證監會發布《證券期貨業網絡和信息安全管理辦法》
分類: 安全資訊
發布時間: 2023-03-08 09:43:51
標簽:
作者:
閱讀量: 155
新聞來源: 證監會
證券期貨業網絡和信息安全管理辦法
(2023 年 1 月 17 日中國證券監督管理委員會第 1 次委務會議審議通過)
第一章 總則
第一條 為了保障證券期貨業網絡和信息安全�����,保護投資者合法權益����,促進證券期貨業穩定健康發展�����,根據《中華人民共和國證券法》(以下簡稱《證券法》)���、《中華人民共和國期貨和衍生品法》(以下簡稱《期貨和衍生品法》)�����、《中華人民共和國證券投資基金法》(以下簡稱《證券投資基金法》)����、《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)���、《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)���、《關鍵信息基礎設施安全保護條例》等法律法規����,制定本辦法��。
第二條 核心機構和經營機構在中華人民共和國境內建設�、運營���、維護��、使用網絡及信息系統����,信息技術系統服務機構為證券期貨業務活動提供產品或者服務的網絡和信息安全保障�����,以及證券期貨業網絡和信息安全的監督管理�,適用本辦法���。
第三條 核心機構和經營機構應當遵循保障安全���、促進發展的原則���,建立健全網絡和信息安全防護體系���,提升安全保障水平�,確保與信息化工作同步推進�,促進本機構相關工作穩妥健康發展���。
信息技術系統服務機構應當遵循技術安全���、服務合規的原則�,為證券期貨業務活動提供產品或者服務��,與核心機構�、經營機構共同保障行業網絡和信息安全����,促進行業信息化發展��。
第四條 核心機構和經營機構應當依法履行網絡和信息安全保護義務���,對本機構網絡和信息安全負責���,相關責任不因其他機構提供產品或者服務進行轉移或者減輕�。
信息技術系統服務機構應當勤勉盡責�,對提供產品或者服務的安全性���、合規性承擔責任�����。
第五條 中國證監會依法履行以下監督管理職責:
(一)組織制定并推動落實證券期貨業網絡和信息安全發展規劃�����、監管規則和行業標準��;
(二)負責證券期貨業網絡和信息安全的監督管理�,按規定做好證券期貨業涉及的關鍵信息基礎設施安全保護工作����;
(三)負責證券期貨業網絡和信息安全重大技術路線���、重大科技項目管理�����;
(四)組織開展證券期貨業投資者個人信息保護工作���;
(五)負責證券期貨業網絡安全應急演練��、應急處置����、事件報告與調查處理����;
(六)指導證券期貨業網絡和信息安全促進與發展����;
(七)支持���、協助國家有關部門組織實施網絡和信息安全相關法律��、行政法規����;
(八)法律法規規定的其他網絡和信息安全監管職責�。
第六條 中國證監會建立集中管理��、分級負責的證券期貨業網絡和信息安全監督管理體制����。中國證監會科技監管部門對證券期貨業網絡和信息安全實施監督管理�。中國證監會履行監管職責的其他部門配合開展相關工作����。
中國證監會派出機構對本轄區經營機構和信息技術系統服務機構網絡和信息安全實施日常監管��。
第七條 中國證券業協會��、中國期貨業協會���、中國證券投資基金業協會等行業協會(以下統稱行業協會)依法制定行業網絡和信息安全自律規則���,對經營機構網絡和信息安全實施自律管理��。
第八條 核心機構依法制定保障市場相關主體與本機構信息系統安全互聯的技術規則���,對與本機構信息系統和網絡通信設施相關聯主體加強指導����,督促其強化網絡和信息安全管理��,保障相關信息系統和網絡通信設施的安全平穩運行����。
第二章 網絡和信息安全運行
