《证券期货业网络和信息安全管理办法》解读

中国证监会于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》。

中国证监会于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》。

一、新规出台背景

经过近11个月的意见征求之后,中国证监会于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》(以下简称《办法》), 并将于2023年5月1日起正式实施。《办法》的主要内容包括网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置以及关键信息基础设施安全保护等,旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法律法规要求,并为证券期货业网络和信息安全管理提供了契合行业特性的高阶指导、具体要求以及量化标准。

《办法》的第二章在网络和信息安全运行方面中投入了大量篇幅,从较为宏观的健全制度、厘清责任,到更为细节的信息备份频率及性能容量指标,无不体现了监管部门对不同成熟度阶段适用对象如何落实新规的考虑。

另外,原征求意见稿中的“数据安全统筹管理”被替换为“投资者个人信息保护”,从多个维度提出了对个人信息保护的相关要求,如信息收集的告知同意、最小必要原则、生命周期管理、个人信息脱敏、个人生物特征信息等,体现了行业监管对个人信息保护的重视程度。

图1

▲注:在《办法》发布的不久之后,国务院机构改革方案出炉,中国证监会调整为国务院直属机构。“国家金融监督管理总局”在原银保监会基础上组建,同时并入了人民银行和中国证监会的部分职责,包括:1)人民银行的对金融控股公司等金融集团的日常监管以及有关金融消费者保护职责,2)中国证监会的投资者保护职责。

二、《办法》适用对象

《办法》适用于以下对象:

  1. 境内建设、运营、维护、使用网络及信息系统的核心机构经营机构
  2. 为证券期货业务活动提供产品或者服务的网络和信息安全保障的信息技术系统服务机构
  3. 以及,为证券期货业务活动提供网络和信息安全的监督管理的信息技术系统服务机构
图2

▲注:境内开展证券公司客户交易结算资金第三方存管业务、期货保证金存管业务的商业银行,证券投资咨询机构,基金托管机构和从事公开募集基金的销售、销售支付、份额登记、估值、投资顾问、评价等基金服务业务的机构,从事证券期货业务活动的经营机构子公司,借助自身运维管理的信息系统从事证券投资活动且存续产品涉及基金份额持有人账户合计一千人以上的私募证券投资基金管理人,应当根据相关信息系统网络和信息安全管理的特点,参照适用《办法》。

核心机构和经营机构设立信息科技专业子公司,为母公司提供信息科技服务的,信息科技专业子公司应当按照《办法》落实网络和信息安全相关要求。

三、《办法》与旧监管要求的主要变化

毕马威将正式发布的《办法》与2022年的征求意见稿,以及过往的行业监管要求(包括《证券基金经营机构信息技术管理办法》、《证券期货业信息安全保障管理办法》、《证券期货业信息系统运维管理规范》、《证券期货经营机构信息技术治理工作指引(试行)》、《证券期货业网络安全事件报告与调查处理办法》、《证券期货业网络安全等级保护基本要求》、《证券期货业经营机构内部应用系统日志规范》等)进行比对,并分析总结了主要区别。对于大部分证券公司、期货公司和基金管理公司等证券期货经营机构最主要的三大影响及可以考虑的应对措施如下

图3

具体的《办法》与过往监管要求的比对及主要区别,请参见下列表格:

 内容 【218号令】条款 比对过往监管要求 主要区别

管理制度

第九条 核心机构和经营机构应当具有完善的信息技术治理架构,健全网络和信息安全管理制度体系,建立内部决策、管理、执行和监督机制,确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配。……

《证券期货业信息安全保障管理办法》:
第十七条 核心机构和经营机构应当建立完善的信息技术管理制度和操作规程,并严格执行。

《证券基金经营机构信息技术管理办法》:
第六条 证券基金经营机构应当完善信息技术运用过程中的权责分配机制,建立健全信息技术管理制度和操作流程,保障与业务活动规模及复杂程度相适应的信息技术投入水平,持续满足信息技术资源的可用性、安全性与合规性要求。

有效衔接《网络安全法》、《数据安全法》等上位要求,在原有较为全面的信息技术管理制度基础之上,新办法强调突出网络和信息安全管理方面的制度完善和要求细分。

岗位责任

第十条 核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。……

《证券期货经营机构信息技术治理工作指引(试行)》:
第十三条 公司总经理对IT治理的有效性及IT安全负有最终责任,公司应指定具有IT专业工作经验的高级管理人员作为公司IT治理的直接责任人,并设立IT总监或其它类似职位的IT专职负责人。

《证券基金经营机构信息技术管理办法》:
第十一条 证券基金经营机构应当设立信息技术管理部门或指定专门机构(以下统称信息技术管理部门)负责实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理等工作。

在原有较为宽泛的IT治理职责基础之上,新办法强调突出了网络和信息安全工作的第一责任人、直接责任人和牵头部门。

同时,相比征求意见稿,正式发文弱化了“核心机构和经营机构应当配备网络安全专职人员”的要求。

第十一条 核心机构和经营机构应当指定或者设立网络和信息安全工作牵头部门或者机构,负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等工作。

等级保护

第十四条 核心机构和经营机构应当落实网络安全等级保护制度,依法履行网络安全等级保护义务,按照国家和证券期货业网络安全等级保护相关要求,开展网络和信息系统定级备案、等级测评和安全建设等工作。 ……

《证券期货业网络安全等级保护基本要求》规定了证券期货业网络安全等级保护的总体要求,以及第一级到第四级等级保护对象的安全通用要求和安全扩展要求,适用于证券期货业分等级的非涉密对象的安全建设和监督管理。

《证券期货业信息系统审计规范》:
A.1.5.1.2 方案设计b)以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案(本项适用于:信息系统等级保护二级系统);f)根据等级划分情况,统一规划总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文。(本项适用于:信息系统等级保护三级系统)。

有效衔接《网络安全法》等上位要求,在以往行业标准和审计规范的基础之上,正式在行业监督管理办法之中明确提出了网络安全等级保护的要求,包括定级备案、测评等。

系统上线

第十五条 核心机构和经营机构新建上线、运行变更、下线移除重要信息系统的,应当充分评估技术和业务风险,制定风险防控措施、应急处置和回退方案,并对相关结果进行复核验证;……

《证券期货业信息安全保障管理办法》:
第二十二条 核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。

《证券基金经营机构信息技术管理办法》:
第二十一条 证券基金经营机构应当建立独立于生产环境的专用开发测试环境,避免风险传导;开发测试环境使用未脱敏数据的,应当采取与生产环境同等的安全控制措施。……

《证券期货业信息系统运维管理规范》:
6.2.3 证券期货机构应根据系统上线要求制定测试方案,确定采用的测试方法和测试流程。……
6.3.3 变更申请人应提交正式的变更申请,申请中应有明确的变更方案,内容至少包括:目标、对象、时间、人员、紧急程度、操作步骤、测试方案、实施方案、风险防控措施、应急预案、回退方案等。

在原有较为笼统的系统开发流程要求基础之上,新办法结合运维管理规范的要求,细化了重要信息系统的开发及变更流程中风控、测试、应急、回退环节等要求。

同时,新办法针对测试环境内敏感数据的脱敏要求,与以往的监管规定基本保持一致。

第十六条 核心机构和经营机构在重要信息系统上线、变更前应当制定全面的测试方案,持续完善测试用例和测试数据,并保障测试的有效执行。

除必须使用敏感数据的情形外,核心机构和经营机构应当对测试环境涉及的敏感数据进行脱敏,对未脱敏数据须采取与生产环境同等的安全控制措施。……

安全监测

第十八条 ……核心机构和经营机构应当全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志,确保满足故障分析、内部控制、调查取证等工作的需要。重要信息系统业务日志应当保存五年以上系统日志应当保存六个月以上

《证券基金经营机构信息技术管理办法》:
第二十五条 证券基金经营机构应当妥善保存信息系统开发、测试、上线、变更及运维过程中产生的文档,并根据业务开展情况以及信息系统的重要程度建立与监测工作相适应的日志留痕机制,确保满足应急处置和审计需要。

《证券期货业经营机构内部应用系统日志规范》:
7.2 备份归档 b) 安全级别为高的应用系统,日志保存时间建议至少为 36 个月;安全级别为中或者低的应用系统,日志保存时间建议至少为12 个月;IT 基础设备和系统的日志保存时间建议至少为 12 个月。

新办法将重要信息系统的日志细分为业务日志和系统日志,并明确了相应的保存期限,其中业务日志的保存期限显著高于以往要求。

但同时,相比征求意见稿,正式发文弱化了“业务日志保存期限不得少于二十年”的要求。

安全防护

第十九条 核心机构和经营机构应当构建网络和信息安全防护体系,综合采取网络隔离、用户认证、访问控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等安全保障措施,提升网络和信息安全防护能力,及时识别、阻断相关网络攻击,保护重要信息系统和相关基础设施,防范信息泄露与损毁。

《证券期货业信息安全保障管理办法》:
第十二条 核心机构和经营机构应当设置合理的网络结构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力。
第十五条 核心机构和经营机构应当具有防范木马、病毒等恶意代码的能力,防止恶意代码对信息系统造成破坏,防止信息泄露或者被篡改。

《证券基金经营机构信息技术管理办法》:
第三十一条 证券基金经营机构应当完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施,保护经营数据和客户信息安全,防范信息泄露与损毁。

新办法在网络和信息安全防护方面,新增列举了策略管理、网络安全态势感知等近年来较为普及的安全保障措施。

备份管理

第二十条 核心机构和经营机构应当建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证。……

《证券基金经营机构信息技术管理办法》:
第四十一条 证券基金经营机构应当确保备份系统与生产系统具备同等的处理能力,保持备份数据与原始数据的一致性。重要信息系统应当符合下列信息系统备份能力等级要求:
(一)实时信息系统、非实时信息系统的数据备份能力应当达到第一级。……

《证券期货经营机构信息系统备份能力标准》附录《证券期货经营机构信息系统备份能力表》第一级要求:至少每天备份数据一次;备份介质应当在本地机房、同城及异地安全可靠存放;每季度至少对数据备份进行一次有效性验证。

新办法结合重要信息系统的备份能力标准,明确了本地、同城和异地数据备份的要求,以及相应的备份频率,与以往的监管规定基本保持一致。

压力测试

第二十一条 核心机构和经营机构应当每年至少开展一次重要信息系统压力测试;发现市场较大波动,重要信息系统的性能容量可能无法保障安全平稳运行的,应当及时对相关信息系统开展压力测试。……测试完成后形成压力测试报告存档备查,并保存五年以上
核心机构和经营机构重要信息系统的性能容量应当在历史峰值的两倍以上。……经营机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之八十以下

《证券基金经营机构信息技术管理办法》:
第二十三条 证券基金经营机构应当结合公司发展战略、市场交易规模等因素定期对重要信息系统开展压力测试和评估分析,确保其容量满足业务开展需要。

在原有较为笼统的“定期”要求基础之上,新办法明确了重要信息系统压力测试的频率为“每年至少开展一次”、压力测试报告“保存五年以上”,另外新增了重要信息系统性能容量的量化标准。

但同时,相比征求意见稿,正式发文弱化了“至少每半年开展一次重要信息系统压力测试”的要求。

信息发布

第二十五条 核心机构和经营机构应当建立信息发布审核机制,加强对本机构和本机构运营平台发布信息的管理,……

《证券期货业信息系统审计规范》:
A.2.1.1.2 d) 建立信息发布管理审核制度;安全管理制度是否通过正式、有效的方式发布。

新办法在以往审计规范的基础之上,正式在信息技术类的行业监督管理办法之中明确提出了信息发布的要求。

知识产权

第二十八条 核心机构和经营机构应当按照知识产权相关法律法规,制定知识产权保护策略和制度,不侵犯他人的知识产权,并采取有效措施保护本机构自主知识产权。

《证券期货业信息安全保障管理办法》:
第三十七条 核心机构和经营机构在采购软硬件产品或者技术服务时,应当与供应商签订合同和保密协议,并在合同和保密协议中明确约定信息安全和保密的权利和义务。……

