证监会网络安全审查

A. 《证券期货业网络和信息安全管理办法》发布，要求管控关基和信息安全风险

为有效执行《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法规，以规范证券期货业网络和信息安全管理，防范化解行业网络和信息安全风险，确保资本市场安全平稳高效运行，中国证监会于近期发布了《证券期货业网络和信息安全管理办法》（以下简称《管理办法》），并将于2023年5月1日开始实施。

随着行业数字化和智能化进程的加速，网络和信息安全上升为国家战略，资本市场持续深化改革，数据安全攻击呈现出高频、高损、高显化特征。证券期货业务场景的特殊性和复杂性，导致了新情况和新问题的出现。一方面，行业网络和信息安全角势日益严峻复杂；另一方面，法律法规的上位要求有待进一步执行；同时，监管实践成果制度化仍需加强。基于此，进一步完善证券期货业网络和信息安全监管制度体系变得必要。

《管理办法》明确要求建立网络和信息安全防护体系，全面覆盖了证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等主体，以安全保障为基本原则，对网络和信息安全管理提出规范要求。

在基础设施与技术应用方面，强调稳定运行和风险管控，通过量化指标解决网络安全监测预警和应急处置能力，使机构能够更高效地应对风险事件。

在数据安全层面，强化数据安全管理，提出建立健全数据安全管理制度体系、完善数据运营和管控机制，明确数据安全管理组织架构、权责机制，制定数据分类分级管理等要求。

应急处置方面，《管理办法》要求建立风险监测预警体制，完善应急预案和应急场景处置流程，定期开展应急演练，并强化网络安全事件报告和调查处理。

针对关键信息基础设施安全，《管理办法》要求落实国家关键信息基础设施安全保护要求，结合行业特点，从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面，对关键信息基础设施运营者提出更高要求。

在安全治理层面，《管理办法》督促行业机构建立健全网络和信息安全管理体制机制，强化管理层责任，指定或设立牵头部门，确保资源投入。

通过《管理办法》的要求，道普信息风险管控专家提出，应构建以合规为底线、以技术为保障的网络安全防护体系，采用多规管理融合、数据安全治理、安全运营体系等手段，构建证券期货业网络和信息安全管理的防护框架，以提升行业安全保障能力。

在多规管理融合方面，基于网络安全责任制、等级保护、关键基础设施保护、密码应用、数据安全、个人信息保护等监管要求，进行等保、密码、关键基础设施保护等多规测评，针对风险提出改进建议，帮助证券行业完成合规整改。

健全数据安全治理体系，通过数据治理体系建设，开发创新数据服务，建立覆盖数据全生命周期的“数据管理机制、数据管理平台、数据开放平台”框架，实现数据的资产化、可视化、服务化，保障数据的核心价值。

强化数据安全风险评估，对数据全生命周期进行风险识别和评估，提升数据安全保障能力、风险发现能力，确保数据安全风险可控。

构建动态安全防护体系，从运营管理、运营运行、运行技术三方面，构建具备一体化分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能的安全保障体系，形成终端防护、边界隔离与威胁监测的安全方案，实现安全运营，保障网络安全。

近年来，随着法律法规和行业标准的出台，网络安全体系建设的监管要求日益严格。《网络安全法》、《数据安全法》将信息安全和数据安全提升至国家战略层面，作为国家金融活动重要入口的证券期货业，汇聚了大量敏感、重要的金融数据，对网络和数据安全有天然需求。以下为证券行业已出台的部分网络和数据安全政策规范。

