當依法作為信息技術系統服務機構向中國證監會備案。核心機構和經營機構應當督促相關信息技術系統服務機構依法履行備案義務。
第二十四條 任何機構和個人不得違規開展證券期貨業信息系統認證、檢測、風險評估等活動,不得違規發布證券期貨業信息安全漏洞、計算機病毒、網路攻擊、網路侵入等信息。
第二十五條 核心機構和經營機構應當建立信息發布審核機制,加強對本機構和本機構運營平台發布信息的管理,發現違反法律法規和有關監管規定的,應當立即停止發布傳輸,採取必要的處置措施,防止信息擴散,積極消除負面影響,並及時向中國證監會及其派出機構報告。
第二十六條 核心機構應當對交易、行情、開戶、結算、風控、通信等重要信息系統具有自主開發能力,掌握執行程式和原始碼並安全可靠存放。經營機構應當根據自身發展需要,加強自主研發能力建設,持續提升自主可控能力。核心機構和經營機構應當按照國家及中國證監會有關要求,開展信息技術套用創新以及商用密碼套用相關工作。
第二十七條 中國證監會可以委託相關機構建設證券期貨業備份數據中心,開展行業數據的集中備份和管理工作,並採取有效安全防護手段,防範數據損毀泄露風險,持續提升證券期貨業重大災難應對能力。鼓勵證券期貨業關鍵信息基礎設施運營者及時向證券期貨業備份數據中心備份數據。其他核心機構和經營機構可以結合經營需要,自主選擇證券期貨業備份數據中心,開展數據級災難備份工作。
第二十八條 核心機構和經營機構應當按照智慧財產權相關法律法規,制定智慧財產權保護策略和制度,不侵犯他人的智慧財產權,並採取有效措施保護本機構自主智慧財產權。
第三章 投資者個人信息保護
第二十九條 核心機構和經營機構應當遵循合法、正當、必要和誠信原則,處理投資者個人信息,規範投資者個人信息處理行為,履行投資者個人信息保護義務,不得損害投資者合法權益。
第三十條 核心機構和經營機構處理投資者個人信息,應當建立健全投資者個人信息保護體系,明確相關崗位及職責要求,建立健全投資者個人信息處理、安全防護、應急處置、審計監督等管理機制,加強投資者個人信息保護。
第三十一條 核心機構和經營機構應當按照法律法規的規定及契約的約定處理投資者個人信息,明確告知投資者處理個人信息的目的、方式、範圍和隱私保護政策,不得超範圍收集和使用投資者個人信息,不得收集提供服務非必要的投資者個人信息。契約約定事項應當基於從事證券期貨業務活動的必要限度。核心機構和經營機構不得以投資者不同意處理其個人信息或者撤回同意為由,拒絕向投資者提供服務,為投資者提供服務所必需、履行法定職責或者法定義務等情形除外。
第三十二條 核心機構和經營機構處理投資者個人信息時,應當確保個人信息在收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理過程中的合規、安全,防止個人信息的泄露、篡改、丟失。
第三十三條 核心機構和經營機構應當依法依規向第三方機構提供投資者個人信息,明確告知投資者個人信息處理目的、處理方式、個人信息種類、保存期限、保護措施以及相關方的權利和義務等,並取得投資者個人單獨同意,履行法定職責或者法定義務的情形除外。
第三十四條 核心機構和經營機構在本機構網路安全防護邊界以外處理投資者個人信息的,應當採取數據脫敏、數據加密等措施,防範化解投資者個人信息在處理過程中的泄露風險。核心機構和經營機構通過簡訊、郵件等非自主運營渠道傳送投資者敏感個人信息的,應當將投資者賬號信息、身份證號碼等敏感個人信息進行脫敏處理。
第三十五條 核心機構和經營機構利用生物特徵進行客戶身份認證的,應當對其必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特徵作為唯一的客戶身份認證方式,強制客戶同意收集其個人生物特徵信息。
