证券期货业网安新规草案简评
证券期货业网安新规草案简评
目 录 一、前言 二、重点内容简述 三、观察和建议 前 言 2022年4月29日,中国证券监督管理委员会(“证监会”)发布了《证券期货业网络安全管理办法(征求意见稿)》(“《办法》”),并向社会公开征求意见至2022年5月29日。 近年来,证券期货行业网络安全领域立法不断, 2021年相继出台《证券基金经营机构信息技术管理办法》(2021修订版)、《证券期货业网络安全事件报告与调查处理办法》等规定,以及《证券期货业网络安全等级保护基本要求》、《证券期货业移动互联网应用程序安全检测规范》等一系列行业标准,证券期货行业的网络安全法律体系逐步形成。与此同时,《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等上位法相继落地实施,从国家立法层面提出更多原则性要求。上位法在行业的落实、以及相关行业监管规则与上位法原则的有效衔接仍待进一步完善。此外,行业机构的数字化转型不断提速,行业监管在开展信息技术服务机构备案管理、资本市场金融科技创新试点等方面的实践亦需反映行业发展的最新变化。上述大背景下,《办法》应时而生。 本文拟对《办法》的主要内容进行梳理和总结,并对重点要求进行简要分析,供证券期货业相关机构参考。 重点内容简述 《办法》涵盖了证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面的内容,对行业机构的网络安全、数据安全及个人信息保护提出了全面要求。 1 立法依据 《办法》的立法依据包括《证券法》、《证券投资基金法》、《期货交易管理条例》等行业监管规则,也包括《网络安全法》、《数据安全法》、《个人信息保护法》等网络安全、数据安全及个人信息保护领域的基本法律。 2 适用范围和适用主体 《办法》第二条规定了以下几类适用对象: 核心机构 指证券期货交易场所、证券登记结算机构、期货保证金安全存管监控机构等承担证券期货市场公共职能、承担证券期货业信息基础设施运营的机构及其下属机构。 经营机构 指证券公司、期货公司和基金管理公司等证券期货经营机构。 信息技术服务机构 指为证券期货业务活动提供重要信息系统的开发、测试、集成、测评、运维及日常安全管理等产品或者服务的机构。 《办法》不仅适用于金融基础设施运营者、持牌经营机构,为行业提供重要信息系统相关服务的科技企业也被纳入监管范围。按照《办法》第二十条要求,信息技术服务机构需向证监会备案,此规定实际是对《证券基金经营机构信息技术管理办法》、《证券服务机构从事证券服务业务备案管理规定》相关内容的重申。 此外,《办法》第六十五条规定了应参照适用《办法》的七类主体,例如从事基金销售支付、份额登记、估值、评价等基金服务业务的机构、借助自身运维管理的信息系统从事证券投资活动且存续产品涉及投资者人数合计一千人以上的私募证券投资基金管理人等。 3 主管机构 《办法》第五条规定了证监会的监督管理职责,第六条明确了证监会建立集中管理、 分级负责的证券期货业网络安全监督管理体制,即证监会科技监管部门统一对证券期货业网络安全实施监督管理,其他部门配合开展相关工作;证监会派出机构对本辖区经营机构和信息技术服务机构网络安全实施监督管理。 4 十项网络安全重要要求 《办法》分别从网络安全运行、网络安全应急处置角度出发,对行业机构提出了具体要求。其中,核心机构和经营机构应遵守网络安全要求主要包括以下十大方面: 运行要求 核心机构和经营机构责任义务 部门及人员设置 (第十条至第十二条) 明确主要负责人为本机构网络安全第一责任人,分管科技工作的负责人为直接责任人 指定网络安全工作牵头部门或者机构 配备网络安全专职人员 网络安全等级保护 (第十四条) 落实网络安全等级保护制度,向公安机关办理备案和变更,并将相关情况及时报告证监会及其派出机构 重要信息系统风险评估、测试 (第十五条) 新建上线、运行变更、下线移除重要信息系统,应进行风险评估并开展充分测试,制定应急处置和回退方案 可能对证券期货市场安全平稳运行产生较大影响的,应当报告证监会及其派出机构 告知义务 (第十六条及第三十五条) 暂停或终止借助网络向投资者提供服务前,应向投资者告知相关业务影响情况、替代方式及其他应对措施 发生网络安全事件应及时通过官方网站、自媒体等渠道公示相关方可以采取的替代方式或其他应急措施;若损害投资者合法权益的,证监会及其派出机构可以要求其履行投资者告知义务 