国产草草浮力影院|亚洲无码在线入口|超碰免频在线播放|成人深夜视频在线|亚洲美国毛片观看|69无码精品视频|精品有码一区二区|69式人人超人人|国产人人人人人操|欧美久久天天综合

發(fā)文機關中國證券監(jiān)督管理委員會

發(fā)文日期2023年02月27日

時效性現(xiàn)行有效

發(fā)文字號中國證券監(jiān)督管理委員會令第218號

施行日期2023年05月01日

效力級別部門規(guī)章

《證券期貨業(yè)網絡和信息安全管理辦法》已經2023年1月17日中國證券監(jiān)督管理委員會2023年第1次委務會議審議通過,現(xiàn)予公布,自2023年5月1日起施行。

中國證券監(jiān)督管理委員會主席:易會滿

2023年2月27日

附件：

1. 證券期貨業(yè)網絡和信息安全管理辦法

2. 關于《證券期貨業(yè)網絡和信息安全管理辦法》的立法說明

附件1：

證券期貨業(yè)網絡和信息安全管理辦法（2023 年 1 月 17 日中國證券監(jiān)督管理委員會第1 次委務會議審議通過）

第一章 總 則

第一條為了保障證券期貨業(yè)網絡和信息安全，保護投資者合法權益，促進證券期貨業(yè)穩(wěn)定健康發(fā)展，根據(jù)《中華人民共和國證券法》（以下簡稱《證券法》）、《中華人民共和國期貨和衍生品法》（以下簡稱《期貨和衍生品法》）、《中華人民共和國證券投資基金法》（以下簡稱《證券投資基金法》）、《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）、《關鍵信息基礎設施安全保護條例》等法律法規(guī)，制定本辦法。

第二條核心機構和經營機構在中華人民共和國境內建設、運營、維護、使用網絡及信息系統(tǒng)，信息技術系統(tǒng)服務機構為證券期貨業(yè)務活動提供產品或者服務的網絡和信息安全保障，以及證券期貨業(yè)網絡和信息安全的監(jiān)督管理，適用本辦法。

第三條核心機構和經營機構應當遵循保障安全、促進發(fā)展的原則，建立健全網絡和信息安全防護體系，提升安全保障水平，確保與信息化工作同步推進，促進本機構相關工作穩(wěn)妥健康發(fā)展。信息技術系統(tǒng)服務機構應當遵循技術安全、服務合規(guī)的原則，為證券期貨業(yè)務活動提供產品或者服務，與核心機構、經營機構共同保障行業(yè)網絡和信息安全，促進行業(yè)信息化發(fā)展。

第四條核心機構和經營機構應當依法履行網絡和信息安全保護義務，對本機構網絡和信息安全負責，相關責任不因其他機構提供產品或者服務進行轉移或者減輕。信息技術系統(tǒng)服務機構應當勤勉盡責，對提供產品或者服務的安全性、合規(guī)性承擔責任。

第五條中國證監(jiān)會依法履行以下監(jiān)督管理職責：

（一）組織制定并推動落實證券期貨業(yè)網絡和信息安全發(fā)展規(guī)劃、監(jiān)管規(guī)則和行業(yè)標準；

（二）負責證券期貨業(yè)網絡和信息安全的監(jiān)督管理，按規(guī)定做好證券期貨業(yè)涉及的關鍵信息基礎設施安全保護工作；

（三）負責證券期貨業(yè)網絡和信息安全重大技術路線、重大科技項目管理；

（四）組織開展證券期貨業(yè)投資者個人信息保護工作；

（五）負責證券期貨業(yè)網絡安全應急演練、應急處置、事件報告與調查處理；

（六）指導證券期貨業(yè)網絡和信息安全促進與發(fā)展；

（七）支持、協(xié)助國家有關部門組織實施網絡和信息安全相關法律、行政法規(guī)；

（八）法律法規(guī)規(guī)定的其他網絡和信息安全監(jiān)管職責。

第六條中國證監(jiān)會建立集中管理、分級負責的證券期貨業(yè)網絡和信息安全監(jiān)督管理體制。中國證監(jiān)會科技監(jiān)管部門對證券期貨業(yè)網絡和信息安全實施監(jiān)督管理。中國證監(jiān)會履行監(jiān)管職責的其他部門配合開展相關工作。

中國證監(jiān)會派出機構對本轄區(qū)經營機構和信息技術系統(tǒng)服務機構網絡和信息安全實施日常監(jiān)管。

第七條中國證券業(yè)協(xié)會、中國期貨業(yè)協(xié)會、中國證券投資基金業(yè)協(xié)會等行業(yè)協(xié)會（以下統(tǒng)稱行業(yè)協(xié)會）依法制定行業(yè)網絡和信息安全自律規(guī)則，對經營機構網絡和信息安全實施自律管理。

第八條核心機構依法制定保障市場相關主體與本機構信息系統(tǒng)安全互聯(lián)的技術規(guī)則，對與本機構信息系統(tǒng)和網絡通信設施相關聯(lián)主體加強指導，督促其強化網絡和信息安全管理，保障相關信息系統(tǒng)和網絡通信設施的安全平穩(wěn)運行。

第二章 網絡和信息安全運行

第九條核心機構和經營機構應當具有完善的信息技術治理架構，健全網絡和信息安全管理制度體系，建立內部決策、管理、執(zhí)行和監(jiān)督機制，確保網絡和信息安全管理能力與業(yè)務活動規(guī)模、復雜程度相匹配。

