煉石圖解證監會煉石煉石網絡2023年3月a引名【第218號令1(江券期貨業網絡和信息安全管理辦法號立法說明2023年1月17日中國證券監督管理委員會第1次委務會議審議通過2023年5月1日起施行，2012年11月1日公布的《證券期貨業信息安全保障管理辦法》(證監為了保障證券期貨業網絡和信息安全，保護投資者合法為了保障證券期貨業網絡和信息安全，保護投資者合法權益，促進證券期貨業穩定健康發展《證券法》《期貨和衍生品法》《證券投資基金法》《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規《證券期貨業網絡和信息安全管理辦法》23煉石近年來，證券期貨業機構對網絡和信息安全重視程度大幅提升，組織架構和制度體系持續優化，信息技術投入逐年增加，行業網絡和信息安全運行態勢總體平穩。但隨著行業數字化智能化加速發展、網絡和信息安全上升為國家戰略、資本市場持續深化改革等內外部條件變化，證券期貨業網絡和信息安全面臨的新情況新問題逐漸凸顯。行業網絡和信息安全形勢嚴峻復雜法律法規的上位要求有待進一步落實一是隨著大數據、云計算、區塊鏈和人工智能等新技術應用的不斷深入，證券期貨業務與技術加速融合，各類業務活動日益依賴網絡安全和信息化，增加了網絡和信息安全管理的復雜度。二是隨著行業機構數字化智能化轉型的提速，信息系統建設任務明顯增加,上線變更操作較為頻繁，行業網絡和信息隨著《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規密集發布實施,我國網絡和信息安全法律體系進一步健全，新型管理框架基本成型。對此，證監會雖于2012年以來發布《證券期貨業信息安全保障管理辦法》(證監會令82號)《證券基金經營機構信息技術管理辦法》(證監會令152號)等監管規則，但是由于制定時間較早、監管實踐變化等原因，相關監03監管實踐成果制度化還需加強2020年以來，證監會穩步推動科技監管深化改革，監管體制機制不斷優化,信息技術系統服務機構備案管理、資本市場金融科技創新試點等工作全面展開，與相關部委進一步形成監管合力，溝通協作更加順暢，需要及時總結實踐經驗，將改革成果制度化機基于上述新情況新問題，有必要進一步健全證券期貨業網絡和信息安全監管制度體系，制定專門的部門規章，構建證券期貨業網絡和信息安全管理的體系框架，提升行業安全保障能力。4落實上位要求，汲取實踐經驗《辦法》聚焦網絡和信息安全管理，強化個人信息保護，結合證券期貨業特點，為相關法律法規在證券期貨業的有效落地，明確實施路徑，提供制度保障。同時，總結行業近年來監管工作成效，將實踐經驗轉化為制度成果，固化工作機制。·一方面，充分考慮證券期貨業各類券期貨業關鍵信息基礎設施運營者、核心機構、經營機構以及信息技術系統服務機構，從網絡和信息安部門、自律組織的網絡和信息安全監管職責做出明確規定?！掇k法》以保障安全為基本原則，叢建設、運維、使用網絡及信息系統，到識別、監測、防范、處置風險等方面，構建了完整的網絡和信息安全監管框架，對行業機構提出全方位的管理要求。在基礎上，《辦法》還注重通過發展解決問題，通過技術架構的升級優化，提升安全保障能力，并在信息基礎設施建設、金融科技創新等5《辦法》共八章七十五條，對證券期貨業網絡和信息安全監督管理體系、網絡和信息安全運行、投資者個人信息保護、網絡和信息安全應急處置、關鍵信息基礎設施安全保護、網絡和信息安全促進與發展、監督管理與法律責任等方面提出了要求。776·一是明確核心機構和經營機構處理投資者個人信息的基本原則，要求建立健全投資者個人信息保護體系和管理機制，履行掃梁者掃梁者?！ざ敲鞔_核心機構和經營機構在投資者個人信息處理、共享環節的安全防護要求?！と翘岢龊诵臋C構和經營機構在網絡安全防護邊界外處理投資者個人信息的技術要求，防范化解信息泄露風險?！