" 金融行业在自身数据治理和资产化建设方面一直走在前列。"
一直以来,金融行业由于其自身需要,都是国内开展信息化建设最早,信息化程度最高的行业。
在当今数据要素资产化的浪潮下,除了行业自身自身数据治理和资产化建设方面,在服务实体行业开展数据资产化建设方面,金融行业也一直走在各行业的前列,其管理思路和具体实施办法都值得我们学习。
今天开始,我们就金融行业在近期全国数据工作会议前后发布的相关文件做一个系列解析。
这些文件包括:
一.2024年02月29日中国银行业协会发布的《银行业数据资产估值指南》
二.2024年03月22日国家金管局发布的《银行保险机构数据安全管理办法》
以及以前发布的配套文件
三.《中国人民银行业务领域数据安全管理办法》(征)
四.中国证监会《证券期货业网络和信息安全管理办法》
五.金融行业数据要素市场化白皮书
本系列将分为三部分。
第一篇解析了前三个文件:[法规规划|数据概念]金融行业数据资产和安全管理系列文件解析
今天是本系列的第二篇,将就第四个文件《证券期货业网络和信息安全管理办法》进行解析。
01 20240229 中国银行业协会-《银行业数据资产估值指南》****
请见 [法规规划|数据概念]金融行业数据资产和安全管理系列文件解析。
02 国家金监局《银行保险机构数据安全管理办法》(征)
请见 [法规规划|数据概念]金融行业数据资产和安全管理系列文件解析。
03 《中国人民银行业务领域数据安全管理办法》(征求意见稿)
请见 [法规规划|数据概念]金融行业数据资产和安全管理系列文件解析。
04 中国证监会《证券期货业网络和信息安全管理办法》
中国证监会于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》(以下简称《办法》), 并于2023年5月1日起正式实施。在这之前经历了近11个月的意见征求阶段,可见这份文件的工作做的还是相当扎实的。
众所周知,我国的金融监管体系几经调整,2003-2018年维持了十五年的的一行三会,期间三大行业分业监管的模式在运行过程中出现了权责不清的情况,特别在银行业和保险业出现了一些乱象。于是到2018-2023年之间调整合并为一行两会,即央行和证监会、银保监会(中国银行保险监督管理委员会)。
十四届全国人大一次会议,根据国务院关于提请审议国务院机构改革方案的议案,监管格局调整为"一行一会一局",即中国人民银行,证监会,国家金融监督管理总局。组建国家金融监督管理总局,作为国务院直属机构,统一负责除证券业之外的金融业监管,中国证券监督管理委员会的投资者保护职责划入国家金融监督管理总局;中国证券监督管理委员会由国务院直属事业单位调整为国务院直属机构,强化资本市场监管职责,提升金融数据安全保障能力,推动我国金融业开启高质量发展的新征程。此次机构改革,国家金融监督管理总局代替了银保监会,其实质上是在银保监会的基础上组建的。总局的管理范围有所扩大,包括了原先央行对金融控股公司等金融集团的日常监管职责 、金融消费者保护的职责,原先证监会的投资者保护职责,现均由总局来管理。
从监管机构格局的变化过程中看,银行和保险的监管分分合合,其业务涉及储蓄、信贷、保险等多个领域,关联程度较高,因此需要更为综合的监管机构以满足穿透监管的需求。
而证券行业的业务性质与银行和保险行业有较大的差异。证券行业主要涉及股票、债券、基金等金融产品的发行、交易和监管,业务特点是数据规模大、数据价值高、数据应用场景复杂,客户个人信息、交易、行情、资讯等海量数据在其业务系统中高速流转,其业务持续性和安全性决定着整个交易系统的运转。近年来,针对数据的安全攻击呈现出高频化、高损化、高显化等特征,证券期货业务场景所具有的特殊性与复杂性,也使得监管侧对数据安全和系统自主可控性要求更为严格,而实际安全防护情况是,证券期货业数据安全管理组织架构尚不完善,技术手段未能全面覆盖数据全生命周期。构建实战化的数据安全防护和管理体系,对于证券期货业而言重要且紧迫。
其次,证券行业的信息数据具有高度的专业性和敏感性。证券市场的交易数据、投资者信息等都需要得到严格的保护,以确保市场的公平、公正和稳定。因此,证监会需要独立运作,以确保监管的专业性和有效性。
最后,证监会独立状态的形成也与其历史演变有关。在我国金融监管体系的发展过程中,证监会一直承担着证券市场的监管职责,逐渐形成了专业、独立的监管机构。这种独立状态也得到了国际社会的认可,有利于我国证券市场与国际市场的接轨。
因此证监会系统相关的数据和信息安全管理办法也大多是独立发出,比如现在看到的《证券期货业网络和信息安全管理办法》。
凑巧的是,在《办法》发布的不久之后,国务院机构改革方案出炉,中国证监会调整为国务院直属机构。"国家金融监督管理总局"在原银保监会基础上组建。
