学习解读2023年新制定的证券期货业网络和信息安全管理办法（教案）

证券期货业网络和信息安全管理办法 学习解读证监会新制定的《证券期货业网络和信息安全管理办法》 （讲义） 为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求，规范证券期货业网络和信息安全管理，防范化解行业网络和信息安全风险，维护资本市场安全平稳高效运行，证监会制定并发布了《证券期货业网络和信息安全管理办法》（以下简称《办法》）。《办法》将于2023年5月1日起正式实施。 第一部分：《办法》的出台背景 近年来，证券期货业机构对网络和信息安全的重视程度大幅提升，组织架构和制度体系持续优化，信息技术投入逐年增加，行业网络和信息安全运行态势总体平稳。但是，随着行业数字化智能化加速发展、网络和信息安全上升为国家战略、资本市场持续深化改革等内外部条件的变化，证券期货业网络和信息安全面临的新情况新问题逐渐凸显，主要体现在以下:方面： （一）行业网络和信息安全形势严峻复杂。一是随着大数据、云计算、区块链和人工智能等新技术应用的不断深入，证券期货业务与技术加速融合，各类业务活动日益依赖网络安全和信息化，增加了网络和信息安全管理的复杂度。二是随着行业机构数字化智能化转型的提速，信息系统建设任务明显增加，上线变更操作较为频繁，行业网络和信息安全管理能力面临更大挑战。 （二）法律法规的上位要求有待进一步落实。随着《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规密集发布实施，我国网络和信息安全法律体系进一步健全，新型管理框架基本成型。对此，证监会虽于2012年以来发布《证券期货业信息安全保障管理办法》（证监会令82号）《证券基金经营机构信息技术管理办法》（证监会令152号）等监管规则，但是由于制定时间较早、监管实践变化等原因，相关监管规则在有效衔接上位要求方面有待进一步完善。 （三）监管实践成果制度化还需加强。2020年以来，证监会稳步推动科技监管深化改革，监管体制机制不断优化，信息技术系统服务机构备案管理、资本市场金融科技创新试点等工作全面展开，与相关部委进一步形成监管合力，沟通协作更加顺畅，需要及时总结实践经验，将改革成果制度化机制化。 基于上述新情况新问题，有必要进一步健全证券期货业网络和信息安全监管制度体系，制定专门的部门规章，构建证券期货业网络和信息安全管理的体系框架，提升行业安全保障能力。 第二部分：《办法》的起草思路 （一）落实上位要求，汲取实践经验。《办法》聚焦网络和信息安全管理，强化个人信息保护，结合证券期货业特点，为相关法律法规在证券期货业的有效落地，明确实施路径，提供制度保障。同时，总结行业近年来监管工作成效，将实践经验转化为制度成果，固化工作机制。 （二）覆盖各类主体，厘清权责边界。一方面，充分考虑证券期货业各类主体的责任义务和业务特点，对证券期货业关键信息基础设施运营者、核心机构、经营机构以及信息技术系统服务机构，从网络和信息安全管理方面分别提出监管要求。另一方面，厘清职责分工，对监管部门、自律组织的网络和信息安全监管职责做出明确规定。 （三）严守安全底线，促进科技发展。《办法》以保障安全为基本原则，从建设、运维、使用网络及信息系统，到识别、监测、防范、处置风险等方面，构建了完整的网络和信息安全监管框架，对行业机构提出全方位的管理要求。在此基础上，《办法》还注重通过发展解决问题，通过技术架构的升级优化，提升安全保障能力，并在信息基础设施建设、金融科技创新等方面作出制度安排。 第三部分：《办法》的主要内容 《办法》共八章七十五条，对证券期货业网络和信息安全监督管理体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理与法律责任等方面提出了要求。具体包括： （一）总则。规定立法宗旨、适用范围、适用主体、工作目标及监管职责，厘清核心机构、经营机构和信息技术系统服务机构等行业机构的责任边界。 （二）网络和信息安全运行。督促行业机构建立健全网络和信息安全管理体制机制，提升安全运行保障能力。一是要求核心机构、经营机构具有完善的治理架构，强化管理层责任，指定或设立牵头部门，保障资源投入。二是对核心机构、经营机构的信息系统和相关基础设施提出基本要求，明确等级保护义务。三是要求核心机构、经营机构审慎开展系统新建、变更和移除，充分评估技术和业务风险，保证充分测试，及时履行投资者告知义务，加强网络和信息安全日常监测。四是要求核心机构、经营机构建立网络和信息安全防护体系，明确数据备份、信息系统备份有关要求，常态化开展压力测试。五是强化核心机构、经营机构对供应商的管理，督促信息技术系统服务机构履行备案义务，提升自主研发和安全可控能力，加强知识产权保护。六是明确安全信息发布和行业数据备份中心相关要求。 （三）投资者个人信息保护。一是明确核心机构和经营机构处理投资者个人信息的基本原则，要求建立健全投资者个人信息保护体系和管理机制，履行保护义务。二是明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求。三是提出核心机构和经营机构在网络安全防护边界外处理投资者个人信息的技术要求，防范化解信息泄露风险。四是对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。 （四）网络和信息安全应急处置。一是建立风险监测预警体制，加强日常漏洞扫描、安全评估，及时消除风险隐患。二是完善应急预案的应急场景和处置流程，要求定期开展应急演练。三是强化网络安全事件报告和调查处理工作，明确故障排查、相关方告知等工作要求。 （五）关键信息基础设施安全保护。落实国家关于关键信息基础设施的安全保护要求，结合行业特点，从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面，对关键信息基础设施运营者提出进一步的督导要求。 （六）网络和信息安全促进与发展。