第四章 網路和信息安全應急處置
第三十六條 核心機構、經營機構和信息技術系統服務機構發現網路和信息安全產品或者服務存在安全缺陷、安全漏洞等風險隱患的,應當及時核實並加固整改;可能對證券期貨業網路和信息安全平穩運行產生較大影響的,應當向中國證監會及其派出機構報告。
第三十七條 核心機構和經營機構應當根據業務影響分析情況,建立健全網路安全應急預案,明確應急目標、應急組織和處置流程,應急場景應當覆蓋網路安全事件、自然災害和公共衛生事件、本機構網路和信息安全相關重大人事變動、主要信息技術系統服務機構退出等情形。
第三十八條 核心機構應當組織與本機構信息系統和網路通信設施相關聯主體開展網路安全應急演練,每年至少開展一次,並於演練後15個工作日內將相關情況報告中國證監會。核心機構和經營機構應當定期開展網路安全應急演練,並形成應急演練報告存檔備查。
第三十九條 核心機構和經營機構應當建立應急處置機制,及時處置網路安全事件,儘快恢覆信息系統正常運行,保護事件現場和相關證據,向中國證監會及其派出機構進行應急報告,不得瞞報、謊報、遲報、漏報。信息技術系統服務機構應當協助開展信息系統故障排查、修復等工作,並及時告知使用同類產品或者服務的核心機構和經營機構,配合開展風險排查和整改工作。
第四十條 核心機構和經營機構應當配合中國證監會及其派出機構對網路安全事件進行調查處理,及時組織內部調查,完成問題整改,認定追究事件責任,並按照有關規定報告中國證監會及其派出機構。
第四十一條 核心機構和經營機構發生網路安全事件,對投資者造成影響的,應當及時通過官方網站、客戶交易終端、電話或者郵件等有效渠道通知相關方可以採取的替代方式或者應急措施,提示相關方防範和應對可能出現的風險。
第五章 關鍵信息基礎設施安全保護
第四十二條 證券期貨業關鍵信息基礎設施運營者應當按照法律法規及中國證監會有關規定,強化安全管理措施、技術防護及其他必要手段,保障經費投入,確保關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。
第四十三條 證券期貨業關鍵信息基礎設施運營者應當將關鍵信息基礎設施安全保護情況納入網路和信息安全工作第一責任人、直接責任人和相關人員的責任考核機制。
第四十四條 證券期貨業關鍵信息基礎設施運營者應當指定專門機構或者部門負責關鍵信息基礎設施安全保護管理工作,為每個關鍵信息基礎設施指定網路和信息安全管理責任人,依法認定網路安全關鍵崗位,配備充足的網路和信息安全人員,並對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。
第四十五條 證券期貨業關鍵信息基礎設施運營者新建承載關鍵業務的重要網路設施、信息系統等,投入使用前應當按照關鍵信息基礎設施安全保護相關要求開展安全檢測和風險評估,檢測評估通過後上線運行。證券期貨業關鍵信息基礎設施運營者對關鍵信息基礎設施實施運行變更或者下線移除,可能對證券期貨市場安全平穩運行產生較大影響的,應當在遵守本辦法第十五條的前提下,組織開展專家評審;未通過評審的,原則上不得實施運行變更、下線移除等操作。證券期貨業關鍵信息基礎設施停止運營或者發生較大變化,可能影響認定結果的,相關運營者應當及時將相關情況報告中國證監會及其派出機構。
第四十六條 證券期貨業關鍵信息基礎設施運營者應當每年至少進行一次網路和信息安全檢測和風險評估,對發現的安全問題及時整改,網路和信息安全檢測和風險評估的內容包括但不限於:關鍵信息基礎設施的運行情況、面臨的主要威脅、風險管理情況、應急處置情況等。
