【短讯】证券期货业网络安全新规出台，确保系统性能容量为历史峰值3倍以上，提升自主研发和安全可控能力:动态焦点

【资料图】

（记者 林坚）继去年4月征求意见时隔近一年后，证监会3月3日正式发布《证券期货业网络安全管理办法》，对新时期下证券期货业网络安全管理予以全面规范。新规将于今年5月1日起正式实施。图为《证券期货业网络安全管理办法》发布记者留意到，此次证监会发布的《证券期货业网络和信息安全管理办法》聚焦网络和信息安全领域，在总结实践经验的基础上，为上位法在证券期货行业的落地实施明确了路径，全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体，以安全保障为基本原则，对网络和信息安全管理提出规范要求。《办法》共八章七十五条。某华东地区券商IT部门负责人告诉记者，“此次新规是2012年《证券期货业信息安全保障管理办法》（证监会令第82号）以来更新的一版，将《证券法》《网安法》《数安法》《个保法》等内容予以吸纳，对于经营机构来说，其落地将为券商后续信息技术建设指明更清楚的方向。”证监会表示，《办法》也充分吸收采纳了过去一年的合理意见。经记者梳理，新规具有以下十大核心要点以及七大看点。1. 证券期货业关键信息基础设施运营者应当对关键信息基础设施的安全运行进行持续监测，定期开展压力测试，发现系统性能和网络容量不足的，应当及时采取系统升级、扩容等处置措施，确保系统性能容量在历史峰值的三倍以上，交易时段相关网络带宽应当在近一年使用峰值的两倍以上。2. 核心机构（包括证券期货交易场所、证券登记结算机构等承担证券期货市场公共职能、承担证券期货业信息技术公共基础设施运营的证券期货市场核心机构及其承担上述相关职能的下属机构）和经营机构（指证券公司、期货公司和基金管理公司）应当每年至少开展一次重要信息系统压力测试；发现市场较大波动，重要信息系统的性能容量可能无法保障安全平稳运行的，应当及时对相关信息系统开展压力测试。3. 核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力，掌握执行程序和源代码并安全可靠存放。经营机构应当根据自身发展需要，加强自主研发能力建设，持续提升自主可控能力。4. 核心机构和经营机构通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的，应当将投资者账号信息、身份证号码等敏感个人信息进行脱敏处理。5. 核心机构应当组织与本机构信息系统和网络通信设施相关联主体开展网络安全应急演练，每年至少开展一次，并于演练后15个工作日内将相关情况报告证监会。6. 证券期货业关键信息基础设施运营者应当每年至少进行一次网络和信息安全检测和风险评估，对发现的安全问题及时整改。7. 鼓励核心机构、经营机构和信息技术系统服务机构（为证券期货业务活动提供重要信息系统的开发、测试、集成、测评、运维及日常安全管理等产品或者服务的机构）在依法合规的前提下，积极开展网络和信息安全技术应用工作，运用新技术提升网络和信息安全保障水平。8. 核心机构和经营机构应当加强本机构网络和信息安全宣传与教育，每年至少开展一次全员网络和信息安全教育活动，提升员工网络和信息安全意识。9. 核心机构和经营机构应当于每年4月30日前，完成对上一年网络和信息安全工作的专项评估，编制网络和信息安全管理年报，报送中国证监会及其派出机构。10. 境内开展证券公司客户交易结算资金第三方存管业务、期货保证金存管业务的商业银行，证券投资咨询机构，基金托管机构和从事公开募集基金的销售、销售支付、份额登记、估值、投资顾问、评价等基金服务业务的机构，从事证券期货业务活动的经营机构子公司，借助自身运维管理的信息系统从事证券投资活动且存续产品涉及基金份额持有人账户合计一千人以上的私募证券投资基金管理人，应当根据相关信息系统网络和信息安全管理的特点，参照适用该办法。记者发现，不少机构主体每年至少要完成网络安全应急演练、网络和信息安全检测和风险评估、网络和信息安全教育活动等三件大事。看点一：提升自主研发和安全可控能力除了上述十大核心看点，整体来看，《办法》主要内容包括网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等六大内容。聚焦网络和信息安全运行，《办法》督促行业机构建立健全网络和信息安全管理体制机制，提升安全运行保障能力，具体表现在以下六个方面：一是要求核心机构、经营机构具有完善的治理架构，强化管理层责任，指定或设立牵头部门，保障资源投入。二是对核心机构、经营机构的信息系统和相关基础设施提出基本要求，明确等级保护义务。三是要求核心机构、经营机构审慎开展系统新建、变更和移除，充分评估技术和业务风险，保证充分测试，及时履行投资者告知义务，加强网络和信息安全日常监测。四是要求核心机构、经营机构建立网络和信息安全防护体系，明确数据备份、信息系统备份有关要求，常态化开展压力测试。五是强化核心机构、经营机构对供应商的管理，督促信息技术系统服务机构履行备案义务，提升自主研发和安全可控能力，加强知识产权保护。六是明确安全信息发布和行业数据备份中心相关要求。看点二：防止个人信息的泄露、篡改、丢失《办法》对投资者个人信息保护予以了多项明确，包括：一是明确核心机构和经营机构处理投资者个人信息的基本原则，要求建立健全投资者个人信息保护体系和管理机制，履行保护义务。