附下载 |《证券期货业网络和信息安全管理办法》：敲响关基设施和个人信息安全警钟

2023年3月3日，证监会发布《证券期货业网络和信息安全管理办法》（以下简称《办法》），全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体，以安全保障为基本原则，对网络和信息安全管理提出规范要求，将于2023年5月1日起正式实施。

关注“数安行”公众号

回复“证券办法”下载原文

《办法》主要内容梳理

”

《办法》共八章七十五条，包括主要内容：

第一章总则

规定立法宗旨、适用范围、适用主体、工作目标及监管职责，厘清核心机构、经营机构和信息技术系统服务机构等行业机构的责任边界。

第二章网络和信息安全运行

督促行业机构建立健全网络和信息安全管理体制机制，提升安全运行保障能力。

●要求核心机构、经营机构指定或设立牵头部门，保障资源投入。

●对核心机构、经营机构的信息系统和相关基础设施提出基本要求，明确等级保护义务。

●要求核心机构、经营机构审慎开展系统新建、变更和移除，充分评估技术和业务风险，保证充分测试，及时履行投资者告知义务，加强网络和信息安全日常监测。

● 要求核心机构、经营机构建立网络和信息安全防护体系，明确数据备份、信息系统备份有关要求，常态化开展压力测试。

●强化核心机构、经营机构对供应商的管理，督促信息技术系统服务机构履行备案义务，提升自主研发和安全可控能力。

●明确安全信息发布和行业数据备份中心相关要求。

第三章投资者个人信息保护

●明确核心机构和经营机构建立健全投资者个人信息保护体系和管理机制，履行保护义务。

●明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求。

●要求核心机构和经营机构防范化解信息泄露风险。

●对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。

第四章网络和信息安全应急处置

●建立风险监测预警体制，加强日常漏洞扫描、安全评估，及时消除风险隐患。

●完善应急预案的应急场景和处置流程，要求定期开展应急演练。

●强化网络安全事件报告和调查处理工作，明确故障排查、相关方告知等工作要求。

第五章关键信息基础设施安全保护

落实国家关于关键信息基础设施的安全保护要求，结合行业特点，从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面，对关键信息基础设施运营者提出进一步的督导要求。

第六章网络和信息安全促进与发展

●鼓励相关机构在依法合规、风险可控、不损害投资者利益的前提下，开展行业网络和信息安全技术应用。

●核心机构、经营机构可以在保障自身信息系统安全的前提下，为行业提供信息基础设施服务。

●建立金融科技创新监管机制，加强网络和信息安全监管专业支撑，核心机构可以申请国家相关专业资质，开展行业网络和信息安全相关认证、检测、测试和风险评估等工作。

●强化行业人才队伍建设，定期开展网络和信息安全宣传与教育。

●发挥行业协会作用，引导技术创新与应用，组织科技奖励，促进行业科技进步、市场公平竞争。

第七章监督管理与法律责任

●规定行业机构的报告义务和流程要求。

●建立健全行业网络和信息安全态势感知工作机制，开展风险隐患行业通报。

●明确证监会及其派出机构可以委托专业机构采用渗透测试、漏洞扫描和风险评估等方式对行业机构开展监督检查。

●对重要时期的网络和信息安全保障工作明确制度安排。

●依据上位要求，结合违法违规的具体情形，规定相应罚则，并规定创新容错相关制度安排。

此外，《办法》还明确了名词释义、参照执行主体和情境。5月1日《办法》施行后，证监会此前发布的《证券期货业信息安全保障管理办法》将同时废止。

安全威胁形势严峻合规保障有章可循

随着行业数字化智能化加速发展、网络和信息安全上升为国家战略、资本市场持续深化改革等内外部条件的变化，证券期货业网络和信息安全面临的新情况新问题逐渐凸显：

●一方面，行业网络和信息安全形势严峻复杂。大数据、云计算、区块链和人工智能等新技术应用的不断深入，证券期货业务与技术加速融合，各类业务活动日益依赖网络安全和信息化，增加了网络和信息安全管理的复杂度。并且，随着行业机构数字化智能化转型的提速，信息系统建设任务明显增加，上线变更操作较为频繁，行业网络和信息安全管理能力面临更大挑战。