第四十七條 證券期貨業關鍵信息基礎設施運營者採購網路產品或者服務的,應當按照國家網路安全審查制度要求開展風險預判工作;採購網路產品或者服務與關鍵信息基礎設施密切相關,投入使用後可能影響國家安全的,應當及時申報網路安全審查。
第四十八條 證券期貨業關鍵信息基礎設施運營者應當對關鍵信息基礎設施的安全運行進行持續監測,定期開展壓力測試,發現系統性能和網路容量不足的,應當及時採取系統升級、擴容等處置措施,確保系統性能容量在歷史峰值的三倍以上,交易時段相關網路頻寬應當在近一年使用峰值的兩倍以上。
第四十九條 證券期貨業關鍵信息基礎設施運營者應當在符合本辦法第二十條規定的基礎上,建設同城和異地災難備份中心,實現數據同步保存。
第六章 網路和信息安全促進與發展
第五十條 鼓勵核心機構、經營機構和信息技術系統服務機構在依法合規的前提下,積極開展網路和信息安全技術套用工作,運用新技術提升網路和信息安全保障水平。
第五十一條 核心機構和經營機構組織開展行業信息基礎設施建設的,應當在保障本機構網路和信息安全的前提下,為行業統籌提供服務,提升信息技術資源利用和服務水平。
第五十二條 核心機構和經營機構參加資本市場金融科技創新機制的,應當遵守有關規定,在依法合規、風險可控的前提下,有序開展金融科技創新與套用,藉助新型信息技術手段,提升本機構證券期貨業務活動的運行質量和效能。信息技術系統服務機構參加資本市場金融科技創新機制的,應當遵守有關規定,持續最佳化技術服務水平,增強安全合規管理能力。
第五十三條 核心機構可以申請開展證券期貨業網路和信息安全相關認證、檢測、測試和風險評估等監管支撐工作。相關核心機構應當保障充足的資源投入,完善內部管理制度和工作流程,保證工作專業性、獨立性和公信力。中國證監會定期對核心機構前款工作情況開展評估,評估通過的,可以將其作為證券期貨業網路和信息安全監管支撐單位,相關工作情況可以作為中國證監會及其派出機構實施監督管理的參考依據。
第五十四條 核心機構和經營機構應當加強網路和信息安全人才隊伍建設,建立與網路和信息安全工作特點相適應的人才培養機制,確保人才資質、經驗、專業素質及職業道德符合崗位要求。行業協會應當制定網路和信息安全培訓計畫,定期組織培訓交流,提高證券期貨從業人員網路和信息安全意識和專業素養。
第五十五條 核心機構和經營機構應當加強本機構網路和信息安全宣傳與教育,每年至少開展一次全員網路和信息安全教育活動,提升員工網路和信息安全意識。經營機構應當定期組織開展面向投資者的網路和信息安全宣傳教育活動,結合網上證券期貨業務活動的特點,揭示網路和信息安全風險,增強投資者風險防範能力。
第五十六條 行業協會應當鼓勵、引導網路和信息安全技術創新與套用,增強自主可控能力,組織開展科技獎勵,促進行業科技進步。行業協會應當引導信息技術系統服務機構規範參與行業網路和信息安全和信息化工作,提升服務的安全合規水平,促進市場有序競爭。
第七章 監督管理與法律責任
第五十七條 核心機構、經營機構和信息技術系統服務機構應當向中國證監會及其派出機構報送或者提供證券期貨業網路和信息安全管理相關信息和數據,確保有關信息和數據的真實、準確、完整。
第五十八條 中國證監會負責建立健全行業網路和信息安全態勢感知工作機制,並就相關安全缺陷、安全漏洞等風險隱患開展行業通報預警。核心機構、經營機構和信息技術系統服務機構應當及時排查並採取風險防範措施。
