《证券期货业网络和信息安全管理办法》正式发布

发布时间 2023-03-06

为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券期货业网络和信息安全管理办法》(以下简称《办法》)。


《办法》共计8章75条,将于2023年5月1日起正式实施,聚焦网络和信息安全领域,在总结实践经验的基础上,为上位法在证券期货行业的落地实施明确了路径。


《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求,主要内容包括:网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。


《办法》第5条指出,中国证监会依法履行以下监督管理职责:


(一)组织制定并推动落实证券期货业网络和信息安全发展规划、监管规则和行业标准;

(二)负责证券期货业网络和信息安全的监督管理,按规定做好证券期货业涉及的关键信息基础设施安全保护工作;

(三)负责证券期货业网络和信息安全重大技术路线、重大科技项目管理;

(四)组织开展证券期货业投资者个人信息保护工作;

(五)负责证券期货业网络安全应急演练、应急处置、事件报告与调查处理;

(六)指导证券期货业网络和信息安全促进与发展;

(七)支持、协助国家有关部门组织实施网络和信息安全相关法律、行政法规;

(八)法律法规规定的其他网络和信息安全监管职责


《办法》第8条提出,核心机构依法制定保障市场相关主体与本机构信息系统安全互联的技术规则,对与本机构信息系统和网络通信设施相关联主体加强指导,督促其强化网络和信息安全管理,保障相关信息系统和网络通信设施的安全平稳运行。


在第2章第9、10、11条,《办法》指出,核心机构和经营机构应当具有完善的信息技术治理架构,健全网络和信息安全管理制度体系,建立内部决策、管理、执行和监督机制,确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配。信息技术系统服务机构应当建立网络和信息安全管理制度,配备相应的安全、合规管理人员,建立与提供产品或者服务相适应的网络和信息安全管理机制。


核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。核心机构和经营机构应当建立网络和信息安全工作协调和决策机制,保障第一责任人和直接责任人履行职责。


核心机构和经营机构应当指定或者设立网络和信息安全工作牵头部门或者机构,负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等工作。


此外,证监会还将组织开展相关专项培训,持续做好督导落实。《办法》规定的参照适用主体无需报送《办法》第五十九条规定的网络和信息安全管理年报。关于参照适用主体落实《办法》第二十条规定的数据备份义务,中国证监会将指导有关行业协会进一步细化有关要求。