二是明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求。三是提出核心机构和经营机构在网络安全防护边界外处理投资者个人信息的技术要求，防范化解信息泄露风险。四是对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。其中，《办法》提到，核心机构和经营机构利用生物特征进行客户身份认证的，应当对其必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式，强制客户同意收集其个人生物特征信息。此外，《办法》还提到，核心机构和经营机构处理投资者个人信息时，应当确保个人信息在收集、存储、使用、加工、传输、提供、公开、删除等处理过程中的合规、安全，防止个人信息的泄露、篡改、丢失。看点三：建立风险监测预警体制网络和信息安全应急处置是《办法》的重要内容，提出了三大细分要求：一是建立风险监测预警体制，加强日常漏洞扫描、安全评估，及时消除风险隐患；二是完善应急预案的应急场景和处置流程，要求定期开展应急演练；三是强化网络安全事件报告和调查处理工作，明确故障排查、相关方告知等工作要求。看点四：关键信息基础设施安全保护《办法》还对关键信息基础设施安全保护进行了明确，其提出，要落实国家关于关键信息基础设施的安全保护要求，结合行业特点，从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面，对关键信息基础设施运营者提出进一步的督导要求。看点五：开展行业网络和信息安全技术应用网络和信息安全促进与发展关于资本市场的平稳运行。《办法》从五个方面提出了要求：一是鼓励相关机构在依法合规、风险可控、不损害投资者利益的前提下，开展行业网络和信息安全技术应用。二是核心机构、经营机构可以在保障自身信息系统安全的前提下，为行业提供信息基础设施服务。三是建立金融科技创新监管机制，加强网络和信息安全监管专业支撑，核心机构可以申请国家相关专业资质，开展行业网络和信息安全相关认证、检测、测试和风险评估等工作。四是强化行业人才队伍建设，定期开展网络和信息安全宣传与教育。五是发挥行业协会作用，引导技术创新与应用，组织科技奖励，促进行业科技进步、市场公平竞争看点六：规定相应罚则，明确创新容错制度《办法》对不同机构的监督管理与法律责任予以了细致的明确。一是规定行业机构的报告义务和流程要求。二是建立健全行业网络和信息安全态势感知工作机制，开展风险隐患行业通报。三是明确证监会及其派出机构可以委托专业机构采用渗透测试、漏洞扫描和风险评估等方式对行业机构开展监督检查。四是对重要时期的网络和信息安全保障工作明确制度安排。五是依据上位要求，结合违法违规的具体情形，规定相应罚则，并规定创新容错相关制度安排。其中，《办法》明确提到，经营机构和信息技术系统服务机构违反本办法规定的，中国证监会及其派出机构可以对其采取责令改正、监管谈话、出具警示函、责令公开说明、责令定期报告、责令增加内部合规检查次数等监管措施；对直接责任人和其他责任人员采取责令改正、监管谈话、出具警示函等监管措施；情节严重的，对相关机构及责任人员单处或者并处警告、十万元以下罚款，涉及金融安全且有危害后果的，并处二十万元以下罚款。看点七：行业网络安全面临新情况、新问题记者注意到，为何要在这个时间节点出台《证券期货业网络安全管理办法》，或有助于更好地理解制定上述细则的初衷。从管理办法起草思路的角度出发，可以看到，近年来，证券期货业机构对网络安全的重视程度大幅提升，组织架构和制度体系持续优化，信息技术投入逐年增加，行业网络安全运行态势总体平稳。但是，随着行业数字化加速发展、网络安全上升为国家战略、资本市场持续深化改革等内外部条件的变化，证券期货业网络安全面临的新情况新问题逐渐凸显。不难发现，新规的出台契合了证券期货业的发展趋势，尤其是对于券商而言，近年来，不少券商出现了宕机以及交易故障等危及信息安全的事件。而就在过去的2022年，券商发力金融科技步入“新基建”时代，纷纷试图构建体系化的数智金融服务能力，通过战略、组织、思维、文化、工具、模式等来全面推进数字化转型，而实现这个目标的最大前提就是保障系统安全平稳运行，保障业务的安全性、稳定性和连续性是券商展业的基石之一。就在不久前，包括招商证券、海通证券、广发证券、银河证券、国信证券、中泰证券、国金证券以及中金公司等券商刚接受了记者采访。券商普遍反馈，在当前日益严峻的内外部网络安全形势下，安全是券商数字化转型的第一生命线。券商高度重视信息系统安全，并从管理制度、基础设施、运营团队、应急管理、技术保障、宣传教育等方面多管齐下为公司系统安全运行保驾护航。国金证券信息技术部有关部门负责人受访时表示，“让金融服务更高效、更可靠”是券商的使命，也是技术优化的服务目标。国金证券正将安全生产及信息科技运行管理工作纳入规范化管理框架下，形成持续优化的风险管理机制，能够满足金融机构保障用户信息安全的需求。据了解，该券商近期正式通过了中国网络安全审查技术与认证中心CCRC审核，获得ISO27001信息安全管理体系认证。这一方面，已有海通证券、东方证券、安信证券等券商持续深耕中。