证券期货业网络和信息安全管理办法
2023-10-24
证券期货业网络和信息安全管理办法 (2023 年 1 月 17 日中国证券监督管理委员会第 1 次委务会议 审议通过)
第一章 总 则
第一条 为了保障证券期货业网络和信息安全,保护投资者 合法权益,促进证券期货业稳定健康发展,根据《中华人民共和 国证券法》(以下简称《证券法》)、《中华人民共和国期货和衍生 品法》(以下简称《期货和衍生品法》)、《中华人民共和国证券投 资基金法》(以下简称《证券投资基金法》)、《中华人民共和国网 络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安 全法》《中华人民共和国个人信息保护法》(以下简称《个人信息 保护法》)、《关键信息基础设施安全保护条例》等法律法规,制定 本办法。
第二条 核心机构和经营机构在中华人民共和国境内建设、 运营、维护、使用网络及信息系统,信息技术系统服务机构为证 券期货业务活动提供产品或者服务的网络和信息安全保障,以及 证券期货业网络和信息安全的监督管理,适用本办法。
第三条 核心机构和经营机构应当遵循保障安全、促进发展 的原则,建立健全网络和信息安全防护体系,提升安全保障水平, 确保与信息化工作同步推进,促进本机构相关工作稳妥健康发展。 信息技术系统服务机构应当遵循技术安全、服务合规的原则, 为证券期货业务活动提供产品或者服务,与核心机构、经营机构 共同保障行业网络和信息安全,促进行业信息化发展。
第四条 核心机构和经营机构应当依法履行网络和信息安全 保护义务,对本机构网络和信息安全负责,相关责任不因其他机 构提供产品或者服务进行转移或者减轻。 信息技术系统服务机构应当勤勉尽责,对提供产品或者服务 的安全性、合规性承担责任。
第五条 中国证监会依法履行以下监督管理职责:
(一)组织制定并推动落实证券期货业网络和信息安全发展 规划、监管规则和行业标准;
(二)负责证券期货业网络和信息安全的监督管理,按规定 做好证券期货业涉及的关键信息基础设施安全保护工作;
(三)负责证券期货业网络和信息安全重大技术路线、重大 科技项目管理;
(四)组织开展证券期货业投资者个人信息保护工作;
(五)负责证券期货业网络安全应急演练、应急处置、事件 报告与调查处理;
(六)指导证券期货业网络和信息安全促进与发展;
(七)支持、协助国家有关部门组织实施网络和信息安全相 关法律、行政法规;
(八)法律法规规定的其他网络和信息安全监管职责。
第六条 中国证监会建立集中管理、分级负责的证券期货业 网络和信息安全监督管理体制。中国证监会科技监管部门对证券 期货业网络和信息安全实施监督管理。中国证监会履行监管职责 的其他部门配合开展相关工作。 中国证监会派出机构对本辖区经营机构和信息技术系统服务 机构网络和信息安全实施日常监管。
第七条 中国证券业协会、中国期货业协会、中国证券投资 基金业协会等行业协会(以下统称行业协会)依法制定行业网络 和信息安全自律规则,对经营机构网络和信息安全实施自律管理。
第八条 核心机构依法制定保障市场相关主体与本机构信息 系统安全互联的技术规则,对与本机构信息系统和网络通信设施 相关联主体加强指导,督促其强化网络和信息安全管理,保障相 关信息系统和网络通信设施的安全平稳运行。
第二章 网络和信息安全运行
第九条 核心机构和经营机构应当具有完善的信息技术治理 架构,健全网络和信息安全管理制度体系,建立内部决策、管理、 执行和监督机制,确保网络和信息安全管理能力与业务活动规模、 复杂程度相匹配。 信息技术系统服务机构应当建立网络和信息安全管理制度, 配备相应的安全、合规管理人员,建立与提供产品或者服务相适 应的网络和信息安全管理机制。
第十条 核心机构和经营机构应当明确主要负责人为本机构 网络和信息安全工作的第一责任人,分管网络和信息安全工作的 领导班子成员或者高级管理人员为直接责任人。 核心机构和经营机构应当建立网络和信息安全工作协调和决 策机制,保障第一责任人和直接责任人履行职责。
第十一条 核心机构和经营机构应当指定或者设立网络和信 息安全工作牵头部门或者机构,负责管理重要信息系统和相关基 础设施、制定网络安全应急预案、组织应急演练等工作。
第十二条 核心机构和经营机构应当保障人员和资金投入与 业务活动规模、复杂程度相适应,确保网络和信息安全人员具备 与履行职责相匹配的专业知识和职业技能。
第十三条 核心机构和经营机构应当确保信息系统和相关基 础设施具备合理的架构,足够的性能、容量、可靠性、扩展性和 安全性,并保证相关安全技术措施与信息化工作同步规划、同步 建设、同步使用。
第十四条 核心机构和经营机构应当落实网络安全等级保护 制度,依法履行网络安全等级保护义务,按照国家和证券期货业 网络安全等级保护相关要求,开展网络和信息系统定级备案、等级测评和安全建设等工作。 核心机构和经营机构应当按照相关要求,将网络安全等级保 护工作开展情况报送中国证监会及其派出机构。
第十五条 核心机构和经营机构新建上线、运行变更、下线 移除重要信息系统的,应当充分评估技术和业务风险,制定风险 防控措施、应急处置和回退方案,并对相关结果进行复核验证; 可能对证券期货市场安全平稳运行产生较大影响的,应当提前向 中国证监会及其派出机构报告。 核心机构和经营机构不得在交易时段对重要信息系统进行变 更,重要信息系统存在故障、缺陷,经评估须进行紧急修复的情 ……