《证券期货业网络和信息安全管理办法》解读
中国证监会于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》。
中国证监会于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》。
一、新规出台背景
经过近11个月的意见征求之后,中国证监会于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》(以下简称《办法》), 并将于2023年5月1日起正式实施。《办法》的主要内容包括网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置以及关键信息基础设施安全保护等,旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法律法规要求,并为证券期货业网络和信息安全管理提供了契合行业特性的高阶指导、具体要求以及量化标准。
《办法》的第二章在网络和信息安全运行方面中投入了大量篇幅,从较为宏观的健全制度、厘清责任,到更为细节的信息备份频率及性能容量指标,无不体现了监管部门对不同成熟度阶段适用对象如何落实新规的考虑。
另外,原征求意见稿中的“数据安全统筹管理”被替换为“投资者个人信息保护”,从多个维度提出了对个人信息保护的相关要求,如信息收集的告知同意、最小必要原则、生命周期管理、个人信息脱敏、个人生物特征信息等,体现了行业监管对个人信息保护的重视程度。
▲注:在《办法》发布的不久之后,国务院机构改革方案出炉,中国证监会调整为国务院直属机构。“国家金融监督管理总局”在原银保监会基础上组建,同时并入了人民银行和中国证监会的部分职责,包括:1)人民银行的对金融控股公司等金融集团的日常监管以及有关金融消费者保护职责,2)中国证监会的投资者保护职责。
二、《办法》适用对象
《办法》适用于以下对象:
- 在境内建设、运营、维护、使用网络及信息系统的核心机构和经营机构;
- 为证券期货业务活动提供产品或者服务的网络和信息安全保障的信息技术系统服务机构;
- 以及,为证券期货业务活动提供网络和信息安全的监督管理的信息技术系统服务机构。
▲注:境内开展证券公司客户交易结算资金第三方存管业务、期货保证金存管业务的商业银行,证券投资咨询机构,基金托管机构和从事公开募集基金的销售、销售支付、份额登记、估值、投资顾问、评价等基金服务业务的机构,从事证券期货业务活动的经营机构子公司,借助自身运维管理的信息系统从事证券投资活动且存续产品涉及基金份额持有人账户合计一千人以上的私募证券投资基金管理人,应当根据相关信息系统网络和信息安全管理的特点,参照适用《办法》。
核心机构和经营机构设立信息科技专业子公司,为母公司提供信息科技服务的,信息科技专业子公司应当按照《办法》落实网络和信息安全相关要求。
三、《办法》与旧监管要求的主要变化
毕马威将正式发布的《办法》与2022年的征求意见稿,以及过往的行业监管要求(包括《证券基金经营机构信息技术管理办法》、《证券期货业信息安全保障管理办法》、《证券期货业信息系统运维管理规范》、《证券期货经营机构信息技术治理工作指引(试行)》、《证券期货业网络安全事件报告与调查处理办法》、《证券期货业网络安全等级保护基本要求》、《证券期货业经营机构内部应用系统日志规范》等)进行比对,并分析总结了主要区别。对于大部分证券公司、期货公司和基金管理公司等证券期货经营机构最主要的三大影响及可以考虑的应对措施如下:
具体的《办法》与过往监管要求的比对及主要区别,请参见下列表格:
| 内容 | 【218号令】条款 | 比对过往监管要求 | 主要区别 |
|---|---|---|---|
管理制度 |
第九条 核心机构和经营机构应当具有完善的信息技术治理架构,健全网络和信息安全管理制度体系,建立内部决策、管理、执行和监督机制,确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配。…… |
《证券期货业信息安全保障管理办法》: |
有效衔接《网络安全法》、《数据安全法》等上位要求,在原有较为全面的信息技术管理制度基础之上,新办法强调突出网络和信息安全管理方面的制度完善和要求细分。 |