信息技術系統(tǒng)服務機構應當建立網絡和信息安全管理制度，配備相應的安全、合規(guī)管理人員，建立與提供產品或者服務相適應的網絡和信息安全管理機制。

第十條核心機構和經營機構應當明確主要負責人為本機構網絡和信息安全工作的第一責任人，分管網絡和信息安全工作的領導班子成員或者高級管理人員為直接責任人。核心機構和經營機構應當建立網絡和信息安全工作協(xié)調和決策機制，保障第一責任人和直接責任人履行職責。

第十一條核心機構和經營機構應當指定或者設立網絡和信息安全工作牽頭部門或者機構，負責管理重要信息系統(tǒng)和相關基礎設施、制定網絡安全應急預案、組織應急演練等工作。

第十二條核心機構和經營機構應當保障人員和資金投入與業(yè)務活動規(guī)模、復雜程度相適應，確保網絡和信息安全人員具備與履行職責相匹配的專業(yè)知識和職業(yè)技能。

第十三條核心機構和經營機構應當確保信息系統(tǒng)和相關基礎設施具備合理的架構，足夠的性能、容量、可靠性、擴展性和安全性，并保證相關安全技術措施與信息化工作同步規(guī)劃、同步建設、同步使用。

第十四條核心機構和經營機構應當落實網絡安全等級保護制度，依法履行網絡安全等級保護義務，按照國家和證券期貨業(yè)網絡安全等級保護相關要求，開展網絡和信息系統(tǒng)定級備案、等級測評和安全建設等工作。核心機構和經營機構應當按照相關要求，將網絡安全等級保護工作開展情況報送中國證監(jiān)會及其派出機構。

第十五條核心機構和經營機構新建上線、運行變更、下線移除重要信息系統(tǒng)的，應當充分評估技術和業(yè)務風險，制定風險防控措施、應急處置和回退方案，并對相關結果進行復核驗證；可能對證券期貨市場安全平穩(wěn)運行產生較大影響的，應當提前向中國證監(jiān)會及其派出機構報告。

核心機構和經營機構不得在交易時段對重要信息系統(tǒng)進行變更，重要信息系統(tǒng)存在故障、缺陷，經評估須進行緊急修復的情形除外。

第十六條核心機構和經營機構在重要信息系統(tǒng)上線、變更前應當制定全面的測試方案，持續(xù)完善測試用例和測試數(shù)據(jù)，并保障測試的有效執(zhí)行。

除必須使用敏感數(shù)據(jù)的情形外，核心機構和經營機構應當對測試環(huán)境涉及的敏感數(shù)據(jù)進行脫敏，對未脫敏數(shù)據(jù)須采取與生產環(huán)境同等的安全控制措施。

核心機構交易、行情、開戶、結算、通信等重要信息系統(tǒng)上線或者進行重大升級變更時，應當組織市場相關主體進行聯(lián)網測試。

第十七條核心機構和經營機構暫?；蛘呓K止借助網絡向投資者提供服務前，應當履行告知義務，合理選取公告、定向通知等方式告知投資者相關業(yè)務影響情況、替代方式及應對措施。

第十八條核心機構和經營機構應當建立健全網絡和信息安全監(jiān)測預警機制，設定監(jiān)測指標，持續(xù)監(jiān)測信息系統(tǒng)和相關基礎設施的運行狀況，及時處置異常情形，對監(jiān)測機制執(zhí)行效果進行定期評估并持續(xù)優(yōu)化。

核心機構和經營機構應當全面、準確記錄并妥善保存生產運營過程中的業(yè)務日志和系統(tǒng)日志，確保滿足故障分析、內部控制、調查取證等工作的需要。重要信息系統(tǒng)業(yè)務日志應當保存五年以上，系統(tǒng)日志應當保存六個月以上。

第十九條核心機構和經營機構應當構建網絡和信息安全防護體系，綜合采取網絡隔離、用戶認證、訪問控制、策略管理、數(shù)據(jù)加密、網站防篡改、病毒木馬防范、非法入侵檢測和網絡安全態(tài)勢感知等安全保障措施，提升網絡和信息安全防護能力，及時識別、阻斷相關網絡攻擊，保護重要信息系統(tǒng)和相關基礎設施，防范信息泄露與損毀。

第二十條核心機構和經營機構應當建立本地、同城和異地數(shù)據(jù)備份設施，重要信息系統(tǒng)應當每天至少備份數(shù)據(jù)一次，每季度至少對數(shù)據(jù)備份進行一次有效性驗證。

核心機構和經營機構應當建立重要信息系統(tǒng)的故障備份設施和災難備份設施，根據(jù)信息系統(tǒng)的重要程度和業(yè)務影響情況，確定恢復目標，保證業(yè)務連續(xù)運行。災難備份設施應當通過同城或者異地災難備份中心的形式體現(xiàn)。

核心機構和經營機構采取雙活或者多活架構部署重要信息系統(tǒng)的，在確保業(yè)務連續(xù)運行的前提下，任一數(shù)據(jù)中心可視為其他數(shù)據(jù)中心的災難備份設施。

第二十一條核心機構和經營機構應當每年至少開展一次重要信息系統(tǒng)壓力測試；發(fā)現(xiàn)市場較大波動，重要信息系統(tǒng)的性能容量可能無法保障安全平穩(wěn)運行的，應當及時對相關信息系統(tǒng)開展壓力測試。

核心機構和經營機構應當依照有關行業(yè)標準，根據(jù)系統(tǒng)技術特點和承載業(yè)務類型，制定壓力測試方案，設定測試場景，從系統(tǒng)性能、網絡負載、災備建設等方面設置測試指標，有序組織測試工作，測試完成后形成壓力測試報告存檔備查，并保存五年以上。