に氖菍诵臋C構和經營機構收集客戶生物特征的必要性和安全性提出評估要求。網維干E旦支公前色處置·網維干E旦支公前色處置·二是完善應急預案的應急場景和處置流程，要求定期開展應急演練?！と菑娀W絡安全事件報告和調查處理工作，明確故障排查、相關方告知等工作要求。關勝二息關勝二息·落實國家關于關鍵信息基礎設施的安全保護要求，結合行業特點，從組織保障、建設評審、監測評估、采購管理、性能容量、災難備份等方面，對關鍵信息基礎設施運營者提出進一步的督導要求。7安空5安空5 ·五是發揮行業協會作用，引導技術創新與應用，組織科技獎勵，促進行業科技進步、市場公平競爭。督百理督百理二體是1815.系統變更21.壓力測試28.知識產權30.個人信息保護體系29個人信息保護原則32.個人信息全生命周期安全33.向第三方提供情形要求34.脫敏加密72.報告對象73.除外適用74.參照適用75.施行日期煉石整理-《證券期貨業網絡和信息安全管理辦法15.系統變更21.壓力測試28.知識產權30.個人信息保護體系29個人信息保護原則32.個人信息全生命周期安全33.向第三方提供情形要求34.脫敏加密72.報告對象73.除外適用74.參照適用75.施行日期煉石1.目的依據2.適用范圍3.基本原則5.管理職責7.協會職責8.核心機構職責9.制度建設9.制度建設10.責任人11.牽頭部門12.人員和資金投入要求13.系統要求14.等級保護16.測試執行17.停止服務前告知18.監測預警及日志保存19.防護體系20.數據備份22.供應商管理機制23.備案義務24.不得違規25.審核機制26.自主研發27.備份數據中心31.明確告知及不得拒絕服務31.明確告知及不得拒絕服務35.生物特征35.生物特征網絡和信息安全應急處置36.風險核實整改36.風險核實整改37.網絡安全應急預案38.網絡安全應急演練39.網絡安全事件報告40.配合網絡安全事件調查處理40.配合網絡安全事件調查處理41.相關方告知41.相關方告知關鍵信息基礎設施安全保護42.確保關基設施安全穩定運行43.關基安全納入責任考核機制43.關基安全納入責任考核機制44.關基安全配套人員44.關基安全配套人員45.關基設施變更評審45.關基設施變更評審46.定期安全檢測和風險評估46.定期安全檢測和風險評估47.采購網絡產品或服務要求48.壓力測試及系統性能容量49.同城和異地災難備份中心網絡和信息安全促進與發展50.鼓勵新技術應用50.鼓勵新技術應用51.開展行業信息基建要求51.開展行業信息基建要求52.金融科技創新與應用52.金融科技創新與應用53.監管支撐工作53.監管支撐工作54.人才隊伍建設54.人才隊伍建設55.網絡和信息安全宣傳與教育55.網絡和信息安全宣傳與教育56.協會引導促進56.協會引導促進第七章監督管理與法律責任57.相關信息數據報送提供57.相關信息數據報送提供58.態勢感知工作機制58.態勢感知工作機制59.網絡和信息安全管理年報59.網絡和信息安全管理年報60.委托監督檢查60.委托監督檢查61.重要時期安全保障61.重要時期安全保障62.機構及管理人員責任62.機構及管理人員責任63.治理機制混亂的罰則63.治理機制混亂的罰則64.未履行安全保護義務罰則64.未履行安全保護義務罰則67.違規發布或者傳輸罰則68.違規處理個人信息罰則68.違規處理個人信息罰則69.拒絕、阻礙監督檢查罰則69.拒絕、阻礙監督檢查罰則70.減輕、免于處罰情形70.減輕、免于處罰情形71.用語含義71.