煉石圖解-證監(jiān)會(huì)《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》V1.0.0

煉石圖解證監(jiān)會(huì)煉石煉石網(wǎng)絡(luò)2023年3月a引名【第218號(hào)令1(江券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法號(hào)立法說(shuō)明2023年1月17日中國(guó)證券監(jiān)督管理委員會(huì)第1次委務(wù)會(huì)議審議通過(guò)2023年5月1日起施行，2012年11月1日公布的《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)為了保障證券期貨業(yè)網(wǎng)絡(luò)和信息安全，保護(hù)投資者合法為了保障證券期貨業(yè)網(wǎng)絡(luò)和信息安全，保護(hù)投資者合法權(quán)益，促進(jìn)證券期貨業(yè)穩(wěn)定健康發(fā)展《證券法》《期貨和衍生品法》《證券投資基金法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》23煉石近年來(lái)，證券期貨業(yè)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)和信息安全重視程度大幅提升，組織架構(gòu)和制度體系持續(xù)優(yōu)化，信息技術(shù)投入逐年增加，行業(yè)網(wǎng)絡(luò)和信息安全運(yùn)行態(tài)勢(shì)總體平穩(wěn)。但隨著行業(yè)數(shù)字化智能化加速發(fā)展、網(wǎng)絡(luò)和信息安全上升為國(guó)家戰(zhàn)略、資本市場(chǎng)持續(xù)深化改革等內(nèi)外部條件變化，證券期貨業(yè)網(wǎng)絡(luò)和信息安全面臨的新情況新問(wèn)題逐漸凸顯。行業(yè)網(wǎng)絡(luò)和信息安全形勢(shì)嚴(yán)峻復(fù)雜法律法規(guī)的上位要求有待進(jìn)一步落實(shí)一是隨著大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈和人工智能等新技術(shù)應(yīng)用的不斷深入，證券期貨業(yè)務(wù)與技術(shù)加速融合，各類(lèi)業(yè)務(wù)活動(dòng)日益依賴網(wǎng)絡(luò)安全和信息化，增加了網(wǎng)絡(luò)和信息安全管理的復(fù)雜度。二是隨著行業(yè)機(jī)構(gòu)數(shù)字化智能化轉(zhuǎn)型的提速，信息系統(tǒng)建設(shè)任務(wù)明顯增加,上線變更操作較為頻繁，行業(yè)網(wǎng)絡(luò)和信息隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)密集發(fā)布實(shí)施,我國(guó)網(wǎng)絡(luò)和信息安全法律體系進(jìn)一步健全，新型管理框架基本成型。對(duì)此，證監(jiān)會(huì)雖于2012年以來(lái)發(fā)布《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)會(huì)令82號(hào))《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》(證監(jiān)會(huì)令152號(hào))等監(jiān)管規(guī)則，但是由于制定時(shí)間較早、監(jiān)管實(shí)踐變化等原因，相關(guān)監(jiān)03監(jiān)管實(shí)踐成果制度化還需加強(qiáng)2020年以來(lái)，證監(jiān)會(huì)穩(wěn)步推動(dòng)科技監(jiān)管深化改革，監(jiān)管體制機(jī)制不斷優(yōu)化,信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)備案管理、資本市場(chǎng)金融科技創(chuàng)新試點(diǎn)等工作全面展開(kāi)，與相關(guān)部委進(jìn)一步形成監(jiān)管合力，溝通協(xié)作更加順暢，需要及時(shí)總結(jié)實(shí)踐經(jīng)驗(yàn)，將改革成果制度化機(jī)基于上述新情況新問(wèn)題，有必要進(jìn)一步健全證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)管制度體系，制定專(zhuān)門(mén)的部門(mén)規(guī)章，構(gòu)建證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理的體系框架，提升行業(yè)安全保障能力。4落實(shí)上位要求，汲取實(shí)踐經(jīng)驗(yàn)《辦法》聚焦網(wǎng)絡(luò)和信息安全管理，強(qiáng)化個(gè)人信息保護(hù)，結(jié)合證券期貨業(yè)特點(diǎn)，為相關(guān)法律法規(guī)在證券期貨業(yè)的有效落地，明確實(shí)施路徑，提供制度保障。