核心機構和經營機構重要信息系統(tǒng)的性能容量應當在歷史峰值的兩倍以上。核心機構交易時段相關網絡近一年使用峰值應當在當前帶寬的百分之五十以下，經營機構交易時段相關網絡近一年使用峰值應當在當前帶寬的百分之八十以下。

第二十二條核心機構和經營機構應當建立健全供應商管理機制，明確信息技術產品和服務準入標準，審慎采購并持續(xù)評估相關產品和服務的質量，及時改進風險管理措施，健全應急處置機制，確保重要信息系統(tǒng)運行安全可控。

核心機構和經營機構應當與供應商簽訂合同及保密協(xié)議，明確約定各方保障網絡和信息安全的權利和義務；在使用供應商提供產品或者服務時引發(fā)網絡安全事件的，相關供應商有義務配合中國證監(jiān)會及其派出機構查明網絡安全事件原因，認定網絡安全事件責任。

第二十三條供應商為核心機構和經營機構提供重要信息系統(tǒng)相關產品或者服務的，應當依法作為信息技術系統(tǒng)服務機構向中國證監(jiān)會備案。

核心機構和經營機構應當督促相關信息技術系統(tǒng)服務機構依法履行備案義務。

第二十四條任何機構和個人不得違規(guī)開展證券期貨業(yè)信息系統(tǒng)認證、檢測、風險評估等活動，不得違規(guī)發(fā)布證券期貨業(yè)信息安全漏洞、計算機病毒、網絡攻擊、網絡侵入等信息。

第二十五條核心機構和經營機構應當建立信息發(fā)布審核機制，加強對本機構和本機構運營平臺發(fā)布信息的管理，發(fā)現(xiàn)違反法律法規(guī)和有關監(jiān)管規(guī)定的，應當立即停止發(fā)布傳輸，采取必要的處置措施，防止信息擴散，積極消除負面影響，并及時向中國證監(jiān)會及其派出機構報告。

第二十六條核心機構應當對交易、行情、開戶、結算、風控、通信等重要信息系統(tǒng)具有自主開發(fā)能力，掌握執(zhí)行程序和源代碼并安全可靠存放。

經營機構應當根據(jù)自身發(fā)展需要，加強自主研發(fā)能力建設，持續(xù)提升自主可控能力。

核心機構和經營機構應當按照國家及中國證監(jiān)會有關要求，開展信息技術應用創(chuàng)新以及商用密碼應用相關工作。

第二十七條中國證監(jiān)會可以委托相關機構建設證券期貨業(yè)備份數(shù)據(jù)中心，開展行業(yè)數(shù)據(jù)的集中備份和管理工作，并采取有效安全防護手段，防范數(shù)據(jù)損毀泄露風險，持續(xù)提升證券期貨業(yè)重大災難應對能力。

鼓勵證券期貨業(yè)關鍵信息基礎設施運營者及時向證券期貨業(yè)備份數(shù)據(jù)中心備份數(shù)據(jù)。其他核心機構和經營機構可以結合經營需要，自主選擇證券期貨業(yè)備份數(shù)據(jù)中心，開展數(shù)據(jù)級災難備份工作。

第二十八條核心機構和經營機構應當按照知識產權相關法律法規(guī)，制定知識產權保護策略和制度，不侵犯他人的知識產權，并采取有效措施保護本機構自主知識產權。

第三章 投資者個人信息保護

第二十九條核心機構和經營機構應當遵循合法、正當、必要和誠信原則，處理投資者個人信息，規(guī)范投資者個人信息處理行為，履行投資者個人信息保護義務，不得損害投資者合法權益。

第三十條核心機構和經營機構處理投資者個人信息，應當建立健全投資者個人信息保護體系，明確相關崗位及職責要求，建立健全投資者個人信息處理、安全防護、應急處置、審計監(jiān)督等管理機制，加強投資者個人信息保護。

第三十一條核心機構和經營機構應當按照法律法規(guī)的規(guī)定及合同的約定處理投資者個人信息，明確告知投資者處理個人信息的目的、方式、范圍和隱私保護政策，不得超范圍收集和使用投資者個人信息，不得收集提供服務非必要的投資者個人信息。合同約定事項應當基于從事證券期貨業(yè)務活動的必要限度。核心機構和經營機構不得以投資者不同意處理其個人信息或者撤回同意為由，拒絕向投資者提供服務，為投資者提供服務所必需、履行法定職責或者法定義務等情形除外。

第三十二條核心機構和經營機構處理投資者個人信息時，應當確保個人信息在收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理過程中的合規(guī)、安全，防止個人信息的泄露、篡改、丟失。

第三十三條核心機構和經營機構應當依法依規(guī)向第三方機構提供投資者個人信息，明確告知投資者個人信息處理目的、處理方式、個人信息種類、保存期限、保護措施以及相關方的權利和義務等，并取得投資者個人單獨同意，履行法定職責或者法定義務的情形除外。

第三十四條核心機構和經營機構在本機構網絡安全防護邊界以外處理投資者個人信息的，應當采取數(shù)據(jù)脫敏、數(shù)據(jù)加密等措施，防范化解投資者個人信息在處理過程中的泄露風險。核心機構和經營機構通過短信、郵件等非自主運營渠道發(fā)送投資者敏感個人信息的，應當將投資者賬號信息、身份證號碼等敏感個人信息進行脫敏處理。

第三十五條核心機構和經營機構利用生物特征進行客戶身份認證的，應當對其必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的客戶身份認證方式，強制客戶同意收集其個人生物特征信息。

