證券期貨業網路安全管理辦法（徵求意見稿）

《辦法》共八章六十六條，對證券期貨業網路安全監督管理體系、網路安全運行、數據安全統籌管理、網路安全應急處置、關鍵信息基礎設施網路安全、網路安全促進與發展、監督管理與法律責任等方面提出了要求。

（一）總則。規定立法宗旨、適用範圍、適用主體、工作目標及監管職責，釐清核心機構、經營機構和信息技術服務機構等行業機構的責任邊界。

（二）網路安全運行。督促行業機構建立健全網路安全管理體制機制，提升網路安全運行保障能力。一是要求核心機構、經營機構具有完善的治理架構，強化管理層責任，指定牽頭部門，保障資源投入。二是對核心機構、經營機構的信息系統和相關基礎設施提出基本要求，明確等級保護義務。三是要求核心機構、經營機構審慎開展系統新建、變更和移除，及時履行投資者告知義務，加強日常監測。四是對核心機構、經營機構明確信息系統備份能力有關要求，提出壓力測試常態化要求。五是從制度體系、人員配備、合規安全等方面，對信息技術服務機構提出監管要求。六是強化核心機構、經營機構採購產品和服務的準入、評估、改進要求，提升自主研發和安全可控能力，加強智慧財產權保護。

（三）數據安全統籌管理。一是從制度機制、組織架構、行業數據標準、許可權管理、質量評估、防範泄露損毀等方面，明確證券期貨業的具體要求。二是配套上位要求，對數據分類分級、個人信息保護、規範信息發布等方面作進一步強調。三是為建立證券期貨業戰略備份數據中心預留制度空間，提升行業極限災難應對能力。

（四）網路安全應急處置。一是建立風險監測預警體制，加強日常漏洞掃描、安全評估，及時消除風險隱患。二是完善應急預案的應急場景和處置流程，要求定期開展應急演練。三是強化網路安全事件報告和調查處理工作，明確故障排查、相關方告知等工作要求。

（五）關鍵信息基礎設施網路安全。落實國家關於關鍵信息基礎設施的安全保護要求，結合行業特點，從組織保障、建設評審、變化報告、檢測評估、採購管理、性能容量、災難備份等方面，對關鍵信息基礎設施運營單位提出進一步的督導要求。

（六）網路安全促進與發展。一是鼓勵相關機構在依法合規、風險可控、不損害投資者利益的前提下，開展行業網路安全技術套用。二是核心機構、經營機構可以在保障自身信息系統安全的前提下，為行業提供信息基礎設施服務。三是建立金融科技創新監管機制，加強網路安全監管專業支撐，核心機構可以申請國家相關專業資質，開展行業網路安全認證、檢測、測試和風險評估等工作。四是強化行業網路安全人才隊伍建設，定期開展網路安全宣傳與教育。五是發揮行業協會作用，引導網路安全技術創新與套用，組織科技獎勵，促進行業科技進步、市場公平競爭。

（七）監督管理與法律責任。一是規定行業機構的報告義務和流程要求。二是明確證監會及其派出機構可以委託專業機構採用滲透測試、漏洞掃描和風險評估等方式對行業機構開展監督檢查。三是對重要時期的網路安全保障工作明確制度安排。四是依據上位要求，結合違法違規的具體情形，規定相應罰則，並規定創新容錯相關制度安排。此外，《辦法》還明確了名詞釋義、參照執行主體和情境、實施時間以及相關辦法銜接等事項。