考虑到证券期货业内信息系统建设任务明显增加,为了提升自主研发和安全可控能力,新办法提出了建立知识产权保护相关方面制度的要求。

个保体系

第三十条 ……建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制,……
第三十一条 ……明确告知投资者处理个人信息的目的、方式、范围和隐私保护政策不得超范围收集和使用投资者个人信息,不得收集提供服务非必要的投资者个人信息。……
第三十二条 ……应当确保个人信息在收集、存储、使用、加工、传输、提供、公开、删除等处理过程中的合规、安全……
第三十三条 核心机构和经营机构应当依法依规向第三方机构提供投资者个人信息,明确告知投资者个人信息处理目的、处理方式、个人信息种类、保存期限、保护措施以及相关方的权利和义务等,并取得投资者个人单独同意,履行法定职责或者法定义务的情形除外。

《证券基金经营机构信息技术管理办法》:
第十四条 证券基金经营机构借助信息技术手段从事证券基金业务活动前,应当开展内部审查,验证下列事项并建立存档记录:
(三) 具备完善的信息安全防护措施,能够保障经营数据和客户信息的安全、完整;……
第三十四条 证券基金经营机构应当建立健全数据安全管理制度,不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据。在收集使用客户信息之前,证券基金经营机构应当公开收集、使用的规则和目的,并征得客户同意。……

有效衔接《个人信息保护法》等上位要求,在原有较为宽泛的信息管理制度基础之上,强调突出了个人信息保护的管理机制,并明确了需要告知隐私保护政策以及取得单独同意的情形。同时,不得过度收集的要求与以往的监管规定基本保持一致。

个人信息脱敏

第三十四条 核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的,应当采取数据脱敏、数据加密等措施,……核心机构和经营机构通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的,应当将投资者账号信息、身份证号码等敏感个人信息进行脱敏处理

《证券基金经营机构信息技术管理办法》:
第二十一条 证券基金经营机构应当建立独立于生产环境的专用开发测试环境,避免风险传导;开发测试环境使用未脱敏数据的,应当采取与生产环境同等的安全控制措施。……

有效衔接《个人信息保护法》等上位要求,在原有的开发测试环境情形以外,新办法另外明确了网络安全防护边界以外、非自主运营渠道发送情形中的数据脱敏要求。

生物特征

第三十五条 核心机构和经营机构利用生物特征进行客户身份认证的,应当对其必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,强制客户同意收集其个人生物特征信息。

《网络数据安全管理条例(征求意见稿)》:
第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。……

新办法结合网信办的安全管理要求,首次在行业监督管理办法之中明确提出了生物特征的要求。

应急预案

第三十七条 核心机构和经营机构应当根据业务影响分析情况,建立健全网络安全应急预案,明确应急目标、应急组织和处置流程,应急场景应当覆盖网络安全事件、自然灾害和公共卫生事件、本机构网络和信息安全相关重大人事变动、主要信息技术系统服务机构退出等情形。
第三十八条 ……核心机构和经营机构应当定期开展网络安全应急演练,并形成应急演练报告存档备查。

《证券基金经营机构信息技术管理办法》:
第三十八条 ……证券基金经营机构应急预案应当充分考虑重要信息系统故障、相关信息技术服务机构无法继续提供服务、证券基金经营机构信息技术高管或重要技术团队发生重大变动以及自然灾害等可能影响重要信息系统平稳运行的事件。

《证券期货业信息系统运维管理规范》:
7.1.5 证券期货机构应制定网络与信息安全事件应急预案,……
7.1.8 b) 每半年应至少组织一次网络与信息安全应急演练。

在原有的应急场景基础之上,新办法强调突出了网络安全事件、本机构网络和信息安全相关重大人事变动的情形。同时,新办法并未明确网络安全应急演练的执行频率,具体执行标准可以参考以往的系统运维管理规范。