第四章 網絡和信息安全應急處置

第三十六條核心機構、經營機構和信息技術系統(tǒng)服務機構發(fā)現(xiàn)網絡和信息安全產品或者服務存在安全缺陷、安全漏洞等風險隱患的，應當及時核實并加固整改；可能對證券期貨業(yè)網絡和信息安全平穩(wěn)運行產生較大影響的，應當向中國證監(jiān)會及其派出機構報告。

第三十七條核心機構和經營機構應當根據(jù)業(yè)務影響分析情況，建立健全網絡安全應急預案，明確應急目標、應急組織和處置流程，應急場景應當覆蓋網絡安全事件、自然災害和公共衛(wèi)生事件、本機構網絡和信息安全相關重大人事變動、主要信息技術系統(tǒng)服務機構退出等情形。

第三十八條核心機構應當組織與本機構信息系統(tǒng)和網絡通信設施相關聯(lián)主體開展網絡安全應急演練，每年至少開展一次，并于演練后 15 個工作日內將相關情況報告中國證監(jiān)會。核心機構和經營機構應當定期開展網絡安全應急演練，并形成應急演練報告存檔備查。

第三十九條核心機構和經營機構應當建立應急處置機制，及時處置網絡安全事件，盡快恢復信息系統(tǒng)正常運行，保護事件現(xiàn)場和相關證據(jù)，向中國證監(jiān)會及其派出機構進行應急報告，不得瞞報、謊報、遲報、漏報。信息技術系統(tǒng)服務機構應當協(xié)助開展信息系統(tǒng)故障排查、修復等工作，并及時告知使用同類產品或者服務的核心機構和經營機構，配合開展風險排查和整改工作。

第四十條核心機構和經營機構應當配合中國證監(jiān)會及其派出機構對網絡安全事件進行調查處理，及時組織內部調查，完成問題整改，認定追究事件責任，并按照有關規(guī)定報告中國證監(jiān)會及其派出機構。

第四十一條核心機構和經營機構發(fā)生網絡安全事件，對投資者造成影響的，應當及時通過官方網站、客戶交易終端、電話或者郵件等有效渠道通知相關方可以采取的替代方式或者應急措施，提示相關方防范和應對可能出現(xiàn)的風險。

第五章 關鍵信息基礎設施安全保護

第四十二條證券期貨業(yè)關鍵信息基礎設施運營者應當按照法律法規(guī)及中國證監(jiān)會有關規(guī)定，強化安全管理措施、技術防護及其他必要手段，保障經費投入，確保關鍵信息基礎設施安全穩(wěn)定運行，維護數(shù)據(jù)的完整性、保密性和可用性。

第四十三條證券期貨業(yè)關鍵信息基礎設施運營者應當將關鍵信息基礎設施安全保護情況納入網絡和信息安全工作第一責任人、直接責任人和相關人員的責任考核機制。

第四十四條證券期貨業(yè)關鍵信息基礎設施運營者應當指定專門機構或者部門負責關鍵信息基礎設施安全保護管理工作，為每個關鍵信息基礎設施指定網絡和信息安全管理責任人，依法認定網絡安全關鍵崗位，配備充足的網絡和信息安全人員，并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。

第四十五條證券期貨業(yè)關鍵信息基礎設施運營者新建承載關鍵業(yè)務的重要網絡設施、信息系統(tǒng)等，投入使用前應當按照關鍵信息基礎設施安全保護相關要求開展安全檢測和風險評估，檢測評估通過后上線運行。

證券期貨業(yè)關鍵信息基礎設施運營者對關鍵信息基礎設施實施運行變更或者下線移除，可能對證券期貨市場安全平穩(wěn)運行產生較大影響的，應當在遵守本辦法第十五條的前提下，組織開展專家評審；未通過評審的，原則上不得實施運行變更、下線移除等操作。

證券期貨業(yè)關鍵信息基礎設施停止運營或者發(fā)生較大變化，可能影響認定結果的，相關運營者應當及時將相關情況報告中國證監(jiān)會及其派出機構。

第四十六條證券期貨業(yè)關鍵信息基礎設施運營者應當每年至少進行一次網絡和信息安全檢測和風險評估，對發(fā)現(xiàn)的安全問題及時整改，網絡和信息安全檢測和風險評估的內容包括但不限于：關鍵信息基礎設施的運行情況、面臨的主要威脅、風險管理情況、應急處置情況等。

第四十七條證券期貨業(yè)關鍵信息基礎設施運營者采購網絡產品或者服務的，應當按照國家網絡安全審查制度要求開展風險預判工作；采購網絡產品或者服務與關鍵信息基礎設施密切相關，投入使用后可能影響國家安全的，應當及時申報網絡安全審查。

第四十八條證券期貨業(yè)關鍵信息基礎設施運營者應當對關鍵信息基礎設施的安全運行進行持續(xù)監(jiān)測，定期開展壓力測試，發(fā)現(xiàn)系統(tǒng)性能和網絡容量不足的，應當及時采取系統(tǒng)升級、擴容等處置措施，確保系統(tǒng)性能容量在歷史峰值的三倍以上，交易時段相關網絡帶寬應當在近一年使用峰值的兩倍以上。

第四十九條證券期貨業(yè)關鍵信息基礎設施運營者應當在符合本辦法第二十條規(guī)定的基礎上，建設同城和異地災難備份中心，實現(xiàn)數(shù)據(jù)同步保存。

