《證券期貨業(yè)網絡和信息安全管理辦法》正式發(fā)布
發(fā)布時間 2023-03-06為有效落實《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》相關要求,規(guī)范證券期貨業(yè)網絡和信息安全管理,防范化解行業(yè)網絡和信息安全風險,維護資本市場安全平穩(wěn)高效運行,證監(jiān)會制定并發(fā)布了《證券期貨業(yè)網絡和信息安全管理辦法》(以下簡稱《辦法》)。
《辦法》共計8章75條,將于2023年5月1日起正式實施,聚焦網絡和信息安全領域,在總結實踐經驗的基礎上,為上位法在證券期貨行業(yè)的落地實施明確了路徑。
《辦法》全面覆蓋了包括證券期貨關鍵信息基礎設施運營者、核心機構、經營機構、信息技術系統(tǒng)服務機構等各類主體,以安全保障為基本原則,對網絡和信息安全管理提出規(guī)范要求,主要內容包括:網絡和信息安全運行、投資者個人信息保護、網絡和信息安全應急處置、關鍵信息基礎設施安全保護、網絡和信息安全促進與發(fā)展、監(jiān)督管理和法律責任等。
《辦法》第5條指出,中國證監(jiān)會依法履行以下監(jiān)督管理職責:
(一)組織制定并推動落實證券期貨業(yè)網絡和信息安全發(fā)展規(guī)劃、監(jiān)管規(guī)則和行業(yè)標準;
(二)負責證券期貨業(yè)網絡和信息安全的監(jiān)督管理,按規(guī)定做好證券期貨業(yè)涉及的關鍵信息基礎設施安全保護工作;
(三)負責證券期貨業(yè)網絡和信息安全重大技術路線、重大科技項目管理;
(四)組織開展證券期貨業(yè)投資者個人信息保護工作;
(五)負責證券期貨業(yè)網絡安全應急演練、應急處置、事件報告與調查處理;
(六)指導證券期貨業(yè)網絡和信息安全促進與發(fā)展;
(七)支持、協(xié)助國家有關部門組織實施網絡和信息安全相關法律、行政法規(guī);
(八)法律法規(guī)規(guī)定的其他網絡和信息安全監(jiān)管職責
《辦法》第8條提出,核心機構依法制定保障市場相關主體與本機構信息系統(tǒng)安全互聯(lián)的技術規(guī)則,對與本機構信息系統(tǒng)和網絡通信設施相關聯(lián)主體加強指導,督促其強化網絡和信息安全管理,保障相關信息系統(tǒng)和網絡通信設施的安全平穩(wěn)運行。
在第2章第9、10、11條,《辦法》指出,核心機構和經營機構應當具有完善的信息技術治理架構,健全網絡和信息安全管理制度體系,建立內部決策、管理、執(zhí)行和監(jiān)督機制,確保網絡和信息安全管理能力與業(yè)務活動規(guī)模、復雜程度相匹配。信息技術系統(tǒng)服務機構應當建立網絡和信息安全管理制度,配備相應的安全、合規(guī)管理人員,建立與提供產品或者服務相適應的網絡和信息安全管理機制。
核心機構和經營機構應當明確主要負責人為本機構網絡和信息安全工作的第一責任人,分管網絡和信息安全工作的領導班子成員或者高級管理人員為直接責任人。核心機構和經營機構應當建立網絡和信息安全工作協(xié)調和決策機制,保障第一責任人和直接責任人履行職責。
核心機構和經營機構應當指定或者設立網絡和信息安全工作牽頭部門或者機構,負責管理重要信息系統(tǒng)和相關基礎設施、制定網絡安全應急預案、組織應急演練等工作。
此外,證監(jiān)會還將組織開展相關專項培訓,持續(xù)做好督導落實。《辦法》規(guī)定的參照適用主體無需報送《辦法》第五十九條規(guī)定的網絡和信息安全管理年報。關于參照適用主體落實《辦法》第二十條規(guī)定的數據備份義務,中國證監(jiān)會將指導有關行業(yè)協(xié)會進一步細化有關要求。