同時(shí)，總結(jié)行業(yè)近年來(lái)監(jiān)管工作成效，將實(shí)踐經(jīng)驗(yàn)轉(zhuǎn)化為制度成果，固化工作機(jī)制。·一方面，充分考慮證券期貨業(yè)各類(lèi)券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)以及信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)，從網(wǎng)絡(luò)和信息安部門(mén)、自律組織的網(wǎng)絡(luò)和信息安全監(jiān)管職責(zé)做出明確規(guī)定?！掇k法》以保障安全為基本原則，叢建設(shè)、運(yùn)維、使用網(wǎng)絡(luò)及信息系統(tǒng)，到識(shí)別、監(jiān)測(cè)、防范、處置風(fēng)險(xiǎn)等方面，構(gòu)建了完整的網(wǎng)絡(luò)和信息安全監(jiān)管框架，對(duì)行業(yè)機(jī)構(gòu)提出全方位的管理要求。在基礎(chǔ)上，《辦法》還注重通過(guò)發(fā)展解決問(wèn)題，通過(guò)技術(shù)架構(gòu)的升級(jí)優(yōu)化，提升安全保障能力，并在信息基礎(chǔ)設(shè)施建設(shè)、金融科技創(chuàng)新等5《辦法》共八章七十五條，對(duì)證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)督管理體系、網(wǎng)絡(luò)和信息安全運(yùn)行、投資者個(gè)人信息保護(hù)、網(wǎng)絡(luò)和信息安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展、監(jiān)督管理與法律責(zé)任等方面提出了要求。776·一是明確核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)處理投資者個(gè)人信息的基本原則，要求建立健全投資者個(gè)人信息保護(hù)體系和管理機(jī)制，履行掃梁者掃梁者保·二是明確核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在投資者個(gè)人信息處理、共享環(huán)節(jié)的安全防護(hù)要求?！と翘岢龊诵臋C(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在網(wǎng)絡(luò)安全防護(hù)邊界外處理投資者個(gè)人信息的技術(shù)要求，防范化解信息泄露風(fēng)險(xiǎn)?！に氖菍?duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)收集客戶生物特征的必要性和安全性提出評(píng)估要求。網(wǎng)維干E旦支公前色處置·網(wǎng)維干E旦支公前色處置·二是完善應(yīng)急預(yù)案的應(yīng)急場(chǎng)景和處置流程，要求定期開(kāi)展應(yīng)急演練?！と菑?qiáng)化網(wǎng)絡(luò)安全事件報(bào)告和調(diào)查處理工作，明確故障排查、相關(guān)方告知等工作要求。關(guān)勝二息關(guān)勝二息·落實(shí)國(guó)家關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)要求，結(jié)合行業(yè)特點(diǎn)，從組織保障、建設(shè)評(píng)審、監(jiān)測(cè)評(píng)估、采購(gòu)管理、性能容量、災(zāi)難備份等方面，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提出進(jìn)一步的督導(dǎo)要求。7安空5安空5 ·五是發(fā)揮行業(yè)協(xié)會(huì)作用，引導(dǎo)技術(shù)創(chuàng)新與應(yīng)用，組織科技獎(jiǎng)勵(lì)，促進(jìn)行業(yè)科技進(jìn)步、市場(chǎng)公平競(jìng)爭(zhēng)。督百理督百理二體是1815.系統(tǒng)變更21.壓力測(cè)試28.知識(shí)產(chǎn)權(quán)30.個(gè)人信息保護(hù)體系29個(gè)人信息保護(hù)原則32.個(gè)人信息全生命周期安全33.向第三方提供情形要求34.脫敏加密72.報(bào)告對(duì)象73.除外適用74.參照適用75.施行日期煉石整理-《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法15.系統(tǒng)變更21.壓力測(cè)試28.知識(shí)產(chǎn)權(quán)30.個(gè)人信息保護(hù)體系29個(gè)人信息保護(hù)原則32.個(gè)人信息全生命周期安全33.向第三方提供情形要求34.脫敏加密72.報(bào)告對(duì)象73.除外適用74.參照適用75.施行日期煉石1.目的依據(jù)2.適用范圍3.基本原則5.管理職責(zé)7.協(xié)會(huì)職責(zé)8.核心機(jī)構(gòu)職責(zé)9.制度建設(shè)9.制度建設(shè)10.責(zé)任人11.牽頭部門(mén)12.人員和資金投入要求13.