《证券期货业网络和信息安全管理办法》解读——新旧规定对比解读新规合规要点

2012年8月，中国证券监督管理委员会（以下简称“证监会”）颁布了《证券期货业信息安全保障管理办法》（以下简称“旧管理办法”），以加强证券期货业信息安全管理；2022年4月，为充分衔接上位法要求，在总结监管实践的基础上，证监会发布《证券期货业网络安全管理办法（征求意见稿）》（以下简称“征求意见稿”）；2023年2月27日，证监会发布《证券期货业网络和信息安全管理办法》（以下简称“新管理办法”），并于2023年5月1日正式施行，同时宣告旧管理办法废止。

本文拟通过对比上述三个文件规定的变化，结合《<证券期货业网络和信息安全管理办法>立法说明》（以下简称“立法说明”）的相关内容，基于我们相关的行业实践，针对新管理办法的重点规定进行解读，帮助证券期货行业机构厘清合规要点。总体而言，新管理办法的合规要点主要体现在以下方面：

一、 适用对象

新管理办法的适用对象为证券期货业核心机构、经营机构以及信息技术系统服务机构，在旧管理办法的基础上，将信息技术系统服务机构纳入规范范围。信息技术系统服务机构，是指为证券期货业务活动提供重要信息系统的开发、测试、集成、测评、运维及日常安全管理等产品或者服务的机构。根据新管理办法的相关规定，信息技术系统服务机构应当履行以下合规义务：

l 建立网络和信息安全管理制度

l 配备网络和信息安全、合规管理人员

l 提供重要信息系统相关产品或服务的，依法向证监会备案

l 排查、整改所提供产品或服务的网络和信息安全风险

l 协助开展核心机构与经营机构的信息系统风险排查和整改工作

l 向证监会报送或者提供证券期货业网络和信息安全管理相关信息和数据

二、 内部组织机构与责任人

根据新管理办法的相关规定，核心机构和经营机构需要新设网络和信息安全工作牵头部门或者机构，其主要职责为：（1）负责管理重要信息系统和相关基础设施；（2）制定网络安全应急预案；（3）组织应急演练等工作。

同时，新管理办法新增了关于网络安全责任人的规定，即核心机构和经营机构的主要负责人为本机构网络和信息安全工作的第一责任人，分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。责任人的设置并非是空有其表，其意味着若核心机构、经营机构以及信息技术系统服务机构违反管理办法的相关规定，相关责任人将视情况承担警告、罚款等法律责任。

三、 制度体系建设与安全保障措施

新管理办法在旧管理办法的基础上，新增了网络安全等级保护制度，要求构建网络和信息安全防护体系，对网络与信息安全应急处置设置了专章予以规范，并针对系统安全运行、数据存储与备份等方面制定了更为详细和严格的保障措施。

1. 网络安全等级保护制度

网络安全等级保护制度为《网络安全法》中明确规定的一项安全管理制度，其要求网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。此次，在新管理办法中新增网络安全等级保护制度，正是回应了立法说明中关于旧管理办法无法有效衔接上位要求的问题。

2. 构建网络和信息安全防护体系

与旧管理办法以及先前的征求意见稿仅罗列核心机构与经营机构应当采取的安全防护措施不同，新管理办法强调其应当构建网络和信息安全防护体系。体系相对于单一或多个措施而言，其更具有逻辑性和程式化，这意味着核心机构与经营机构在网络和信息安全防护方面应当制定相关的管理流程，以系统地防止网络和信息安全风险。

3. 网络与信息安全应急处置

旧管理办法主要在其第三十二条、三十三条对内部应急机制以及进行应急演练做了简要规定，新管理办法则设置专章，对网络与信息安全应急处置做了详细规定，主要包含以下几个方面的内容：

l 及时核实产品或服务的网络与信息安全风险并加以整改，特殊情况需向证监会报告

l 建立网络安全应急预案、应急处置机制

l 定期开展网络安全应急演练

l 发生网络安全事件，对投资者造成影响的，应当及时通知相关方

4. 其他安全保障措施

新管理办法在旧管理办法的基础上，对核心机构与经营机构的系统运行、数据存储与备份等多个方面提出了更为严格的安全管理要求，新增的主要内容如下：

l 除另有规定外，不得在交易时段对重要信息系统进行变更

l 除必须使用敏感数据的情形外，对测试环境涉及的敏感数据进行脱敏或采取同等安全措施

l 暂停或者终止借助网络向投资者提供服务前，应当履行告知义务

l 全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志至规定期限

l 建立本地、同城和异地数据备份设施，并按照规定频率进行数据备份以及开展有效性验证

l 每年至少开展一次重要信息系统压力测试

l 建立信息发布审核机制，加强对本机构和本机构运营平台发布信息的管理

四、 供应商网络与信息安全管理

供应商的网络与信息安全管理一直是金融领域监管的重点关注问题，2021年年底，中国银行保险监督管理委员会（以下简称“银保监会”）发布了《银行保险机构信息科技外包风险监管办法》，旨在规范银行保险机构的信息科技外包活动，加强信息科技外包风险管控；2022年8月，银保监会办公厅非公开发布《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知（银保监办法〔2022〕80号）》，罗列了7类22项侵害个人信息权益的行为，其中再次突出了银行保险机构在与第三方合作过程中出现的问题，包括但不限于与第三方合作机构合作不审慎，违反规定向第三方合作机构提供个人信息等。关于证券期货业供应商信息安全管理问题，新管理办法同样予以了明确。

