《证券期货业网络和信息安全管理办法》解读2023 - 毕马威

一、新规出台背景监会于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》(以下简称《办法》),并将于2023年5月1日起正式实施。《办法》的主要内容包括网络和信息安全运行、投资者个人信《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法律法规要求，并为证券期货业网络和信息安全管理提供了契合行业特性的高阶指导、具体要求以及量化标准。《办法》的第二章在网络和信息安全运行方面中投入了大量篇幅，从较为宏观的健全制度、厘清责任，到更为细节的信息备份频率及性能容量指标，无不体现了监管部门对不同成熟度阶段适用对象如何落实新规的考虑。另外，原征求意见稿中的“数据安全统筹管理”被替换为“投资者个人信息保护”，从多个维度提出了对个人信息保护的相关要求，如信息收集的告知同意、最小必要原则、生命周期管理、个人信息脱敏、个人生物特征信息等，体现了行业监管对个人信息保护的重视程度。属机构。“国家金融监督管理总局”在原银保监会基础上组建，同时并入了人民银行和中国证监会的部分职责，包括：1)人民银行的对金融控股公司等金融集团的日常监管以及有关金融消费者保护职责，2)中国证监会的投资者保护职责。二、《办法》适用对象《办法》适用于以下对象：1.在境内建设、运营、维护、使用网络及信息系统的核心机构和经营机构；2.为证券期货业务活动提供产品或者服务的网络和信息安全保障的信息技术系统服务机构；3.以及，为证券期货业务活动提供网络和信息安全的监督管理的信息技术系统服务机构。▲注：境内开展证券公司客户交易结算资金第三方存管业务、期货保证金存管业务的商业银行，证券投资咨询机构，基金托管机构和从事公开募集基金的销售、销售支付、份额登记、估值、投资顾问、评价等基金服务业务的机构，从事证券期货业务活动的经营机构子公司，借助自身运维管理的信息系统从事证券投资活动且存续产品涉及基金份额持有人账户合计一千人以上的私募证券投资基金管理人，应当根据相关信息系统网络和信息安全管理的特点，参照适用《办法》。核心机构和经营机构设立信息科技专业子公司，为母公司提供信息科技服务的，信息科技专业子公司应当按照《办法》落实网络和信息安全相关要求。三、《办法》与旧监管要求的主要变化的行业监管要求(包括《证券基金经营机构信息技术管理办法》、《证券期货业信息安全保障管理办法》、《证券期货业信息系统运维管理规范》、《证券期货经营机构信息技术治理工作指引(试行)》、《证券期货业网络安全事件报告与调查处理办法》、《证券期货业网络安全等级保护基本要求》、《证券期货业经营机构内部应用系统日志规范》等)进行比对，并分析总结了主要区别。对于大部分证券公司、期货公司和基金管理公司等证券期货经营机构最主要的三大影响及可以考虑的应对措施如下：具体的《办法》与过往监管要求的比对及主要区别，请参见下列表格：【218号令】条款比对过往监管要求主要区别管理制度第九条核心机构和经营机构应当具有完善的信息技术治络和信息安全管理制度体策、管理、执行和监督机和信息安全管理能力与业务活动规模、复《证券期货业信息安全保障第十七条核心机构和经营机构应当建立完善的信息技术管理制度和操格执行。《证券基金经营机构信息技有效衔接《网络安全法》、《数据安全法》等上位要为全面的信息技术管理制度办法强调突出网络和信息安全管理方面的制度完善和要求细分。杂程度相匹术管理办法》：第六条证券基金经营机构应当完善信息技术运用过程中的权责分配机信息技术管理制度和操作流务活动规模及复杂程度相适应的信息技术续满足信息技术资源的可用性、安全性与合规性要求。位责任第十条核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责和信息安全工作的领导班子成员或者高级管理人员为直接责《证券期货经营机构信息技术治理工作指引(试行)》：第十三条公司总经理对IT治理的有效性及IT安全负有最终责定具有IT专业工作经验的高级管理人员作为公司IT治理的直在原有较为宽泛的IT治理职责办法强调突出了网络和信息安全工作的第一责任人、直接责任人和牵头部门。式发文弱化了“核心机构和经营机构应当第十一条核心机构和经营机构应当指定或者设立网络和信息安全工作牵责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等工作。设立IT总监或其它类似职位的IT专职负责人。《证券基金经营机构信息技术管理办法》：第十一条证券基金经营机构应当设立信息技术管理部门或指定专门机构(以下统称信息技术管理部门)负责实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理等工作。配备网络安全专职人员”的要求。等级保护第十四条核心机构和经营机构应当落实网络安依法履行网络安全等级保护家和证券期货业网络安全等级保护相关要《证券期货业网络安全等级保护基本要求》规定了证券期货业网络安全等级保护以及第一级到第四级等级保护对象的安全通用要求和安有效衔接《网络安全法》等以往行业标准和审计规范的式在行业监督管理办法之中明确提出了网络安全等级保和信息系统定级备案、等级测评和安全建设等工作。适用于证券期货业分等级的非涉密对象的安全建设和监督管理。《证券期货业信息系统审计A.1.5.1.2方案设计b)以书面形式描述对系统的安全保护要求、策略和形成系统的安全方案(本项适用于：信息系统等级保护二级系统)；f)根据等级划规划总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文。 (本项适用于：信息系统等级保护三级系统)。测评等。系统上线第十五条核心机构和经营机构新建上线、运行变更、下线移除重要信当充分评估技术和业务风措施、应急处置和回退方果进行复核验《证券期货业信息安全保障第二十二条核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项充分论证和测试。《证券基金经营机构信息技术管理办法》：第二十一条证券基金经营机构应当建立独立于生产环境的专用开发测风险传导；开发测试环境使用未脱敏数据与生产环境同等的安全控制《证券期货业信息系统运维管理规范》：6.2.3证券期货在原有较为笼统的系统开发流程要求基础结合运维管理细化了重要信息系统的开发及变更流程中风控、测试、节等要求。针对测试环境内敏感数据的以往的监管规定基本保持一致。第十六条核心机构和经营机构在重要信息系统上线、变更前应当制定持续完善测试用例障测试的有效执行。除必须使用敏感数据的情形和经营机构应当对测试环境涉及的敏感数据进行数据须采取与生产环境同等的安全控制措机构应根据系统上线要求制确定采用的测试方法和测试6.3.3变更申请人应提交正式申请中应有明确的变更方度、操作步骤、测试方案、实施方案、风险防控措施、应急预等。安全监测核心机构和经营机构应当全面、准确记录并妥善保存生产运营过程中的业务日志和保满足故障分制、调查取证等工作的需《证券基金经营机构信息技术管理办法》：第二十五条证券基金经营机构应当妥善保存信息系统开发、测试、上线、变更及运维过程中产生新办法将重要信息系统的日志细分为业务日志和系统日相应的保存期日志的保存期限显著高于以往要求。要。重要信息系统业务日志应当日志应当保存六个以上。据业务开展情况以及信息系统的重要程度建立与监测工作相适应的日确保满足应急处置和审计需要。《证券期货业经营机构内部应用系统日志规范》：7.2备份归档b)安全级别为高的应用系时间建议至少为36个月；安全级别为中或者低的应用系时间建议至少基础设备和系统的日志保存时间建议至少为12个月。正式发文弱化了“业务日志保存期限不得少于二十年”的要求。安全防护第十九条核心机构和经营机构应当构建网络和信息安全《证券期货业信息安全保障第十二条核心机构和经营机新办法在网络和信息安全防列举了策略管合采取网络隔离、用户认证、访问控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等安全保障络和信息安全相关网络攻信息系统和相防范信息泄露与损毁。构应当设置合理的网络结区域之间应当进行有效隔范、监控和阻断来自内外部网络攻击破坏的能力。第十五条核心机构和经营机构应当具有防范木马、病毒等恶意代码的意代码对信息系统造成破泄露或者被篡改。《证券基金经营机构信息技术管理办法》：第三十一条证券基金经营机构应当完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销态势感知等近年来较为普及的安全保障措施。录、病毒防范和非法入侵检测等安全保障营数据和客户范信息泄露与损毁。备份管理第二十条核心机构和经营机构应当建立本地、同城和异地数据备信息系统应当每天至少备份数据对数据备份进行一次有效性《证券基金经营机构信息技术管理办法》：第四十一条证券基金经营机构应当确保备份系统与生产系统具备同等保持备份数据与原始数据的一致性。重要信息系统应当符合下列信息系统备份能力等级要求： (一)实时信息系统、非实时信息系统的数据备份能力应当达到第一《证券期货经新办法结合重要信息系统的备份能力标地数据备份的应的备份频监管规定基本保持一致。