1. 《证券公司信息技术管理规范》（JR/T 0023-2004）实施时间：2005年3月

主要内容：提出证券公司应建立健全网络安全体系，统一制定公司网络安全策略和技术方案，遵循技术保护和管理保护相结合的原则。

2. 《关于做好证券业重要信息系统安全等级保护定级工作的通知》发布时间：2007年9月

主要内容：要求各证券、基金公司完成本单位的定级工作，定级时需谨慎、全面考虑，科学、合理定级。

3. 《证信办证券期货经营机构信息系统备份能力标准》实施时间：2011年4月

主要内容：明确了证券期货经营机构信息系统备份能力的含义和等级。

4. 《证券期货业信息安全管理办法》实施时间：2012年11月

主要内容：强调“谁运行、谁负责，谁使用、谁负责”、安全优先、保障发展的原则。

5. 《金融行业信息安全等级保护测评服务安全指引》（JR/T 0073-2012）实施时间：2012年7月

主要内容：明确金融行业等级保护测评服务机构在金融机构开展信息系统安全等级保护测评工作的安全、人员、过程、测评对象、工具等方面的基本要求。

6. 《证券期货业信息系统运维管理规范》(JR/T 0099—2012)实施时间：2013年1月

主要内容：明确提出对运维管理制度和流程评估、文档与配置评估、数据有效性评估、整体安全状况评估、运维人员履职能力评估等。

7. 《证券期货业信息系统审计规范》(JR/T 0112—2014)实施时间：2014年12月

主要内容：规定了证券期货业信息系统审计工作的要求。

8. 《证券期货业信息系统审计指南 第5部分：证券公司》实施时间：2016年11月

主要内容：依据国家和行业信息系统规范和标准，对信息系统规划、建设、运维和应急活动进行自我检查和评估。

9. 《证券期货业信息系统托管基本要求》(JR/T 0133—2015)实施时间：2016年1月

主要内容：提供了行业统一的信息系统托管标准。

10. 《证券基金经营机构信息技术管理办法》实施时间：2019年6月

主要内容：强调治理、安全、合规三条主线，对信息技术治理、数据治理、业务合规提出监管要求，明确经营机构应设立信息技术治理委员会和首席信息官，促进信息技术与业务、风控及合规管理深度融合。

11. 《证券期货业数据分类分级指引》发布时间：2018年9月

主要内容：给出了证券期货业数据分类分级方法概述及具体描述，并对数据分类分级中的关键问题处理给出建议。

12. 《证券期货业机构内部企业服务总线实施规范》发布时间：2018年9月

主要内容：规定了企业服务总线的技术结构与组成、服务生命周期以及项目组织管理，并给出了典型应用场景。

13. 《证券期货业网络安全等级保护基本要求》（JR/T 0060—2021）实施时间：2021年9月

主要内容：规定了证券期货业网络安全等级保护的总体要求和第一级到第四级等级保护对象的安全通用及扩展要求，适用于分等级的非涉密对象的安全建设和监督管理。

14. 《证券期货业网络安全等级保护测评要求》（JR/T 0067—2021）实施时间：2021年9月

主要内容：规定了证券期货业网络安全等级保护的等级测评方法、测评要求、整体测评以及测评结论。

15. 《证券期货业网络安全事件报告与调查处理办法》实施时间：2021年6月

主要内容：旨在规范证券期货业网络安全事件的报告和调查处理，减少网络安全事件的发生。

16. 《证券期货业数据安全管理与保护指引》R/T 0250—2022实施时间：2022年11月

主要内容：从数据安全管理基本原则、组织架构、制度、技术等方面提供指导，规范行业机构开展数据安全管理和保护工作，提升行业数据安全管理水平。

B. 证券期货业信息安全事件报告与调查处理办法的办法内容

第一章总则
第一条为了规范证券期货业信息安全事件的报告和调查处理，减少信息安全事件的发生，根据《证券法》、《证券投资基金法》、《证券公司监督管理条例》、《期货交易管理条例》、《证券期货业信息安全保障管理办法》等法律、行政法规和规章，制定本办法。第二条证券期货业信息安全事件是指证券期货业信息系统运行异常或者数据损毁、泄露，对投资者合法权益造成损害或者对证券期货市场造成不良影响的事件。第三条证券期货业信息安全保障责任主体发生信息安全事件后，应当按本办法规定进行报告和调查处理。前款所称责任主体，包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构（以下简称核心机构），证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构（以下简称经营机构）。第四条核心机构、经营机构发生信息安全事件后，应当及时、准确、完整报告，不得迟报、漏报、谎报或者瞒报。第五条信息安全事件调查处理应当坚持实事求是、尊重科学、客观公正、及时稳妥的原则。第六条发生信息安全事件的核心机构和经营机构应当对事件进行内部调查，追究责任，采取整改措施。第七条中国证监会及其派出机构依据本办法规定对核心机构、经营机构的信息安全事件进行调查处理。第八条信息安全事件相关的核心机构、经营机构、软硬件产品或者技术服务供应商应当配合中国证监会及其派出机构和发生事件的机构对事件进行调查和处理。
第二章事件分级
第九条根据信息安全事件对投资者合法权益造成损害，或者对证券期货市场造成不良影响的程度，事件分为特别重大事件、重大事件、较大事件、一般事件。第十条特别重大事件是指对投资者合法权益造成特别严重损害或者对证券期货市场造成特别严重影响的信息安全事件。符合下列情形之一的为特别重大事件：（一）证券交易所交易、通信、行情发布系统在开市前无法正常启动或者中断达到20分钟以上，或者受影响营业部或者交易单元比例达到20%以上，或者交易中断的证券只数达到20%以上的。（二）期货交易所交易业务系统全部中断，影响交易时间累计2小时以上的；结算交割业务系统中断，影响下一交易日正常开市的。（三）中国证券登记结算公司登记结算系统瘫痪、短期内无法恢复且何日恢复无法预知，对公司全部业务或者整个市场造成重大影响的。（四）有效客户数在100万人以上的证券公司、期货公司集中交易系统或者网上交易系统全部中断，影响交易时间累计2小时以上的。（五）有效客户数在100万人以上的证券公司、期货公司结算系统发生故障，在开市前未能完成前一交易日的结算或者结算数据出现重大错误，影响投资者正常交易的。