⑴ 《证券期货业网络和信息安全管理办法》发布,要求管控关基和信息安全风险
为有效执行《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法规,以规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,确保资本市场安全平稳高效运行,中国证监会于近期发布了《证券期货业网络和信息安全管理办法》(以下简称《管理办法》),并将于2023年5月1日开始实施。
随着行业数字化和智能化进程的加速,网络和信息安全上升为国家战略,资本市场持续深化改革,数据安全攻击呈现出高频、高损、高显化特征。证券期货业务场景的特殊性和复杂性,导致了新情况和新问题的出现。一方面,行业网络和信息安全角势日益严峻复杂;另一方面,法律法规的上位要求有待进一步执行;同时,监管实践成果制度化仍需加强。基于此,进一步完善证券期货业网络和信息安全监管制度体系变得必要。
《管理办法》明确要求建立网络和信息安全防护体系,全面覆盖了证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求。
在基础设施与技术应用方面,强调稳定运行和风险管控,通过量化指标解决网络安全监测预警和应急处置能力,使机构能够更高效地应对风险事件。
在数据安全层面,强化数据安全管理,提出建立健全数据安全管理制度体系、完善数据运营和管控机制,明确数据安全管理组织架构、权责机制,制定数据分类分级管理等要求。
应急处置方面,《管理办法》要求建立风险监测预警体制,完善应急预案和应急场景处置流程,定期开展应急演练,并强化网络安全事件报告和调查处理。
针对关键信息基础设施安全,《管理办法》要求落实国家关键信息基础设施安全保护要求,结合行业特点,从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面,对关键信息基础设施运营者提出更高要求。
在安全治理层面,《管理办法》督促行业机构建立健全网络和信息安全管理体制机制,强化管理层责任,指定或设立牵头部门,确保资源投入。
通过《管理办法》的要求,道普信息风险管控专家提出,应构建以合规为底线、以技术为保障的网络安全防护体系,采用多规管理融合、数据安全治理、安全运营体系等手段,构建证券期货业网络和信息安全管理的防护框架,以提升行业安全保障能力。
在多规管理融合方面,基于网络安全责任制、等级保护、关键基础设施保护、密码应用、数据安全、个人信息保护等监管要求,进行等保、密码、关键基础设施保护等多规测评,针对风险提出改进建议,帮助证券行业完成合规整改。
健全数据安全治理体系,通过数据治理体系建设,开发创新数据服务,建立覆盖数据全生命周期的“数据管理机制、数据管理平台、数据开放平台”框架,实现数据的资产化、可视化、服务化,保障数据的核心价值。
强化数据安全风险评估,对数据全生命周期进行风险识别和评估,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。
构建动态安全防护体系,从运营管理、运营运行、运行技术三方面,构建具备一体化分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能的安全保障体系,形成终端防护、边界隔离与威胁监测的安全方案,实现安全运营,保障网络安全。
近年来,随着法律法规和行业标准的出台,网络安全体系建设的监管要求日益严格。《网络安全法》、《数据安全法》将信息安全和数据安全提升至国家战略层面,作为国家金融活动重要入口的证券期货业,汇聚了大量敏感、重要的金融数据,对网络和数据安全有天然需求。以下为证券行业已出台的部分网络和数据安全政策规范。
1. 《证券公司信息技术管理规范》(JR/T 0023-2004)实施时间:2005年3月
主要内容:提出证券公司应建立健全网络安全体系,统一制定公司网络安全策略和技术方案,遵循技术保护和管理保护相结合的原则。
2. 《关于做好证券业重要信息系统安全等级保护定级工作的通知》发布时间:2007年9月
主要内容:要求各证券、基金公司完成本单位的定级工作,定级时需谨慎、全面考虑,科学、合理定级。
3. 《证信办证券期货经营机构信息系统备份能力标准》实施时间:2011年4月
主要内容:明确了证券期货经营机构信息系统备份能力的含义和等级。
4. 《证券期货业信息安全管理办法》实施时间:2012年11月
主要内容:强调“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。
5. 《金融行业信息安全等级保护测评服务安全指引》(JR/T 0073-2012)实施时间:2012年7月
主要内容:明确金融行业等级保护测评服务机构在金融机构开展信息系统安全等级保护测评工作的安全、人员、过程、测评对象、工具等方面的基本要求。
6. 《证券期货业信息系统运维管理规范》(JR/T 0099—2012)实施时间:2013年1月
主要内容:明确提出对运维管理制度和流程评估、文档与配置评估、数据有效性评估、整体安全状况评估、运维人员履职能力评估等。
7. 《证券期货业信息系统审计规范》(JR/T 0112—2014)实施时间:2014年12月
主要内容:规定了证券期货业信息系统审计工作的要求。
8. 《证券期货业信息系统审计指南 第5部分:证券公司》实施时间:2016年11月
主要内容:依据国家和行业信息系统规范和标准,对信息系统规划、建设、运维和应急活动进行自我检查和评估。
9. 《证券期货业信息系统托管基本要求》(JR/T 0133—2015)实施时间:2016年1月
主要内容:提供了行业统一的信息系统托管标准。
10. 《证券基金经营机构信息技术管理办法》实施时间:2019年6月
主要内容:强调治理、安全、合规三条主线,对信息技术治理、数据治理、业务合规提出监管要求,明确经营机构应设立信息技术治理委员会和首席信息官,促进信息技术与业务、风控及合规管理深度融合。
11. 《证券期货业数据分类分级指引》发布时间:2018年9月
主要内容:给出了证券期货业数据分类分级方法概述及具体描述,并对数据分类分级中的关键问题处理给出建议。
12. 《证券期货业机构内部企业服务总线实施规范》发布时间:2018年9月
主要内容:规定了企业服务总线的技术结构与组成、服务生命周期以及项目组织管理,并给出了典型应用场景。
13. 《证券期货业网络安全等级保护基本要求》(JR/T 0060—2021)实施时间:2021年9月
主要内容:规定了证券期货业网络安全等级保护的总体要求和第一级到第四级等级保护对象的安全通用及扩展要求,适用于分等级的非涉密对象的安全建设和监督管理。
14. 《证券期货业网络安全等级保护测评要求》(JR/T 0067—2021)实施时间:2021年9月
主要内容:规定了证券期货业网络安全等级保护的等级测评方法、测评要求、整体测评以及测评结论。
15. 《证券期货业网络安全事件报告与调查处理办法》实施时间:2021年6月
主要内容:旨在规范证券期货业网络安全事件的报告和调查处理,减少网络安全事件的发生。
16. 《证券期货业数据安全管理与保护指引》R/T 0250—2022实施时间:2022年11月
主要内容:从数据安全管理基本原则、组织架构、制度、技术等方面提供指导,规范行业机构开展数据安全管理和保护工作,提升行业数据安全管理水平。