|
|
|
|
|
|
来源:刘瑞元 发布日期:2022.07.05 点击量:
证监会于近日发布《证券期货业网络安全管理办法(征求意见稿)》(以下简称《办法》)。该办法旨在协助建立健全证券期货业网络安全监管制度体系,防范化解行业网络安全风险隐患,维护资本市场安全平稳高效运行。
《办法》基于《网络安全法》、《数据安全法》、《证券法》等相关法律法规要求,明确了适用主体、监管职责、工作原则及责任边界,规定了证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理等方面的具体要求。
行业机构需要建立健全网络安全管理体制机制,提升网络安全运行保障能力。整体要求如下:
其中,①治理架构方面具体要求有:核心机构和经营机构应当确保信息系统和相关基础设施具备合理的架构,足够的性能、容量、可靠性、扩展性和安全性,并保证相关安全技术措施与信息化工作同步规划、同步建设、同步使用。信息系统的性能容量不得低于历史峰值的两倍。
②日常监测中关于日志的具体要求有:核心机构和经营机构应当全面、准确记录并妥善保存生 产运营过程中的业务日志和系统日志,确保满足故障分析、 内部控制、调查取证等工作的需要。业务日志保存期限不得少于二十年,系统日志保存期限不得少于六个月。
③备份和压力测试要求有:核心机构和经营机构应当建立同城和异地数据备份设施,至少每天备份数据一次,每季度至少对数据备份进行一次有效性验证。核心机构和经营机构应当至少每半年开展一次重要信息系统压力测试。
行业机构需要从制度机制、组织架构、行业数据标准、权限管理、质量评估、防范泄露损毁等方面,明确并落实证券期货业的具体要求。
行业机构需要:建立风险监测预警体制,加强日常漏洞扫描、安全评估;完善应急预案的应急场景和处置流程,定期开展应急演练;强化网络安全事件报告和调查处理工作,明确故障排查、 相关方告知等。其中,核心机构应当组织与本机构信息系统和网络通信设施相关联主体开展网络安全应急演练,频率不低于每年一次,并于演练后 15 个工作日内将相关情况报告中国证监会。核心机构和经营机构应当定期开展网络安全应急演练,并形成应急演练报告存档备查。
证券期货业关基单位需要落实国家关于关键信息基础设施的安全保护要求,包括组织保障、建设评审、变化报告、检测评估、采购管理、性能容量、灾难备份等方面。其中,证券期货业关基单位应当:
该部分旨在提倡行业机构在合规可控的“及格”的前提下,积极进步。主要内容见下图。
其中,①具体要求有:核心机构和经营机构应当加强本机构网络安全宣传与教育,每年至少开展一次网络安全教育活动, 提升员工网络安全意识。经营机构应当定期组织开展面向投资者的网络安全宣传教育活动,结合网上证券期货业务活动的特点,揭示网络安全风险,增强投资者风险防范能力。
《办法》涉及了行业报告的要求和流程、证监会及派出机构监督检查、重保时期制度要求、本办法的罚则要求。其中,核心机构和经营机构应当于每年 4月 30 日前,完成对上一年网络安全工作的网络安全专项评估,编制网络安全管理年报,报送中国证监会及其派出机构,年报内容包括但不限于网络安全治理情况、人员情况、投入情况、风险情况、处置情况和下一年度工作计划等。
总结:
相关新闻:
