⑴ 《證券期貨業網路和信息安全管理辦法》發布,要求管控關基和信息安全風險
為有效執行《網路安全法》、《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》等相關法規,以規范證券期貨業網路和信息安全管理,防範化解行業網路和信息安全風險,確保資本市場安全平穩高效運行,中國證監會於近期發布了《證券期貨業網路和信息安全管理辦法》(以下簡稱《管理辦法》),並將於2023年5月1日開始實施。
隨著行業數字化和智能化進程的加速,網路和信息安全上升為國家戰略,資本市場持續深化改革,數據安全攻擊呈現出高頻、高損、高顯化特徵。證券期貨業務場景的特殊性和復雜性,導致了新情況和新問題的出現。一方面,行業網路和信息安全形勢日益嚴峻復雜;另一方面,法律法規的上位要求有待進一步執行;同時,監管實踐成果制度化仍需加強。基於此,進一步完善證券期貨業網路和信息安全監管制度體系變得必要。
《管理辦法》明確要求建立網路和信息安全防護體系,全面覆蓋了證券期貨關鍵信息基礎設施運營者、核心機構、經營機構、信息技術系統服務機構等主體,以安全保障為基本原則,對網路和信息安全管理提出規范要求。
在基礎設施與技術應用方面,強調穩定運行和風險管控,通過量化指標解決網路安全監測預警和應急處置能力,使機構能夠更高效地應對風險事件。
在數據安全層面,強化數據安全管理,提出建立健全數據安全管理制度體系、完善數據運營和管控機制,明確數據安全管理組織架構、權責機制,制定數據分類分級管理等要求。
應急處置方面,《管理辦法》要求建立風險監測預警體制,完善應急預案和應急場景處置流程,定期開展應急演練,並強化網路安全事件報告和調查處理。
針對關鍵信息基礎設施安全,《管理辦法》要求落實國家關鍵信息基礎設施安全保護要求,結合行業特點,從組織保障、建設評審、監測評估、采購管理、性能容量、災難備份等方面,對關鍵信息基礎設施運營者提出更高要求。
在安全治理層面,《管理辦法》督促行業機構建立健全網路和信息安全管理體制機制,強化管理層責任,指定或設立牽頭部門,確保資源投入。
通過《管理辦法》的要求,道普信息風險管控專家提出,應構建以合規為底線、以技術為保障的網路安全防護體系,採用多規管理融合、數據安全治理、安全運營體系等手段,構建證券期貨業網路和信息安全管理的防護框架,以提升行業安全保障能力。
在多規管理融合方面,基於網路安全責任制、等級保護、關鍵基礎設施保護、密碼應用、數據安全、個人信息保護等監管要求,進行等保、密碼、關鍵基礎設施保護等多規測評,針對風險提出改進建議,幫助證券行業完成合規整改。
健全數據安全治理體系,通過數據治理體系建設,開發創新數據服務,建立覆蓋數據全生命周期的「數據管理機制、數據管理平台、數據開放平台」框架,實現數據的資產化、可視化、服務化,保障數據的核心價值。
強化數據安全風險評估,對數據全生命周期進行風險識別和評估,提升數據安全保障能力、風險發現能力,確保數據安全風險可控。
構建動態安全防護體系,從運營管理、運營運行、運行技術三方面,構建具備一體化分析識別、安全防護、監測評估、監測預警、主動防禦、事件處置功能的安全保障體系,形成終端防護、邊界隔離與威脅監測的安全方案,實現安全運營,保障網路安全。
近年來,隨著法律法規和行業標準的出台,網路安全體系建設的監管要求日益嚴格。《網路安全法》、《數據安全法》將信息安全和數據安全提升至國家戰略層面,作為國家金融活動重要入口的證券期貨業,匯聚了大量敏感、重要的金融數據,對網路和數據安全有天然需求。以下為證券行業已出台的部分網路和數據安全政策規范。
1. 《證券公司信息技術管理規范》(JR/T 0023-2004)實施時間:2005年3月
主要內容:提出證券公司應建立健全網路安全體系,統一制定公司網路安全策略和技術方案,遵循技術保護和管理保護相結合的原則。
2. 《關於做好證券業重要信息系統安全等級保護定級工作的通知》發布時間:2007年9月
主要內容:要求各證券、基金公司完成本單位的定級工作,定級時需謹慎、全面考慮,科學、合理定級。
3. 《證信辦證券期貨經營機構信息系統備份能力標准》實施時間:2011年4月
主要內容:明確了證券期貨經營機構信息系統備份能力的含義和等級。
4. 《證券期貨業信息安全管理辦法》實施時間:2012年11月
主要內容:強調「誰運行、誰負責,誰使用、誰負責」、安全優先、保障發展的原則。
5. 《金融行業信息安全等級保護測評服務安全指引》(JR/T 0073-2012)實施時間:2012年7月
主要內容:明確金融行業等級保護測評服務機構在金融機構開展信息系統安全等級保護測評工作的安全、人員、過程、測評對象、工具等方面的基本要求。
6. 《證券期貨業信息系統運維管理規范》(JR/T 0099—2012)實施時間:2013年1月
主要內容:明確提出對運維管理制度和流程評估、文檔與配置評估、數據有效性評估、整體安全狀況評估、運維人員履職能力評估等。
7. 《證券期貨業信息系統審計規范》(JR/T 0112—2014)實施時間:2014年12月
主要內容:規定了證券期貨業信息系統審計工作的要求。
8. 《證券期貨業信息系統審計指南 第5部分:證券公司》實施時間:2016年11月
主要內容:依據國家和行業信息系統規范和標准,對信息系統規劃、建設、運維和應急活動進行自我檢查和評估。
9. 《證券期貨業信息系統託管基本要求》(JR/T 0133—2015)實施時間:2016年1月
主要內容:提供了行業統一的信息系統託管標准。
10. 《證券基金經營機構信息技術管理辦法》實施時間:2019年6月
主要內容:強調治理、安全、合規三條主線,對信息技術治理、數據治理、業務合規提出監管要求,明確經營機構應設立信息技術治理委員會和首席信息官,促進信息技術與業務、風控及合規管理深度融合。
11. 《證券期貨業數據分類分級指引》發布時間:2018年9月
主要內容:給出了證券期貨業數據分類分級方法概述及具體描述,並對數據分類分級中的關鍵問題處理給出建議。
12. 《證券期貨業機構內部企業服務匯流排實施規范》發布時間:2018年9月
主要內容:規定了企業服務匯流排的技術結構與組成、服務生命周期以及項目組織管理,並給出了典型應用場景。
13. 《證券期貨業網路安全等級保護基本要求》(JR/T 0060—2021)實施時間:2021年9月
主要內容:規定了證券期貨業網路安全等級保護的總體要求和第一級到第四級等級保護對象的安全通用及擴展要求,適用於分等級的非涉密對象的安全建設和監督管理。
14. 《證券期貨業網路安全等級保護測評要求》(JR/T 0067—2021)實施時間:2021年9月
主要內容:規定了證券期貨業網路安全等級保護的等級測評方法、測評要求、整體測評以及測評結論。
15. 《證券期貨業網路安全事件報告與調查處理辦法》實施時間:2021年6月
主要內容:旨在規范證券期貨業網路安全事件的報告和調查處理,減少網路安全事件的發生。
16. 《證券期貨業數據安全管理與保護指引》R/T 0250—2022實施時間:2022年11月
主要內容:從數據安全管理基本原則、組織架構、制度、技術等方面提供指導,規范行業機構開展數據安全管理和保護工作,提升行業數據安全管理水平。