信息來源：Freebuf

為建立健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系，防范化解行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，近日，證監(jiān)會(huì)起草發(fā)布了《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)》(以下簡稱《辦法》)。

《辦法》共八章六十六條，主要包括證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理體系、網(wǎng)絡(luò)安全運(yùn)行、數(shù)據(jù)安全統(tǒng)籌管理、網(wǎng)絡(luò)安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全促進(jìn)與發(fā)展、監(jiān)督管理與法律責(zé)任等方面內(nèi)容。

《辦法》第三條指出，核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)遵循保障安全、促進(jìn) 發(fā)展的原則，建立健全網(wǎng)絡(luò)安全防護(hù)體系，提升網(wǎng)絡(luò)安全保障水平，確保網(wǎng)絡(luò)安全與信息化工作同步推進(jìn)，促進(jìn)本機(jī)構(gòu)相關(guān)工作穩(wěn)妥健康發(fā)展。

證監(jiān)會(huì)將依法履行監(jiān)督管理職責(zé)，具體如下：

組織制定并推動(dòng)落實(shí)證券期貨業(yè)網(wǎng)絡(luò)安全和信息 化發(fā)展規(guī)劃、監(jiān)管規(guī)則和行業(yè)標(biāo)準(zhǔn)；

負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全的監(jiān)督管理，對(duì)證券期 貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行監(jiān)管；

負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全重大技術(shù)路線、重大科 技項(xiàng)目管理；

組織開展證券期貨業(yè)數(shù)據(jù)安全統(tǒng)籌管理；

負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全應(yīng)急演練、應(yīng)急處置和 事件報(bào)告與調(diào)查處理；

指導(dǎo)證券期貨業(yè)網(wǎng)絡(luò)安全促進(jìn)與發(fā)展；

法律法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全監(jiān)管職責(zé)。

同時(shí)，證監(jiān)會(huì)建立集中管理、分級(jí)負(fù)責(zé)的證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理體制。中國證監(jiān)會(huì)科技監(jiān)管部門統(tǒng)一對(duì)證券期貨業(yè)網(wǎng)絡(luò)安全實(shí)施監(jiān)督管理。中國證監(jiān)會(huì)其他部門配合開展相關(guān)工作。

中國證監(jiān)會(huì)派出機(jī)構(gòu)對(duì)本轄區(qū)經(jīng)營機(jī)構(gòu)和信息技術(shù)服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)安全實(shí)施監(jiān)督管理。中證信息技術(shù)服務(wù)有限責(zé)任公司在中國證監(jiān)會(huì)指導(dǎo)下，為證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理提供專業(yè)協(xié)助和支撐。

《辦法》第十條則指出，核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)明確主要負(fù)責(zé)人為本機(jī)構(gòu)網(wǎng)絡(luò)安全第一責(zé)任人，分管科技工作的負(fù)責(zé)人為直接 責(zé)任人。核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全工作協(xié)調(diào)和決策機(jī)制，保障網(wǎng)絡(luò)安全第一責(zé)任人和直接責(zé)任人履行職責(zé)。

核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制，設(shè)定監(jiān)測(cè)指標(biāo)，持續(xù)監(jiān)測(cè)信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施的運(yùn)行狀況，及時(shí)處置異常情形，對(duì)監(jiān)測(cè)機(jī)制執(zhí)行效果進(jìn)行定期評(píng)估并持續(xù)優(yōu)化。核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)全面、準(zhǔn)確記錄并妥善保存生產(chǎn)運(yùn)營過程中的業(yè)務(wù)日志和系統(tǒng)日志，確保滿足故障分析、內(nèi)部控制、調(diào)查取證等工作的需要。業(yè)務(wù)日志保存期限不得 少于二十年，系統(tǒng)日志保存期限不得少于六個(gè)月。

在數(shù)據(jù)安全統(tǒng)籌管理方面，一是從制度機(jī)制、組織架構(gòu)、行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)、權(quán)限管理、質(zhì)量評(píng)估、防范泄露損毀等方面，明確證券期貨業(yè)的具體要求。二是配套上位要求，對(duì)數(shù)據(jù)分類分級(jí)、個(gè)人信息保護(hù)、規(guī)范信息發(fā)布等方面作進(jìn)一步強(qiáng)調(diào)。三是為建立證券期貨業(yè)戰(zhàn)略備份數(shù)據(jù)中心預(yù)留制度空間，提升行業(yè)極限災(zāi)難應(yīng)對(duì)能力。

其中，第二十三條指出，核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)履行數(shù)據(jù)安全管理責(zé)任，包括但不限于以下方面：

建立健全數(shù)據(jù)安全管理制度體系，完善數(shù)據(jù)運(yùn)營和管控機(jī)制；

健全數(shù)據(jù)安全管理組織架構(gòu)，明確數(shù)據(jù)安全管理權(quán)責(zé)機(jī)制；

依據(jù)行業(yè)相關(guān)數(shù)據(jù)標(biāo)準(zhǔn)，制定覆蓋本機(jī)構(gòu)全部業(yè)務(wù)數(shù)據(jù)的相關(guān)標(biāo)準(zhǔn)，實(shí)施與業(yè)務(wù)特點(diǎn)相適應(yīng)的數(shù)據(jù)分類分級(jí) 管理；

建立數(shù)據(jù)權(quán)限管理策略，按照最小授權(quán)原則設(shè)置數(shù)據(jù)訪問權(quán)限，定期排查清理，并對(duì)數(shù)據(jù)訪問記錄進(jìn)行留痕 審計(jì)；

構(gòu)建數(shù)據(jù)質(zhì)量評(píng)估框架，建立質(zhì)量管控和追責(zé)機(jī)制；

法律法規(guī)及中國證監(jiān)會(huì)規(guī)定的其他事項(xiàng)。

《辦法》第二十七條指出，核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立信息發(fā)布審核機(jī)制，加強(qiáng)對(duì)本機(jī)構(gòu)和用戶發(fā)布信息的管理，發(fā)現(xiàn)違反法律法規(guī)和有關(guān)監(jiān)管規(guī)定的，應(yīng)當(dāng)立即停止發(fā)布傳輸，采取必要的處置措施，防止信息擴(kuò)散，積極消除負(fù)面影響，并及時(shí)向中國證監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告。 信息技術(shù)服務(wù)機(jī)構(gòu)為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)的，應(yīng)當(dāng)按照前款規(guī)定執(zhí)行。

在網(wǎng)絡(luò)安全應(yīng)急處置方面，核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警機(jī)制，加強(qiáng)日常監(jiān)測(cè)，定期開展漏洞掃描、安全評(píng)估等工作；開展網(wǎng)絡(luò)安全應(yīng)急演練，頻率不低于每年一次，并于演練后 15 個(gè)工作日內(nèi)將相關(guān)情況報(bào)告中國證監(jiān)會(huì)。

附：《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法（征求意見稿）》原文