系統(tǒng)要求14.等級(jí)保護(hù)16.測(cè)試執(zhí)行17.停止服務(wù)前告知18.監(jiān)測(cè)預(yù)警及日志保存19.防護(hù)體系20.數(shù)據(jù)備份22.供應(yīng)商管理機(jī)制23.備案義務(wù)24.不得違規(guī)25.審核機(jī)制26.自主研發(fā)27.備份數(shù)據(jù)中心31.明確告知及不得拒絕服務(wù)31.明確告知及不得拒絕服務(wù)35.生物特征35.生物特征網(wǎng)絡(luò)和信息安全應(yīng)急處置36.風(fēng)險(xiǎn)核實(shí)整改36.風(fēng)險(xiǎn)核實(shí)整改37.網(wǎng)絡(luò)安全應(yīng)急預(yù)案38.網(wǎng)絡(luò)安全應(yīng)急演練39.網(wǎng)絡(luò)安全事件報(bào)告40.配合網(wǎng)絡(luò)安全事件調(diào)查處理40.配合網(wǎng)絡(luò)安全事件調(diào)查處理41.相關(guān)方告知41.相關(guān)方告知關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)42.確保關(guān)基設(shè)施安全穩(wěn)定運(yùn)行43.關(guān)基安全納入責(zé)任考核機(jī)制43.關(guān)基安全納入責(zé)任考核機(jī)制44.關(guān)基安全配套人員44.關(guān)基安全配套人員45.關(guān)基設(shè)施變更評(píng)審45.關(guān)基設(shè)施變更評(píng)審46.定期安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估46.定期安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估47.采購(gòu)網(wǎng)絡(luò)產(chǎn)品或服務(wù)要求48.壓力測(cè)試及系統(tǒng)性能容量49.同城和異地災(zāi)難備份中心網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展50.鼓勵(lì)新技術(shù)應(yīng)用50.鼓勵(lì)新技術(shù)應(yīng)用51.開(kāi)展行業(yè)信息基建要求51.開(kāi)展行業(yè)信息基建要求52.金融科技創(chuàng)新與應(yīng)用52.金融科技創(chuàng)新與應(yīng)用53.監(jiān)管支撐工作53.監(jiān)管支撐工作54.人才隊(duì)伍建設(shè)54.人才隊(duì)伍建設(shè)55.網(wǎng)絡(luò)和信息安全宣傳與教育55.網(wǎng)絡(luò)和信息安全宣傳與教育56.協(xié)會(huì)引導(dǎo)促進(jìn)56.協(xié)會(huì)引導(dǎo)促進(jìn)第七章監(jiān)督管理與法律責(zé)任57.相關(guān)信息數(shù)據(jù)報(bào)送提供57.相關(guān)信息數(shù)據(jù)報(bào)送提供58.態(tài)勢(shì)感知工作機(jī)制58.態(tài)勢(shì)感知工作機(jī)制59.網(wǎng)絡(luò)和信息安全管理年報(bào)59.網(wǎng)絡(luò)和信息安全管理年報(bào)60.委托監(jiān)督檢查60.委托監(jiān)督檢查61.重要時(shí)期安全保障61.重要時(shí)期安全保障62.機(jī)構(gòu)及管理人員責(zé)任62.機(jī)構(gòu)及管理人員責(zé)任63.治理機(jī)制混亂的罰則63.治理機(jī)制混亂的罰則64.未履行安全保護(hù)義務(wù)罰則64.未履行安全保護(hù)義務(wù)罰則67.違規(guī)發(fā)布或者傳輸罰則68.違規(guī)處理個(gè)人信息罰則68.違規(guī)處理個(gè)人信息罰則69.拒絕、阻礙監(jiān)督檢查罰則69.拒絕、阻礙監(jiān)督檢查罰則70.減輕、免于處罰情形70.減輕、免于處罰情形71.用語(yǔ)含義71.用語(yǔ)含義(拓展)證券行業(yè)已出臺(tái)多項(xiàng)數(shù)據(jù)安全政策規(guī)范信息技術(shù)管理煉石《證券公司信息技術(shù)管理規(guī)范》《關(guān)于做好證券業(yè)重要信息系統(tǒng)安全等級(jí)保護(hù)定《證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息系統(tǒng)備份能力標(biāo)準(zhǔn)》《證券期貨業(yè)信息安全保障管理辦法》《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》軟件數(shù)據(jù)《《證券期貨業(yè)信息系統(tǒng)審計(jì)規(guī)范》《證券期貨業(yè)信息系統(tǒng)審計(jì):證券公司》《證券期貨業(yè)信息系統(tǒng)托管基本要求》《證券期貨業(yè)信息系統(tǒng)審計(jì)指南第1-7部分》經(jīng)營(yíng)機(jī)構(gòu)信辦法》機(jī)構(gòu)《證券期貨業(yè)數(shù)據(jù)分類(lèi)分級(jí)指引》《證券期貨業(yè)機(jī)構(gòu)內(nèi)部企業(yè)服務(wù)總線實(shí)施規(guī)范》《證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范》《證券期貨業(yè)網(wǎng)絡(luò)安全事件報(bào)告與調(diào)查處理辦法》貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》證券期貨業(yè)數(shù)據(jù)安全管理與保護(hù)指91.