為建立健全證券期貨業網路安全監管制度體系,防範化解行業網路安全風險隱患,維護資本市場安全平穩高效運行,證監會起草了《證券期貨業網路安全管理辦法(徵求意見稿)》。2022年4月,向社會公開徵求意見。
基本介紹
- 中文名:證券期貨業網路安全管理辦法(徵求意見稿)
- 起草:證監會
辦法簡介,具體內容,
辦法簡介
《辦法》共八章六十六條,對證券期貨業網路安全監督管理體系、網路安全運行、數據安全統籌管理、網路安全應急處置、關鍵信息基礎設施網路安全、網路安全促進與發展、監督管理與法律責任等方面提出了要求。
具體內容
(一)總則。規定立法宗旨、適用範圍、適用主體、工作目標及監管職責,釐清核心機構、經營機構和信息技術服務機構等行業機構的責任邊界。
(二)網路安全運行。督促行業機構建立健全網路安全管理體制機制,提升網路安全運行保障能力。一是要求核心機構、經營機構具有完善的治理架構,強化管理層責任,指定牽頭部門,保障資源投入。二是對核心機構、經營機構的信息系統和相關基礎設施提出基本要求,明確等級保護義務。三是要求核心機構、經營機構審慎開展系統新建、變更和移除,及時履行投資者告知義務,加強日常監測。四是對核心機構、經營機構明確信息系統備份能力有關要求,提出壓力測試常態化要求。五是從制度體系、人員配備、合規安全等方面,對信息技術服務機構提出監管要求。六是強化核心機構、經營機構採購產品和服務的準入、評估、改進要求,提升自主研發和安全可控能力,加強智慧財產權保護。
(三)數據安全統籌管理。一是從制度機制、組織架構、行業數據標準、許可權管理、質量評估、防範泄露損毀等方面,明確證券期貨業的具體要求。二是配套上位要求,對數據分類分級、個人信息保護、規範信息發布等方面作進一步強調。三是為建立證券期貨業戰略備份數據中心預留制度空間,提升行業極限災難應對能力。
(四)網路安全應急處置。一是建立風險監測預警體制,加強日常漏洞掃描、安全評估,及時消除風險隱患。二是完善應急預案的應急場景和處置流程,要求定期開展應急演練。三是強化網路安全事件報告和調查處理工作,明確故障排查、相關方告知等工作要求。
(五)關鍵信息基礎設施網路安全。落實國家關於關鍵信息基礎設施的安全保護要求,結合行業特點,從組織保障、建設評審、變化報告、檢測評估、採購管理、性能容量、災難備份等方面,對關鍵信息基礎設施運營單位提出進一步的督導要求。
(六)網路安全促進與發展。一是鼓勵相關機構在依法合規、風險可控、不損害投資者利益的前提下,開展行業網路安全技術套用。二是核心機構、經營機構可以在保障自身信息系統安全的前提下,為行業提供信息基礎設施服務。三是建立金融科技創新監管機制,加強網路安全監管專業支撐,核心機構可以申請國家相關專業資質,開展行業網路安全認證、檢測、測試和風險評估等工作。四是強化行業網路安全人才隊伍建設,定期開展網路安全宣傳與教育。五是發揮行業協會作用,引導網路安全技術創新與套用,組織科技獎勵,促進行業科技進步、市場公平競爭。
(七)監督管理與法律責任。一是規定行業機構的報告義務和流程要求。二是明確證監會及其派出機構可以委託專業機構採用滲透測試、漏洞掃描和風險評估等方式對行業機構開展監督檢查。三是對重要時期的網路安全保障工作明確制度安排。四是依據上位要求,結合違法違規的具體情形,規定相應罰則,並規定創新容錯相關制度安排。此外,《辦法》還明確了名詞釋義、參照執行主體和情境、實施時間以及相關辦法銜接等事項。