岗位责任 |
第十条 核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。…… |
《证券期货经营机构信息技术治理工作指引(试行)》: |
在原有较为宽泛的IT治理职责基础之上,新办法强调突出了网络和信息安全工作的第一责任人、直接责任人和牵头部门。 |
第十一条 核心机构和经营机构应当指定或者设立网络和信息安全工作牵头部门或者机构,负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等工作。 |
|||
等级保护 |
第十四条 核心机构和经营机构应当落实网络安全等级保护制度,依法履行网络安全等级保护义务,按照国家和证券期货业网络安全等级保护相关要求,开展网络和信息系统定级备案、等级测评和安全建设等工作。 …… |
《证券期货业网络安全等级保护基本要求》规定了证券期货业网络安全等级保护的总体要求,以及第一级到第四级等级保护对象的安全通用要求和安全扩展要求,适用于证券期货业分等级的非涉密对象的安全建设和监督管理。 |
有效衔接《网络安全法》等上位要求,在以往行业标准和审计规范的基础之上,正式在行业监督管理办法之中明确提出了网络安全等级保护的要求,包括定级备案、测评等。 |
系统上线 |
第十五条 核心机构和经营机构新建上线、运行变更、下线移除重要信息系统的,应当充分评估技术和业务风险,制定风险防控措施、应急处置和回退方案,并对相关结果进行复核验证;…… |
《证券期货业信息安全保障管理办法》: |
在原有较为笼统的系统开发流程要求基础之上,新办法结合运维管理规范的要求,细化了重要信息系统的开发及变更流程中风控、测试、应急、回退环节等要求。 |
第十六条 核心机构和经营机构在重要信息系统上线、变更前应当制定全面的测试方案,持续完善测试用例和测试数据,并保障测试的有效执行。 |
|||
安全监测 |
第十八条 ……核心机构和经营机构应当全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志,确保满足故障分析、内部控制、调查取证等工作的需要。重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上。 |
《证券基金经营机构信息技术管理办法》: |
新办法将重要信息系统的日志细分为业务日志和系统日志,并明确了相应的保存期限,其中业务日志的保存期限显著高于以往要求。 |
安全防护 |
第十九条 核心机构和经营机构应当构建网络和信息安全防护体系,综合采取网络隔离、用户认证、访问控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等安全保障措施,提升网络和信息安全防护能力,及时识别、阻断相关网络攻击,保护重要信息系统和相关基础设施,防范信息泄露与损毁。 |
《证券期货业信息安全保障管理办法》: |
新办法在网络和信息安全防护方面,新增列举了策略管理、网络安全态势感知等近年来较为普及的安全保障措施。 |
备份管理 |
第二十条 核心机构和经营机构应当建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证。…… |
《证券基金经营机构信息技术管理办法》: |
新办法结合重要信息系统的备份能力标准,明确了本地、同城和异地数据备份的要求,以及相应的备份频率,与以往的监管规定基本保持一致。 |
压力测试 |
第二十一条 核心机构和经营机构应当每年至少开展一次重要信息系统压力测试;发现市场较大波动,重要信息系统的性能容量可能无法保障安全平稳运行的,应当及时对相关信息系统开展压力测试。……测试完成后形成压力测试报告存档备查,并保存五年以上。 |
《证券基金经营机构信息技术管理办法》: |
在原有较为笼统的“定期”要求基础之上,新办法明确了重要信息系统压力测试的频率为“每年至少开展一次”、压力测试报告“保存五年以上”,另外新增了重要信息系统性能容量的量化标准。 |
信息发布 |
第二十五条 核心机构和经营机构应当建立信息发布审核机制,加强对本机构和本机构运营平台发布信息的管理,…… |
《证券期货业信息系统审计规范》: |