總則1.總則8.附則適用范圍適用范圍核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)、使用網(wǎng)絡(luò)及信息系統(tǒng)，信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)的網(wǎng)絡(luò)和信息安全保障，以及證券期貨業(yè)網(wǎng)絡(luò)和信息安全的監(jiān)督管理，適用本辦法。核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)1.總則8.附則是指承載證券期貨業(yè)關(guān)鍵業(yè)務(wù)活動(dòng)，如出現(xiàn)系統(tǒng)服務(wù)異常、“以上”含本數(shù)，“以下”不含本數(shù)是指依照監(jiān)管職責(zé)，核心機(jī)構(gòu)應(yīng)當(dāng)向中國(guó)證監(jiān)會(huì)報(bào)告；除中國(guó)證監(jiān)會(huì)另有要求的，經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)中國(guó)證監(jiān)會(huì)依法履行八大監(jiān)督管理職責(zé)1.總則8.附則規(guī)劃規(guī)劃標(biāo)準(zhǔn)監(jiān)督管理技術(shù)項(xiàng)目個(gè)人信息組織制定并推動(dòng)落實(shí)證券期貨業(yè)網(wǎng)絡(luò)和信息安全發(fā)展規(guī)負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)和信息安全的監(jiān)督管理，按規(guī)定做好證券期貨業(yè)涉及的關(guān)鍵信負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)和信息安全重大技術(shù)路線、重大科技項(xiàng)目管理；組織開(kāi)展證券期貨業(yè)投資者應(yīng)急應(yīng)急處置促進(jìn)發(fā)展法律法規(guī)其他職責(zé)負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全應(yīng)急演練、應(yīng)急處置、事件報(bào)告與調(diào)查處理；指導(dǎo)證券期貨業(yè)網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展；支持、協(xié)助國(guó)家有關(guān)部門(mén)組織實(shí)施網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī)規(guī)定的其他網(wǎng)絡(luò)和1.總則1.總則8.附則中國(guó)證監(jiān)會(huì)中國(guó)證監(jiān)會(huì)·中國(guó)證監(jiān)會(huì)科技監(jiān)管部門(mén)對(duì)證券期貨業(yè)網(wǎng)絡(luò)和信息安全實(shí)施監(jiān)督管理?！?中國(guó)證監(jiān)會(huì)派出機(jī)構(gòu)對(duì)本轄區(qū)經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)和信息安中國(guó)證券投資基金業(yè)協(xié)會(huì)等行業(yè)協(xié)會(huì)核心機(jī)構(gòu)核心機(jī)構(gòu)·對(duì)與本機(jī)構(gòu)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施相關(guān)聯(lián)主體加強(qiáng)指導(dǎo)，督促其強(qiáng)化網(wǎng)絡(luò)和信信設(shè)施的安全平穩(wěn)運(yùn)行完善網(wǎng)絡(luò)和信息安全管理體系，強(qiáng)化管理層責(zé)任1.總則1.總則8.