应急处置

第三十九条 核心机构和经营机构应当建立应急处置机制,及时处置网络安全事件,尽快恢复信息系统正常运行,保护事件现场和相关证据,向中国证监会及其派出机构进行应急报告,……
第四十一条 核心机构和经营机构发生网络安全事件,对投资者造成影响的,应当及时通过官方网站、客户交易终端、电话或者邮件等有效渠道通知相关方可以采取的替代方式或者应急措施,……

《证券期货业信息安全保障管理办法》:
第三十二条 核心机构和经营机构应当建立信息安全应急处置机制,及时处置突发信息安全事件,尽快恢复信息系统的正常运行,并按照规定进行报告,不得迟报、漏报、瞒报。……

《证券基金经营机构信息技术管理办法》:
第四十条 证券基金经营机构应当在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式等信息,提示客户防范和应对可能出现的风险。

《证券期货业网络安全事件报告与调查处理办法》规范了网络和信息安全事件、自然灾害引起的网络安全事件处理流程。

在原有的应急处置要求基础之上,新办法强调突出了保护事件现场和相关证据,对于留痕提出了一定的要求。

组织保障

第四十三条 证券期货业关键信息基础设施运营者应当将关键信息基础设施安全保护情况纳入网络和信息安全工作第一责任人、直接责任人和相关人员的责任考核机制
四十四条 证券期货业关键信息基础设施运营者应当指定专门机构或者部门负责关键信息基础设施安全保护管理工作,为每个关键信息基础设施指定网络和信息安全管理责任人,依法认定网络安全关键岗位,配备充足的网络和信息安全人员,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查

《关键信息基础设施安全保护条例》:
第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。

新办法结合《关键信息基础设施安全保护条例》,正式在行业监督管理办法之中以“证券期货业关键信息基础设施运营者”作为主体提出管理要求,并明确将网络和信息安全纳入责任考核机制。

同时,相比征求意见稿,正式发文弱化了“配备至少五名网络安全专职人员”的要求。

安全监测

第四十八条 证券期货业关键信息基础设施运营者应当对关键信息基础设施的安全运行进行持续监测,定期开展压力测试,发现系统性能和网络容量不足的,应当及时采取系统升级、扩容等处置措施,确保系统性能容量在历史峰值的三倍以上,交易时段相关网络带宽应当在近一年使用峰值的两倍以上

《证券基金经营机构信息技术管理办法》:
第二十三条 证券基金经营机构应当结合公司发展战略、市场交易规模等因素定期对重要信息系统开展压力测试和评估分析,确保其容量满足业务开展需要。

不同于对核心机构和经营机构的性能容量要求,新办法对于证券期货业关键信息基础设施运营者提出了更高的量化标准。

但同时,相比征求意见稿,正式发文弱化了“网络带宽不得低于历史峰值的两倍”的要求。

宣传与教育

第五十五条 核心机构和经营机构应当加强本机构网络和信息安全宣传与教育,每年至少开展一次全员网络和信息安全教育活动,提升员工网络和信息安全意识。……

《证券期货业信息安全保障管理办法》:
第三十四条 核心机构和经营机构应当对信息技术人员进行培训,确保其具有履行岗位职责的能力。

《证券期货业网络安全等级保护基本要求》中针对第一级到第四级系统,要求应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。

有效衔接《网络安全法》、《数据安全法》等上位要求,在原有较为宽泛的信息技术培训之上,新办法强调突出网络和信息安全教育培训。

网络和信息安全管理年报

第五十九条 核心机构和经营机构应当于每年4月30日前,完成对上一年网络和信息安全工作的专项评估,编制网络和信息安全管理年报,报送中国证监会及其派出机构,年报内容包括但不限于网络和信息安全治理情况、人员情况、投入情况、风险情况、处置情况和下一年度工作计划等。……

