《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》正式發(fā)布

發(fā)布時(shí)間 2023-03-06

為有效落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》相關(guān)要求,規(guī)范證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理,防范化解行業(yè)網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn),維護(hù)資本市場(chǎng)安全平穩(wěn)高效運(yùn)行,證監(jiān)會(huì)制定并發(fā)布了《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》(以下簡(jiǎn)稱《辦法》)。


《辦法》共計(jì)8章75條,將于2023年5月1日起正式實(shí)施,聚焦網(wǎng)絡(luò)和信息安全領(lǐng)域,在總結(jié)實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上,為上位法在證券期貨行業(yè)的落地實(shí)施明確了路徑。


《辦法》全面覆蓋了包括證券期貨關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)、信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)等各類主體,以安全保障為基本原則,對(duì)網(wǎng)絡(luò)和信息安全管理提出規(guī)范要求,主要內(nèi)容包括:網(wǎng)絡(luò)和信息安全運(yùn)行、投資者個(gè)人信息保護(hù)、網(wǎng)絡(luò)和信息安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展、監(jiān)督管理和法律責(zé)任等。


《辦法》第5條指出,中國(guó)證監(jiān)會(huì)依法履行以下監(jiān)督管理職責(zé):


(一)組織制定并推動(dòng)落實(shí)證券期貨業(yè)網(wǎng)絡(luò)和信息安全發(fā)展規(guī)劃、監(jiān)管規(guī)則和行業(yè)標(biāo)準(zhǔn);

(二)負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)和信息安全的監(jiān)督管理,按規(guī)定做好證券期貨業(yè)涉及的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作;

(三)負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)和信息安全重大技術(shù)路線、重大科技項(xiàng)目管理;

(四)組織開展證券期貨業(yè)投資者個(gè)人信息保護(hù)工作;

(五)負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全應(yīng)急演練、應(yīng)急處置、事件報(bào)告與調(diào)查處理;

(六)指導(dǎo)證券期貨業(yè)網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展;

(七)支持、協(xié)助國(guó)家有關(guān)部門組織實(shí)施網(wǎng)絡(luò)和信息安全相關(guān)法律、行政法規(guī);

(八)法律法規(guī)規(guī)定的其他網(wǎng)絡(luò)和信息安全監(jiān)管職責(zé)


《辦法》第8條提出,核心機(jī)構(gòu)依法制定保障市場(chǎng)相關(guān)主體與本機(jī)構(gòu)信息系統(tǒng)安全互聯(lián)的技術(shù)規(guī)則,對(duì)與本機(jī)構(gòu)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施相關(guān)聯(lián)主體加強(qiáng)指導(dǎo),督促其強(qiáng)化網(wǎng)絡(luò)和信息安全管理,保障相關(guān)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施的安全平穩(wěn)運(yùn)行。


在第2章第9、10、11條,《辦法》指出,核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有完善的信息技術(shù)治理架構(gòu),健全網(wǎng)絡(luò)和信息安全管理制度體系,建立內(nèi)部決策、管理、執(zhí)行和監(jiān)督機(jī)制,確保網(wǎng)絡(luò)和信息安全管理能力與業(yè)務(wù)活動(dòng)規(guī)模、復(fù)雜程度相匹配。信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)和信息安全管理制度,配備相應(yīng)的安全、合規(guī)管理人員,建立與提供產(chǎn)品或者服務(wù)相適應(yīng)的網(wǎng)絡(luò)和信息安全管理機(jī)制。


核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)明確主要負(fù)責(zé)人為本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全工作的第一責(zé)任人,分管網(wǎng)絡(luò)和信息安全工作的領(lǐng)導(dǎo)班子成員或者高級(jí)管理人員為直接責(zé)任人。核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)和信息安全工作協(xié)調(diào)和決策機(jī)制,保障第一責(zé)任人和直接責(zé)任人履行職責(zé)。


核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)指定或者設(shè)立網(wǎng)絡(luò)和信息安全工作牽頭部門或者機(jī)構(gòu),負(fù)責(zé)管理重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施、制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案、組織應(yīng)急演練等工作。


此外,證監(jiān)會(huì)還將組織開展相關(guān)專項(xiàng)培訓(xùn),持續(xù)做好督導(dǎo)落實(shí)?!掇k法》規(guī)定的參照適用主體無(wú)需報(bào)送《辦法》第五十九條規(guī)定的網(wǎng)絡(luò)和信息安全管理年報(bào)。關(guān)于參照適用主體落實(shí)《辦法》第二十條規(guī)定的數(shù)據(jù)備份義務(wù),中國(guó)證監(jiān)會(huì)將指導(dǎo)有關(guān)行業(yè)協(xié)會(huì)進(jìn)一步細(xì)化有關(guān)要求。