附則核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)·應(yīng)當(dāng)具有完善的信息技術(shù)治理架構(gòu)·健全網(wǎng)絡(luò)和信息安全管理制度體系·建立內(nèi)部決策、管理、執(zhí)行和監(jiān)督機(jī)制·確保網(wǎng)絡(luò)和信息安全管理能力與業(yè)務(wù)活動(dòng)規(guī)模、復(fù)雜程度相匹配信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)·配備相應(yīng)的安全、合規(guī)管理人員·建立與提供產(chǎn)品或者服務(wù)相適應(yīng)的網(wǎng)絡(luò)和信息安全管理機(jī)制確定牽頭部門(mén)明確第一責(zé)任人確定牽頭部門(mén)·核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)明確主要負(fù)責(zé)人為本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全工作的第一責(zé)任人·分管網(wǎng)絡(luò)和信息安全工作的領(lǐng)導(dǎo)班子成員或者高級(jí)管理人員為直接責(zé)任人·核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)和信息安全工作協(xié)調(diào)和決策機(jī)制，保障第一責(zé)任人和直接責(zé)任人履行職責(zé)·核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)指定或者設(shè)立網(wǎng)絡(luò)和信息安全工作牽頭部門(mén)或者機(jī)構(gòu)·負(fù)責(zé)管理重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施、制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案、組織應(yīng)急演練等工作。1.總則8.附則·核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)保障人員和資金投入與業(yè)務(wù)活動(dòng)規(guī)模、復(fù)雜程度相適應(yīng)·核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)確保信息系·足夠的性能、容量、可靠性、擴(kuò)展性·并保證相關(guān)安全技術(shù)措施與信息化工1.總則1.總則8.附則核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)暫?；蛘呓K止借助網(wǎng)絡(luò)向投資者提供服務(wù)前，應(yīng)當(dāng)履行告知義核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)暫?；蛘呓K止借助網(wǎng)絡(luò)向投資者提供服務(wù)前，應(yīng)當(dāng)履行告知義投資者相關(guān)業(yè)務(wù)影響情況、替代方式及應(yīng)對(duì)措施。中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)任何機(jī)構(gòu)和個(gè)人不得違規(guī)開(kāi)展證券期貨業(yè)信息系統(tǒng)認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)。不得違規(guī)發(fā)布證券期貨業(yè)信息安全漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等信息。煉石1.總則煉石1.總則8.附則3防護(hù)體系風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)新建上線、運(yùn)行變更、下線移除重要信息風(fēng)險(xiǎn)防控措施、應(yīng)急處置和回退方案并對(duì)相關(guān)結(jié)果進(jìn)行復(fù)核驗(yàn)證應(yīng)當(dāng)提前向中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告建立健全網(wǎng)絡(luò)和信息安全監(jiān)測(cè)預(yù)警機(jī)制，設(shè)定監(jiān)測(cè)指標(biāo)持續(xù)監(jiān)測(cè)信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施的運(yùn)行狀況及時(shí)處置異常情形，對(duì)監(jiān)測(cè)機(jī)制執(zhí)行效果進(jìn)行定期評(píng)估并持續(xù)優(yōu)化全面、準(zhǔn)確記錄并妥善保存生產(chǎn)運(yùn)營(yíng)過(guò)程中的業(yè)務(wù)日志和系統(tǒng)日志，確保滿足以下等工作需求：故障分析內(nèi)部控制調(diào)查取證構(gòu)建網(wǎng)絡(luò)和信息安全防護(hù)體系綜合采取以下等安全保障措施：網(wǎng)絡(luò)隔離用戶認(rèn)證訪問(wèn)控制策略管理數(shù)據(jù)加密網(wǎng)站防篡改病毒木馬防范非法入侵檢測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知不得在交易時(shí)段對(duì)重要信息系統(tǒng)進(jìn)行變更重要信息系統(tǒng)業(yè)務(wù)日志系統(tǒng)日志提升網(wǎng)絡(luò)和信息安全防護(hù)能力，及時(shí)識(shí)別、阻斷相關(guān)網(wǎng)絡(luò)攻擊，保護(hù)重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施，防范信息泄露與損毀1.