网络安全监测预警机制及日志留存 (第十七条) 健全网络安全监测预警机制,对监测机制执行效果进行定期评估 全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志,业务日志保存期限不得少于二十年,系统日志保存期限不得少于六个月 数据备份 (第十八条) 建立同城和异地数据备份设施,至少每天备份数据一次,每季度至少对数据备份进行一次有效性验证 建立信息系统故障备份设施和灾难备份设施,灾难备份设施应当通过同城或者异地灾难备份中心的形式体现 采取双活或者多活架构部署重要信息系统的,确保任一数据中心可以视为其他数据中心的灾难备份设施 重要信息系统压力测试 (第十九条) 至少每半年开展一次重要信息系统压力测试,形成压力测试报告存档备查 按照要求参加证监会组织开展的全行业重要信息系统压力测试 网络安全风险监测预警机制及应急处置机制 (第三十条、第三十三条及三十四条) 建立网络安全风险监测预警机制,发现网络安全产品或服务存在风险隐患的,应当及时核实整改;可能对证券期货业网络安全产生较大影响的,向证监会及其派出机构报告 建立网络安全应急处置机制,向证监会及派出机构进行应急报告 网络安全事件应急处置结束、系统恢复正常运行后组织内部调查,认定并追究事件责任,按照规定报告证监会及其派出机构 网络安全应急预案及应急演练 (第三十一条及第三十二条) 建立健全网络安全应急预案,应急场景应当覆盖网络安全事件和自然灾害突发、重大人事变动、信息技术服务机构退出等 定期开展网络安全应急演练 核心机构应组织与本机构信息系统和网络通信设施相关联主体开展应急演练,频率不低于每年一次,并于演练后 15 个工作日内将相关情况报告证监会 培训及投资者教育 (第四十八条) 每年至少开展一次网络安全教育活动,提升员工网络安全意识 定期组织开展面向投资者的网络安全宣传教育活动 需要注意的是,运营关键信息基础设施(“关基”)的核心机构和经营机构(以下合称“关基单位”)在上述要求的基础上受限于更严格的规定。该等规定主要基于《网络安全法》和《关键信息基础设施安全保护条例》进行重申和细化,总结如下: 运行要求 关基单位责任义务 部门及人员设置 (第三十七条) 将关基安全保护情况纳入网络安全第一责任人、直接责任人和相关人员的责任考核机制 指定专项工作领导机构或者部门负责关基安全保护 为每个关基指定一名网络安全管理责任人 配备至少五名网络安全专职人员,网络安全专职人员履职前,应当依法开展安全背景审查 关基专家评审 (第三十八条) 对关基实施运行变更或者下线移除,可能对证券期货市场安全平稳运行产生较大影响的,组织来自监管部门、行业机构、外部专业机构的专家开展专项评审 关基停止运营或者发生较大变化,可能影响认定结果的,应当及时报告证监会及其派出机构 网络安全检测和风险评估 (第三十九条) 关基单位每年至少进行一次网络安全检测和风险评估 网络安全审查 (第四十条) 关基单位采购网络产品和服务的,应当依法开展网络安全审查 数据备份 (第四十二条) 关基单位应建设同城和异地灾难备份中心,实现数据同步保存 5 数据安全 《办法》承接《数据安全法》,从制度机制、组织架构、数据分级分类、权限管理、质量评估、防范泄露损毁、信息发布等方面对核心机构和经营机构的数据安全管理作出了规定。 值得注意的是,《办法》还对核心数据、重要数据的处理提出如下要求:(1)核心机构和经营机构处理重要数据、核心数据的,应当依法明确数据安全负责人,指定数据安全管理机构或者部门;(2)处理重要数据的信息系统原则上应当满足三级以上网络安全等级保护要求,处理核心数据的信息系统依照有关法律法规从严保护。根据《办法》第六十二条(五)款的定义,“重要数据、核心数据是指按照《数据安全法》、国家和证券期货业有关数据分类分级保护制度,确定的重要数据、核心数据”。 明确数据安全负责人和管理机构的要求来源于《数据安全法》第27条,而等保要求则是为了落实《网络安全法》。《办法》对处理重要数据的信息系统提出等保三级要求,与此前公开的《网络数据安全管理条例(征求意见稿)》第九条相衔接。具体到证券期货行业,行业机构可参照2021年颁布的《证券期货业网络安全等级保护基本要求》、《证券期货业网络安全等级保护测评要求》开展等保工作。