用語含義(拓展)證券行業已出臺多項數據安全政策規范信息技術管理煉石《證券公司信息技術管理規范》《關于做好證券業重要信息系統安全等級保護定《證券期貨經營機構信息系統備份能力標準》《證券期貨業信息安全保障管理辦法》《金融行業信息系統信息安全等級保護實施指引》軟件數據《《證券期貨業信息系統審計規范》《證券期貨業信息系統審計:證券公司》《證券期貨業信息系統托管基本要求》《證券期貨業信息系統審計指南第1-7部分》經營機構信辦法》機構《證券期貨業數據分類分級指引》《證券期貨業機構內部企業服務總線實施規范》《證券期貨業信息系統運維管理規范》《證券期貨業網絡安全事件報告與調查處理辦法》貨業網絡安全等級保護基本要求》貨業網絡安全等級保護測評要求》證券期貨業數據安全管理與保護指91.總則1.總則8.附則適用范圍適用范圍核心機構和經營機構在中華人民共和國境內建設、運營、維護、使用網絡及信息系統，信息技術系統服務機構為證券期貨業務活動提供產品或者服務的網絡和信息安全保障，以及證券期貨業網絡和信息安全的監督管理，適用本辦法。核心機構和經營機構核心機構和經營機構信息技術系統服務機構1.總則8.附則是指承載證券期貨業關鍵業務活動，如出現系統服務異常、“以上”含本數，“以下”不含本數是指依照監管職責，核心機構應當向中國證監會報告；除中國證監會另有要求的，經營機構和信息技術系統服務機中國證監會依法履行八大監督管理職責1.總則8.附則規劃規劃標準監督管理技術項目個人信息組織制定并推動落實證券期貨業網絡和信息安全發展規負責證券期貨業網絡和信息安全的監督管理，按規定做好證券期貨業涉及的關鍵信負責證券期貨業網絡和信息安全重大技術路線、重大科技項目管理；組織開展證券期貨業投資者應急應急處置促進發展法律法規其他職責負責證券期貨業網絡安全應急演練、應急處置、事件報告與調查處理；指導證券期貨業網絡和信息安全促進與發展；支持、協助國家有關部門組織實施網絡和信息安全相關法律法規規定的其他網絡和1.總則1.總則8.附則中國證監會中國證監會·中國證監會科技監管部門對證券期貨業網絡和信息安全實施監督管理?！?中國證監會派出機構對本轄區經營機構和信息技術系統服務機構網絡和信息安中國證券投資基金業協會等行業協會核心機構核心機構·對與本機構信息系統和網絡通信設施相關聯主體加強指導，督促其強化網絡和信信設施的安全平穩運行完善網絡和信息安全管理體系，強化管理層責任1.總則1.總則8.附則核心機構和經營機構·應當具有完善的信息技術治理架構·健全網絡和信息安全管理制度體系·建立內部決策、管理、執行和監督機制·確保網絡和信息安全管理能力與業務活動規模、復雜程度相匹配信息技術系統服務機構·配備相應的安全、合規管理人員·建立與提供產品或者服務相適應的網絡和信息安全管理機制確定牽頭部門明確第一責任人確定牽頭部門·核心機構和經營機構應當明確主要負責人為本機構網絡和信息安全工作的第一責任人·分管網絡和信息安全工作的領導班子成員或者高級管理人員為直接責任人·核心機構和經營機構應當建立網絡和信息安全工作協調和決策機制，保障第一責任人和直接責任人履行職責·核心機構和經營機構應當指定或者設立網絡和信息安全工作牽頭部門或者機構·負責管理重要信息系統和相關基礎設施、制定網絡安全應急預案、組織應急演練等工作。1.總則8.附則·核心機構和經營機構應當保障人員和資金投入與業務活動規模、復雜程度相適應·核心機構和經營機構應當確保信息系·足夠的性能、容量、可靠性、擴展性·并保證相關安全技術措施與信息化工1.總則1.總則8.附則核心機構和經營機構暫?；蛘呓K止借助網絡向投資者提供服務前，應當履行告知義核心機構和經營機構暫?；蛘呓K止借助網絡向投資者提供服務前，應當履行告知義投資者相關業務影響情況、替代方式及應對措施。中國證監會及其派出機構任何機構和個人不得違規開展證券期貨業信息系統認證、檢測、風險評估等活動。不得違規發布證券期貨業信息安全漏洞、計算機病毒、網絡攻擊、網絡侵入等信息。煉石1.總則煉石1.總則8.