昨日，證監會發布《證券期貨業網絡和信息安全管理辦法》（以下簡稱《辦法》），旨在規范證券期貨業網絡和信息安全管理，防范化解行業網絡和信息安全風險，維護資本市場安全平穩高效運行。

據悉，《辦法》聚焦網絡和信息安全領域，在總結實踐經驗的基礎上，為上位法在證券期貨行業的落地實施明確了路徑。《辦法》全面覆蓋了包括證券期貨關鍵信息基礎設施運營者、核心機構、經營機構、信息技術系統服務機構等各類主體，以安全保障為基本原則，對網絡和信息安全管理提出規范要求。

《辦法》將于2023年5月1日起正式實施。證監會將組織開展相關專項培訓，持續做好督導落實。《辦法》規定的參照適用主體無需報送《辦法》第五十九條規定的網絡和信息安全管理年報。關于參照適用主體落實《辦法》第二十條規定的數據備份義務，中國證監會將指導有關行業協會進一步細化有關要求。

證券期貨業網絡和信息安全面臨新問題

據了解，近年來，證券期貨業機構對網絡和信息安全的重視程度大幅提升，組織架構和制度體系持續優化，信息技術投入逐年增加，行業網絡和信息安全運行態勢總體平穩。但是，隨著行業數字化智能化加速發展、網絡和信息安全上升為國家戰略、資本市場持續深化改革等內外部條件的變化，證券期貨業網絡和信息安全面臨的新情況、新問題逐漸凸顯。

具體來看，首先，行業網絡和信息安全形勢嚴峻復雜。一方面，隨著大數據、云計算、區塊鏈和人工智能等新技術應用的不斷深入，證券期貨業務與技術加速融合，各類業務活動日益依賴網絡安全和信息化，增加了網絡和信息安全管理的復雜度。另一方面，隨著行業機構數字化智能化轉型的提速，信息系統建設任務明顯增加，上線變更操作較為頻繁，行業網絡和信息安全管理能力面臨更大挑戰；其次是《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》法律法規的上位要求有待進一步落實；最后是自2020年以來證監會穩步推動科技監管深化改革，需要及時總結實踐經驗，將改革成果制度化機制化。

“基于上述新情況新問題，有必要進一步健全證券期貨業網絡和信息安全監管制度體系，制定專門的部門規章，構建證券期貨業網絡和信息安全管理的體系框架，提升行業安全保障能力?！弊C監會表示。

總的來看，《辦法》共有三點起草思路。一是落實上位要求，汲取實踐經驗。《辦法》聚焦網絡和信息安全管理，強化個人信息保護，結合證券期貨業特點，為相關法律法規在證券期貨業的有效落地，明確實施路徑，提供制度保障。同時，總結行業近年來監管工作成效，將實踐經驗轉化為制度成果，固化工作機制。

二是覆蓋各類主體，厘清權責邊界。一方面，充分考慮證券期貨業各類主體的責任義務和業務特點，對證券期貨業關鍵信息基礎設施運營者、核心機構、經營機構以及信息技術系統服務機構，從網絡和信息安全管理方面分別提出監管要求。另一方面，厘清職責分工，對監管部門、自律組織的網絡和信息安全監管職責做出明確規定。

三是嚴守安全底線，促進科技發展。《辦法》以保障安全為基本原則，從建設、運維、使用網絡及信息系統，到識別、監測、防范、處置風險等方面，構建了完整的網絡和信息安全監管框架，對行業機構提出全方位的管理要求。在此基礎上，《辦法》還注重通過發展解決問題，通過技術架構的升級優化，提升安全保障能力，并在信息基礎設施建設、金融科技創新等方面作出制度安排。

相關核心機構應保障資源投入?防范信息泄露與損毀

據悉，《辦法》共八章七十五條，對證券期貨業網絡和信息安全監督管理體系、網絡和信息安全運行、投資者個人信息保護、網絡和信息安全應急處置、關鍵信息基礎設施安全保護、網絡和信息安全促進與發展、監督管理與法律責任等方面提出了要求。

