2023年3月3日晚,中国证券监督管理委员会【第218号令】《证券期货业网络和信息安全管理办法》(以下简称《新管理办法》)正式落地,并将于2023年5月1日正式实施。《新管理办法》将取代自2012年11月1日起施行的《证券期货业信息安全保障管理办法》,《新管理办法》的实施对证券期货行业的网络安全监管具有重要的影响,充分体现了在监管以及行业指导上的全面性与充分性。
《新管理办法》共八章七十五条,根据《证券法》《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规中的监管要求,从证券期货业网络安全监管体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施网络安全、网络和信息安全促进与发展、监督管理与法律责任等方面对适用主体提出了明确具体的要求,聚焦当前网络安全监管活动中的监管话题,如经营机构网络和信息安全的治理结构、投资者个人信息保护、网络和信息安全事件的应急管理、重要基础设施的网络安全管理、核心数据与重要数据的备份、等级保护制度的落实等。
《新管理办法》具体内容
一、总则
规定适用范围、适用主体、工作目标及监管职责,厘清核心机构、经营机构和信息技术服务机构等行业机构的责任边界。
二、网络和信息安全运行
督促行业机构建立健全网络安全管理体制机制,提升网络和信息安全运行保障能力。
一是要求核心机构、经营机构具有完善的IT治理架构,强化管理层责任,指定安全牵头部门,确保资源投入;
二是对核心机构、经营机构的信息系统和相关基础设施提出架构安全性要求,明确履行等级保护义务;
三是要求核心机构、经营机构审慎开展系统新建上线、运行变更和下线移除,及时履行投资者告知义务,加强预警监测;
四是对核心机构、经营机构明确数据备份、信息系统备份能力和性能容量相关要求,提出压力测试常态化要求;
五是强化核心机构、经营机构对供应商管理,督促服务机构履行备案义务,加强自主研发、提升安全可控能力;
六是明确信息发布审核机制、行业备份数据中心、知识产权相关要求。
三、投资者个人信息保护
一是明确核心机构和经营机构建立健全投资者个人信息保护体系和管理机制,履行保护义务;
二是明确核心机构和经营机构在投资者个人信息处理、脱敏环节的安全防护要求;
三是要求核心机构和经营机构防范化解个人敏感信息泄露风险;
四是对核心机构和经营机构使用客户生物特征的必要性和安全性提出风险评估要求。
四、网络和信息安全应急处置
一是建立风险监测预警体制,加强安全缺陷、安全漏洞整改,及时消除风险隐患;
二是完善应急预案的应急目标、组织和覆盖面,定期开展应急演练;
三是建立应急处置机制,明确故障排查、责任追究、相关方提示等工作要求。
五、关键信息基础设施安全保护
一是落实关于关键信息基础设施的安全保护要求,结合行业特点,就组织保障、岗位职责、人员配备、采购管理、性能容量、灾备建设等方面进行规范; 二是对关键信息基础设施运营单位投入使用、运行变更、下线移除等提出明确检测和评估要求。
六、网络和信息安全促进与发展
一是鼓励相关机构在依法合规的前提下,开展行业网络和信息安全技术应用,提升保障水平;
二是核心机构、经营机构应在保障自身网络和信息系统安全的前提下,为行业统筹提供服务;
三是建立金融科技创新机制,持续优化并增强网络安全监管专业支撑,核心机构可以申请开展行业网络和信息安全认证、检测、测试和风险评估等监管支持工作;
四是加强行业网络和信息安全人才队伍建设,定期开展全员网络和信息安全宣传教育活动;
五是发挥行业协会作用,引导网络与信息安全的技术创新与应用,增强自主可控,组织科技奖励,促进行业科技进步。
七、监督管理与法律责任
一是规定行业机构的报告和年报要求;
二是明确证监会及其派出机构可以委托专业机构采用漏洞扫描、风险评估等方式对行业机构和服务机构开展监督、检查;
三是对重要时期的网络和信息安全保障明确工作原则;
四是结合违法违规的具体情形对应相应罚则,并对创新机制容错进行相关安排。
《新管理办法》要点归纳
一、技术与管理措施保障纳入网络安全运行
(一)健全网络安全等级保护制度
《新管理办法》承接了《网络安全法》中的网络安全等级保护制度,明确要求核心机构和经营机构应当落实网络安全等级保护制度,按要求开展网络和信息系统定级备案、等级测评和安全建设等工作。
(二)明确网络安全内部组织与责任人
《新管理办法》新增了核心机构和经营机构关于网络安全内部组织和责任人的规定,明确主要负责人为本机构网络安全第一责任人,分管网络和信息安全工作的领导班子成员或高级管理人员为直接责任人,应当保障人员和资金投入与业务活动规模、复杂程度相适应。因此,核心机构和经营机构需加强人力资源与资金方面的投入,从而切实保障安全运行。
(三)提升管理措施保障网络安全要求