附則3防護體系風險評估風險評估核心機構和經營機構新建上線、運行變更、下線移除重要信息風險防控措施、應急處置和回退方案并對相關結果進行復核驗證應當提前向中國證監會及其派出機構報告建立健全網絡和信息安全監測預警機制，設定監測指標持續監測信息系統和相關基礎設施的運行狀況及時處置異常情形，對監測機制執行效果進行定期評估并持續優化全面、準確記錄并妥善保存生產運營過程中的業務日志和系統日志，確保滿足以下等工作需求：故障分析內部控制調查取證構建網絡和信息安全防護體系綜合采取以下等安全保障措施：網絡隔離用戶認證訪問控制策略管理數據加密網站防篡改病毒木馬防范非法入侵檢測網絡安全態勢感知不得在交易時段對重要信息系統進行變更重要信息系統業務日志系統日志提升網絡和信息安全防護能力，及時識別、阻斷相關網絡攻擊，保護重要信息系統和相關基礎設施，防范信息泄露與損毀1.總則8.附則測試方案制定全面的測試方案脫敏處理對測試環境涉及的敏感數據進行脫敏施聯網測試核心機構組織市場相關主體進行聯網測試壓力測試及時對相關信息系統開展壓力測試33制定壓力測試方案，設定測試場景，從系統性能序組織測試工作測試完成后形成壓力測試報告存檔備查，并保存五年以上兩倍以上核心機構交易時段相關網絡近一年使用峰值應當在當前帶寬的百分之五十以下經營機構交易時段相關網絡近一年使用峰值應當在強化供應商管理和準入機制2.網絡和信2.網絡和信息安全運行人信息保護息安全應急處置基礎設施安全保護審慎采購并持續評估機制相關產品和服務的質量，及時改進風險管理措施，健全應急處置機制，確保重要信息系統運行安全可控②供應商為核心機構和經營機構提供重供應商為核心機構和經營機構提供重息安全促進息安全促進與發展33與法律責任煉石煉石息安全運行人信息保護息安全應急處置基礎設施安全保護息安全促進與發展與法律責任委托相關機構采取有效安全防護手段，防范數據損毀泄露風險，持續提升證券期貨業重大災難應對能力②行一次有效性驗證應當建立重要信息系統的故障備份設施和災難備份設施根據信息系統的重要程度和業務影響情況，確定恢復目標，保證業務連續運行。災難備份設施應當通過同城或異地3采取雙活或多活架構部署重要信息系統的，在確保業務連續運行前提下提升自主可控能力建立審核機制1.總則提升自主可控能力建立審核機制1.總則8.附則·核心機構和經營機構應當建立信息·發現違反法律法規和有關監管規定必要的處置措施，防止信息擴散，積極消除負面影響，并及時向中國·核心機構應當對交易、行情、開戶、結算、風控、通信等重要信息系統具有自主開發能力，掌握執行程序和源代碼并安全可·經營機構應當根據自身發展需要，加強自主研發能力建設，持續提升自主可控能力·核心機構和經營機構應當按照國家及中國證監會有關要求，開展信息技術應用創新強化自主知識產權保護核心機構和經營機構應當按照知識產權相關法律法規，制定知識產權保護策略和制度。不侵犯他人的知識產權，并采取有效措施保護本機構自主知識產權。22秉承原則1.總則不得損害投資合法必要秉承原則1.總則不得損害投資合法必要當當建立健全投資者個人信息保護體系職責明確8.附則加強防護加強投資者個人信息保護1.總則1.總則服務，為投資者提供服務所必需、履行法定8.附則1.總則組織和處置流程，應急場景應當覆蓋網絡安全事件、自然災害和公相關重大人事變動、主要信息技術系統服務機構退出等情形。護事件現場和相關證據，向中國證監會及其派出機構進行應急報告，不得瞞報、謊報、遲報、漏報。核心機構和經營機構發生網絡安全事件，對投資者造成影響的，應當及時通過官方網站、客戶交易終端、8.附則級別高級別高中低煉石4級3級1.數據的安全屬性(完整性、保密性、可用性)遭到破壞后數據損失后，影響范圍大(跨行業或跨機構),影響程度一般是“嚴重2.一般特征：數據主要用于行業內大型或特大型機構中的知悉的對象訪問或使用。1.數據的安全屬性(完整性、保密性、可用性)遭到破壞后數據損失后，影響范圍中等(一般局限在本機構),影響程度一般是平重員公開，且僅為必須知悉的對象訪問或使用。1.數據的安全屬性(完整性、保密性、可用性)遭到破壞后數據損失后，影響范圍較小(一般局限在本機構),影響程度一般是“中等”或“輕微”。