证券业的数据和信息安全监管工作一直以来做的也是比较扎实的,在本《办法》发布之前,还发布有《证券基金经营机构信息技术管理办法》、《证券期货业信息安全保障管理办法》、《证券期货业信息系统运维管理规范》、《证券期货经营机构信息技术治理工作指引(试行)》、《证券期货业网络安全事件报告与调查处理办法》、《证券期货业网络安全等级保护基本要求》、《证券期货业经营机构内部应用系统日志规范》等一系列办法。
鼹鼠哥之前的数据分类分级办法解析中提到,证券行业的分类分级办法是相当具体详尽的,有兴趣可以参看
本《办法》的主要内容包括网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置以及关键信息基础设施安全保护等,旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法律法规要求,并为证券期货业网络和信息安全管理提供了契合行业特性的高阶指导、具体要求以及量化标准。
《办法》的第二章节重点讨论了网络与信息安全的运作,内容涵盖了从构建完善的制度框架和明确责任分工等宏观层面,直至具体到信息备份的频率和性能容量等微观指标,充分展示了监管机构对于不同发展水平的对象如何贯彻执行新规定的细致考量。
此外,相较于原始的征求意见稿中提出的**"数据安全统筹管理"** ,现行的文本将其修改为**"投资者个人信息保护"**,从多个角度出发,提出了个人信息保护的具体要求。这些要求包括信息收集过程中的知情同意、最小化必要原则、全生命周期管理、个人信息脱敏处理以及个人生物识别信息的保护等方面,反映了监管机构对个人信息保护问题的极高关注。
下边我们来看一下办法的主要内容。
一:《办法》适用以下对象:
1.在境内建设、运营、维护、使用网络及信息系统的核心机构和经营机构;
2.为证券期货业务活动提供产品或者服务的网络和信息安全保障的信息技术系统服务机构;
3.为证券期货业务活动提供网络和信息安全的监督管理的信息技术系统服务机构。
二.与旧监管要求的主要变化
变化主要体现在如下三个方面,即个人信息保护,信息安全合规,安全管理:
|-------------|-----------------------------------------------------|-------------------------------|
| | 主要影响 | 应对措施 |
| 个人信息保护 | 新增投资者个人信息保护章节,明确相关的管理要求,并要求经营机构建立健全相关管理机制、定义相关岗位及职责 | 个人信息安全保护体系建设咨询 |
| 网络和信息安全合规 | 基干《网络安全法》、《数据安全法》对于行业的网络和信息安全制度和管理体系提出了强化和细化要求 | 网络安全合规咨询 等级保护制度咨询 信息技术全面/专项审计 |
| 网络和信息安全管理年报 | 要求经营机构于每年4月30日前,完成对上一年网络和信息安全工作的专项评估,编制网络和信息安全管理年报 | 网络和信息安全专项评估 信息技术全面/专项审计 |
相比之前的监管办法,具体的变化要点如下。
我们首先看主要影响的三个方面,即个保,合规和安全年报:
|--------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|--------------------------------------------------------------------------------------------------------------|
| 内容 | 【218号令】条款 | 比对过往监管要求 | 主要区别 |
| 个保体系 | 第三十条 ......建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制,...... 第三十一条 ......明确告知投资者处理个人信息的目的、方式、范围和隐私保护政策 ,不得超范围收集和使用 投资者个人信息,不得收集提供服务非必要的投资者个人信息。...... 第三十二条 ......应当确保个人信息在收集、存储、使用、加工、传输、提供、公开、删除 等处理过程中的合规、安全...... 第三十三条 核心机构和经营机构应当依法依规向第三方机构提供投资者个人信息,明确告知投资者个人信息处理目的、处理方式、个人信息种类、保存期限、保护措施以及相关方的权利和义务等,并取得投资者个人单独同意,履行法定职责或者法定义务的情形除外。 | 《证券基金经营机构信息技术管理办法》: 第十四条 证券基金经营机构借助信息技术手段从事证券基金业务活动前,应当开展内部审查,验证下列事项并建立存档记录: (三) 具备完善的信息安全防护措施,能够保障经营数据和客户信息的安全、完整;...... 第三十四条 证券基金经营机构应当建立健全数据安全管理制度,不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据。在收集使用客户信息之前,证券基金经营机构应当公开收集、使用的规则和目的,并征得客户同意。...... | 有效衔接《个人信息保护法》等上位要求,在原有较为宽泛的信息管理制度基础之上,强调突出了个人信息保护的管理机制,并明确了需要告知隐私保护政策以及取得单独同意的情形。同时,不得过度收集的要求与以往的监管规定基本保持一致。 |