第六章 網絡和信息安全促進與發(fā)展

第五十條鼓勵核心機構、經營機構和信息技術系統(tǒng)服務機構在依法合規(guī)的前提下，積極開展網絡和信息安全技術應用工作，運用新技術提升網絡和信息安全保障水平。

第五十一條核心機構和經營機構組織開展行業(yè)信息基礎設施建設的，應當在保障本機構網絡和信息安全的前提下，為行業(yè)統(tǒng)籌提供服務，提升信息技術資源利用和服務水平。

第五十二條核心機構和經營機構參加資本市場金融科技創(chuàng)新機制的，應當遵守有關規(guī)定，在依法合規(guī)、風險可控的前提下，有序開展金融科技創(chuàng)新與應用，借助新型信息技術手段，提升本機構證券期貨業(yè)務活動的運行質量和效能。信息技術系統(tǒng)服務機構參加資本市場金融科技創(chuàng)新機制的，應當遵守有關規(guī)定，持續(xù)優(yōu)化技術服務水平，增強安全合規(guī)管理能力。

第五十三條核心機構可以申請開展證券期貨業(yè)網絡和信息安全相關認證、檢測、測試和風險評估等監(jiān)管支撐工作。相關核心機構應當保障充足的資源投入，完善內部管理制度和工作流程，保證工作專業(yè)性、獨立性和公信力。

中國證監(jiān)會定期對核心機構前款工作情況開展評估，評估通過的，可以將其作為證券期貨業(yè)網絡和信息安全監(jiān)管支撐單位，相關工作情況可以作為中國證監(jiān)會及其派出機構實施監(jiān)督管理的參考依據(jù)。

第五十四條核心機構和經營機構應當加強網絡和信息安全人才隊伍建設，建立與網絡和信息安全工作特點相適應的人才培養(yǎng)機制，確保人才資質、經驗、專業(yè)素質及職業(yè)道德符合崗位要求。

行業(yè)協(xié)會應當制定網絡和信息安全培訓計劃，定期組織培訓交流，提高證券期貨從業(yè)人員網絡和信息安全意識和專業(yè)素養(yǎng)。

第五十五條核心機構和經營機構應當加強本機構網絡和信息安全宣傳與教育，每年至少開展一次全員網絡和信息安全教育活動，提升員工網絡和信息安全意識。經營機構應當定期組織開展面向投資者的網絡和信息安全宣傳教育活動，結合網上證券期貨業(yè)務活動的特點，揭示網絡和信息安全風險，增強投資者風險防范能力。

第五十六條行業(yè)協(xié)會應當鼓勵、引導網絡和信息安全技術創(chuàng)新與應用，增強自主可控能力，組織開展科技獎勵，促進行業(yè)科技進步。

行業(yè)協(xié)會應當引導信息技術系統(tǒng)服務機構規(guī)范參與行業(yè)網絡和信息安全和信息化工作，提升服務的安全合規(guī)水平，促進市場有序競爭。

第七章 監(jiān)督管理與法律責任

第五十七條核心機構、經營機構和信息技術系統(tǒng)服務機構應當向中國證監(jiān)會及其派出機構報送或者提供證券期貨業(yè)網絡和信息安全管理相關信息和數(shù)據(jù)，確保有關信息和數(shù)據(jù)的真實、準確、完整。

第五十八條中國證監(jiān)會負責建立健全行業(yè)網絡和信息安全態(tài)勢感知工作機制，并就相關安全缺陷、安全漏洞等風險隱患開展行業(yè)通報預警。核心機構、經營機構和信息技術系統(tǒng)服務機構應當及時排查并采取風險防范措施。

第五十九條核心機構和經營機構應當于每年 4 月 30 日前，完成對上一年網絡和信息安全工作的專項評估，編制網絡和信息安全管理年報，報送中國證監(jiān)會及其派出機構，年報內容包括但不限于網絡和信息安全治理情況、人員情況、投入情況、風險情況、處置情況和下一年度工作計劃等。

核心機構和經營機構報送網絡和信息安全管理年報時，可以與中國證監(jiān)會要求的信息科技管理專項報告等其他年度信息科技類報告合并報送，關鍵信息基礎設施安全保護年度計劃除外。證券期貨業(yè)關鍵信息基礎設施運營者應當將關鍵信息基礎設施網絡和信息安全檢測和風險評估情況納入網絡和信息安全管理年報。

第六十條中國證監(jiān)會及其派出機構可以委托國家、行業(yè)有關專業(yè)機構采用漏洞掃描、風險評估等方式，協(xié)助對核心機構、經營機構和信息技術系統(tǒng)服務機構開展監(jiān)督、檢查。

第六十一條中國證監(jiān)會可以根據(jù)國家有關要求或者行業(yè)工作需要，組織開展證券期貨業(yè)重要時期網絡和信息安全保障。中國證監(jiān)會派出機構負責督促本轄區(qū)經營機構和信息技術系統(tǒng)服務機構落實相關工作要求。

證券期貨業(yè)重要時期網絡和信息安全保障期間，核心機構和經營機構應當遵循安全優(yōu)先的原則，加強安全生產值守，嚴格落實信息報送要求。

第六十二條核心機構違反本辦法規(guī)定的，中國證監(jiān)會可以對其采取責令改正、監(jiān)管談話等監(jiān)管措施；對有關高級管理人員給予警告、記過、記大過、降級、撤職、開除等行政處分，并責令核心機構對其他責任人給予紀律處分。