●另一方面，法律法规的上位要求有待进一步落实。《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规密集发布实施，我国网络和信息安全法律体系进一步健全，新型管理框架基本成型。对此，证监会虽于 2012 年以来发布《证券期货业信息安全保障管理办法》（证监会令 82 号）《证券基金经营机构信息技术管理办法》（证监会令 152 号）等监管规则，但是由于制定时间较早、监管实践变化等原因，相关监管规则在有效衔接上位要求方面有待进一步完善。

● 与此同时，监管实践成果制度化还需加强。2020 年以来，证监会稳步推动科技监管深化改革，监管体制机制不断优化，信息技术系统服务机构备案管理、资本市场金融科技创新试点等工作全面展开，与相关部委进一步形成监管合力，沟通协作更加顺畅，需要及时总结实践经验，将改革成果制度化机制化。

基于上述新情况新问题，有必要进一步健全证券期货业网络和信息安全监管制度体系，制定专门的部门规章，构建证券期货业网络和信息安全管理的体系框架，促进提升行业安全保障能力。

《办法》明确了核心机构、经营机构的等级保护义务，对涉及投资者个人信息的数据处理活动提出了全流程的安全防护要求。数安行作为助力企业数字化转型、促进数据快速流转及安全协作共享的新一代数据安全企业，基于DataSecOps理念，为企业满足《办法》要求提出实操建议。

实施数据分类分级管理

等级保护框架之下，需要依据行业相关数据标准，制定覆盖本机构全部业务数据的相关标准，实施与业务特点相适应的数据分类分级管理。《数据安全法》下认定重要数据的方式已具有基本框架，即“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”。根据《网络安全标准实践指南—网络数据分类分级指引》，核心数据为“关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据”；重要数据为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据”。再结合《网络数据安全管理条例》，对重要数据的类别提供了概括列举，其中与证券期货业直接相关的包括金融行业的“安全生产、运行的数据，关键系统组件、设备供应链数据”。

在实践过程中，核心机构和经营机构可以选择自动化的数据分类分级工具代替人工操作，相关模型的数据深度识别能力、覆盖业务数据格式及类型的维度、是否内置本行业数据分类分级标准是考量重点。进一步，针对组织中特有的业务数据，使用诸如小数据机器学习技术的敏感数据智能分析工具，自动生成敏感数据分类模型，能够实现对特有业务数据的精细分类标注。高效、完整的数据分类分级可以让机构快速定义符合自己数据业务场景的敏感数据合规及防护策略。

建立数据权限管理策略

数据的高频流动是数字化业务基本需求，这要求核心机构、经营机构在数据分类分级的基础上，能够掌握敏感数据的流转过程及其状态变化，感知敏感数据扩散及违规滥用风险，依据最小化原则实时管控参与数据处理活动的人员、系统、终端、接口等所有对象。

在目前的实践中，对于数据的管控大多根据数据生命周期的各个阶段进行分块治理，在身份权限和管控策略上不连贯，数据在组织内部经过压缩加密、隐写变形、格式转换、甚至恶意的监控绕行等流转过程，极易存在防护盲区，处于保护、拦截和审计范围之外。数安行提倡通过轻量化的终端安全代理对业务数据进行完整统一的映射，着眼于数据本体，通过打标签的方式对敏感数据全流程进行自动标注跟踪，实现数据使用链路的智能聚合及快速溯源，采用零信任数据安全架构，进行实时动态的统一数据身份鉴权和统一的管控策略下发，促进数据有序流转及安全协作共享。

构建数据安全评估框架

风险评估是《办法》以及《数据安全法》等相关监管政策中一项重要的合规性要求，也是常态化感知掌握风险威胁的一项举措。数据安全风险评估需要保证对数据的可控性，是风险识别、风险分析和风险评价的全过程。立足技术应用发展进阶的角度，更理想的数据安全风险评估应当脱离传统的技术为辅、人力为主的方式，更多应以工具及产品为主导，利用自动化的方式来实施，以提高业务落地过程中的可执行性。

因此，通过建立或引入统一的数据安全诊疗一体平台，对于梳理识别出来的重要数据资产，根据数据的存储的位置，包括使用的环境、开放的接口、数据的角色等综合分析数据运营环境中的安全风险和可能的窃取威胁，综合研判数据资产的脆弱性和威胁，从而基于评估结果进行足够细粒度的防护控制策略，以达到零间隙保障数据在全业务线上的安全合规运营的目的。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。

相关阅读