| 个人信息脱敏 | 第三十四条 核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的,应当采取数据脱敏、数据加密 等措施,......核心机构和经营机构通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的,应当将投资者账号信息、身份证号码等敏感个人信息进行脱敏处理。 | 《证券基金经营机构信息技术管理办法》: 第二十一条 证券基金经营机构应当建立独立于生产环境的专用开发测试环境,避免风险传导;开发测试环境使用未脱敏数据的,应当采取与生产环境同等的安全控制措施。...... | 有效衔接《个人信息保护法》等上位要求,在原有的开发测试环境情形以外,新办法另外明确了网络安全防护边界以外、非自主运营渠道发送情形中的数据脱敏要求。 |
| 生物特征 | 第三十五条 核心机构和经营机构利用生物特征进行客户身份认证的,应当对其必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,强制客户同意收集其个人生物特征信息。 | 《网络数据安全管理条例(征求意见稿)》: 第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。...... | 新办法结合网信办的安全管理要求,首次在行业监督管理办法之中明确提出了生物特征的要求。 |
在信息安全等级保护方面变化如下:
|------|-----------------------------------------------------------------------------------------------------------------------------------------------------------|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|----------------------------------------------------------------------------------------------------------------|
| 等级保护 | 第十四条 核心机构和经营机构应当落实网络安全等级保护制度,依法履行网络安全等级保护义务,按照国家和证券期货业网络安全等级保护相关要求,开展网络和信息系统定级备案、等级测评和安全建设等工作。 ...... | 《证券期货业网络安全等级保护基本要求》规定了证券期货业网络安全等级保护的总体要求,以及第一级到第四级等级保护对象的安全通用要求和安全扩展要求,适用于证券期货业分等级的非涉密对象的安全建设和监督管理。 《证券期货业信息系统审计规范》: A.1.5.1.2 方案设计b)以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案(本项适用于:信息系统等级保护二级系统);f)根据等级划分情况,统一规划总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文。(本项适用于:信息系统等级保护三级系统)。 | 有效衔接《网络安全法》等上位要求,在以往行业标准和审计规范的基础之上,正式在行业监督管理办法之中明确提出了网络安全等级保护的要求,包括定级备案、测评等。 |
| 系统运维 | 第十五条 核心机构和经营机构新建上线、运行变更、下线移除重要信息系统的,应当充分评估技术和业务风险,制定风险防控措施、应急处置和回退方案,并对相关结果进行复核验证;...... | 《证券期货业信息安全保障管理办法》: 第二十二条 核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。 《证券基金经营机构信息技术管理办法》: 第二十一条 证券基金经营机构应当建立独立于生产环境的专用开发测试环境,避免风险传导;开发测试环境使用未脱敏数据的,应当采取与生产环境同等的安全控制措施。...... 《证券期货业信息系统运维管理规范》: 6.2.3 证券期货机构应根据系统上线要求制定测试方案,确定采用的测试方法和测试流程。...... 6.3.3 变更申请人应提交正式的变更申请,申请中应有明确的变更方案,内容至少包括:目标、对象、时间、人员、紧急程度、操作步骤、测试方案、实施方案、风险防控措施、应急预案、回退方案等。 | 在原有较为笼统的系统开发流程要求基础之上,新办法结合运维管理规范的要求,细化了重要信息系统的开发及变更流程中风控、测试、应急、回退环节等要求。 同时,新办法针对测试环境内敏感数据的脱敏要求,与以往的监管规定基本保持一致。 |
| 系统运维 | 第十六条 核心机构和经营机构在重要信息系统上线、变更前应当制定全面的测试方案 ,持续完善测试用例和测试数据 ,并保障测试的有效执行。 除必须使用敏感数据的情形外,核心机构和经营机构应当对测试环境涉及的敏感数据进行脱敏,对未脱敏数据须采取与生产环境同等的安全控制措施。...... | 《证券期货业信息安全保障管理办法》: 第二十二条 核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。 《证券基金经营机构信息技术管理办法》: 第二十一条 证券基金经营机构应当建立独立于生产环境的专用开发测试环境,避免风险传导;开发测试环境使用未脱敏数据的,应当采取与生产环境同等的安全控制措施。...... 《证券期货业信息系统运维管理规范》: 6.2.3 证券期货机构应根据系统上线要求制定测试方案,确定采用的测试方法和测试流程。...... 6.3.3 变更申请人应提交正式的变更申请,申请中应有明确的变更方案,内容至少包括:目标、对象、时间、人员、紧急程度、操作步骤、测试方案、实施方案、风险防控措施、应急预案、回退方案等。 | 在原有较为笼统的系统开发流程要求基础之上,新办法结合运维管理规范的要求,细化了重要信息系统的开发及变更流程中风控、测试、应急、回退环节等要求。 同时,新办法针对测试环境内敏感数据的脱敏要求,与以往的监管规定基本保持一致。 |
| 数据保护 | 第十八条 ......核心机构和经营机构应当全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志,确保满足故障分析、内部控制、调查取证等工作的需要。重要信息系统业务日志 应当保存五年以上 ,系统日志 应当保存六个月以上。 | 《证券基金经营机构信息技术管理办法》: 第二十五条 证券基金经营机构应当妥善保存信息系统开发、测试、上线、变更及运维过程中产生的文档,并根据业务开展情况以及信息系统的重要程度建立与监测工作相适应的日志留痕机制,确保满足应急处置和审计需要。 《证券期货业经营机构内部应用系统日志规范》: 7.2 备份归档 b) 安全级别为高的应用系统,日志保存时间建议至少为 36 个月;安全级别为中或者低的应用系统,日志保存时间建议至少为12 个月;IT 基础设备和系统的日志保存时间建议至少为 12 个月。 | 新办法将重要信息系统的日志细分为业务日志和系统日志,并明确了相应的保存期限,其中业务日志的保存期限显著高于以往要求。 但同时,相比征求意见稿,正式发文弱化了"业务日志保存期限不得少于二十年"的要求。 |
| 安全防护 | 第十九条 核心机构和经营机构应当构建网络和信息安全防护体系,综合采取网络隔离、用户认证、访问控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等安全保障措施,提升网络和信息安全防护能力,及时识别、阻断相关网络攻击,保护重要信息系统和相关基础设施,防范信息泄露与损毁。 | 《证券期货业信息安全保障管理办法》: 第十二条 核心机构和经营机构应当设置合理的网络结构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力。 第十五条 核心机构和经营机构应当具有防范木马、病毒等恶意代码的能力,防止恶意代码对信息系统造成破坏,防止信息泄露或者被篡改。 《证券基金经营机构信息技术管理办法》: 第三十一条 证券基金经营机构应当完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施,保护经营数据和客户信息安全,防范信息泄露与损毁。 | 新办法在网络和信息安全防护方面,新增列举了策略管理、网络安全态势感知等近年来较为普及的安全保障措施。 |
| 灾备管理 | 第二十条 核心机构和经营机构应当建立本地、同城和异地 数据备份设施,重要信息系统应当每天 至少备份数据一次,每季度至少对数据备份进行一次有效性验证。...... | 《证券基金经营机构信息技术管理办法》: 第四十一条 证券基金经营机构应当确保备份系统与生产系统具备同等的处理能力,保持备份数据与原始数据的一致性。重要信息系统应当符合下列信息系统备份能力等级要求: (一)实时信息系统、非实时信息系统的数据备份能力应当达到第一级。...... 《证券期货经营机构信息系统备份能力标准》附录《证券期货经营机构信息系统备份能力表》第一级要求:至少每天备份数据一次;备份介质应当在本地机房、同城及异地安全可靠存放;每季度至少对数据备份进行一次有效性验证。 | 新办法结合重要信息系统的备份能力标准,明确了本地、同城和异地数据备份的要求,以及相应的备份频率,与以往的监管规定基本保持一致。 |
