信息來源：Freebuf

為建立健全證券期貨業(yè)網(wǎng)絡安全監(jiān)管制度體系，防范化解行業(yè)網(wǎng)絡安全風險隱患，近日，證監(jiān)會起草發(fā)布了《證券期貨業(yè)網(wǎng)絡安全管理辦法(征求意見稿)》(以下簡稱《辦法》)。

《辦法》共八章六十六條，主要包括證券期貨業(yè)網(wǎng)絡安全監(jiān)督管理體系、網(wǎng)絡安全運行、數(shù)據(jù)安全統(tǒng)籌管理、網(wǎng)絡安全應急處置、關鍵信息基礎設施網(wǎng)絡安全、網(wǎng)絡安全促進與發(fā)展、監(jiān)督管理與法律責任等方面內(nèi)容。

《辦法》第三條指出，核心機構(gòu)和經(jīng)營機構(gòu)應當遵循保障安全、促進 發(fā)展的原則，建立健全網(wǎng)絡安全防護體系，提升網(wǎng)絡安全保障水平，確保網(wǎng)絡安全與信息化工作同步推進，促進本機構(gòu)相關工作穩(wěn)妥健康發(fā)展。

證監(jiān)會將依法履行監(jiān)督管理職責，具體如下：

組織制定并推動落實證券期貨業(yè)網(wǎng)絡安全和信息 化發(fā)展規(guī)劃、監(jiān)管規(guī)則和行業(yè)標準；

負責證券期貨業(yè)網(wǎng)絡安全的監(jiān)督管理，對證券期 貨業(yè)關鍵信息基礎設施進行監(jiān)管；

負責證券期貨業(yè)網(wǎng)絡安全重大技術路線、重大科 技項目管理；

組織開展證券期貨業(yè)數(shù)據(jù)安全統(tǒng)籌管理；

負責證券期貨業(yè)網(wǎng)絡安全應急演練、應急處置和 事件報告與調(diào)查處理；

指導證券期貨業(yè)網(wǎng)絡安全促進與發(fā)展；

法律法規(guī)規(guī)定的其他網(wǎng)絡安全監(jiān)管職責。

同時，證監(jiān)會建立集中管理、分級負責的證券期貨業(yè)網(wǎng)絡安全監(jiān)督管理體制。中國證監(jiān)會科技監(jiān)管部門統(tǒng)一對證券期貨業(yè)網(wǎng)絡安全實施監(jiān)督管理。中國證監(jiān)會其他部門配合開展相關工作。

中國證監(jiān)會派出機構(gòu)對本轄區(qū)經(jīng)營機構(gòu)和信息技術服務機構(gòu)網(wǎng)絡安全實施監(jiān)督管理。中證信息技術服務有限責任公司在中國證監(jiān)會指導下，為證券期貨業(yè)網(wǎng)絡安全監(jiān)督管理提供專業(yè)協(xié)助和支撐。

《辦法》第十條則指出，核心機構(gòu)和經(jīng)營機構(gòu)應當明確主要負責人為本機構(gòu)網(wǎng)絡安全第一責任人，分管科技工作的負責人為直接 責任人。核心機構(gòu)和經(jīng)營機構(gòu)應當建立網(wǎng)絡安全工作協(xié)調(diào)和決策機制，保障網(wǎng)絡安全第一責任人和直接責任人履行職責。

核心機構(gòu)和經(jīng)營機構(gòu)應當建立健全網(wǎng)絡安全監(jiān)測預警機制，設定監(jiān)測指標，持續(xù)監(jiān)測信息系統(tǒng)和相關基礎設施的運行狀況，及時處置異常情形，對監(jiān)測機制執(zhí)行效果進行定期評估并持續(xù)優(yōu)化。核心機構(gòu)和經(jīng)營機構(gòu)應當全面、準確記錄并妥善保存生產(chǎn)運營過程中的業(yè)務日志和系統(tǒng)日志，確保滿足故障分析、內(nèi)部控制、調(diào)查取證等工作的需要。業(yè)務日志保存期限不得 少于二十年，系統(tǒng)日志保存期限不得少于六個月。

在數(shù)據(jù)安全統(tǒng)籌管理方面，一是從制度機制、組織架構(gòu)、行業(yè)數(shù)據(jù)標準、權限管理、質(zhì)量評估、防范泄露損毀等方面，明確證券期貨業(yè)的具體要求。二是配套上位要求，對數(shù)據(jù)分類分級、個人信息保護、規(guī)范信息發(fā)布等方面作進一步強調(diào)。三是為建立證券期貨業(yè)戰(zhàn)略備份數(shù)據(jù)中心預留制度空間，提升行業(yè)極限災難應對能力。

其中，第二十三條指出，核心機構(gòu)和經(jīng)營機構(gòu)應當履行數(shù)據(jù)安全管理責任，包括但不限于以下方面：

建立健全數(shù)據(jù)安全管理制度體系，完善數(shù)據(jù)運營和管控機制；

健全數(shù)據(jù)安全管理組織架構(gòu)，明確數(shù)據(jù)安全管理權責機制；

依據(jù)行業(yè)相關數(shù)據(jù)標準，制定覆蓋本機構(gòu)全部業(yè)務數(shù)據(jù)的相關標準，實施與業(yè)務特點相適應的數(shù)據(jù)分類分級 管理；

建立數(shù)據(jù)權限管理策略，按照最小授權原則設置數(shù)據(jù)訪問權限，定期排查清理，并對數(shù)據(jù)訪問記錄進行留痕 審計；

構(gòu)建數(shù)據(jù)質(zhì)量評估框架，建立質(zhì)量管控和追責機制；

法律法規(guī)及中國證監(jiān)會規(guī)定的其他事項。

《辦法》第二十七條指出，核心機構(gòu)和經(jīng)營機構(gòu)應當建立信息發(fā)布審核機制，加強對本機構(gòu)和用戶發(fā)布信息的管理，發(fā)現(xiàn)違反法律法規(guī)和有關監(jiān)管規(guī)定的，應當立即停止發(fā)布傳輸，采取必要的處置措施，防止信息擴散，積極消除負面影響，并及時向中國證監(jiān)會及其派出機構(gòu)報告。 信息技術服務機構(gòu)為證券期貨業(yè)務活動提供產(chǎn)品或者服務的，應當按照前款規(guī)定執(zhí)行。

在網(wǎng)絡安全應急處置方面，核心機構(gòu)和經(jīng)營機構(gòu)應當建立網(wǎng)絡安全風險監(jiān)測預警機制，加強日常監(jiān)測，定期開展漏洞掃描、安全評估等工作；開展網(wǎng)絡安全應急演練，頻率不低于每年一次，并于演練后 15 個工作日內(nèi)將相關情況報告中國證監(jiān)會。

附：《證券期貨業(yè)網(wǎng)絡安全管理辦法（征求意見稿）》原文