第五十九條 核心機構和經營機構應當於每年4月30日前,完成對上一年網路和信息安全工作的專項評估,編制網路和信息安全管理年報,報送中國證監會及其派出機構,年報內容包括但不限於網路和信息安全治理情況、人員情況、投入情況、風險情況、處置情況和下一年度工作計畫等。核心機構和經營機構報送網路和信息安全管理年報時,可以與中國證監會要求的信息科技管理專項報告等其他年度信息科技類報告合併報送,關鍵信息基礎設施安全保護年度計畫除外。證券期貨業關鍵信息基礎設施運營者應當將關鍵信息基礎設施網路和信息安全檢測和風險評估情況納入網路和信息安全管理年報。
第六十條 中國證監會及其派出機構可以委託國家、行業有關專業機構採用漏洞掃描、風險評估等方式,協助對核心機構、經營機構和信息技術系統服務機構開展監督、檢查。
第六十一條 中國證監會可以根據國家有關要求或者行業工作需要,組織開展證券期貨業重要時期網路和信息安全保障。中國證監會派出機構負責督促本轄區經營機構和信息技術系統服務機構落實相關工作要求。證券期貨業重要時期網路和信息安全保障期間,核心機構和經營機構應當遵循安全優先的原則,加強安全生產值守,嚴格落實信息報送要求。
第六十二條 核心機構違反本辦法規定的,中國證監會可以對其採取責令改正、監管談話等監管措施;對有關高級管理人員給予警告、記過、記大過、降級、撤職、開除等行政處分,並責令核心機構對其他責任人給予紀律處分。經營機構和信息技術系統服務機構違反本辦法規定的,中國證監會及其派出機構可以對其採取責令改正、監管談話、出具警示函、責令公開說明、責令定期報告、責令增加內部合規檢查次數等監管措施;對直接責任人和其他責任人員採取責令改正、監管談話、出具警示函等監管措施;情節嚴重的,對相關機構及責任人員單處或者並處警告、十萬元以下罰款,涉及金融安全且有危害後果的,並處二十萬元以下罰款。
第六十三條 經營機構違反本辦法規定,反映機構治理混亂、內控失效或者不符合持續性經營規則的,中國證監會及其派出機構可以依照《證券法》《期貨和衍生品法》《證券投資基金法》相關規定,採取責令暫停藉助網路開展部分業務或者全部業務、責令更換董事、監事、高級管理人員或者限制其權利等監管措施。信息技術系統服務機構違反本辦法規定,未履行備案義務的,中國證監會及其派出機構可以依照《證券法》《期貨和衍生品法》相關規定予以處罰。
第六十四條 核心機構、經營機構和信息技術系統服務機構違反本辦法第九條、第十條、第十八條、第十九條、第二十條、第三十七條、第三十九條規定,未履行網路和信息安全保護義務,或者應急管理存在重大過失的,中國證監會及其派出機構可以依照《網路安全法》相關規定予以處罰。證券期貨業關鍵信息基礎設施運營者未履行本辦法第九條、第十條、第十八條、第十九條、第二十條、第二十二條、第三十七條、第三十八條、第四十二條、第四十四條、第四十六條、第四十九條、第五十五條規定的網路安全保護義務的,中國證監會及其派出機構可以依照《網路安全法》《關鍵信息基礎設施安全保護條例》相關規定予以處罰。
第六十五條 核心機構和經營機構違反本辦法第十七條、第三十六條規定,擅自暫停或者終止藉助網路向投資者提供服務,對其產品、服務存在安全缺陷、漏洞等風險未立即採取補救措施,或者未按照規定及時報告的,中國證監會及其派出機構可以依照《網路安全法》相關規定予以處罰。
第六十六條 違反本辦法第二十四條規定,開展證券期貨業信息系統認證、檢測、風險評估等活動,或者向社會發布證券期貨業信息安全漏洞、計算機病毒、網路攻擊、網路侵入等信息的,中國證監會及其派出機構可以依照《網路安全法》相關規定予以處罰。
第六十七條 核心機構和經營機構違反本辦法第二十五條規定,對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、採取消除等處置措施、保存有關記錄的,中國證監會及其派出機構可以依照《網路安全法》相關規定予以處罰。