在网络和信息安全管理年报方面变化如下:
|-------------|------------------------------------------------------------------------------------------------------------------------------------------------------|-------------------------------------------------------------------------------------------------------------------------|--------------------------------------------------------------------------|
| 网络和信息安全管理年报 | 第五十九条 核心机构和经营机构应当于每年4月30日前 ,完成对上一年网络和信息安全工作的专项评估,编制网络和信息安全管理年报 ,报送中国证监会及其派出机构,年报内容包括但不限于网络和信息安全治理情况、人员情况、投入情况、风险情况、处置情况和下一年度工作计划等。...... | 《证券基金经营机构信息技术管理办法》: 第五十三条 证券基金经营机构应当在报送年度报告的同时报送年度信息技术管理专项报告,说明报告期内信息技术治理、信息技术合规与风险管理、信息技术安全管理、信息技术审计等执行本办法规定的情况。...... | 在证监会要求的信息科技管理专项报告等其他年度信息科技类报告基础之上,新办法新增了《网络和信息安全管理年报》相关要求,并明确了年报内容和报送期限。 |
还有一些其他方面在制度和组织架构方面的要求:
|--------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|------------------------------------------------------------------------------------------------------------------------------|
| 内容 | 【218号令】条款 | 比对过往监管要求 | 主要区别 |
| 管理制度 | 第九条 核心机构和经营机构应当具有完善的信息技术治理架构,健全网络和信息安全管理制度体系,建立内部决策、管理、执行和监督机制,确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配。...... | 《证券期货业信息安全保障管理办法》: 第十七条 核心机构和经营机构应当建立完善的信息技术管理制度和操作规程,并严格执行。 《证券基金经营机构信息技术管理办法》: 第六条 证券基金经营机构应当完善信息技术运用过程中的权责分配机制,建立健全信息技术管理制度和操作流程,保障与业务活动规模及复杂程度相适应的信息技术投入水平,持续满足信息技术资源的可用性、安全性与合规性要求。 | 有效衔接《网络安全法》、《数据安全法》等上位要求,在原有较为全面的信息技术管理制度基础之上,新办法强调突出网络和信息安全管理方面的制度完善和要求细分。 |
| 岗位责任 | 第十条 核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人 ,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。...... | 《证券期货经营机构信息技术治理工作指引(试行)》: 第十三条 公司总经理对IT治理的有效性及IT安全负有最终责任,公司应指定具有IT专业工作经验的高级管理人员作为公司IT治理的直接责任人,并设立IT总监或其它类似职位的IT专职负责人。 《证券基金经营机构信息技术管理办法》: 第十一条 证券基金经营机构应当设立信息技术管理部门或指定专门机构(以下统称信息技术管理部门)负责实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理等工作。 | 在原有较为宽泛的IT治理职责基础之上,新办法强调突出了网络和信息安全工作的第一责任人、直接责任人和牵头部门。 同时,相比征求意见稿,正式发文弱化了"核心机构和经营机构应当配备网络安全专职人员"的要求。 |