1.數據的安全屬性(完整性、保密性、可用性)遭到破壞后數據損失后，影響范圍較小(一般局限在本機構),影響程度一般是“輕微”或“無”。數據定級影響三要素數據定級影響三要素√影響范圍：多個行業、行業內多機構、本機構√影響程度：嚴重、中等、輕微、無嚴重中等輕微無參考說明《證券期貨業網絡安全事件報告與調查處理辦法》重大事件：10萬人以上*摘自《JR/T0158-2018證券期貨業數據分類分級指引》煉石煉石息安全運行4.網絡和信息安全應急5.關鍵信息基礎設施安全保護息安全促進與發展與法律責任基本要求和義務1.總則根據要求3.投資者個責任考核證券期貨業關鍵信息基礎設施運營者應當將關鍵信息基礎設施安全保護情況納機構指定1.指定專門機構或者部門負責關鍵信息基礎入網絡和信息安全工作第一責任人、直5.對專門安全管理機構負責人和關鍵崗位人員進新建重要設施系統等投入使用前需開展安全檢測和風險評估1.總則1.總則息安全運行3.投資者個人信息保護4.網絡和信息安全應急處置5.關鍵信息基礎設施安全保護息安全促進與發展與法律責任新建系統變更/下線較大變化信息基礎設施安全保護相關要求開展資金檢測和圓險評估檢測評估通過后檢測評估通過后施運營者新建承載關鍵業務的重要網絡設施、信息系統等證券期貨業關鍵信息基礎設施運營者對關鍵信息基礎設應當在遵守本辦法第干五未通過評審原則上不得實施運行變更、施實施運行變更或者下線移條的前提下，組織開展專下線移除等操作除，可能對證券期貨市場安家評審全平穩運行產生較大影響的證券期貨業關鍵信息基礎設施停止運營或者發生較大變相關運營者應當及時將相關情況報告中國證監會及其派出機構1.總則1.總則8.附則證券期貨業關鍵信息基礎設施運營者應當每年至少進行一次網絡和信息安全檢測和風險評估，對發現的安全問題及時整改，網絡和信息安全檢測和風險評估的內容包括但不限安全檢測定期開展壓力測試，發現系統性能和網絡容量不足的，應當及時采取系統升級、擴容等證券期貨業關鍵信息基礎設施運營者應當在符合本辦法第二十條規定的基礎上，建設同煉石信息技術系統服務機構核心機構、經營機構提升員工網絡和信息安全意識全教育活動煉石信息技術系統服務機構核心機構、經營機構提升員工網絡和信息安全意識全教育活動依法合規、風險可控能力確保人才資質、經驗、專業素質職業道德符合崗位要求人才培養機制為行業統籌提供服務，提升信息技術資源利用服務水平信息安全組織開展行業信息基礎設施建設的機構1.總則8.附則1.總則8.附則中國證監會核心機構定期開展評估認證定期開展評估認證保障充足的資源投入，完善內部管理制度和工作流程，保證工修專業性、獨立性和公信力評估通過作為證券期貨業網絡和信息安全監管支撐單位，相關工作情況可以作為中國證監會及其派出機構實施開展面向投資者的網絡和信息安全宣傳教育活網上證券期貨業務活動煉石主體1.總則■可以委托國家、行業有關專業機構采用漏洞掃描、風險評估等方式，協助對核心機構、經營機構和信息技術系統服務機構開展監督、檢查。真實、準確、完整。會及其派出機構，年報內容包括但不限于網絡和信息安全治理情況、人員情況、年度工作計劃等。■報送網絡和信息安全管理年報時，可以與中國證監會要求的信息科技管理專項報告等其他年度信息科技類報告合并報送，證券期貨業關鍵信息基礎設施運營者應當將關鍵信息基礎設施網絡和信息安全檢測和風險評估情況8.附則事項處罰■違反本辦法規定■違反本辦法規定■中國證監會及其派出機構可以對其采取責令改正、監管談話、出具警示函、責令公開說明、責令定期報告、責令增加內部合規檢查次數等監管措施；對直接責任人和其他責任人員采取責令改正、監管談話、出具警示函等監管措施；情節嚴重的，對相關機構及責任人員單處或者并處警告、十萬元以下罰款，涉及金融安全且有危害后果的，并處二十萬元以下罰不符合持續性經營規則資基金法》相關