一是鼓励相关机构在依法合规、风险可控、不损害投资者利益的前提下，开展行业网络和信息安全技术应用。二是核心机构、经营机构可以在保障自身信息系统安全的前提下，为行业提供信息基础设施服务。三是建立金融科技创新监管机制，加强网络和信息安全监管专业支撑，核心机构可以申请国家相关专业资质，开展行业网络和信息安全相关认证、检测、测试和风险评估等工作。四是强化行业人才队伍建设，定期开展网络和信息安全宣传与教育。五是发挥行业协会作用，引导技术创新与应用，组织科技奖励，促进行业科技进步、市场公平竞争。 （七）监督管理与法律责任。一是规定行业机构的报告义务和流程要求。二是建立健全行业网络和信息安全态势感知工作机制，开展风险隐患行业通报。三是明确证监会及其派出机构可以委托专业机构采用渗透测试、漏洞扫描和风险评估等方式对行业机构开展监督检查。四是对重要时期的网络和信息安全保障工作明确制度安排。五是依据上位要求，结合违法违规的具体情形，规定相应罚则，并规定创新容错相关制度安排。 此外，《办法》还明确了名词释义、参照执行主体和情境。《办法》施行后，证监会此前发布的《证券期货业信息安全保障管理办法》同时废止。 第四部分：《办法》的全文学习 证券期货业网络和信息安全管理办法 （2023 年 1 月 17 日中国证券监督管理委员会第 1 次委务会议审议通过） 第一章 总 则 第一条 为了保障证券期货业网络和信息安全，保护投资者合法权益，促进证券期货业稳定健康发展，根据《中华人民共和国证券法》（以下简称《证券法》）、《中华人民共和国期货和衍生品法》（以下简称《期货和衍生品法》）、《中华人民共和国证券投资基金法》（以下简称《证券投资基金法》）、《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《关键信息基础设施安全保护条例》等法律法规，制定本办法。 第二条 核心机构和经营机构在中华人民共和国境内建设、运营、维护、使用网络及信息系统，信息技术系统服务机构为证券期货业务活动提供产品或者服务的网络和信息安全保障，以及证券期货业网络和信息安全的监督管理，适用本办法。 第三条 核心机构和经营机构应当遵循保障安全、促进发展的原则，建立健全网络和信息安全防护体系，提升安全保障水平，确保与信息化工作同步推进，促进本机构相关工作稳妥健康发展。信息技术系统服务机构应当遵循技术安全、服务合规的原则，为证券期货业务活动提供产品或者服务，与核心机构、经营机构共同保障行业网络和信息安全，促进行业信息化发展。 第四条 核心机构和经营机构应当依法履行网络和信息安全保护义务，对本机构网络和信息安全负责，相关责任不因其他机构提供产品或者服务进行转移或者减轻。 信息技术系统服务机构应当勤勉尽责，对提供产品或者服务的安全性、合规性承担责任。 第五条 中国证监会依法履行以下监督管理职责： （一）组织制定并推动落实证券期货业网络和信息安全发展规划、监管规则和行业标准； （二）负责证券期货业网络和信息安全的监督管理，按规定做好证券期货业涉及的关键信息基础设施安全保护工作； （三）负责证券期货业网络和信息安全重大技术路线、重大科技项目管理； （四）组织开展证券期货业投资者个人信息保护工作； （五）负责证券期货业网络安全应急演练、应急处置、事件报告与调查处理； （六）指导证券期货业网络和信息安全促进与发展； （七）支持、协助国家有关部门组织实施网络和信息安全相关法律、行政法规； （八）法律法规规定的其他网络和信息安全监管职责。 第六条 中国证监会建立集中管理、分级负责的证券期货业网络和信息安全监督管理体制。中国证监会科技监管部门对证券期货业网络和信息安全实施监督管理。中国证监会履行监管职责的其他部门配合开展相关工作。 中国证监会派出机构对本辖区经营机构和信息技术系统服务机构网络和信息安全实施日常监管。 第七条 中国证券业协会、中国期货业协会、中国证券投资基金业协会等行业协会（以下统称行业协会）依法制定行业网络和信息安全自律规则，对经营机构网络和信息安全实施自律管理。 第八条 核心机构依法制定保障市场相关主体与本机构信息系统安全互联的技术规则，对与本机构信息系统和网络通信设施相关联主体加强指导，督促其强化网络和信息安全管理，保障相关信息系统和网络通信设施的安全平稳运行。 第二章 网络和信息安全运行 第九条 核心机构和经营机构应当具有完善的信息技术治理架构，健全网络和信息安全管理制度体系，建立内部决策、管理、执行和监督机制，确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配。 信息技术系统服务机构应当建立网络和信息安全管理制度，配备相应的安全、合规管理人员，建立与提供产品或者服务相适应的网络和信息安全管理机制。 第十条 核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人，分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。 核心机构和经营机构应当建立网络和信息安全工作协调和决策机制，保障第一责任人和直接责任人履行职责。 第十一条 核心机构和经营机构应当指定或者设立网络和信息安全工作牵头部门或者机构，负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等工作。 第十二条 核心机构和经营机构应当保障人员和资金投入与业务活动规模、复杂程度相适应，确保网络和信息安全人员具备与履行职责相匹配的专业知识和职业技能。 第十三条 核心机构和经营机构应当确保信息系统和相关基础设施具备合理的架构，足够的性能、容量、可靠性、扩展性和安全性，并保证相关安全技术措施与信息化工作同步规划、同步建设、同步使用。 第十四条 核心机构和经营机构应当落实网络安全等级保护制度，依法履行网络安全等级保护义务，按照国家和证券期货业网络安全等级保护相关要求，开展网络和信息系统定级备案、等级测评和安全建设等工作。 核心机构和经营机构应当按照相关要求，将网络安全等级保护工作开