| 岗位责任 | 第十一条 核心机构和经营机构应当指定或者设立网络和信息安全工作牵头部门或者机构,负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等工作。 | 《证券期货经营机构信息技术治理工作指引(试行)》: 第十三条 公司总经理对IT治理的有效性及IT安全负有最终责任,公司应指定具有IT专业工作经验的高级管理人员作为公司IT治理的直接责任人,并设立IT总监或其它类似职位的IT专职负责人。 《证券基金经营机构信息技术管理办法》: 第十一条 证券基金经营机构应当设立信息技术管理部门或指定专门机构(以下统称信息技术管理部门)负责实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理等工作。 | 在原有较为宽泛的IT治理职责基础之上,新办法强调突出了网络和信息安全工作的第一责任人、直接责任人和牵头部门。 同时,相比征求意见稿,正式发文弱化了"核心机构和经营机构应当配备网络安全专职人员"的要求。 |
| 岗位责任 | 第十六条 核心机构和经营机构在重要信息系统上线、变更前应当制定全面的测试方案 ,持续完善测试用例和测试数据 ,并保障测试的有效执行。 除必须使用敏感数据的情形外,核心机构和经营机构应当对测试环境涉及的敏感数据进行脱敏,对未脱敏数据须采取与生产环境同等的安全控制措施。...... | 《证券期货经营机构信息技术治理工作指引(试行)》: 第十三条 公司总经理对IT治理的有效性及IT安全负有最终责任,公司应指定具有IT专业工作经验的高级管理人员作为公司IT治理的直接责任人,并设立IT总监或其它类似职位的IT专职负责人。 《证券基金经营机构信息技术管理办法》: 第十一条 证券基金经营机构应当设立信息技术管理部门或指定专门机构(以下统称信息技术管理部门)负责实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理等工作。 | 在原有较为宽泛的IT治理职责基础之上,新办法强调突出了网络和信息安全工作的第一责任人、直接责任人和牵头部门。 同时,相比征求意见稿,正式发文弱化了"核心机构和经营机构应当配备网络安全专职人员"的要求。 |
| 信息发布 | 第二十五条 核心机构和经营机构应当建立信息发布审核机制,加强对本机构和本机构运营平台发布信息的管理,...... | 《证券期货业信息系统审计规范》: A.2.1.1.2 d) 建立信息发布管理审核制度;安全管理制度是否通过正式、有效的方式发布。 | 新办法在以往审计规范的基础之上,正式在信息技术类的行业监督管理办法之中明确提出了信息发布的要求。 |
| 知识产权 | 第二十八条 核心机构和经营机构应当按照知识产权相关法律法规,制定知识产权保护策略和制度,不侵犯他人的知识产权,并采取有效措施保护本机构自主知识产权。 | 《证券期货业信息安全保障管理办法》: 第三十七条 核心机构和经营机构在采购软硬件产品或者技术服务时,应当与供应商签订合同和保密协议,并在合同和保密协议中明确约定信息安全和保密的权利和义务。...... | 考虑到证券期货业内信息系统建设任务明显增加,为了提升自主研发和安全可控能力,新办法提出了建立知识产权保护相关方面制度的要求。 |
| 应急预案 | 第三十七条 核心机构和经营机构应当根据业务影响分析情况,建立健全网络安全应急预案,明确应急目标、应急组织和处置流程,应急场景应当覆盖网络安全事件、自然灾害和公共卫生事件、本机构网络和信息安全相关重大人事变动、主要信息技术系统服务机构退出 等情形。 第三十八条 ......核心机构和经营机构应当定期开展网络安全应急演练,并形成应急演练报告存档备查。 | 《证券基金经营机构信息技术管理办法》: 第三十八条 ......证券基金经营机构应急预案应当充分考虑重要信息系统故障、相关信息技术服务机构无法继续提供服务、证券基金经营机构信息技术高管或重要技术团队发生重大变动以及自然灾害等可能影响重要信息系统平稳运行的事件。 《证券期货业信息系统运维管理规范》: 7.1.5 证券期货机构应制定网络与信息安全事件应急预案,...... 7.1.8 b) 每半年应至少组织一次网络与信息安全应急演练。 | 在原有的应急场景基础之上,新办法强调突出了网络安全事件、本机构网络和信息安全相关重大人事变动的情形。同时,新办法并未明确网络安全应急演练的执行频率,具体执行标准可以参考以往的系统运维管理规范。 |