《新管理办法》在原管理要求的基础上,采取更为严格的管理措施来保障网络安全,包括相应信息系统和相关基础设施的要求,重要信息系统定期压力测试,重要信息系统上线、运行、变更、下线要求、数据备份与灾难备份等。 核心机构、经营机构不得在交易时段对重要信息系统进行变更、重要信息系统存在故障、缺陷,经评估须进行紧急修复的情形除外。
(四)规范信息服务机构的管理
规范并完善行业信息技术产品和服务准入标准,要求采购并持续评估相关产品和服务的质量,加强信息服务机构数据与网络安全的管理,并要求依法向证监会备案。同时,核心机构和经营机构应对其进一步加强管理。
二、履行投资者个人信息保护的相关规则义务
《新管理办法》第二十九条明确证券期货行业的核心机构和经营机构应当依法履行投资者个人信息保护义务,完成了就投资者个人信息保护领域与《数据安全法》《网络安全法》《个人信息保护法》三法呼应。
《新管理办法》对《个人信息保护法》中的重要合规义务进行了列举,包括收集个人信息须履行需事先取得投资者同意并告知的义务,应采取必要的安全措施保护个人信息安全,对敏感个人信息处理等场景也需取得投资者的同意。
《新管理办法》中秉承了《个人信息保护法》第五条中了个人信息的处理须遵循合法、正当、必要和诚信原则的理念,明确了证券期货行业的核心机构和经营机构针对个人信息处理的要求,并为个人信息处理相关活动进行了原则性限定。
三、安全事件应对与应急处置措施
《新管理办法》第三十六条至第四十一条主要明确了核心机构、经营机构、信息技术服务机构应当如何进行风险监测预警,漏洞扫描和网络安全应急演练,以及网络安全事件发生后的应急处理机制与调查义务。
核心机构、经营机构和信息技术服务机构应当对发现的网络安全产品、服务的风险隐患进行及时核实并加固整改,可能产生较大影响的应当上报中国证监会及其派出机构。
建立应急处置机制及时处置网络安全事件,组织内部调查与责任追究认定,向中国证监会及其派出机构及时报告安全事件以及调查结果。
在发生网络安全事件后提示风险,通过有效渠道公示替代方案或应急措施,提示防范和应对可能的风险。
需关注的是,《新管理办法》第三十八条特别规定,要求核心机构与经营机构应当定期开展网络安全应急演练。其中,核心机构与本机构信息系统和网络通信设施相关联主体,应每年最少开展一次网络安全应急演练,并于演练后的15个工作日内报告相关情况至中国证监会,核心机构与经营机构的应急演练报告均应存档备查。
四、关键信息基础设施网络需加强安全建设
《新管理办法》在第五章“关键信息基础设施网络安全保护”章节,明确了运营关键信息基础设施的核心机构和经营机构(以下简称:关基单位)应当履行的义务,呼应了《网络安全法》以及《关键信息基础设施安全保护条例》针对关键信息基础设施(以下简称:关基设施)的安全保护要求,包括但不限于:
1.加强管理措施,确保平稳运行,将关基设施的安全保护情况纳入相关人员的责任考核机制;
2.关基单位配备充足的网络和信息安全人员,并对专门安全管理机构负责人和关键岗位人员进行安全背景调查;
3.关基设施投入使用前应当开展安全检测和风险评估,实施运行变更或者下线移除,可能对证券期货市场安全平稳运行产生较大影响的,还需通过专家评审;
4.明确规定网络和信息安全检测和风险评估的频率,至少每年一次;
5.关基单位采购网络产品和服务的,应当按照国家网络安全审查制度要求开展风险预判工作,可能影响国家安全的,应当及时申报网络安全审查;
6.需对关基设施安全运行持续监测,定期开展压力测试,确保系统性能容量在历史峰值的三倍以上,网络带宽在近一年峰值的两倍以上;
7.关基单位应建设同城和异地灾难备份中心,并须实现数据实时同步保存。
五、增加罚则和机构范围,规定创新容错相关制度安排
不得违规开展证券期货业信息系统认证、检测、风险评估等活动,或者向社会发布证券期货业信息安全漏洞、计算机病毒、网络攻击、网络侵入等信息的,中国证监会及其派出机构可以依照《网络安全法》相关规定予以处罚。
核心机构和经营机构设立信息科技专业子公司,为母公司提供信息科技服务的,信息科技专业子公司应当按照本办法落实网络和信息安全相关要求。
核心机构和经营机构参加资本市场金融科技创新机制或者信息技术应用创新机制,相关项目发生网络安全事件,相关机构处置得当,积极消除不良影响的,可予以从轻或者减轻处罚,未对证券期货市场产生不良影响的,可免于处罚。
纵览《新管理办法》全文,对各类适用主体提出了需要满足并执行的具化要求,相关要求按梯度和层次,通过量化指标明确了证券期货机构所应履行的义务,同时又充分考虑了针对不同成熟度阶段的主体,在严守监管红线和安全底线的前提下,鼓励网络安全技术应用、科技创新与自主可控的尝试,体现了监管的弹性,并考虑了通过发展解决问题,起到了对金融创新充分支持的作用,对证券期货行业的网络安全监管具有里程碑的意义。