總則8.附則測(cè)試方案制定全面的測(cè)試方案脫敏處理對(duì)測(cè)試環(huán)境涉及的敏感數(shù)據(jù)進(jìn)行脫敏施聯(lián)網(wǎng)測(cè)試核心機(jī)構(gòu)組織市場(chǎng)相關(guān)主體進(jìn)行聯(lián)網(wǎng)測(cè)試壓力測(cè)試及時(shí)對(duì)相關(guān)信息系統(tǒng)開(kāi)展壓力測(cè)試33制定壓力測(cè)試方案，設(shè)定測(cè)試場(chǎng)景，從系統(tǒng)性能序組織測(cè)試工作測(cè)試完成后形成壓力測(cè)試報(bào)告存檔備查，并保存五年以上兩倍以上核心機(jī)構(gòu)交易時(shí)段相關(guān)網(wǎng)絡(luò)近一年使用峰值應(yīng)當(dāng)在當(dāng)前帶寬的百分之五十以下經(jīng)營(yíng)機(jī)構(gòu)交易時(shí)段相關(guān)網(wǎng)絡(luò)近一年使用峰值應(yīng)當(dāng)在強(qiáng)化供應(yīng)商管理和準(zhǔn)入機(jī)制2.網(wǎng)絡(luò)和信2.網(wǎng)絡(luò)和信息安全運(yùn)行人信息保護(hù)息安全應(yīng)急處置基礎(chǔ)設(shè)施安全保護(hù)審慎采購(gòu)并持續(xù)評(píng)估機(jī)制相關(guān)產(chǎn)品和服務(wù)的質(zhì)量，及時(shí)改進(jìn)風(fēng)險(xiǎn)管理措施，健全應(yīng)急處置機(jī)制，確保重要信息系統(tǒng)運(yùn)行安全可控②供應(yīng)商為核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)提供重供應(yīng)商為核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)提供重息安全促進(jìn)息安全促進(jìn)與發(fā)展33與法律責(zé)任煉石煉石息安全運(yùn)行人信息保護(hù)息安全應(yīng)急處置基礎(chǔ)設(shè)施安全保護(hù)息安全促進(jìn)與發(fā)展與法律責(zé)任委托相關(guān)機(jī)構(gòu)采取有效安全防護(hù)手段，防范數(shù)據(jù)損毀泄露風(fēng)險(xiǎn)，持續(xù)提升證券期貨業(yè)重大災(zāi)難應(yīng)對(duì)能力②行一次有效性驗(yàn)證應(yīng)當(dāng)建立重要信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施根據(jù)信息系統(tǒng)的重要程度和業(yè)務(wù)影響情況，確定恢復(fù)目標(biāo)，保證業(yè)務(wù)連續(xù)運(yùn)行。災(zāi)難備份設(shè)施應(yīng)當(dāng)通過(guò)同城或異地3采取雙活或多活架構(gòu)部署重要信息系統(tǒng)的，在確保業(yè)務(wù)連續(xù)運(yùn)行前提下提升自主可控能力建立審核機(jī)制1.總則提升自主可控能力建立審核機(jī)制1.總則8.附則·核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立信息·發(fā)現(xiàn)違反法律法規(guī)和有關(guān)監(jiān)管規(guī)定必要的處置措施，防止信息擴(kuò)散，積極消除負(fù)面影響，并及時(shí)向中國(guó)·核心機(jī)構(gòu)應(yīng)當(dāng)對(duì)交易、行情、開(kāi)戶、結(jié)算、風(fēng)控、通信等重要信息系統(tǒng)具有自主開(kāi)發(fā)能力，掌握?qǐng)?zhí)行程序和源代碼并安全可·經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身發(fā)展需要，加強(qiáng)自主研發(fā)能力建設(shè)，持續(xù)提升自主可控能力·核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家及中國(guó)證監(jiān)會(huì)有關(guān)要求，開(kāi)展信息技術(shù)應(yīng)用創(chuàng)新強(qiáng)化自主知識(shí)產(chǎn)權(quán)保護(hù)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照知識(shí)產(chǎn)權(quán)相關(guān)法律法規(guī)，制定知識(shí)產(chǎn)權(quán)保護(hù)策略和制度。不侵犯他人的知識(shí)產(chǎn)權(quán)，并采取有效措施保護(hù)本機(jī)構(gòu)自主知識(shí)產(chǎn)權(quán)。22秉承原則1.總則不得損害投資合法必要秉承原則1.總則不得損害投資合法必要當(dāng)當(dāng)建立健全投資者個(gè)人信息保護(hù)體系職責(zé)明確8.附則加強(qiáng)防護(hù)加強(qiáng)投資者個(gè)人信息保護(hù)1.總則1.總則服務(wù)，為投資者提供服務(wù)所必需、履行法定8.