| 应急处置 | 第三十九条 核心机构和经营机构应当建立应急处置机制,及时处置网络安全事件,尽快恢复信息系统正常运行,保护事件现场和相关证据 ,向中国证监会及其派出机构进行应急报告,...... 第四十一条 核心机构和经营机构发生网络安全事件,对投资者造成影响的,应当及时通过官方网站、客户交易终端、电话或者邮件等有效渠道通知相关方可以采取的替代方式或者应急措施,...... | 《证券期货业信息安全保障管理办法》: 第三十二条 核心机构和经营机构应当建立信息安全应急处置机制,及时处置突发信息安全事件,尽快恢复信息系统的正常运行,并按照规定进行报告,不得迟报、漏报、瞒报。...... 《证券基金经营机构信息技术管理办法》: 第四十条 证券基金经营机构应当在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式等信息,提示客户防范和应对可能出现的风险。 《证券期货业网络安全事件报告与调查处理办法》规范了网络和信息安全事件、自然灾害引起的网络安全事件处理流程。 | 在原有的应急处置要求基础之上,新办法强调突出了保护事件现场和相关证据,对于留痕提出了一定的要求。 |
| 组织保障 | 第四十三条 证券期货业关键信息基础设施运营者应当将关键信息基础设施安全保护情况纳入网络和信息安全工作第一责任人、直接责任人和相关人员的责任考核机制 。 四十四条 证券期货业关键信息基础设施运营者应当指定专门机构或者部门负责关键信息基础设施安全保护管理工作,为每个关键信息基础设施指定网络和信息安全管理责任人,依法认定网络安全关键岗位 ,配备充足的网络和信息安全人员,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。 | 《关键信息基础设施安全保护条例》: 第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。 | 新办法结合《关键信息基础设施安全保护条例》,正式在行业监督管理办法之中以"证券期货业关键信息基础设施运营者"作为主体提出管理要求,并明确将网络和信息安全纳入责任考核机制。 同时,相比征求意见稿,正式发文弱化了"配备至少五名网络安全专职人员"的要求。 |
| 安全监测 | 第四十八条 证券期货业关键信息基础设施运营者应当对关键信息基础设施的安全运行进行持续监测,定期开展压力测试,发现系统性能和网络容量不足的,应当及时采取系统升级、扩容等处置措施,确保系统性能容量在历史峰值的三倍以上 ,交易时段相关网络带宽应当在近一年使用峰值的两倍以上。 | 《证券基金经营机构信息技术管理办法》: 第二十三条 证券基金经营机构应当结合公司发展战略、市场交易规模等因素定期对重要信息系统开展压力测试和评估分析,确保其容量满足业务开展需要。 | 不同于对核心机构和经营机构的性能容量要求,新办法对于证券期货业关键信息基础设施运营者提出了更高的量化标准。 但同时,相比征求意见稿,正式发文弱化了"网络带宽不得低于历史峰值的两倍"的要求。 |
基于上述调整,在办法落地实施过程中,要注意如下几个方面:
加强投资者个人信息保护体系
·建立健全投资者个人信息保护体系,加强对投资者个人信息的保护;
·依法依规处理投资者个人信息,遵循"告知同意,最小必要"原则;
·依法依规向第三方提供投资者的个人信息,并取得个人投资者的单独同意;
·在本机构网络安全防护边界以外处理投资者个人信息时,需采取技术措施加强个人信息保护;
·对利用生物特征进行客户身份认证的必要性和安全性进行风险评估。不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,进而强制客户同意收集其个人生物特征信息
量化设置安全运营指标
·重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上;
·应当建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证;
·每年至少开展一次重要信息系统压力测试,测试完成后形成压力测试报告存档备查,并保存五年以上;
·重要信息系统的性能容量应当在历史峰值的两倍以上;
·核心机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之五十以下,经营机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之八十以下。
加强关键基础设施安全防护
·将关键信息基础设施安全保护情况纳入责任考核机制;
·对关键信息基础设施进行持续性的安全检测和定期风险评估;
·建立本地、同城和异地数据备份设施,实现数据同步保存。
提升安全应急处置能力
·建立健全网络安全应急预案,并定期开展网络安全应急演练;
·建立应急处置机制,明确事件报告流程。
05 金融行业数据要素市场化白皮书
待续。
---------------------------------------------------------------------------************************************************
数据资产化,鼹鼠哥与你一起。