信息來源:Freebuf
為建立健全證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)管制度體系,防范化解行業(yè)網(wǎng)絡(luò)安全風(fēng)險隱患,近日,證監(jiān)會起草發(fā)布了《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)》(以下簡稱《辦法》)。
《辦法》共八章六十六條,主要包括證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理體系、網(wǎng)絡(luò)安全運行、數(shù)據(jù)安全統(tǒng)籌管理、網(wǎng)絡(luò)安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全促進與發(fā)展、監(jiān)督管理與法律責(zé)任等方面內(nèi)容。
《辦法》第三條指出,核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)遵循保障安全、促進 發(fā)展的原則,建立健全網(wǎng)絡(luò)安全防護體系,提升網(wǎng)絡(luò)安全保障水平,確保網(wǎng)絡(luò)安全與信息化工作同步推進,促進本機構(gòu)相關(guān)工作穩(wěn)妥健康發(fā)展。
證監(jiān)會將依法履行監(jiān)督管理職責(zé),具體如下:
組織制定并推動落實證券期貨業(yè)網(wǎng)絡(luò)安全和信息 化發(fā)展規(guī)劃、監(jiān)管規(guī)則和行業(yè)標(biāo)準(zhǔn);
負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全的監(jiān)督管理,對證券期 貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施進行監(jiān)管;
負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全重大技術(shù)路線、重大科 技項目管理;
組織開展證券期貨業(yè)數(shù)據(jù)安全統(tǒng)籌管理;
負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全應(yīng)急演練、應(yīng)急處置和 事件報告與調(diào)查處理;
指導(dǎo)證券期貨業(yè)網(wǎng)絡(luò)安全促進與發(fā)展;
法律法規(guī)規(guī)定的其他網(wǎng)絡(luò)安全監(jiān)管職責(zé)。
同時,證監(jiān)會建立集中管理、分級負(fù)責(zé)的證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理體制。中國證監(jiān)會科技監(jiān)管部門統(tǒng)一對證券期貨業(yè)網(wǎng)絡(luò)安全實施監(jiān)督管理。中國證監(jiān)會其他部門配合開展相關(guān)工作。
中國證監(jiān)會派出機構(gòu)對本轄區(qū)經(jīng)營機構(gòu)和信息技術(shù)服務(wù)機構(gòu)網(wǎng)絡(luò)安全實施監(jiān)督管理。中證信息技術(shù)服務(wù)有限責(zé)任公司在中國證監(jiān)會指導(dǎo)下,為證券期貨業(yè)網(wǎng)絡(luò)安全監(jiān)督管理提供專業(yè)協(xié)助和支撐。
《辦法》第十條則指出,核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)明確主要負(fù)責(zé)人為本機構(gòu)網(wǎng)絡(luò)安全第一責(zé)任人,分管科技工作的負(fù)責(zé)人為直接 責(zé)任人。核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全工作協(xié)調(diào)和決策機制,保障網(wǎng)絡(luò)安全第一責(zé)任人和直接責(zé)任人履行職責(zé)。
核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制,設(shè)定監(jiān)測指標(biāo),持續(xù)監(jiān)測信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施的運行狀況,及時處置異常情形,對監(jiān)測機制執(zhí)行效果進行定期評估并持續(xù)優(yōu)化。核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)全面、準(zhǔn)確記錄并妥善保存生產(chǎn)運營過程中的業(yè)務(wù)日志和系統(tǒng)日志,確保滿足故障分析、內(nèi)部控制、調(diào)查取證等工作的需要。業(yè)務(wù)日志保存期限不得 少于二十年,系統(tǒng)日志保存期限不得少于六個月。
在數(shù)據(jù)安全統(tǒng)籌管理方面,一是從制度機制、組織架構(gòu)、行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)、權(quán)限管理、質(zhì)量評估、防范泄露損毀等方面,明確證券期貨業(yè)的具體要求。二是配套上位要求,對數(shù)據(jù)分類分級、個人信息保護、規(guī)范信息發(fā)布等方面作進一步強調(diào)。三是為建立證券期貨業(yè)戰(zhàn)略備份數(shù)據(jù)中心預(yù)留制度空間,提升行業(yè)極限災(zāi)難應(yīng)對能力。
其中,第二十三條指出,核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)履行數(shù)據(jù)安全管理責(zé)任,包括但不限于以下方面:
建立健全數(shù)據(jù)安全管理制度體系,完善數(shù)據(jù)運營和管控機制;
健全數(shù)據(jù)安全管理組織架構(gòu),明確數(shù)據(jù)安全管理權(quán)責(zé)機制;
依據(jù)行業(yè)相關(guān)數(shù)據(jù)標(biāo)準(zhǔn),制定覆蓋本機構(gòu)全部業(yè)務(wù)數(shù)據(jù)的相關(guān)標(biāo)準(zhǔn),實施與業(yè)務(wù)特點相適應(yīng)的數(shù)據(jù)分類分級 管理;
建立數(shù)據(jù)權(quán)限管理策略,按照最小授權(quán)原則設(shè)置數(shù)據(jù)訪問權(quán)限,定期排查清理,并對數(shù)據(jù)訪問記錄進行留痕 審計;
構(gòu)建數(shù)據(jù)質(zhì)量評估框架,建立質(zhì)量管控和追責(zé)機制;
法律法規(guī)及中國證監(jiān)會規(guī)定的其他事項。
《辦法》第二十七條指出,核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立信息發(fā)布審核機制,加強對本機構(gòu)和用戶發(fā)布信息的管理,發(fā)現(xiàn)違反法律法規(guī)和有關(guān)監(jiān)管規(guī)定的,應(yīng)當(dāng)立即停止發(fā)布傳輸,采取必要的處置措施,防止信息擴散,積極消除負(fù)面影響,并及時向中國證監(jiān)會及其派出機構(gòu)報告。 信息技術(shù)服務(wù)機構(gòu)為證券期貨業(yè)務(wù)活動提供產(chǎn)品或者服務(wù)的,應(yīng)當(dāng)按照前款規(guī)定執(zhí)行。
在網(wǎng)絡(luò)安全應(yīng)急處置方面,核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全風(fēng)險監(jiān)測預(yù)警機制,加強日常監(jiān)測,定期開展漏洞掃描、安全評估等工作;開展網(wǎng)絡(luò)安全應(yīng)急演練,頻率不低于每年一次,并于演練后 15 個工作日內(nèi)將相關(guān)情況報告中國證監(jiān)會。
附:《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)》原文