《证券期货业信息安全保障管理办法》

《证券期货业网络安全管理办法（征求意见稿）》

《证券期货业网络与信息安全管理办法》

第三十六条

核心机构和经营机构应当建立供应商管理制度，定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。

第二十条

信息技术服务机构应当依法向中国证监会备案，并按照有关业务规则为证券期货业务活动提供信息技术产品或者服务。

核心机构和经营机构应当建立健全内部管理机制，完善信息技术产品和服务准入标准，审慎采购并持续评估相关产品和服务的质量，加强保密管理，及时改进风险管理措施，健全应急处置机制，保障本机构网络安全和相关业务的安全平稳运行。

第二十二条　

核心机构和经营机构应当建立健全供应商管理机制，明确信息技术产品和服务准入标准，审慎采购并持续评估相关产品和服务的质量，及时改进风险管理措施，健全应急处置机制，确保重要信息系统运行安全可控。

核心机构和经营机构应当与供应商签订合同及保密协议，明确约定各方保障网络和信息安全的权利和义务；在使用供应商提供产品或者服务时引发网络安全事件的，相关供应商有义务配合中国证监会及其派出机构查明网络安全事件原因，认定网络安全事件责任。

第三十七条

核心机构和经营机构在采购软硬件产品或者技术服务时，应当与供应商签订合同和保密协议，并在合同和保密协议中明确约定信息安全和保密的权利和义务。

涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同，应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。

表1：三部法律文件关于供应商管理规定的对比表

由上表可以看出，旧管理办法重点强调对于供应商的事中评估，并通过采购合同的形式约束核心机构、经营机构与供应商之间的权利义务；而先前的征求意见稿并未明确建立供应商管理机制，而是将其纳入内部管理机制，且强调对于供应商的事前评估；新管理办法则是将前述二者的规定予以整合，强调核心机构与经营机构应当明确建立供应商管理机制，且需要加强对供应商的事前、事中评估。

事实上，对于供应商管理，核心机构与经营机构应当建立事前、事中、事后整个流程的管理机制：（1）在选择供应商之前，应当设置明确的供应商准入标准，并对供应商开展尽职调查，审查其数据合规安全风险以及数据安全能力，审慎选择供应商；（2）一旦确定供应商，需要通过合同的形式，载明双方在合作过程中应当各自承担的网络信息安全责任和义务；（3）在与供应商合作期间，应当建立风险管理制度和流程，建立服务效能和质量监控体系，针对供应商进行持续监控和评估，制定应急预案以防范安全事件；（4）在供应商的服务结束后，应当妥善完成与供应商的交接事宜，包括但不限于事先制定供应商服务终止的交接计划，明确供应商服务终止后保密义务的履行，针对相关数据的删除与销毁。

五、 投资者个人信息保护

新管理办法的一大亮点在于专章规定了投资者的个人信息保护，实现了其与《个人信息保护法》等上位法的有效衔接，且其相比于旧管理办法和先前的征求意见稿而言，更为详尽地规定了核心机构与经营机构应当履行哪些个人信息保护义务。征求意见稿仅用一条规定了核心机构与经营机构应当依法履行投资者个人信息保护义务，过于笼统和原则，新管理办法设置专章，从个人信息的处理原则、内部保护体系建设、个人信息全流程处理合规、个人信息向第三方提供等多个维度规范核心机构与经营机构的个人信息处理行为，将为相关机构实现个人信息保护合规提供更为明确的指引。可见监管机构对于投资者个人信息保护问题的重视，我们也将在本系列的后续文章中对投资者个人保护合规实践进行更为详细的解读。

六、 关键信息基础设施安全保护

为实现与《网络安全法》以及《关键信息基础设施安全保护条例》等上位法的有效衔接，新管理办法新增了“关键信息基础设施安全保护”章节，对于构成证券期货业关键信息基础设施运营者的相关机构，规定了更为严格的合规要求，具体表现在以下方面：

l 将关键信息基础设施安全保护情况纳入负责人网络和信息安全工作的考核内容

l 为每个关键信息基础设施指定网络和信息安全管理责任人，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查

l 新建承载关键业务的重要网络设施、信息系统等情形需开展安全监测和风险评估

l 对关键信息基础设施实施运行变更或者下线移除，可能对证券期货市场安全平稳运行产生较大影响的，需通过专家评审

l 每年至少进行一次网络和信息安全检测和风险评估

l 采购网络产品或者服务的，应当按照国家网络安全审查制度要求开展风险预判工作，必要时申报网络安全审查

l 对关键信息基础设施的安全运行进行持续监测，定期开展压力测试，确保系统性能和网络容量达到规定数值

l 建设同城和异地灾难备份中心，实现数据同步保存

七、 法律责任

针对违反规定应当承担的法律责任，旧管理办法仅笼统规定了处罚措施，而新管理办法则针对违反规定的具体情形详细规定了违法机构及其负责人应当承担的法律责任。证监会不仅可以依据新管理办法对违法机构及其负责人予以处罚，还可依据《网络安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等对其进行处罚；承担法律责任的不仅包括核心机构、经营机构以及信息技术系统服务机构，还包括其负责人。由此可见，新管理办法对于法律责任的进一步明确以及对于违反相关规定的处罚力度进一步加强，相关机构应当引起重视，致力于实现网络和信息安全管理合规。