第九條 核心機構和經營機構應當具有完善的信息技術治理架構����,健全網絡和信息安全管理制度體系���,建立內部決策���、管理����、執行和監督機制�,確保網絡和信息安全管理能力與業務活動規模���、復雜程度相匹配�。
信息技術系統服務機構應當建立網絡和信息安全管理制度�����,配備相應的安全�����、合規管理人員�,建立與提供產品或者服務相適應的網絡和信息安全管理機制����。
第十條 核心機構和經營機構應當明確主要負責人為本機構網絡和信息安全工作的第一責任人���,分管網絡和信息安全工作的領導班子成員或者高級管理人員為直接責任人�。
核心機構和經營機構應當建立網絡和信息安全工作協調和決策機制����,保障第一責任人和直接責任人履行職責�����。
第十一條 核心機構和經營機構應當指定或者設立網絡和信息安全工作牽頭部門或者機構��,負責管理重要信息系統和相關基礎設施���、制定網絡安全應急預案����、組織應急演練等工作����。
第十二條 核心機構和經營機構應當保障人員和資金投入與業務活動規模���、復雜程度相適應�,確保網絡和信息安全人員具備與履行職責相匹配的專業知識和職業技能���。
第十三條 核心機構和經營機構應當確保信息系統和相關基礎設施具備合理的架構��,足夠的性能���、容量���、可靠性���、擴展性和安全性��,并保證相關安全技術措施與信息化工作同步規劃��、同步建設���、同步使用���。
第十四條 核心機構和經營機構應當落實網絡安全等級保護制度����,依法履行網絡安全等級保護義務���,按照國家和證券期貨業網絡安全等級保護相關要求�,開展網絡和信息系統定級備案����、等級測評和安全建設等工作���。
核心機構和經營機構應當按照相關要求��,將網絡安全等級保護工作開展情況報送中國證監會及其派出機構�。
第十五條 核心機構和經營機構新建上線���、運行變更����、下線移除重要信息系統的���,應當充分評估技術和業務風險����,制定風險防控措施��、應急處置和回退方案��,并對相關結果進行復核驗證�;可能對證券期貨市場安全平穩運行產生較大影響的��,應當提前向中國證監會及其派出機構報告�����。
核心機構和經營機構不得在交易時段對重要信息系統進行變更����,重要信息系統存在故障����、缺陷����,經評估須進行緊急修復的情形除外����。
第十六條 核心機構和經營機構在重要信息系統上線��、變更前應當制定全面的測試方案���,持續完善測試用例和測試數據��,并保障測試的有效執行����。
除必須使用敏感數據的情形外���,核心機構和經營機構應當對測試環境涉及的敏感數據進行脫敏�,對未脫敏數據須采取與生產環境同等的安全控制措施�����。
核心機構交易�、行情����、開戶����、結算�、通信等重要信息系統上線或者進行重大升級變更時��,應當組織市場相關主體進行聯網測試�����。
第十七條 核心機構和經營機構暫?���;蛘呓K止借助網絡向投資者提供服務前��,應當履行告知義務����,合理選取公告����、定向通知等方式告知投資者相關業務影響情況����、替代方式及應對措施����。
第十八條 核心機構和經營機構應當建立健全網絡和信息安全監測預警機制�����,設定監測指標���,持續監測信息系統和相關基礎設施的運行狀況���,及時處置異常情形���,對監測機制執行效果進行定期評估并持續優化�。
核心機構和經營機構應當全面�����、準確記錄并妥善保存生產運營過程中的業務日志和系統日志��,確保滿足故障分析����、內部控制�、調查取證等工作的需要���。重要信息系統業務日志應當保存五年以上����,系統日志應當保存六個月以上�����。
第十九條 核心機構和經營機構應當構建網絡和信息安全防護體系����,綜合采取網絡隔離�、用戶認證��、訪問控制�����、策略管理����、數據加密�����、網站防篡改����、病毒木馬防范��、非法入侵檢測和網絡安全態勢感知等安全保障措施�����,提升網絡和信息安全防護能力�����,及時識別����、阻斷相關網絡攻擊�,保護重要信息系統和相關基礎設施����,防范信息泄露與損毀����。
第二十條 核心機構和經營機構應當建立本地���、同城和異地數據備份設施����,重要信息系統應當每天至少備份數據一次���,每季度至少對數據備份進行一次有效性驗證�。
核心機構和經營機構應當建立重要信息系統的故障備份設施和災難備份設施�����,根據信息系統的重要程度和業務影響情況����,確定恢復目標�,保證業務連續運行�����。災難備份設施應當通過同城或者異地災難備份中心的形式體現���。
核心機構和經營機構采取雙活或者多活架構部署重要信息系統的��,在確保業務連續運行的前提下��,任一數據中心可視為其他數據中心的災難備份設施�。
第二十一條 核心機構和經營機構應當每年至少開展一次重要信息系統壓力測試�;發現市場較大波動���,重要信息系統的性能容量可能無法保障安全平穩運行的�,應當及時對相關信息系統開展壓力測試����。
核心機構和經營機構應當依照有關行業標準�,根據系統技術特點和承載業務類型����,制定壓力測試方案���,設定測試場景�����,從系統性能�����、網絡負載��、災備建設等方面設置測試指標����,有序組織測試工作��,測試完成后形成壓力測試報告存檔備查����,并保存五年以上���。
核心機構和經營機構重要信息系統的性能容量應當在歷史峰值的兩倍以上��。核心機構交易時段相關網絡近一年使用峰值應當在當前帶寬的百分之五十以下���,經營機構交易時段相關網絡近一年使用峰值應當在當前帶寬的百分之八十以下���。
第二十二條 核心機構和經營機構應當建立健全供應商管理機制���,明確信息技術產品和服務準入標準��,審慎采購并持續評估相關產品和服務的質量�,及時改進風險管理措施�,健全應急處置機制��,確保重要信息系統運行安全可控���。
核心機構和經營機構應當與供應商簽訂合同及保密協議���,明確約定各方保障網絡和信息安全的權利和義務�;在使用供應商提供產品或者服務時引發網絡安全事件的����,相關供應商有義務配合中國證監會及其派出機構查明網絡安全事件原因�����,認定網絡安全事件責任�。
第二十三條 供應商為核心機構和經營機構提供重要信息系統相關產品或者服務的����,應當依法作為信息技術系統服務機構向中國證監會備案���。
核心機構和經營機構應當督促相關信息技術系統服務機構依法履行備案義務���。
第二十四條 任何機構和個人不得違規開展證券期貨業信息系統認證�、檢測���、風險評估等活動�����,不得違規發布證券期貨業信息安全漏洞��、計算機病毒����、網絡攻擊�����、網絡侵入等信息���。
第二十五條 核心機構和經營機構應當建立信息發布審核機制�,加強對本機構和本機構運營平臺發布信息的管理����,發現違反法律法規和有關監管規定的��,應當立即停止發布傳輸�,采取必要的處置措施�,防止信息擴散���,積極消除負面影響���,并及時向中國證監會及其派出機構報告�����。
第二十六條 核心機構應當對交易���、行情�����、開戶��、結算����、風控��、通信等重要信息系統具有自主開發能力���,掌握執行程序和源代碼并安全可靠存放���。
經營機構應當根據自身發展需要�����,加強自主研發能力建設���,持續提升自主可控能力���。
核心機構和經營機構應當按照國家及中國證監會有關要求�����,開展信息技術應用創新以及商用密碼應用相關工作�。
第二十七條 中國證監會可以委托相關機構建設證券期貨業備份數據中心���,開展行業數據的集中備份和管理工作�,并采取有效安全防護手段�����,防范數據損毀泄露風險��,持續提升證券期貨業重大災難應對能力����。
鼓勵證券期貨業關鍵信息基礎設施運營者及時向證券期貨業備份數據中心備份數據���。其他核心機構和經營機構可以結合經營需要����,自主選擇證券期貨業備份數據中心���,開展數據級災難備份工作�。
第二十八條 核心機構和經營機構應當按照知識產權相關法律法規��,制定知識產權保護策略和制度�����,不侵犯他人的知識產權��,并采取有效措施保護本機構自主知識產權�。
第三章 投資者個人信息保護
第二十九條 核心機構和經營機構應當遵循合法����、正當�����、必要和誠信原則�,處理投資者個人信息���,規范投資者個人信息處理行為����,履行投資者個人信息保護義務����,不得損害投資者合法權益�����。
第三十條 核心機構和經營機構處理投資者個人信息����,應當建立健全投資者個人信息保護體系�����,明確相關崗位及職責要求����,建立健全投資者個人信息處理��、安全防護��、應急處置��、審計監督等管理機制�,加強投資者個人信息保護��。
第三十一條 核心機構和經營機構應當按照法律法規的規定及合同的約定處理投資者個人信息��,明確告知投資者處理個人信息的目的�、方式�、范圍和隱私保護政策�����,不得超范圍收集和使用投資者個人信息�����,不得收集提供服務非必要的投資者個人信息��。合同約定事項應當基于從事證券期貨業務活動的必要限度���。
核心機構和經營機構不得以投資者不同意處理其個人信息或者撤回同意為由��,拒絕向投資者提供服務��,為投資者提供服務所必需���、履行法定職責或者法定義務等情形除外���。
第三十二條 核心機構和經營機構處理投資者個人信息時����,應當確保個人信息在收集��、存儲��、使用��、加工�、傳輸�、提供��、公開���、刪除等處理過程中的合規��、安全�,防止個人信息的泄露�����、篡改���、丟失�����。
第三十三條 核心機構和經營機構應當依法依規向第三方機構提供投資者個人信息�,明確告知投資者個人信息處理目的���、處理方式�����、個人信息種類����、保存期限�����、保護措施以及相關方的權利和義務等�����,并取得投資者個人單獨同意�����,履行法定職責或者法定義務的情形除外����。
第三十四條 核心機構和經營機構在本機構網絡安全防護邊界以外處理投資者個人信息的����,應當采取數據脫敏��、數據加密等措施����,防范化解投資者個人信息在處理過程中的泄露風險��。
核心機構和經營機構通過短信�、郵件等非自主運營渠道發送投資者敏感個人信息的�����,應當將投資者賬號信息�����、身份證號碼等敏感個人信息進行脫敏處理�����。
第三十五條 核心機構和經營機構利用生物特征進行客戶身份認證的����,應當對其必要性�、安全性進行風險評估�,不得將人臉����、步態�、指紋�����、虹膜��、聲紋等生物特征作為唯一的客戶身份認證方式�,強制客戶同意收集其個人生物特征信息��。
第四章 網絡和信息安全應急處置
第三十六條 核心機構���、經營機構和信息技術系統服務機構發現網絡和信息安全產品或者服務存在安全缺陷��、安全漏洞等風險隱患的����,應當及時核實并加固整改�;可能對證券期貨業網絡和信息安全平穩運行產生較大影響的�����,應當向中國證監會及其派出機構報告�����。
第三十七條 核心機構和經營機構應當根據業務影響分析情況����,建立健全網絡安全應急預案���,明確應急目標��、應急組織和處置流程��,應急場景應當覆蓋網絡安全事件���、自然災害和公共衛生事件�、本機構網絡和信息安全相關重大人事變動����、主要信息技術系統服務機構退出等情形���。
第三十八條 核心機構應當組織與本機構信息系統和網絡通信設施相關聯主體開展網絡安全應急演練�����,每年至少開展一次�,并于演練后 15 個工作日內將相關情況報告中國證監會�����。
核心機構和經營機構應當定期開展網絡安全應急演練�����,并形成應急演練報告存檔備查�����。
第三十九條 核心機構和經營機構應當建立應急處置機制��,及時處置網絡安全事件���,盡快恢復信息系統正常運行���,保護事件現場和相關證據���,向中國證監會及其派出機構進行應急報告����,不得瞞報����、謊報�����、遲報�����、漏報�����。
信息技術系統服務機構應當協助開展信息系統故障排查��、修復等工作�,并及時告知使用同類產品或者服務的核心機構和經營機構�����,配合開展風險排查和整改工作����。
第四十條 核心機構和經營機構應當配合中國證監會及其派出機構對網絡安全事件進行調查處理�����,及時組織內部調查���,完成問題整改����,認定追究事件責任���,并按照有關規定報告中國證監會及其派出機構�����。
第四十一條 核心機構和經營機構發生網絡安全事件�����,對投資者造成影響的����,應當及時通過官方網站��、客戶交易終端����、電話或者郵件等有效渠道通知相關方可以采取的替代方式或者應急措施�����,提示相關方防范和應對可能出現的風險���。
第五章 關鍵信息基礎設施安全保護
第四十二條 證券期貨業關鍵信息基礎設施運營者應當按照法律法規及中國證監會有關規定��,強化安全管理措施���、技術防護及其他必要手段��,保障經費投入����,確保關鍵信息基礎設施安全穩定運行����,維護數據的完整性�、保密性和可用性����。
第四十三條 證券期貨業關鍵信息基礎設施運營者應當將關鍵信息基礎設施安全保護情況納入網絡和信息安全工作第一責任人����、直接責任人和相關人員的責任考核機制�����。
第四十四條 證券期貨業關鍵信息基礎設施運營者應當指定專門機構或者部門負責關鍵信息基礎設施安全保護管理工作�,為每個關鍵信息基礎設施指定網絡和信息安全管理責任人�����,依法認定網絡安全關鍵崗位����,配備充足的網絡和信息安全人員�,并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查���。
第四十五條 證券期貨業關鍵信息基礎設施運營者新建承載關鍵業務的重要網絡設施�、信息系統等��,投入使用前應當按照關鍵信息基礎設施安全保護相關要求開展安全檢測和風險評估�����,檢測評估通過后上線運行�����。
證券期貨業關鍵信息基礎設施運營者對關鍵信息基礎設施實施運行變更或者下線移除��,可能對證券期貨市場安全平穩運行產生較大影響的�����,應當在遵守本辦法第十五條的前提下�,組織開展專家評審��;未通過評審的��,原則上不得實施運行變更���、下線移除等操作����。
證券期貨業關鍵信息基礎設施停止運營或者發生較大變化��,可能影響認定結果的���,相關運營者應當及時將相關情況報告中國證監會及其派出機構����。
第四十六條 證券期貨業關鍵信息基礎設施運營者應當每年至少進行一次網絡和信息安全檢測和風險評估�,對發現的安全問題及時整改����,網絡和信息安全檢測和風險評估的內容包括但不限于:關鍵信息基礎設施的運行情況��、面臨的主要威脅�����、風險管理情況��、應急處置情況等�����。
第四十七條 證券期貨業關鍵信息基礎設施運營者采購網絡產品或者服務的���,應當按照國家網絡安全審查制度要求開展風險預判工作�����;采購網絡產品或者服務與關鍵信息基礎設施密切相關�,投入使用后可能影響國家安全的����,應當及時申報網絡安全審查��。
第四十八條 證券期貨業關鍵信息基礎設施運營者應當對關鍵信息基礎設施的安全運行進行持續監測���,定期開展壓力測試���,發現系統性能和網絡容量不足的��,應當及時采取系統升級���、擴容等處置措施�,確保系統性能容量在歷史峰值的三倍以上�����,交易時段相關網絡帶寬應當在近一年使用峰值的兩倍以上�。
第四十九條 證券期貨業關鍵信息基礎設施運營者應當在符合本辦法第二十條規定的基礎上���,建設同城和異地災難備份中心�,實現數據同步保存�。
第六章 網絡和信息安全促進與發展
第五十條 鼓勵核心機構��、經營機構和信息技術系統服務機構在依法合規的前提下�����,積極開展網絡和信息安全技術應用工作�����,運用新技術提升網絡和信息安全保障水平���。
第五十一條 核心機構和經營機構組織開展行業信息基礎設施建設的�����,應當在保障本機構網絡和信息安全的前提下���,為行業統籌提供服務��,提升信息技術資源利用和服務水平���。
第五十二條 核心機構和經營機構參加資本市場金融科技創新機制的�����,應當遵守有關規定�,在依法合規�����、風險可控的前提下���,有序開展金融科技創新與應用����,借助新型信息技術手段��,提升本機構證券期貨業務活動的運行質量和效能�����。
信息技術系統服務機構參加資本市場金融科技創新機制的���,應當遵守有關規定�,持續優化技術服務水平���,增強安全合規管理能力�。
第五十三條 核心機構可以申請開展證券期貨業網絡和信息安全相關認證����、檢測���、測試和風險評估等監管支撐工作��。相關核心機構應當保障充足的資源投入�����,完善內部管理制度和工作流程�,保證工作專業性����、獨立性和公信力���。
中國證監會定期對核心機構前款工作情況開展評估���,評估通過的�����,可以將其作為證券期貨業網絡和信息安全監管支撐單位����,相關工作情況可以作為中國證監會及其派出機構實施監督管理的參考依據��。
第五十四條 核心機構和經營機構應當加強網絡和信息安全人才隊伍建設��,建立與網絡和信息安全工作特點相適應的人才培養機制�,確保人才資質�����、經驗��、專業素質及職業道德符合崗位要求��。
行業協會應當制定網絡和信息安全培訓計劃���,定期組織培訓交流���,提高證券期貨從業人員網絡和信息安全意識和專業素養��。
第五十五條 核心機構和經營機構應當加強本機構網絡和信息安全宣傳與教育����,每年至少開展一次全員網絡和信息安全教育活動�,提升員工網絡和信息安全意識���。
經營機構應當定期組織開展面向投資者的網絡和信息安全宣傳教育活動�����,結合網上證券期貨業務活動的特點��,揭示網絡和信息安全風險�����,增強投資者風險防范能力����。
第五十六條 行業協會應當鼓勵�����、引導網絡和信息安全技術創新與應用����,增強自主可控能力�,組織開展科技獎勵�����,促進行業科技進步����。
行業協會應當引導信息技術系統服務機構規范參與行業網絡和信息安全和信息化工作��,提升服務的安全合規水平�����,促進市場有序競爭���。
第七章 監督管理與法律責任
第五十七條 核心機構���、經營機構和信息技術系統服務機構應當向中國證監會及其派出機構報送或者提供證券期貨業網絡和信息安全管理相關信息和數據���,確保有關信息和數據的真實��、準確����、完整��。
第五十八條 中國證監會負責建立健全行業網絡和信息安全態勢感知工作機制�,并就相關安全缺陷�����、安全漏洞等風險隱患開展行業通報預警�。核心機構�、經營機構和信息技術系統服務機構應當及時排查并采取風險防范措施�����。
第五十九條 核心機構和經營機構應當于每年 4 月 30 日前�����,完成對上一年網絡和信息安全工作的專項評估����,編制網絡和信息安全管理年報�,報送中國證監會及其派出機構�,年報內容包括但不限于網絡和信息安全治理情況��、人員情況�、投入情況����、風險情況�、處置情況和下一年度工作計劃等����。
核心機構和經營機構報送網絡和信息安全管理年報時����,可以與中國證監會要求的信息科技管理專項報告等其他年度信息科技類報告合并報送����,關鍵信息基礎設施安全保護年度計劃除外�。
證券期貨業關鍵信息基礎設施運營者應當將關鍵信息基礎設施網絡和信息安全檢測和風險評估情況納入網絡和信息安全管理年報����。
第六十條 中國證監會及其派出機構可以委托國家�����、行業有關專業機構采用漏洞掃描��、風險評估等方式�����,協助對核心機構���、經營機構和信息技術系統服務機構開展監督���、檢查�。
第六十一條 中國證監會可以根據國家有關要求或者行業工作需要���,組織開展證券期貨業重要時期網絡和信息安全保障����。中國證監會派出機構負責督促本轄區經營機構和信息技術系統服務機構落實相關工作要求���。
證券期貨業重要時期網絡和信息安全保障期間���,核心機構和經營機構應當遵循安全優先的原則�����,加強安全生產值守��,嚴格落實信息報送要求�。
第六十二條 核心機構違反本辦法規定的��,中國證監會可以對其采取責令改正��、監管談話等監管措施����;對有關高級管理人員給予警告���、記過�、記大過���、降級��、撤職��、開除等行政處分�,并責令核心機構對其他責任人給予紀律處分�。
經營機構和信息技術系統服務機構違反本辦法規定的��,中國證監會及其派出機構可以對其采取責令改正�����、監管談話����、出具警示函���、責令公開說明�����、責令定期報告�����、責令增加內部合規檢查次數等監管措施���;對直接責任人和其他責任人員采取責令改正��、監管談話���、出具警示函等監管措施��;情節嚴重的���,對相關機構及責任人員單處或者并處警告��、十萬元以下罰款����,涉及金融安全且有危害后果的����,并處二十萬元以下罰款�����。
第六十三條 經營機構違反本辦法規定��,反映機構治理混亂�����、內控失效或者不符合持續性經營規則的���,中國證監會及其派出機構可以依照《證券法》《期貨和衍生品法》《證券投資基金法》相關規定���,采取責令暫停借助網絡開展部分業務或者全部業務�����、責令更換董事�、監事��、高級管理人員或者限制其權利等監管措施����。
信息技術系統服務機構違反本辦法規定���,未履行備案義務的����,中國證監會及其派出機構可以依照《證券法》《期貨和衍生品法》相關規定予以處罰����。
第六十四條 核心機構����、經營機構和信息技術系統服務機構違反本辦法第九條����、第十條�、第十八條�、第十九條�、第二十條���、第三十七條���、第三十九條規定���,未履行網絡和信息安全保護義務����,或者應急管理存在重大過失的����,中國證監會及其派出機構可以依照《網絡安全法》相關規定予以處罰�����。
證券期貨業關鍵信息基礎設施運營者未履行本辦法第九條���、第十條��、第十八條��、第十九條�、第二十條��、第二十二條�����、第三十七條��、第三十八條�����、第四十二條�、第四十四條�����、第四十六條��、第四十九條�、第五十五條規定的網絡安全保護義務的����,中國證監會及其派出機構可以依照《網絡安全法》《關鍵信息基礎設施安全保護條例》相關規定予以處罰�。
第六十五條 核心機構和經營機構違反本辦法第十七條�、第三十六條規定��,擅自暫?���;蛘呓K止借助網絡向投資者提供服務��,對其產品��、服務存在安全缺陷���、漏洞等風險未立即采取補救措施����,或者未按照規定及時報告的���,中國證監會及其派出機構可以依照《網絡安全法》相關規定予以處罰�。
第六十六條 違反本辦法第二十四條規定�,開展證券期貨業信息系統認證�、檢測�、風險評估等活動���,或者向社會發布證券期貨業信息安全漏洞���、計算機病毒����、網絡攻擊�����、網絡侵入等信息的����,中國證監會及其派出機構可以依照《網絡安全法》相關規定予以處罰����。
第六十七條 核心機構和經營機構違反本辦法第二十五條規定��,對法律�����、行政法規禁止發布或者傳輸的信息未停止傳輸�、采取消除等處置措施��、保存有關記錄的�,中國證監會及其派出機構可以依照《網絡安全法》相關規定予以處罰����。
第六十八條 核心機構和經營機構違反本辦法第三十一條第一款�����、第三十二條���、第三十三條規定���,違規處理個人信息�����,或者處理個人信息未履行個人信息保護義務的���,中國證監會及其派出機構可以依照《網絡安全法》《個人信息保護法》相關規定予以處罰�����。
第六十九條 核心機構�、經營機構和信息技術系統服務機構拒絕���、阻礙中國證監會及其派出機構行使監督檢查���、調查職權的���,中國證監會及其派出機構可以依法予以處罰�����。
第七十條 核心機構和經營機構參加資本市場金融科技創新機制或者信息技術應用創新機制�����,相關項目發生網絡安全事件��,相關機構處置得當�����,積極消除不良影響的���,中國證監會及其派出機構可以予以從輕或者減輕處罰��,未對證券期貨市場產生不良影響的��,可以免于處罰����。
第八章 附則
第七十一條 本辦法中下列用語的含義:
(一)核心機構�����,包括證券期貨交易場所�、證券登記結算機構等承擔證券期貨市場公共職能�����、承擔證券期貨業信息技術公共基礎設施運營的證券期貨市場核心機構及其承擔上述相關職能的下屬機構�����。
(二)經營機構���,是指證券公司�����、期貨公司和基金管理公司等證券期貨經營機構���。
(三)信息技術系統服務機構����,是指為證券期貨業務活動提供重要信息系統的開發�����、測試��、集成����、測評��、運維及日常安全管理等產品或者服務的機構���。
(四)雙活或者多活架構�,是指在同城或者異地的兩個或者多個數據中心同時對外提供服務��,當其中一個或者多個數據中心發生災難性事故時���,可以將原先由其承載的服務請求劃撥至其他正常運作的數據中心��,保障業務連續運行����。
(五)重要信息系統��,是指承載證券期貨業關鍵業務活動�,如出現系統服務異常�、數據泄露等情形����,將對證券期貨市場和投資者產生重大影響的信息系統�����。
(六)可能對證券期貨市場安全平穩運行產生較大影響���,是指依據網絡安全事件調查處理有關辦法�,可能引發較大或者以上級別網絡安全事件的情形�。
(七)以上含本數��,以下不含本數�。
第七十二條 本辦法規定的核心機構��、經營機構和信息技術系統服務機構相關報告事項�,是指依照監管職責����,核心機構應當向中國證監會報告�;除中國證監會另有要求的�����,經營機構和信息技術系統服務機構原則上應當向屬地中國證監會派出機構報告��。
第七十三條 國家對存儲�����、處理涉及國家秘密信息的網絡和信息安全管理另有規定的��,從其規定���。
第七十四條 境內開展證券公司客戶交易結算資金第三方存管業務��、期貨保證金存管業務的商業銀行�,證券投資咨詢機構����,基金托管機構和從事公開募集基金的銷售�、銷售支付��、份額登記�����、估值�����、投資顧問�����、評價等基金服務業務的機構�����,從事證券期貨業務活動的經營機構子公司�����,借助自身運維管理的信息系統從事證券投資活動且存續產品涉及基金份額持有人賬戶合計一千人以上的私募證券投資基金管理人�,應當根據相關信息系統網絡和信息安全管理的特點��,參照適用本辦法��。
核心機構和經營機構設立信息科技專業子公司���,為母公司提供信息科技服務的��,信息科技專業子公司應當按照本辦法落實網絡和信息安全相關要求����。
第七十五條 本辦法自 2023 年 5 月 1 日起施行���。2012 年 11月 1 日公布的《證券期貨業信息安全保障管理辦法》(證監會令第82 號)同時廢止��。