新办法在以往审计规范的基础之上,正式在信息技术类的行业监督管理办法之中明确提出了信息发布的要求。 |
知识产权 |
第二十八条 核心机构和经营机构应当按照知识产权相关法律法规,制定知识产权保护策略和制度,不侵犯他人的知识产权,并采取有效措施保护本机构自主知识产权。 |
《证券期货业信息安全保障管理办法》: |
考虑到证券期货业内信息系统建设任务明显增加,为了提升自主研发和安全可控能力,新办法提出了建立知识产权保护相关方面制度的要求。 |
个保体系 |
第三十条 ……建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制,…… |
《证券基金经营机构信息技术管理办法》: |
有效衔接《个人信息保护法》等上位要求,在原有较为宽泛的信息管理制度基础之上,强调突出了个人信息保护的管理机制,并明确了需要告知隐私保护政策以及取得单独同意的情形。同时,不得过度收集的要求与以往的监管规定基本保持一致。 |
个人信息脱敏 |
第三十四条 核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的,应当采取数据脱敏、数据加密等措施,……核心机构和经营机构通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的,应当将投资者账号信息、身份证号码等敏感个人信息进行脱敏处理。 |
《证券基金经营机构信息技术管理办法》: |
有效衔接《个人信息保护法》等上位要求,在原有的开发测试环境情形以外,新办法另外明确了网络安全防护边界以外、非自主运营渠道发送情形中的数据脱敏要求。 |
生物特征 |
第三十五条 核心机构和经营机构利用生物特征进行客户身份认证的,应当对其必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,强制客户同意收集其个人生物特征信息。 |
《网络数据安全管理条例(征求意见稿)》: |
新办法结合网信办的安全管理要求,首次在行业监督管理办法之中明确提出了生物特征的要求。 |
应急预案 |
第三十七条 核心机构和经营机构应当根据业务影响分析情况,建立健全网络安全应急预案,明确应急目标、应急组织和处置流程,应急场景应当覆盖网络安全事件、自然灾害和公共卫生事件、本机构网络和信息安全相关重大人事变动、主要信息技术系统服务机构退出等情形。 |
《证券基金经营机构信息技术管理办法》: |
在原有的应急场景基础之上,新办法强调突出了网络安全事件、本机构网络和信息安全相关重大人事变动的情形。同时,新办法并未明确网络安全应急演练的执行频率,具体执行标准可以参考以往的系统运维管理规范。 |
应急处置 |
第三十九条 核心机构和经营机构应当建立应急处置机制,及时处置网络安全事件,尽快恢复信息系统正常运行,保护事件现场和相关证据,向中国证监会及其派出机构进行应急报告,…… |
《证券期货业信息安全保障管理办法》: |
在原有的应急处置要求基础之上,新办法强调突出了保护事件现场和相关证据,对于留痕提出了一定的要求。 |
组织保障 |
第四十三条 证券期货业关键信息基础设施运营者应当将关键信息基础设施安全保护情况纳入网络和信息安全工作第一责任人、直接责任人和相关人员的责任考核机制。 |
《关键信息基础设施安全保护条例》: |
新办法结合《关键信息基础设施安全保护条例》,正式在行业监督管理办法之中以“证券期货业关键信息基础设施运营者”作为主体提出管理要求,并明确将网络和信息安全纳入责任考核机制。 |
安全监测 |
第四十八条 证券期货业关键信息基础设施运营者应当对关键信息基础设施的安全运行进行持续监测,定期开展压力测试,发现系统性能和网络容量不足的,应当及时采取系统升级、扩容等处置措施,确保系统性能容量在历史峰值的三倍以上,交易时段相关网络带宽应当在近一年使用峰值的两倍以上。 |
《证券基金经营机构信息技术管理办法》: |
不同于对核心机构和经营机构的性能容量要求,新办法对于证券期货业关键信息基础设施运营者提出了更高的量化标准。 |
宣传与教育 |
第五十五条 核心机构和经营机构应当加强本机构网络和信息安全宣传与教育,每年至少开展一次全员网络和信息安全教育活动,提升员工网络和信息安全意识。…… |
《证券期货业信息安全保障管理办法》: |
