证券期货业网络和信息安全形势严峻复杂!证监会出手

  昨日,证监会发布《证券期货业网络和信息安全管理办法》(以下简称《办法》),旨在规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行。

  据悉,《办法》聚焦网络和信息安全领域,在总结实践经验的基础上,为上位法在证券期货行业的落地实施明确了路径。《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求。

  《办法》将于2023年5月1日起正式实施。证监会将组织开展相关专项培训,持续做好督导落实。《办法》规定的参照适用主体无需报送《办法》第五十九条规定的网络和信息安全管理年报。关于参照适用主体落实《办法》第二十条规定的数据备份义务,中国证监会将指导有关行业协会进一步细化有关要求。

  证券期货业网络和信息安全面临新问题

  据了解,近年来,证券期货业机构对网络和信息安全的重视程度大幅提升,组织架构和制度体系持续优化,信息技术投入逐年增加,行业网络和信息安全运行态势总体平稳。但是,随着行业数字化智能化加速发展、网络和信息安全上升为国家战略、资本市场持续深化改革等内外部条件的变化,证券期货业网络和信息安全面临的新情况、新问题逐渐凸显。

  具体来看,首先,行业网络和信息安全形势严峻复杂。一方面,随着大数据、云计算、区块链和人工智能等新技术应用的不断深入,证券期货业务与技术加速融合,各类业务活动日益依赖网络安全和信息化,增加了网络和信息安全管理的复杂度。另一方面,随着行业机构数字化智能化转型的提速,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络和信息安全管理能力面临更大挑战;其次是《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》法律法规的上位要求有待进一步落实;最后是自2020年以来证监会稳步推动科技监管深化改革,需要及时总结实践经验,将改革成果制度化机制化。

  “基于上述新情况新问题,有必要进一步健全证券期货业网络和信息安全监管制度体系,制定专门的部门规章,构建证券期货业网络和信息安全管理的体系框架,提升行业安全保障能力。”证监会表示。

  总的来看,《办法》共有三点起草思路。一是落实上位要求,汲取实践经验。《办法》聚焦网络和信息安全管理,强化个人信息保护,结合证券期货业特点,为相关法律法规在证券期货业的有效落地,明确实施路径,提供制度保障。同时,总结行业近年来监管工作成效,将实践经验转化为制度成果,固化工作机制。

  二是覆盖各类主体,厘清权责边界。一方面,充分考虑证券期货业各类主体的责任义务和业务特点,对证券期货业关键信息基础设施运营者、核心机构、经营机构以及信息技术系统服务机构,从网络和信息安全管理方面分别提出监管要求。另一方面,厘清职责分工,对监管部门、自律组织的网络和信息安全监管职责做出明确规定。

  三是严守安全底线,促进科技发展。《办法》以保障安全为基本原则,从建设、运维、使用网络及信息系统,到识别、监测、防范、处置风险等方面,构建了完整的网络和信息安全监管框架,对行业机构提出全方位的管理要求。在此基础上,《办法》还注重通过发展解决问题,通过技术架构的升级优化,提升安全保障能力,并在信息基础设施建设、金融科技创新等方面作出制度安排。

  相关核心机构应保障资源投入防范信息泄露与损毁

  据悉,《办法》共八章七十五条,对证券期货业网络和信息安全监督管理体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理与法律责任等方面提出了要求。

  具体来看,《办法》厘清了核心机构、经营机构和信息技术系统服务机构等行业机构的责任边界。其中,核心机构和经营机构应当遵循保障安全、促进发展 的原则,建立健全网络和信息安全防护体系,提升安全保障水平,确保与信息化工作同步推进,促进本机构相关工作稳妥健康发展。信息技术系统服务机构应当遵循技术安全、服务合规的原则,为证券期货业务活动提供产品或者服务,与核心机构、经营机构共同保障行业网络和信息安全,促进行业信息化发展。

  在网络和信息安全运行方面,《办法》督促行业机构建立健全网络和信息安全管理体制机制,提升安全运行保障能力。具体包括:要求核心机构、经营机构具有完善的治理架构,强化管理层责任,指定或设立牵头部门,保障资源投入;对核心机构、经营机构的信息系统和相关基础设施提出基本要求,明确等级保护义务;要求核心机构、经营机构审慎开展系统新建、变更和移除,充分评估技术和业务风险,保证充分测试,及时履行投资者告知义务,加强网络和信息安全日常监测;要求核心机构、经营机构建立网络和信息安全防护体系,明确数据备份、信息系统备份有关要求,常态化开展压力测试;强化核心机构、经营机构对供应商的管理,督促信息技术系统服务机构履行备案义务,提升自主研发和安全可控能力,加强知识产权保护等。

  在投资者个人信息保护方面,《办法》明确核心机构和经营机构处理投资者个人信息的基本原则,要求建立健全投资者个人信息保护体系和管理机制,履行保护义务;明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求;同时提出核心机构和经营机构在网络安全防护边界外处理投资者个人信息的技术要求,防范化解信息泄露风险;对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。

  《办法》提出,核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的,应当采取数据脱敏、数据加密等措施,防范化解投资者个人信息在处理过程中的泄露风险。

  在网络和信息安全应急处置方面,《办法》要求核心机构和经营机构建立风险监测预警体制,加强日常漏洞扫描、安全评估,及时消除风险隐患;完善应急预案的应急场景和处置流程,要求定期开展应急演练,每年至少开展一次,并于演练后15 个工作日内将相关情况报告中国证监会;强化网络安全事件报告和调查处理工作,明确故障排查、相关方告知等工作要求。

  在网络和信息安全促进与发展方面,《办法》鼓励核心机构、经营机构和信息技术系统服务机构在依法合规的前提下,积极开展网络和信息安全技术应用工作,运用新技术提升网络和信息安全保障水平。同时要求核心机构和经营机构应当加强本机构网络和信息安全宣传与教育,每年至少开展一次全员网络和信息安全教育活动,提升员工网络和信息安全意识。提出行业协会应当鼓励、引导网络和信息安全技术创新与应用,增强自主可控能力,组织开展科技奖励,促进行业科技进步。

  此外,《办法》还依据上位要求,结合违法违规的具体情形,规定相应罚则,并规定创新容错相关制度安排。根据规定,核心机构违反本办法规定的,中国证监会可以对其采取责令改正、监管谈话等监管措施;对有关高级管理人员给予警告、记过、记大过、降级、撤职、开除等行政处分,并责令核心机构对其他责任人给予纪律处分。

  经营机构和信息技术系统服务机构违反本办法规定的,中国证监会及其派出机构可以对其采取责令改正、监管谈话、出具警示函、责令公开说明、责令定期报告、责令增加内部合规检查次数等监管措施;对直接责任人和其他责任人员采取责令改正、监管谈话、出具警示函等监管措施;情节严重的,对相关机构及责 任人员单处或者并处警告、十万元以下罚款,涉及金融安全且有危害后果的,并处二十万元以下罚款。