具體來看，《辦法》厘清了核心機構、經營機構和信息技術系統服務機構等行業機構的責任邊界。其中，核心機構和經營機構應當遵循保障安全、促進發展 的原則，建立健全網絡和信息安全防護體系，提升安全保障水平，確保與信息化工作同步推進，促進本機構相關工作穩妥健康發展。信息技術系統服務機構應當遵循技術安全、服務合規的原則，為證券期貨業務活動提供產品或者服務，與核心機構、經營機構共同保障行業網絡和信息安全，促進行業信息化發展。

在網絡和信息安全運行方面，《辦法》督促行業機構建立健全網絡和信息安全管理體制機制，提升安全運行保障能力。具體包括：要求核心機構、經營機構具有完善的治理架構，強化管理層責任，指定或設立牽頭部門，保障資源投入；對核心機構、經營機構的信息系統和相關基礎設施提出基本要求，明確等級保護義務；要求核心機構、經營機構審慎開展系統新建、變更和移除，充分評估技術和業務風險，保證充分測試，及時履行投資者告知義務，加強網絡和信息安全日常監測；要求核心機構、經營機構建立網絡和信息安全防護體系，明確數據備份、信息系統備份有關要求，常態化開展壓力測試；強化核心機構、經營機構對供應商的管理，督促信息技術系統服務機構履行備案義務，提升自主研發和安全可控能力，加強知識產權保護等。

在投資者個人信息保護方面，《辦法》明確核心機構和經營機構處理投資者個人信息的基本原則，要求建立健全投資者個人信息保護體系和管理機制，履行保護義務；明確核心機構和經營機構在投資者個人信息處理、共享環節的安全防護要求；同時提出核心機構和經營機構在網絡安全防護邊界外處理投資者個人信息的技術要求，防范化解信息泄露風險；對核心機構和經營機構收集客戶生物特征的必要性和安全性提出評估要求。

《辦法》提出，核心機構和經營機構在本機構網絡安全防護邊界以外處理投資者個人信息的，應當采取數據脫敏、數據加密等措施，防范化解投資者個人信息在處理過程中的泄露風險。

在網絡和信息安全應急處置方面，《辦法》要求核心機構和經營機構建立風險監測預警體制，加強日常漏洞掃描、安全評估，及時消除風險隱患；完善應急預案的應急場景和處置流程，要求定期開展應急演練，每年至少開展一次，并于演練后15 個工作日內將相關情況報告中國證監會；強化網絡安全事件報告和調查處理工作，明確故障排查、相關方告知等工作要求。

在網絡和信息安全促進與發展方面，《辦法》鼓勵核心機構、經營機構和信息技術系統服務機構在依法合規的前提下，積極開展網絡和信息安全技術應用工作，運用新技術提升網絡和信息安全保障水平。同時要求核心機構和經營機構應當加強本機構網絡和信息安全宣傳與教育，每年至少開展一次全員網絡和信息安全教育活動，提升員工網絡和信息安全意識。提出行業協會應當鼓勵、引導網絡和信息安全技術創新與應用，增強自主可控能力，組織開展科技獎勵，促進行業科技進步。

此外，《辦法》還依據上位要求，結合違法違規的具體情形，規定相應罰則，并規定創新容錯相關制度安排。根據規定，核心機構違反本辦法規定的，中國證監會可以對其采取責令改正、監管談話等監管措施；對有關高級管理人員給予警告、記過、記大過、降級、撤職、開除等行政處分，并責令核心機構對其他責任人給予紀律處分。

經營機構和信息技術系統服務機構違反本辦法規定的，中國證監會及其派出機構可以對其采取責令改正、監管談話、出具警示函、責令公開說明、責令定期報告、責令增加內部合規檢查次數等監管措施；對直接責任人和其他責任人員采取責令改正、監管談話、出具警示函等監管措施；情節嚴重的，對相關機構及責 任人員單處或者并處警告、十萬元以下罰款，涉及金融安全且有危害后果的，并處二十萬元以下罰款。

新浪合作大平臺期貨開戶 安全快捷有保障

海量資訊、精準解讀，盡在新浪財經APP