有效衔接《网络安全法》、《数据安全法》等上位要求,在原有较为宽泛的信息技术培训之上,新办法强调突出网络和信息安全教育培训。 |
网络和信息安全管理年报 |
第五十九条 核心机构和经营机构应当于每年4月30日前,完成对上一年网络和信息安全工作的专项评估,编制网络和信息安全管理年报,报送中国证监会及其派出机构,年报内容包括但不限于网络和信息安全治理情况、人员情况、投入情况、风险情况、处置情况和下一年度工作计划等。…… |
《证券基金经营机构信息技术管理办法》: |
在证监会要求的信息科技管理专项报告等其他年度信息科技类报告基础之上,新办法新增了《网络和信息安全管理年报》相关要求,并明确了年报内容和报送期限。 |
▲注:《办法》于2023年5月1日正式施行后,证监会此前发布的《证券期货业信息安全保障管理办法》同时废止。
四、新规落地时关注要点
核心机构和经营机构在推进新规落地时,可重点围绕以下要点制定切实可行的实施方案,以提升本机构的安全保障水平。
建立和完善信息技术治理体系
- 建立完善的信息技术治理架构以及网络和信息安全管理制度体系;
- 明确主要负责人为本机构网络和信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人,同时指定或设立网络和信息安全工作牵头部门或机构;
- 落实网络安全等级保护制度,按相关要求开展网络和信息系统定级备案、等级测评和安全建设等工作。
设置可靠的安全运营量化指标
- 重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上;
- 应当建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证;
- 每年至少开展一次重要信息系统压力测试,测试完成后形成压力测试报告存档备查,并保存五年以上;
- 重要信息系统的性能容量应当在历史峰值的两倍以上;
- 核心机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之五十以下,经营机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之八十以下。
建立健全投资者个人信息保护体系
- 建立健全投资者个人信息保护体系,加强对投资者个人信息的保护;
- 依法依规处理投资者个人信息,遵循“告知同意,最小必要”原则;
- 依法依规向第三方提供投资者的个人信息,并取得个人投资者的单独同意;
- 在本机构网络安全防护边界以外处理投资者个人信息时,需采取技术措施加强个人信息保护;
- 对利用生物特征进行客户身份认证的必要性和安全性进行风险评估。不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,进而强制客户同意收集其个人生物特征信息
提升安全应急处置能力
- 建立健全网络安全应急预案,并定期开展网络安全应急演练;
- 建立应急处置机制,明确事件报告流程。
加强关键基础设施安全防护
- 将关键信息基础设施安全保护情况纳入责任考核机制;
- 对关键信息基础设施进行持续性的安全检测和定期风险评估;
- 建立本地、同城和异地数据备份设施,实现数据同步保存。
五、毕马威可提供服务
毕马威在证券期货业网络与信息安全合规咨询领域具有非常丰富的经验。我们的客户涵盖了业内众多的证券期货业核心机构与经营机构,服务领域涵盖了信息技术全面审计、网络安全合规、数据安全与个人信息保护、等级保护制度咨询、跨境数据合规咨询等,协助我们的客户开展摸家底、找差距、建体系、落控制、勤优化的多步走策略,最终达成安全合规和安全管控能力的总体提升。
为了协助我们证券期货行业客户提升安全合规能力,毕马威针对《证券期货业网络安全管理办法》提供个人信息安全保护体系建设咨询、网络安全合规咨询、等级保护制度咨询、网络和信息安全专项评估、信息技术全面/专项审计等服务。通过结合毕马威以往的行业合规服务经验,以及《办法》的具体要求,从治理结构、制度与机制保障、基础设施与技术保障等多个维度出发,协助客户快速全面识别当前经营活动过程中的合规薄弱环节,明确未来的重点建设领域及完善方向,在关键领域给出切实可行的改进建议,切实帮助机构打好网络和信息安全合规基础。