（六）基金销售、会计核算或者注册登记系统发生严重故障，且备份系统预计在8小时内无法恢复，影响100万人以上投资者当日或者后续交易日基金正常申购赎回的。（七）100万人以上的投资者数据发生损毁或者错误等异常情况，影响当日或者后续交易日正常交易的。（八）100万人以上的投资者数据发生泄露的。（九）其他对投资者合法权益、证券期货市场造成特别严重影响的事件。第十一条重大事件是指对投资者合法权益造成严重损害或者对证券期货市场造成严重影响的信息安全事件。符合下列情形之一，且未达到特别重大事件的为重大事件：（一）证券交易所交易、通信、行情发布系统中断达到10分钟以上，或者受影响营业部或者交易单元比例达到10%以上，或者交易中断的证券只数达到10%以上的；（二）期货交易所交易业务系统全部中断，影响交易时间累计30分钟以上的；（三）中国证券登记结算公司登记结算系统故障，影响下一个交易日的正常开市或者业务开展，可能导致整个市场当日某项业务不能正常进行的；（四）有效客户数在10万人以上的证券公司、期货公司集中交易系统或者网上交易系统全部中断，影响交易时间累计30分钟以上的；（五）有效客户数在10万人以上的证券公司、期货公司结算系统发生故障，在开市前未能完成前一交易日的结算或者结算数据出现重大错误，影响投资者正常交易的；（六）基金销售、会计核算或者注册登记系统发生严重故障，且备份系统预计在4小时内无法恢复，影响10万人以上投资者当日或者后续交易日基金正常申购赎回的；（七）10万人以上的投资者数据发生损毁或者错误等异常情况，影响当日或者后续交易日正常交易的；（八）10万人以上的投资者数据发生泄露的；（九）其他对投资者合法权益、证券期货市场造成严重影响的事件。第十二条较大事件是指对投资者合法权益造成较大损害或者对证券期货市场造成较大影响的信息安全事件。符合下列情形之一，且未达到重大事件的为较大事件：（一）证券交易所交易、通信、行情发布系统中断，受影响营业部或者交易单元比例达到5%以上，或者交易中断的证券只数达到5%以上的；（二）期货交易所交易业务系统全部中断、部分中断，影响交易时间在3分钟以上的；（三）中国证券登记结算公司登记结算系统故障，未影响市场正常交易，但某一项或者几项业务中断或者延迟超过4小时（不含），在当日内恢复正常，给部分参与人带来影响的；（四）证券公司、期货公司集中交易系统或者网上交易系统全部中断、部分中断，影响交易时间累计在5分钟以上的；（五）证券公司第三方存管系统、融资融券系统全部或者部分停止运行，影响业务时间累计30分钟以上，期货公司银期转账系统全部或者部分停止运行，影响业务时间累计30分钟以上的；（六）有效客户数在10万人以下的证券公司、期货公司结算系统发生故障，在开市前未能完成前一交易日的结算或者结算数据出现错误，影响投资者正常交易的；（七）基金销售、会计核算或者注册登记系统发生严重故障，且备份系统预计在2小时内无法恢复，影响10万人以下的投资者当日或者后续交易日基金正常申购赎回的；（八）提供现场交易服务的证券公司分支机构、期货公司营业部现场行情或者现场交易系统发生故障，影响交易时间累计2小时以上的；（九）10万人以下的投资者数据发生损毁或者错误等异常情况，影响当日或者后续交易日正常交易的；（十）10万人以下的投资者数据发生泄露的；（十一）其他对投资者合法权益、证券期货市场造成较大影响的事件。第十三条一般事件是指对投资者合法权益造成损害或者对证券期货市场造成影响的信息安全事件。符合下列情形之一，且未达到较大事件的为一般事件：（一）证券交易所交易、通信、行情发布系统中断，受影响营业部或者交易单元比例未达到5%，或者交易中断的证券只数未达到5%的；（二）期货交易所交易业务系统全部中断、部分中断，影响交易时间在3分钟以下的；（三）中国证券登记结算公司登记结算系统故障，未影响市场正常交易，但某一项或者几项业务中断或者延迟超过2小时（不含），在当日内恢复正常，给部分参与人带来影响的；（四）证券公司、期货公司集中交易系统或者网上交易系统全部中断、部分中断，影响交易时间累计在5分钟以下的；（五）证券公司第三方存管系统、融资融券系统全部或者部分停止运行，影响业务时间累计30分钟以下，期货公司银期转账系统全部或者部分停止运行，影响业务时间累计30分钟以下的；（六）提供现场交易服务的证券公司分支机构、期货公司营业部现场行情或者现场交易系统发生故障，影响交易时间累计2小时以下的；（七）其他对投资者合法权益、证券期货市场造成影响的事件。第十四条本章所称的“以上”包括本数，所称的“以下”不包括本数。本章所称的“有效客户数”以证券公司、期货公司向中国证监会及其派出机构上报的发生信息安全事件之前一个月的合格账户期末数为准。合格账户是指开户资料真实、准确、完整，投资者身份真实，资产权属关系清晰，符合相关规定的账户。