第六十八條 核心機構和經營機構違反本辦法第三十一條第一款、第三十二條、第三十三條規定,違規處理個人信息,或者處理個人信息未履行個人信息保護義務的,中國證監會及其派出機構可以依照《網路安全法》《個人信息保護法》相關規定予以處罰。
第六十九條 核心機構、經營機構和信息技術系統服務機構拒絕、阻礙中國證監會及其派出機構行使監督檢查、調查職權的,中國證監會及其派出機構可以依法予以處罰。
第七十條 核心機構和經營機構參加資本市場金融科技創新機制或者信息技術套用創新機制,相關項目發生網路安全事件,相關機構處置得當,積極消除不良影響的,中國證監會及其派出機構可以予以從輕或者減輕處罰,未對證券期貨市場產生不良影響的,可以免於處罰。
第八章 附則
第七十一條 本辦法中下列用語的含義:
(一)核心機構,包括證券期貨交易場所、證券登記結算機構等承擔證券期貨市場公共職能、承擔證券期貨業信息技術公共基礎設施運營的證券期貨市場核心機構及其承擔上述相關職能的下屬機構。
(二)經營機構,是指證券公司、期貨公司和基金管理公司等證券期貨經營機構。
(三)信息技術系統服務機構,是指為證券期貨業務活動提供重要信息系統的開發、測試、集成、測評、運維及日常安全管理等產品或者服務的機構。
(四)雙活或者多活架構,是指在同城或者異地的兩個或者多個數據中心同時對外提供服務,當其中一個或者多個數據中心發生災難性事故時,可以將原先由其承載的服務請求劃撥至其他正常運作的數據中心,保障業務連續運行。
(五)重要信息系統,是指承載證券期貨業關鍵業務活動,如出現系統服務異常、數據泄露等情形,將對證券期貨市場和投資者產生重大影響的信息系統。
(六)可能對證券期貨市場安全平穩運行產生較大影響,是指依據網路安全事件調查處理有關辦法,可能引發較大或者以上級別網路安全事件的情形。
(七)“以上”含本數,“以下”不含本數。
第七十二條 本辦法規定的核心機構、經營機構和信息技術系統服務機構相關報告事項,是指依照監管職責,核心機構應當向中國證監會報告;除中國證監會另有要求的,經營機構和信息技術系統服務機構原則上應當向屬地中國證監會派出機構報告。
第七十三條 國家對存儲、處理涉及國家秘密信息的網路和信息安全管理另有規定的,從其規定。
第七十四條 境內開展證券公司客戶交易結算資金第三方存管業務、期貨保證金存管業務的商業銀行,證券投資諮詢機構,基金託管機構和從事公開募集基金的銷售、銷售支付、份額登記、估值、投資顧問、評價等基金服務業務的機構,從事證券期貨業務活動的經營機構子公司,藉助自身運維管理的信息系統從事證券投資活動且存續產品涉及基金份額持有人賬戶合計一千人以上的私募證券投資基金管理人,應當根據相關信息系統網路和信息安全管理的特點,參照適用本辦法。核心機構和經營機構設立信息科技專業子公司,為母公司提供信息科技服務的,信息科技專業子公司應當按照本辦法落實網路和信息安全相關要求。
第七十五條 本辦法自2023年5月1日起施行。2012年11月1日公布的《證券期貨業信息安全保障管理辦法》(證監會令第82號)同時廢止。

內容解讀

《辦法》聚焦網路和信息安全領域,在總結實踐經驗的基礎上,為上位法在證券期貨行業的落地實施明確了路徑。《辦法》全面覆蓋了包括證券期貨關鍵信息基礎設施運營者、核心機構、經營機構、信息技術系統服務機構等各類主體,以安全保障為基本原則,對網路和信息安全管理提出規範要求,主要內容包括:網路和信息安全運行、投資者個人信息保護、網路和信息安全應急處置、關鍵信息基礎設施安全保護、網路和信息安全促進與發展、監督管理和法律責任等。

相關詞條

熱門詞條

聯絡我們