营机构信息系统备份能力标准》附录《证券期货经营机构信息系统备份能力表》第一级要求：至少每天备份数据一次；备份介质应当在本及异地安全可靠存放；每季度至少对数据备份进行一次有效性验证。压力测试第二十一条核心机构和经营机构应当每年至少开展一次重要信息系统压力测试；发现市场较大波系统的性能容量可能无法保障安全平稳运时对相关信息系统开展压力完成后形成压力测试报告存《证券基金经营机构信息技术管理办法》：第二十三条证券基金经营机构应当结合公司发展战略、市场交易规模等因素定期对重要信息系统开展压力测试确保其容量满足业务开展需要。在原有较为笼统的“定期”要求基础之确了重要信息系统压力测试的频率为“每年至少开展一次”、压力测试报告“保存另外新增了重要信息系统性能容量的量化标准。征求意见稿，存五年以上。核心机构和经营机构重要信息系统的性能容量应当在历史峰经营机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之八十以下。正式发文弱化了“至少每半年开展一次重要信息系统压力测试”的要求。信息发布第二十五条核心机构和经营机构应当建立信强对本机构和本机构运营平台发布信息的《证券期货业信息系统审计A.2.1.1.2d)建立信息发布管理审核制度；安全管理制度是否通过正式、有效的方式发布。新办法在以往审计规范的基在信息技术类的行业监督管理办法之中明确提出了信息发布的要求。知识产权第二十八条核心机构和经营机构应当按照知识产权相关法律法产权保护策略犯他人的知识有效措施保护本机构自主知识产权。《证券期货业信息安全保障第三十七条核心机构和经营机构在采购软硬件产品或者应当与供应商签订合同和保合同和保密协考虑到证券期货业内信息系统建设任务明提升自主研发和安全可控能出了建立知识产权保护相关方面制度的要求。议中明确约定信息安全和保密的权利和义个保体系建立健全投资者个人信息处理、安全防护、应急处等管理机第三十一条资者处理个人、方式、不得超范围收集和使用投资者个人信提供服务非必要的投资者个第三十二条……应当确保个人信息在收集、存提供、公开、删除等处理过程中的第三十三条核心机构和经营机构应当依法依规向第三方机构提供投资《证券基金经营机构信息技术管理办法》：第十四条证券基金经营机构借助信息技术手段从事证券基金业务活动证下列事项并建立存档记录： 善的信息安全够保障经营数据和客户信息的安全、完第三十四条证券基金经营机构应当建立健全数据安全管收集与服务无关的客户信或使用非法获有效衔接《个人信息保护法》等上位要为宽泛的信息管理制度基础出了个人信息保护的管理机需要告知隐私保护政策以及取得单独同意收集的要求与以往的监管规定基本保持一致。明确告知投资者个人信息处理目的、处理方式、个人信息种类、保存期限、保护措施以及相关方的权利和义务资者个人单独同责或者法定义务的情形除外。取或来源不明的数据。在收集使用客户信基金经营机构应当公开收集、使用的规征得客户同个人信息脱敏第三十四条核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信取数据脱敏、数据加密心机构和经营机构通过短自主运营渠道发送投资者敏感个人信息资者账号信息、身份证号码等敏感个人《证券基金经营机构信息技术管理办法》：第二十一条证券基金经营机构应当建立独立于生产环境的专用开发测风险传导；开发测试环境使用未脱敏数据与生产环境同等的安全控制有效衔接《个人信息保护法》等上位要开发测试环境办法另外明确了网络安全防护边界以外、非自主运营渠道发送情形中的数据脱敏要求。理信息进行脱敏处理。生物特征第三十五条核心机构和经营机构利用生物特征进行客户应当对其必要性、安全性进行风险评脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方同意收集其个人生物特征信息。《网络数据安全管理条例 (征求意见稿)》：第二十五条数据处理者利用生物特征进行个人身份认证要性、安全性进行风险评脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方人同意收集其个人生物特征新办法结合网信办的安全管在行业监督管理办法之中明确提出了生物特征的要求。应急预案第三十七条核心机构和经营机构应当根据业务影响分析全网络安全应应急目标、应急组织和处置《证券基金经营机构信息技术管理办法》：第三十八条……证券基金经营机构应急预案应当充分考虑重要信息系统故障、相关在原有的应急场景基础之调突出了网络安全事件、本机构网络和信息安全相关重大人事变动的新办法并未明景应当覆盖网络安全事件、自然灾害和公共卫生事件、本机构网络和信息安全相关重大人事变动、主要信息技术系统服务机构退出等情形。