第三章事件报告
第十五条核心机构和经营机构应当建立网络与信息安全风险监测预警体系，发现风险隐患应当尽快加以核实，采取必要的防范措施，如有重大情况应当及时进行预警报告。预警报告应当包括：事件基本情况（包括预警发生的时间、地点、经过等），可能造成的影响范围和后果，已采取的防范措施及相关建议、需要有关部门和单位协调处置的有关事宜。第十六条核心机构和经营机构应当建立信息安全应急处置机制，及时处置信息安全事件，尽快恢复信息系统的正常运行，保护事件现场和相关证据，并按照下列要求进行应急报告：（一）核心机构重要信息系统发生可能导致或者已经造成交易中断、严重缓慢的重大故障后，应当立即报告，并每隔30分钟至少上报一次，直至信息系统恢复正常运行；如有重要情况应当立即报告。（二）证券、期货公司集中交易系统发生故障，可能导致或者已经造成交易中断、严重缓慢的，应当立即报告，并每隔30分钟至少上报一次，直至信息系统恢复正常运行；如有重要情况应当立即报告。（三）核心机构和经营机构其他信息系统发生故障，影响投资者正常业务办理，原则上30分钟内无法恢复业务正常运行的，应当立即报告，并每隔1小时至少上报一次，直至业务和信息系统恢复正常运行；如有重要情况应当立即报告。（四）核心机构和经营机构发生投资者数据损毁或者泄露的事件，应当立即报告，在事件解决前，如有重要情况应当立即报告。（五）核心机构和经营机构发生涉及计算机犯罪的事件，应当立即报告，在事件解决前，如有重要情况应当立即报告。第十七条核心机构和经营机构进行应急报告时应当先进行电话报告，随后书面报送《信息安全事件情况报告书》（见附件），内容包括：事件发生时间、地点、简要经过、影响范围初步评估、影响程度初步评估、影响人数初步评估、经济损失初步评估、后果初步判断、原因初步判断、事件性质初步判断、已采取的措施及效果、需要有关部门和单位协助处置的有关事宜、报告单位、签发人和报告时间、联系人与联系方式、与本事件有关的其他内容。第十八条核心机构和经营机构应当在信息安全事件应急处置结束、系统恢复正常运行后5个工作日内，组织内部调查，准确查清事件经过、原因和损失，查明事件性质，认定并追究事件责任，提出整改措施，并进行事件总结报告。事件总结报告内容应当包括：（一）事件基本情况，包括事件发生时间、地点、经过、影响范围、影响程度、损失情况等；（二）应急处置情况，包括事件报告的情况、采取的措施及效果；（三）事件调查情况，包括事件原因、事件级别、责任认定和结论；（四）事件处理情况，包括事件暴露出的问题及采取的整改措施，责任追究情况。暂时无法确定事件原因、责任和结论的，应当提交事件的初步分析报告，同时尽快查找原因，认定并追究事件责任，采取整改措施，并在事件应急处置结束、系统恢复正常运行后30个工作日内提交事件补充报告。第十九条核心机构和经营机构接到中国证监会及其派出机构关于系统漏洞、安全隐患、产品缺陷的信息安全通报书后，应当立即核实情况，采取必要的处置措施，并根据要求进行事件总结报告。事件总结报告内容应当包括：事件基本情况，可能或者已经造成的影响范围和后果，已采取的防范措施及相关建议。第二十条核心机构或者经营机构应当按照下列规定向有关机构进行报告：（一）核心机构应当向中国证监会进行预警报告、应急报告和事件总结报告。（二）核心机构发生信息安全事件影响到其他机构的，应当及时向有关机构进行应急通报。（三）经营机构应当向住所地中国证监会派出机构进行预警报告、应急报告和事件总结报告，经营机构分支机构应当向所在地中国证监会派出机构进行预警报告、应急报告和事件总结报告。事件总结报告同时抄送中国证券业、期货业或者证券投资基金业协会。（四）经营机构发生信息安全事件影响到证券期货交易业务时，应当同时向相关证券期货交易所进行应急报告和事件总结报告；影响到证券登记结算业务时，应当同时向中国证券登记结算公司进行应急报告和事件总结报告；影响到转融通业务时，应当同时向中国证券金融公司进行应急报告和事件总结报告；影响到其他机构的，应当及时向有关机构进行应急通报。（五）核心机构或者经营机构发生涉及计算机犯罪的事件，应当向公安机关进行应急报告。
