《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》正式發(fā)布

發(fā)布時間 2023-03-06

為有效落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》相關(guān)要求,規(guī)范證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理,防范化解行業(yè)網(wǎng)絡(luò)和信息安全風(fēng)險,維護資本市場安全平穩(wěn)高效運行,證監(jiān)會制定并發(fā)布了《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》(以下簡稱《辦法》)。


《辦法》共計8章75條,將于2023年5月1日起正式實施,聚焦網(wǎng)絡(luò)和信息安全領(lǐng)域,在總結(jié)實踐經(jīng)驗的基礎(chǔ)上,為上位法在證券期貨行業(yè)的落地實施明確了路徑。


《辦法》全面覆蓋了包括證券期貨關(guān)鍵信息基礎(chǔ)設(shè)施運營者、核心機構(gòu)、經(jīng)營機構(gòu)、信息技術(shù)系統(tǒng)服務(wù)機構(gòu)等各類主體,以安全保障為基本原則,對網(wǎng)絡(luò)和信息安全管理提出規(guī)范要求,主要內(nèi)容包括:網(wǎng)絡(luò)和信息安全運行、投資者個人信息保護、網(wǎng)絡(luò)和信息安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護、網(wǎng)絡(luò)和信息安全促進與發(fā)展、監(jiān)督管理和法律責(zé)任等。


《辦法》第5條指出,中國證監(jiān)會依法履行以下監(jiān)督管理職責(zé):


(一)組織制定并推動落實證券期貨業(yè)網(wǎng)絡(luò)和信息安全發(fā)展規(guī)劃、監(jiān)管規(guī)則和行業(yè)標(biāo)準(zhǔn);

(二)負責(zé)證券期貨業(yè)網(wǎng)絡(luò)和信息安全的監(jiān)督管理,按規(guī)定做好證券期貨業(yè)涉及的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作;

(三)負責(zé)證券期貨業(yè)網(wǎng)絡(luò)和信息安全重大技術(shù)路線、重大科技項目管理;

(四)組織開展證券期貨業(yè)投資者個人信息保護工作;

(五)負責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全應(yīng)急演練、應(yīng)急處置、事件報告與調(diào)查處理;

(六)指導(dǎo)證券期貨業(yè)網(wǎng)絡(luò)和信息安全促進與發(fā)展;

(七)支持、協(xié)助國家有關(guān)部門組織實施網(wǎng)絡(luò)和信息安全相關(guān)法律、行政法規(guī);

(八)法律法規(guī)規(guī)定的其他網(wǎng)絡(luò)和信息安全監(jiān)管職責(zé)


《辦法》第8條提出,核心機構(gòu)依法制定保障市場相關(guān)主體與本機構(gòu)信息系統(tǒng)安全互聯(lián)的技術(shù)規(guī)則,對與本機構(gòu)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施相關(guān)聯(lián)主體加強指導(dǎo),督促其強化網(wǎng)絡(luò)和信息安全管理,保障相關(guān)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施的安全平穩(wěn)運行。


在第2章第9、10、11條,《辦法》指出,核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)具有完善的信息技術(shù)治理架構(gòu),健全網(wǎng)絡(luò)和信息安全管理制度體系,建立內(nèi)部決策、管理、執(zhí)行和監(jiān)督機制,確保網(wǎng)絡(luò)和信息安全管理能力與業(yè)務(wù)活動規(guī)模、復(fù)雜程度相匹配。信息技術(shù)系統(tǒng)服務(wù)機構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)和信息安全管理制度,配備相應(yīng)的安全、合規(guī)管理人員,建立與提供產(chǎn)品或者服務(wù)相適應(yīng)的網(wǎng)絡(luò)和信息安全管理機制。


核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)明確主要負責(zé)人為本機構(gòu)網(wǎng)絡(luò)和信息安全工作的第一責(zé)任人,分管網(wǎng)絡(luò)和信息安全工作的領(lǐng)導(dǎo)班子成員或者高級管理人員為直接責(zé)任人。核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)和信息安全工作協(xié)調(diào)和決策機制,保障第一責(zé)任人和直接責(zé)任人履行職責(zé)。


核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)指定或者設(shè)立網(wǎng)絡(luò)和信息安全工作牽頭部門或者機構(gòu),負責(zé)管理重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施、制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案、組織應(yīng)急演練等工作。


此外,證監(jiān)會還將組織開展相關(guān)專項培訓(xùn),持續(xù)做好督導(dǎo)落實。《辦法》規(guī)定的參照適用主體無需報送《辦法》第五十九條規(guī)定的網(wǎng)絡(luò)和信息安全管理年報。關(guān)于參照適用主體落實《辦法》第二十條規(guī)定的數(shù)據(jù)備份義務(wù),中國證監(jiān)會將指導(dǎo)有關(guān)行業(yè)協(xié)會進一步細化有關(guān)要求。