經營機構和信息技術系統(tǒng)服務機構違反本辦法規(guī)定的，中國證監(jiān)會及其派出機構可以對其采取責令改正、監(jiān)管談話、出具警示函、責令公開說明、責令定期報告、責令增加內部合規(guī)檢查次數(shù)等監(jiān)管措施；對直接責任人和其他責任人員采取責令改正、監(jiān)管談話、出具警示函等監(jiān)管措施；情節(jié)嚴重的，對相關機構及責任人員單處或者并處警告、十萬元以下罰款，涉及金融安全且有危害后果的，并處二十萬元以下罰款。

第六十三條經營機構違反本辦法規(guī)定，反映機構治理混亂、內控失效或者不符合持續(xù)性經營規(guī)則的，中國證監(jiān)會及其派出機構可以依照《證券法》《期貨和衍生品法》《證券投資基金法》相關規(guī)定，采取責令暫停借助網絡開展部分業(yè)務或者全部業(yè)務、責令更換董事、監(jiān)事、高級管理人員或者限制其權利等監(jiān)管措施。信息技術系服務機構違反本辦法規(guī)定，未履行備案義務的，中國證監(jiān)會及其派出機構可以依照《證券法》《期貨和衍生品法》相關規(guī)定予以處罰。

第六十四條核心機構、經營機構和信息技術系統(tǒng)服務機構違反本辦法第九條、第十條、第十八條、第十九條、第二十條、第三十七條、第三十九條規(guī)定，未履行網絡和信息安全保護義務，或者應急管理存在重大過失的，中國證監(jiān)會及其派出機構可以依照《網絡安全法》相關規(guī)定予以處罰。

證券期貨業(yè)關鍵信息基礎設施運營者未履行本辦法第九條、第十條、第十八條、第十九條、第二十條、第二十二條、第三十七條、第三十八條、第四十二條、第四十四條、第四十六條、第四十九條、第五十五條規(guī)定的網絡安全保護義務的，中國證監(jiān)會及其派出機構可以依照《網絡安全法》《關鍵信息基礎設施安全保護條例》相關規(guī)定予以處罰。

第六十五條核心機構和經營機構違反本辦法第十七條、第三十六條規(guī)定，擅自暫?；蛘呓K止借助網絡向投資者提供服務，對其產品、服務存在安全缺陷、漏洞等風險未立即采取補救措施，或者未按照規(guī)定及時報告的，中國證監(jiān)會及其派出機構可以依照《網絡安全法》相關規(guī)定予以處罰。

第六十六條違反本辦法第二十四條規(guī)定，開展證券期貨業(yè)信息系統(tǒng)認證、檢測、風險評估等活動，或者向社會發(fā)布證券期貨業(yè)信息安全漏洞、計算機病毒、網絡攻擊、網絡侵入等信息的，中國證監(jiān)會及其派出機構可以依照《網絡安全法》相關規(guī)定予以處罰。

第六十七條核心機構和經營機構違反本辦法第二十五條規(guī)定，對法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⑽赐Ｖ箓鬏?、采取消除等處置措施、保存有關記錄的，中國證監(jiān)會及其派出機構可以依照《網絡安全法》相關規(guī)定予以處罰。

第六十八條核心機構和經營機構違反本辦法第三十一條第一款、第三十二條、第三十三條規(guī)定，違規(guī)處理個人信息，或者處理個人信息未履行個人信息保護義務的，中國證監(jiān)會及其派出機構可以依照《網絡安全法》《個人信息保護法》相關規(guī)定予以處罰。

第六十九條核心機構、經營機構和信息技術系統(tǒng)服務機構拒絕、阻礙中國證監(jiān)會及其派出機構行使監(jiān)督檢查、調查職權的，中國證監(jiān)會及其派出機構可以依法予以處罰。

第七十條核心機構和經營機構參加資本市場金融科技創(chuàng)新機制或者信息技術應用創(chuàng)新機制，相關項目發(fā)生網絡安全事件，相關機構處置得當，積極消除不良影響的，中國證監(jiān)會及其派出機構可以予以從輕或者減輕處罰，未對證券期貨市場產生不良影響的，可以免于處罰。

第八章 附 則

第七十一條本辦法中下列用語的含義：

（一）核心機構，包括證券期貨交易場所、證券登記結算機構等承擔證券期貨市場公共職能、承擔證券期貨業(yè)信息技術公共基礎設施運營的證券期貨市場核心機構及其承擔上述相關職能的下屬機構。

（二）經營機構，是指證券公司、期貨公司和基金管理公司等證券期貨經營機構。

（三）信息技術系統(tǒng)服務機構，是指為證券期貨業(yè)務活動提供重要信息系統(tǒng)的開發(fā)、測試、集成、測評、運維及日常安全管理等產品或者服務的機構。

（四）雙活或者多活架構，是指在同城或者異地的兩個或者多個數(shù)據(jù)中心同時對外提供服務，當其中一個或者多個數(shù)據(jù)中心發(fā)生災難性事故時，可以將原先由其承載的服務請求劃撥至其他正常運作的數(shù)據(jù)中心，保障業(yè)務連續(xù)運行。

（五）重要信息系統(tǒng)，是指承載證券期貨業(yè)關鍵業(yè)務活動，如出現(xiàn)系統(tǒng)服務異常、數(shù)據(jù)泄露等情形，將對證券期貨市場和投資者產生重大影響的信息系統(tǒng)。

（六）可能對證券期貨市場安全平穩(wěn)運行產生較大影響，是指依據(jù)網絡安全事件調查處理有關辦法，可能引發(fā)較大或者以上級別網絡安全事件的情形。

（七）“以上”含本數(shù)，“以下”不含本數(shù)。

第七十二條本辦法規(guī)定的核心機構、經營機構和信息技術系統(tǒng)服務機構相關報告事項，是指依照監(jiān)管職責，核心機構應當向中國證監(jiān)會報告；除中國證監(jiān)會另有要求的，經營機構和信息技術系統(tǒng)服務機構原則上應當向屬地中國證監(jiān)會派出機構報告。