第四章调查处理
第二十一条中国证监会及其派出机构有权对信息安全事件进行调查处理；根据调查工作需要，可以聘请行业信息技术顾问和其他有关专家参与调查，或者委托专业机构进行调查。第二十二条调查人员有权向信息安全事件相关的核心机构、经营机构、软硬件产品或者技术服务供应商和个人了解事件有关的情况，可采取听取报告、询问当事人、调阅文件资料、调阅系统日志、实地核查等工作方式。在事件调查期间，发生信息安全事件的机构相关人员应当能够随时到场接受询问，如实介绍情况，提供证据和所需的文件、资料。第二十三条调查人员应当诚信公正，认真履职，遵守工作纪律，严格保守事件调查的秘密，以及在调查过程中了解到的商业秘密、技术秘密。未经允许，不得泄露或者擅自发布事件调查中知悉的有关信息。第二十四条中国证监会或者其派出机构督促发生信息安全事件的机构落实整改措施，并对整改措施落实情况进行监督。发生信息安全事件的机构应当认真吸取事件教训，尽快落实整改措施，消除风险隐患。第二十五条中国证监会视情况将信息安全事件有关情况向全行业通报，中国证监会派出机构视情况向本辖区证券期货经营机构通报。第二十六条对于发生存在人为责任的较大及以上信息安全事件的机构、直接负责的主管人员和其他直接责任人员，中国证监会及其派出机构依照有关法律、行政法规和规章，采取监督管理措施或者实施行政处罚。第二十七条对于发生存在人为责任的一般信息安全事件的机构，事件发生单位应当对直接负责的主管人员和其他直接责任人员进行内部责任追究。第二十八条中国证监会及其派出机构和发生信息安全事件的机构应当按照“尽职免责，失职有责”的原则界定信息安全事件的人为责任。第二十九条对于不存在人为责任的较大及以上信息安全事件，中国证监会及其派出机构依照有关法律、行政法规和规章，对发生信息安全事件的机构采取监督管理措施。第三十条对于发生重大及特别重大信息安全事件或者频繁发生信息安全事件的机构，中国证监会或者其派出机构应当对其采取责令定期报告等监督管理措施，并可视情况对其进行现场检查。第三十一条发生信息安全事件的机构有以下情形之一的，中国证监会或者其派出机构依照有关法律、行政法规和规章，对其采取监督管理措施或者实施行政处罚：（一）未按照本办法规定进行事件报告，存在迟报、漏报、谎报或者瞒报的；（二）未妥善保存证据，或者故意隐匿、伪造、篡改、毁损有关文件、资料和证据的；（三）未按照中国证监会信息安全通报要求及时采取风险防控措施，导致信息安全事件发生的；（四）未按照中国证监会或者其派出机构的要求进行整改或者整改不到位，导致信息安全事件发生的；（五）阻碍、拒绝调查工作的；（六）中国证监会及其派出机构认定存在其他恶劣情形的。
第五章附则
第三十二条本办法自2013年2月1日起施行。附件：信息安全事件情况报告书（略）

C. 网络安全法只能在我国境内使用是对还是错

网络安全法只能在我国境内使用是错的。

五年来，《网络安全法》成效显着，极大强化了网络运行安全。网络运行安全最核心的是公共通信和信息服务，是能源、交通、水利、金融、公共服务、电子政务等重要行业和领域中事关国家安全、国计民生、公共利益的“关键信息基础设施”。

这意味着，对关键信息基础设施的规制，增添了新的维度。大型互联网企业境外上市以后需要接受网络安全审查。由于赴国外上市与赴香港上市的网络安全审查尺度不同，诸多企业的上市选择也有了根本性的变化。

也就是说，《网络安全法》实施五周年以来，对于企业安全运营也有了极大的改善。正是有了这一法律，让我国的互联网企业更加规范，更能持久健康地发展，对于促进我国经济高质量发展也有着非常大的促进意义。而这种影响，还将持续很久。