《证券基金经营机构信息技术管理办法》:
第五十三条 证券基金经营机构应当在报送年度报告的同时报送年度信息技术管理专项报告,说明报告期内信息技术治理、信息技术合规与风险管理、信息技术安全管理、信息技术审计等执行本办法规定的情况。……

在证监会要求的信息科技管理专项报告等其他年度信息科技类报告基础之上,新办法新增了《网络和信息安全管理年报》相关要求,并明确了年报内容和报送期限。

▲注:《办法》于2023年5月1日正式施行后,证监会此前发布的《证券期货业信息安全保障管理办法》同时废止。

四、新规落地时关注要点

核心机构和经营机构在推进新规落地时,可重点围绕以下要点制定切实可行的实施方案,以提升本机构的安全保障水平。

建立和完善信息技术治理体系

  • 建立完善的信息技术治理架构以及网络和信息安全管理制度体系;
  • 明确主要负责人为本机构网络和信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人,同时指定或设立网络和信息安全工作牵头部门或机构;
  • 落实网络安全等级保护制度,按相关要求开展网络和信息系统定级备案、等级测评和安全建设等工作。

设置可靠的安全运营量化指标

  • 重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上;
  • 应当建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证;
  • 每年至少开展一次重要信息系统压力测试,测试完成后形成压力测试报告存档备查,并保存五年以上;
  • 重要信息系统的性能容量应当在历史峰值的两倍以上;
  • 核心机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之五十以下,经营机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之八十以下。

建立健全投资者个人信息保护体系

  • 建立健全投资者个人信息保护体系,加强对投资者个人信息的保护;
  • 依法依规处理投资者个人信息,遵循“告知同意,最小必要”原则;
  • 依法依规向第三方提供投资者的个人信息,并取得个人投资者的单独同意;
  • 在本机构网络安全防护边界以外处理投资者个人信息时,需采取技术措施加强个人信息保护;
  • 对利用生物特征进行客户身份认证的必要性和安全性进行风险评估。不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,进而强制客户同意收集其个人生物特征信息

提升安全应急处置能力

  • 建立健全网络安全应急预案,并定期开展网络安全应急演练;
  • 建立应急处置机制,明确事件报告流程。

加强关键基础设施安全防护

  • 将关键信息基础设施安全保护情况纳入责任考核机制;
  • 对关键信息基础设施进行持续性的安全检测和定期风险评估;
  • 建立本地、同城和异地数据备份设施,实现数据同步保存。

五、毕马威可提供服务

毕马威在证券期货业网络与信息安全合规咨询领域具有非常丰富的经验。我们的客户涵盖了业内众多的证券期货业核心机构与经营机构,服务领域涵盖了信息技术全面审计、网络安全合规、数据安全与个人信息保护、等级保护制度咨询、跨境数据合规咨询等,协助我们的客户开展摸家底、找差距、建体系、落控制、勤优化的多步走策略,最终达成安全合规和安全管控能力的总体提升。

图4

为了协助我们证券期货行业客户提升安全合规能力,毕马威针对《证券期货业网络安全管理办法》提供个人信息安全保护体系建设咨询、网络安全合规咨询、等级保护制度咨询、网络和信息安全专项评估、信息技术全面/专项审计等服务。通过结合毕马威以往的行业合规服务经验,以及《办法》的具体要求,从治理结构、制度与机制保障、基础设施与技术保障等多个维度出发,协助客户快速全面识别当前经营活动过程中的合规薄弱环节,明确未来的重点建设领域及完善方向,在关键领域给出切实可行的改进建议,切实帮助机构打好网络和信息安全合规基础。

联系我们

张楚东
金融业主管合伙人
毕马威中国

王国蓓
证券及基金业主管合伙人
毕马威中国

郑昊
证券及基金业咨询主管合伙人
毕马威中国

黄小熠
证券及基金业合伙人
毕马威中国

张令琪
网络与信息安全咨询主管合伙人
毕马威中国

董常凌
信息科技风险管理与鉴证服务主管合伙人
毕马威中国

周文韬
网络与信息安全咨询总监
毕马威中国

张立弘
信息科技风险管理与鉴证服务总监
毕马威中国