第七十三條國家對存儲、處理涉及國家秘密信息的網絡和信息安全管理另有規(guī)定的，從其規(guī)定。

第七十四條境內開展證券公司客戶交易結算資金第三方存管業(yè)務、期貨保證金存管業(yè)務的商業(yè)銀行，證券投資咨詢機構，基金托管機構和從事公開募集基金的銷售、銷售支付、份額登記、估值、投資顧問、評價等基金服務業(yè)務的機構，從事證券期貨業(yè)務活動的經營機構子公司，借助自身運維管理的信息系統(tǒng)從事證券投資活動且存續(xù)產品涉及基金份額持有人賬戶合計一千人以上的私募證券投資基金管理人，應當根據(jù)相關信息系統(tǒng)網絡和信息安全管理的特點，參照適用本辦法。核心機構和經營機構設立信息科技專業(yè)子公司，為母公司提供信息科技服務的，信息科技專業(yè)子公司應當按照本辦法落實網絡和信息安全相關要求。

第七十五條本辦法自 2023 年 5 月 1 日起施行。2012 年 11月 1 日公布的《證券期貨業(yè)信息安全保障管理辦法》（證監(jiān)會令第82 號）同時廢止。

附件2：

關于《證券期貨業(yè)網絡和信息安全管理辦法》的立法說明

為建立健全證券期貨業(yè)網絡和信息安全監(jiān)管制度體系，防范化解行業(yè)網絡和信息安全風險隱患，維護資本市場安全平穩(wěn)高效運行，在充分銜接上位要求、總結監(jiān)管實踐的基礎上，證監(jiān)會起草了《證券期貨業(yè)網絡和信息安全管理辦法》（以下簡稱《辦法》）?，F(xiàn)說明如下：

一、起草背景

近年來，證券期貨業(yè)機構對網絡和信息安全的重視程度大幅提升，組織架構和制度體系持續(xù)優(yōu)化，信息技術投入逐年增加，行業(yè)網絡和信息安全運行態(tài)勢總體平穩(wěn)。但是，隨著行業(yè)數(shù)字化智能化加速發(fā)展、網絡和信息安全上升為國家戰(zhàn)略、資本市場持續(xù)深化改革等內外部條件的變化，證券期貨業(yè)網絡和信息安全面臨的新情況新問題逐漸凸顯，主要體現(xiàn)在以下方面：

（一）行業(yè)網絡和信息安全形勢嚴峻復雜。一是隨著大數(shù)據(jù)、云計算、區(qū)塊鏈和人工智能等新技術應用的不斷深入，證券期貨業(yè)務與技術加速融合，各類業(yè)務活動日益依賴網絡安全和信息化，增加了網絡和信息安全管理的復雜度。二是隨著行業(yè)機構數(shù)字化智能化轉型的提速，信息系統(tǒng)建設任務明顯增加，上線變更操作較為頻繁，行業(yè)網絡和信息安全管理能力面臨更大挑戰(zhàn)。

（二）法律法規(guī)的上位要求有待進一步落實。隨著《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規(guī)密集發(fā)布實施，我國網絡和信息安全法律體系進一步健全，新型管理框架基本成型。對此，證監(jiān)會雖于2012年以來發(fā)布《證券期貨業(yè)信息安全保障管理辦法》（證監(jiān)會令82號）《證券基金經營機構信息技術管理辦法》（證監(jiān)會令152號）等監(jiān)管規(guī)則，但是由于制定時間較早、監(jiān)管實踐變化等原因，相關監(jiān)管規(guī)則在有效銜接上位要求方面有待進一步完善。

（三）監(jiān)管實踐成果制度化還需加強。2020年以來，證監(jiān)會穩(wěn)步推動科技監(jiān)管深化改革，監(jiān)管體制機制不斷優(yōu)化，信息技術系統(tǒng)服務機構備案管理、資本市場金融科技創(chuàng)新試點等工作全面展開，與相關部委進一步形成監(jiān)管合力，溝通協(xié)作更加順暢，需要及時總結實踐經驗，將改革成果制度化機制化。

基于上述新情況新問題，有必要進一步健全證券期貨業(yè)網絡和信息安全監(jiān)管制度體系，制定專門的部門規(guī)章，構建證券期貨業(yè)網絡和信息安全管理的體系框架，提升行業(yè)安全保障能力。

二、起草思路

（一）落實上位要求，汲取實踐經驗。《辦法》聚焦網絡和信息安全管理，強化個人信息保護，結合證券期貨業(yè)特點，為相關法律法規(guī)在證券期貨業(yè)的有效落地，明確實施路徑，提供制度保障。同時，總結行業(yè)近年來監(jiān)管工作成效，將實踐經驗轉化為制度成果，固化工作機制。

（二）覆蓋各類主體，厘清權責邊界。一方面，充分考慮證券期貨業(yè)各類主體的責任義務和業(yè)務特點，對證券期貨業(yè)關鍵信息基礎設施運營者、核心機構、經營機構以及信息技術系統(tǒng)服務機構，從網絡和信息安全管理方面分別提出監(jiān)管要求。另一方面，厘清職責分工，對監(jiān)管部門、自律組織的網絡和信息安全監(jiān)管職責做出明確規(guī)定。