第三十八条……核心机构和经营机构应当定期开展网络安全应急演急演练报告存档备查。信息技术服务机构无法继续提供服务、证券基金经营机构信息技术高管或重要技术团队发生重大变动以及自然灾害等可能影响重要信息系统平稳运行的事件。《证券期货业信息系统运维7.1.5证券期货机构应制定网络与信息安全事件应急预7.1.8b)每半年应至少组织一次网络与信息安全应急演练。确网络安全应急演练的执行行标准可以参考以往的系统运维管理规范。应急处置第三十九条核心机构和经营机构应当建立应急处置机网络安全事信息系统正常《证券期货业信息安全保障第三十二条核心机构和经营机构应当建立信息安全应急在原有的应急处置要求基础强调突出了保护事件现场和于留痕提出了一定的要求。国证监会及其派出机构进行第四十一条核心机构和经营机构发生网络投资者造成影时通过官方网站、客户交易者邮件等有效渠道通知相关方可以采取的替代方式或者应急措时处置突发信尽快恢复信息系统的正常运不得迟报、漏《证券基金经营机构信息技术管理办法》：第四十条证券基金经营机构应当在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式客户防范和应对可能出现的风险。《证券期货业网络安全事件报告与调查处理办法》规范了网络和信息然灾害引起的网络安全事件处理流程。组织保障第四十三条证券期货业关键信息基础设施运营者应当将关键信息基础设施安全保护情况纳入网络和信息安全工作第一责任人、直接责任人和相关人员的责任考核机制。四十四条证券期货业关键信息基础设施运营者应当指定专门机构或者部门负责关键信息基础设施安全保护管理关键信息基础设施指定网络和信息安全管法认定网络安全关键的网络和信息对专门安全管理机构负责人和关键岗位人《关键信息基础设施安全保护条例》：第十四条运营者应当设置专门安全管理机安全管理机构负责人和关键岗位人员进行安全背景审家安全机关应当予以协助。新办法结合《关键信息基础设施安全保式在行业监督管理办法之中以“证券期货业关键信息基础设施运营者”作为主体提出管理要网络和信息安全纳入责任考核机制。式发文弱化了“配备至少五名网络安全专职人员”的要求。员进行安全背景审。安全监测第四十八条证券期货业关键信息基础设施运营者应当对关键信息基础设施的安全运行进行持续监现系统性能和网络容量不足采取系统升级、扩容等处系统性能容量在历史峰值的三倍以关网络带宽应当在近一年使用峰值两倍以上。《证券基金经营机构信息技术管理办法》：第二十三条证券基金经营机构应当结合公司发展战略、市场交易规模等因素定期对重要信息系统开展压力测试确保其容量满足业务开展需要。不同于对核心机构和经营机构的性能容量对于证券期货业关键信息基础设施运营者提出了更高的量化标准。正式发文弱化了“网络带宽不得低于历史峰值的两倍”的要求。宣传与教育第五十五条核心机构和经营机构应当加强本机构网络和信息安全宣传少开展一次全员网络和信息安全教育活《证券期货业信息安全保障第三十四条核心机构和经营机构应当对信息技术人员进其具有履行岗位职责的能有效衔接《网络安全法》、《数据安全法》等上位要为宽泛的信息技术培训之调突出网络和网络和信息安力。力《证券期货业网络安全等级保护基本要求》中针对第一级到第四级对各类人员进行安全意识教育和岗位技能相关的安全责任和惩戒措施。信息安全教育培训。网络和信息安全管理年报第五十九条核心机构和经营机构应当于每年4上一年网络和信息安全工作编制网络和信息安全国证监会及其报内容包括但不限于网络和信息安投入情况、风险情况、处置情况和下一年度工作计《证券基金经营机构信息技术管理办法》：第五十三条证券基金经营机构应当在报送年度报告的同时报送年度信息技术管理专报告期内信息技术治理、信息技术合规与风险管理、信息技术安全管理、信息技术审计等执行本在证监会要求的信息科技管理专项报告等其他年度信息科技类报告基法新增了《网络和信息安全管理年报》相确了年报内容和报送期限。办法规定的情▲注：《办法》于2023年5月1日正式施行后，证监会此前发布的《证券期货业信息安全保法》同时废止。四、新规落地时关注要点核心机构和经营机构在推进新规落地时，可重点围绕以下要点制定切实可行的实建立和完善信息技术治理体系建立完善的信息技术治理架构以及网络和信息安全管理制度体系；明确主要负责人为本机构网络和信息安全工作的第一责任人，分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人，同时指定或设立网络和信息安全工作牵头部门或机构；落实网络安全等级保护制度，按相关要求开展网络和