附則1.總則組織和處置流程，應(yīng)急場(chǎng)景應(yīng)當(dāng)覆蓋網(wǎng)絡(luò)安全事件、自然災(zāi)害和公相關(guān)重大人事變動(dòng)、主要信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)退出等情形。護(hù)事件現(xiàn)場(chǎng)和相關(guān)證據(jù)，向中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)進(jìn)行應(yīng)急報(bào)告，不得瞞報(bào)、謊報(bào)、遲報(bào)、漏報(bào)。核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件，對(duì)投資者造成影響的，應(yīng)當(dāng)及時(shí)通過(guò)官方網(wǎng)站、客戶交易終端、8.附則級(jí)別高級(jí)別高中低煉石4級(jí)3級(jí)1.數(shù)據(jù)的安全屬性(完整性、保密性、可用性)遭到破壞后數(shù)據(jù)損失后，影響范圍大(跨行業(yè)或跨機(jī)構(gòu)),影響程度一般是“嚴(yán)重2.一般特征：數(shù)據(jù)主要用于行業(yè)內(nèi)大型或特大型機(jī)構(gòu)中的知悉的對(duì)象訪問(wèn)或使用。1.數(shù)據(jù)的安全屬性(完整性、保密性、可用性)遭到破壞后數(shù)據(jù)損失后，影響范圍中等(一般局限在本機(jī)構(gòu)),影響程度一般是平重員公開(kāi)，且僅為必須知悉的對(duì)象訪問(wèn)或使用。1.數(shù)據(jù)的安全屬性(完整性、保密性、可用性)遭到破壞后數(shù)據(jù)損失后，影響范圍較小(一般局限在本機(jī)構(gòu)),影響程度一般是“中等”或“輕微”。1.數(shù)據(jù)的安全屬性(完整性、保密性、可用性)遭到破壞后數(shù)據(jù)損失后，影響范圍較小(一般局限在本機(jī)構(gòu)),影響程度一般是“輕微”或“無(wú)”。數(shù)據(jù)定級(jí)影響三要素?cái)?shù)據(jù)定級(jí)影響三要素√影響范圍：多個(gè)行業(yè)、行業(yè)內(nèi)多機(jī)構(gòu)、本機(jī)構(gòu)√影響程度：嚴(yán)重、中等、輕微、無(wú)嚴(yán)重中等輕微無(wú)參考說(shuō)明《證券期貨業(yè)網(wǎng)絡(luò)安全事件報(bào)告與調(diào)查處理辦法》重大事件：10萬(wàn)人以上*摘自《JR/T0158-2018證券期貨業(yè)數(shù)據(jù)分類(lèi)分級(jí)指引》煉石煉石息安全運(yùn)行4.網(wǎng)絡(luò)和信息安全應(yīng)急5.關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)息安全促進(jìn)與發(fā)展與法律責(zé)任基本要求和義務(wù)1.總則根據(jù)要求3.投資者個(gè)責(zé)任考核證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)情況納機(jī)構(gòu)指定1.指定專(zhuān)門(mén)機(jī)構(gòu)或者部門(mén)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)入網(wǎng)絡(luò)和信息安全工作第一責(zé)任人、直5.對(duì)專(zhuān)門(mén)安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)新建重要設(shè)施系統(tǒng)等投入使用前需開(kāi)展安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估1.總則1.總則息安全運(yùn)行3.投資者個(gè)人信息保護(hù)4.網(wǎng)絡(luò)和信息安全應(yīng)急處置5.關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)息安全促進(jìn)與發(fā)展與法律責(zé)任新建系統(tǒng)變更/下線較大變化信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)要求開(kāi)展資金檢測(cè)和圓險(xiǎn)評(píng)估檢測(cè)評(píng)估通過(guò)后檢測(cè)評(píng)估通過(guò)后施運(yùn)營(yíng)者新建承載關(guān)鍵業(yè)務(wù)的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者對(duì)關(guān)鍵信息基礎(chǔ)設(shè)應(yīng)當(dāng)在遵守本辦法第干五未通過(guò)評(píng)審原則上不得實(shí)施運(yùn)行變更、施實(shí)施運(yùn)行變更或者下線移條的前提下，組織開(kāi)展專(zhuān)下線移除等操作除，可能對(duì)證券期貨市場(chǎng)安家評(píng)審全平穩(wěn)運(yùn)行產(chǎn)生較大影響的證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施停止運(yùn)營(yíng)或者發(fā)生較大變相關(guān)運(yùn)營(yíng)者應(yīng)當(dāng)及時(shí)將相關(guān)情況報(bào)告中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)1.總則1.總則8.附則證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)每年至少進(jìn)行一次網(wǎng)絡(luò)和信息安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)現(xiàn)的安全問(wèn)題及時(shí)整改，網(wǎng)絡(luò)和信息安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估的內(nèi)容包括但不限安全檢測(cè)定期開(kāi)展壓力測(cè)試，發(fā)現(xiàn)系統(tǒng)性能和網(wǎng)絡(luò)容量不足的，應(yīng)當(dāng)及時(shí)采取系統(tǒng)升級(jí)、擴(kuò)容等證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)在符合本辦法第二十條規(guī)定的基礎(chǔ)上，建設(shè)同煉石信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)提升員工網(wǎng)絡(luò)和信息安全意識(shí)全教育活動(dòng)煉石信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)提升員工網(wǎng)絡(luò)和信息安全意識(shí)全教育活動(dòng)依法合規(guī)、風(fēng)險(xiǎn)可控能力確保人才資質(zhì)、經(jīng)驗(yàn)、專(zhuān)業(yè)素質(zhì)職業(yè)道德符合崗位要求人才培養(yǎng)機(jī)制為行業(yè)統(tǒng)籌提供服務(wù)，提升信息技術(shù)資源利用服務(wù)水平信息安全組織開(kāi)展行業(yè)信息基礎(chǔ)設(shè)施建設(shè)的機(jī)構(gòu)1.總則8.附則1.總則8.附則中國(guó)證監(jiān)會(huì)核心機(jī)構(gòu)定期開(kāi)展評(píng)估認(rèn)證定期開(kāi)展評(píng)估認(rèn)證保障充足的資源投入，完善內(nèi)部管理制度和工作流程，保證工修專(zhuān)業(yè)性、獨(dú)立性和公信力評(píng)估通過(guò)作為證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)管支撐單位，相關(guān)工作情況可以作為中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)實(shí)施開(kāi)展面向投資者的網(wǎng)絡(luò)和信息安全宣傳教育活網(wǎng)上證券期貨業(yè)務(wù)活動(dòng)煉石主體1.總則■可以委托國(guó)家、行業(yè)有關(guān)專(zhuān)業(yè)機(jī)構(gòu)采用漏洞掃描、風(fēng)險(xiǎn)評(píng)估等方式，協(xié)助對(duì)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)開(kāi)展監(jiān)督、檢查。真實(shí)、準(zhǔn)確、完整。會(huì)及其派出機(jī)構(gòu)，年報(bào)內(nèi)容包括但不限于網(wǎng)絡(luò)和信息安全治理情況、人員情況、年度工作計(jì)劃等?！鰣?bào)送網(wǎng)絡(luò)和信息安全管理年報(bào)時(shí)，可以與中國(guó)證監(jiān)會(huì)要求的信息科技管理專(zhuān)項(xiàng)報(bào)告等其他年度信息科技類(lèi)報(bào)告合并報(bào)送，證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)和信息安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估情況8.附則事項(xiàng)處罰■違反本辦法規(guī)定■違反本辦法規(guī)定■中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以對(duì)其采取責(zé)令改正、監(jiān)管談話、出具警示函、責(zé)令公開(kāi)說(shuō)明、責(zé)令定期報(bào)告、責(zé)令增加內(nèi)部合規(guī)檢查次數(shù)等監(jiān)管措施；對(duì)直接責(zé)任人和其他責(zé)任人員采取責(zé)令改正、監(jiān)管談話、出具警示函等監(jiān)管措施；情節(jié)嚴(yán)重的，對(duì)相關(guān)機(jī)構(gòu)及責(zé)任人員單處或者并處警告、十萬(wàn)元以下罰款，涉及金融安全且有危害后果的，并處二十萬(wàn)元以下罰不符合持續(xù)性經(jīng)營(yíng)規(guī)則資基金法》相關(guān)