（三）嚴守安全底線，促進科技發(fā)展?！掇k法》以保障安全為基本原則，從建設、運維、使用網絡及信息系統(tǒng)，到識別、監(jiān)測、防范、處置風險等方面，構建了完整的網絡和信息安全監(jiān)管框架，對行業(yè)機構提出全方位的管理要求。在此基礎上，《辦法》還注重通過發(fā)展解決問題，通過技術架構的升級優(yōu)化，提升安全保障能力，并在信息基礎設施建設、金融科技創(chuàng)新等方面作出制度安排。

三、主要內容

《辦法》共八章七十五條，對證券期貨業(yè)網絡和信息安全監(jiān)督管理體系、網絡和信息安全運行、投資者個人信息保護、網絡和信息安全應急處置、關鍵信息基礎設施安全保護、網絡和信息安全促進與發(fā)展、監(jiān)督管理與法律責任等方面提出了要求。具體包括：

（一）總則。規(guī)定立法宗旨、適用范圍、適用主體、工作目標及監(jiān)管職責，厘清核心機構、經營機構和信息技術系統(tǒng)服務機構等行業(yè)機構的責任邊界。

（二）網絡和信息安全運行。督促行業(yè)機構建立健全網絡和信息安全管理體制機制，提升安全運行保障能力。一是要求核心機構、經營機構具有完善的治理架構，強化管理層責任，指定或設立牽頭部門，保障資源投入。二是對核心機構、經營機構的信息系統(tǒng)和相關基礎設施提出基本要求，明確等級保護義務。三是要求核心機構、經營機構審慎開展系統(tǒng)新建、變更和移除，充分評估技術和業(yè)務風險，保證充分測試，及時履行投資者告知義務，加強網絡和信息安全日常監(jiān)測。四是要求核心機構、經營機構建立網絡和信息安全防護體系，明確數(shù)據(jù)備份、信息系統(tǒng)備份有關要求，常態(tài)化開展壓力測試。五是強化核心機構、經營機構對供應商的管理，督促信息技術系統(tǒng)服務機構履行備案義務，提升自主研發(fā)和安全可控能力，加強知識產權保護。六是明確安全信息發(fā)布和行業(yè)數(shù)據(jù)備份中心相關要求。

（三）投資者個人信息保護。一是明確核心機構和經營機構處理投資者個人信息的基本原則，要求建立健全投資者個人信息保護體系和管理機制，履行保護義務。二是明確核心機構和經營機構在投資者個人信息處理、共享環(huán)節(jié)的安全防護要求。三是提出核心機構和經營機構在網絡安全防護邊界外處理投資者個人信息的技術要求，防范化解信息泄露風險。四是對核心機構和經營機構收集客戶生物特征的必要性和安全性提出評估要求。

（四）網絡和信息安全應急處置。一是建立風險監(jiān)測預警體制，加強日常漏洞掃描、安全評估，及時消除風險隱患。二是完善應急預案的應急場景和處置流程，要求定期開展應急演練。三是強化網絡安全事件報告和調查處理工作，明確故障排查、相關方告知等工作要求。

（五）關鍵信息基礎設施安全保護。落實國家關于關鍵信息基礎設施的安全保護要求，結合行業(yè)特點，從組織保障、建設評審、監(jiān)測評估、采購管理、性能容量、災難備份等方面，對關鍵信息基礎設施運營者提出進一步的督導要求。

（六）網絡和信息安全促進與發(fā)展。一是鼓勵相關機構在依法合規(guī)、風險可控、不損害投資者利益的前提下，開展行業(yè)網絡和信息安全技術應用。二是核心機構、經營機構可以在保障自身信息系統(tǒng)安全的前提下，為行業(yè)提供信息基礎設施服務。三是建立金融科技創(chuàng)新監(jiān)管機制，加強網絡和信息安全監(jiān)管專業(yè)支撐，核心機構可以申請國家相關專業(yè)資質，開展行業(yè)網絡和信息安全相關認證、檢測、測試和風險評估等工作。四是強化行業(yè)人才隊伍建設，定期開展網絡和信息安全宣傳與教育。五是發(fā)揮行業(yè)協(xié)會作用，引導技術創(chuàng)新與應用，組織科技獎勵，促進行業(yè)科技進步、市場公平競爭。

（七）監(jiān)督管理與法律責任。一是規(guī)定行業(yè)機構的報告義務和流程要求。二是建立健全行業(yè)網絡和信息安全態(tài)勢感知工作機制，開展風險隱患行業(yè)通報。三是明確證監(jiān)會及其派出機構可以委托專業(yè)機構采用滲透測試、漏洞掃描和風險評估等方式對行業(yè)機構開展監(jiān)督檢查。四是對重要時期的網絡和信息安全保障工作明確制度安排。五是依據(jù)上位要求，結合違法違規(guī)的具體情形，規(guī)定相應罰則，并規(guī)定創(chuàng)新容錯相關制度安排。

此外，《辦法》還明確了名詞釋義、參照執(zhí)行主體和情境。《辦法》施行后，證監(jiān)會此前發(fā)布的《證券期貨業(yè)信息安全保障管理辦法》同時廢止。

四、公開征求意見情況

公開征求意見階段，各方對《辦法》表示充分認可，一致認為《辦法》的制定，有利于完善證券期貨業(yè)網絡和信息安全制度體系，提升行業(yè)安全平穩(wěn)運行保障水平。我們充分吸收采納了合理意見。未采納的意見主要是操作層面和文字表述意見，還有一些意見涉及的事項不屬于《辦法》規(guī)制范圍，或者相關法律法規(guī)、規(guī)章已有規(guī)定，因此未予采納。