信息来源:Freebuf
为建立健全证券期货业网络安全监管制度体系,防范化解行业网络安全风险隐患,近日,证监会起草发布了《证券期货业网络安全管理办法(征求意见稿)》(以下简称《办法》)。
《办法》共八章六十六条,主要包括证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面内容。
《办法》第三条指出,核心机构和经营机构应当遵循保障安全、促进 发展的原则,建立健全网络安全防护体系,提升网络安全保障水平,确保网络安全与信息化工作同步推进,促进本机构相关工作稳妥健康发展。
证监会将依法履行监督管理职责,具体如下:
组织制定并推动落实证券期货业网络安全和信息 化发展规划、监管规则和行业标准;
负责证券期货业网络安全的监督管理,对证券期 货业关键信息基础设施进行监管;
负责证券期货业网络安全重大技术路线、重大科 技项目管理;
组织开展证券期货业数据安全统筹管理;
负责证券期货业网络安全应急演练、应急处置和 事件报告与调查处理;
指导证券期货业网络安全促进与发展;
法律法规规定的其他网络安全监管职责。
同时,证监会建立集中管理、分级负责的证券期货业网络安全监督管理体制。中国证监会科技监管部门统一对证券期货业网络安全实施监督管理。中国证监会其他部门配合开展相关工作。
中国证监会派出机构对本辖区经营机构和信息技术服务机构网络安全实施监督管理。中证信息技术服务有限责任公司在中国证监会指导下,为证券期货业网络安全监督管理提供专业协助和支撑。
《办法》第十条则指出,核心机构和经营机构应当明确主要负责人为本机构网络安全第一责任人,分管科技工作的负责人为直接 责任人。核心机构和经营机构应当建立网络安全工作协调和决策机制,保障网络安全第一责任人和直接责任人履行职责。
核心机构和经营机构应当建立健全网络安全监测预警机制,设定监测指标,持续监测信息系统和相关基础设施的运行状况,及时处置异常情形,对监测机制执行效果进行定期评估并持续优化。核心机构和经营机构应当全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志,确保满足故障分析、内部控制、调查取证等工作的需要。业务日志保存期限不得 少于二十年,系统日志保存期限不得少于六个月。
在数据安全统筹管理方面,一是从制度机制、组织架构、行业数据标准、权限管理、质量评估、防范泄露损毁等方面,明确证券期货业的具体要求。二是配套上位要求,对数据分类分级、个人信息保护、规范信息发布等方面作进一步强调。三是为建立证券期货业战略备份数据中心预留制度空间,提升行业极限灾难应对能力。
其中,第二十三条指出,核心机构和经营机构应当履行数据安全管理责任,包括但不限于以下方面:
建立健全数据安全管理制度体系,完善数据运营和管控机制;
健全数据安全管理组织架构,明确数据安全管理权责机制;
依据行业相关数据标准,制定覆盖本机构全部业务数据的相关标准,实施与业务特点相适应的数据分类分级 管理;
建立数据权限管理策略,按照最小授权原则设置数据访问权限,定期排查清理,并对数据访问记录进行留痕 审计;
构建数据质量评估框架,建立质量管控和追责机制;
法律法规及中国证监会规定的其他事项。
《办法》第二十七条指出,核心机构和经营机构应当建立信息发布审核机制,加强对本机构和用户发布信息的管理,发现违反法律法规和有关监管规定的,应当立即停止发布传输,采取必要的处置措施,防止信息扩散,积极消除负面影响,并及时向中国证监会及其派出机构报告。 信息技术服务机构为证券期货业务活动提供产品或者服务的,应当按照前款规定执行。
在网络安全应急处置方面,核心机构和经营机构应当建立网络安全风险监测预警机制,加强日常监测,定期开展漏洞扫描、安全评估等工作;开展网络安全应急演练,频率不低于每年一次,并于演练后 15 个工作日内将相关情况报告中国证监会。
附:《证券期货业网络安全管理办法(征求意见稿)》原文