证券期货业网络安全管理办法 （征求意见稿） 第一章 第一条 总则 为了保障证券期货业网络安全，保护投资者合 法权益，促进证券期货业稳定健康发展，根据《证券法》、 《证券投资基金法》、《网络安全法》、《数据安全法》、 《个人信息保护法》、《期货交易管理条例》、《关键信息 基础设施安全保护条例》等法律法规，制定本办法。 第二条 核心机构和经营机构在中华人民共和国境内 建设、运营、维护和使用网络及信息系统，信息技术服务机 构为证券期货业务活动提供产品或者服务的网络安全保障， 以及证券期货业网络安全的监督管理，适用本办法。 第三条 核心机构和经营机构应当遵循保障安全、促进 发展的原则，建立健全网络安全防护体系，提升网络安全保 障水平，确保网络安全与信息化工作同步推进，促进本机构 相关工作稳妥健康发展。 信息技术服务机构应当遵循技术安全、功能合规的原则， 为证券期货业务活动提供产品或者服务，与核心机构、经营 机构共同保障行业网络安全，促进行业信息化发展。 第四条 核心机构和经营机构应当依法履行网络安全 1 保护义务，对本机构网络安全负责，相关责任不因其他机构 提供产品或者服务进行转移或者减轻。 信息技术服务机构应当勤勉尽责，对提供产品或者服务 的合规性、安全性承担责任。 第五条 中国证监会依法履行以下监督管理职责： （一）组织制定并推动落实证券期货业网络安全和信息 化发展规划、监管规则和行业标准； （二）负责证券期货业网络安全的监督管理，对证券期 货业关键信息基础设施进行监管； （三）负责证券期货业网络安全重大技术路线、重大科 技项目管理； （四）组织开展证券期货业数据安全统筹管理； （五）负责证券期货业网络安全应急演练、应急处置和 事件报告与调查处理； （六）指导证券期货业网络安全促进与发展； （七）法律法规规定的其他网络安全监管职责。 第六条 中国证监会建立集中管理、分级负责的证券期 货业网络安全监督管理体制。中国证监会科技监管部门统一 对证券期货业网络安全实施监督管理。中国证监会其他部门 配合开展相关工作。 中国证监会派出机构对本辖区经营机构和信息技术服 务机构网络安全实施监督管理。 2 中证信息技术服务有限责任公司在中国证监会指导下， 为证券期货业网络安全监督管理提供专业协助和支撑。 第七条 中国证券业协会、中国期货业协会、中国证券 投资基金业协会等行业协会（以下统称行业协会）依法制定 行业网络安全自律规则，对经营机构网络安全实施自律管理。 第八条 核心机构依法制定保障市场相关主体与本机 构信息系统安全互联的技术规则，对与本机构信息系统和网 络通信设施相关联主体加强指导，督促其强化网络安全管理， 保障相关信息系统和网络通信设施的安全平稳运行。 第二章 第九条 网络安全运行 核心机构和经营机构应当具有完善的信息技 术治理架构，健全网络安全管理制度体系，建立内部决策、 管理、执行和监督机制，确保网络安全管理能力与信息化发 展水平相匹配。 信息技术服务机构应当建立网络安全管理制度，配备相 应的安全、合规管理人员，建立与提供产品或者服务相适应 的网络安全管理机制。 第十条 核心机构和经营机构应当明确主要负责人为 本机构网络安全第一责任人，分管科技工作的负责人为直接 责任人。 核心机构和经营机构应当建立网络安全工作协调和决 3 策机制，保障网络安全第一责任人和直接责任人履行职责。 第十一条 核心机构和经营机构应当指定网络安全工 作牵头部门或者机构，负责管理重要信息系统和相关基础设 施、制定网络安全应急预案、组织应急演练、认定网络安全 关键岗位等工作。 第十二条 核心机构和经营机构应当配备网络安全专 职人员，保障技术人员数量和资金投入与业务活动规模及复 杂程度相适应，网络安全专职人员应当具备与履行职责相匹 配的专业知识和职业技能。 第十三条 核心机构和经营机构应当确保信息系统和 相关基础设施具备合理的架构，足够的性能、容量、可靠性、 扩展性和安全性，并保证相关安全技术措施与信息化工作同 步规划、同步建设、同步使用。信息系统的性能容量不得低 于历史峰值的两倍。 第十四条 核心机构和经营机构应当落实网络安全等 级保护制度，依法履行网络安全等级保护义务，按照国家和 证券期货业定级标准和定级要求，向公安机关办理备案和变 更。 核心机构和经营机构应当按照相关要求，将网络安全等 级保护定级、变更和日常工作开展情况及时报告中国证监会 及其派出机构。 4 第十五条 核心机构和经营机构新建上线、运行变更、 下线移除重要信息系统的，应当进行风险评估并开展充分测 试，制定应急处置和回退方案；可能对证券期货市场安全平 稳运行产生较大影响的，应当提前向中国证监会及其派出机 构报告。 第十六条 核心机构和经营机构暂停或者终止借助网 络向投资者提供服务前，应当履行告知义务，合理选取公告、 定向通知等方式告知投资者相关业务影响情况、替代方式及 其他应对措施。 第十七条 核心机构和经营机构应当建立健全网络安 全监测预警机制，设定监测指标，持续监测信息系统和相关 基础设施的运行状况，及时处置异常情形，对监测机制执行 效果进行定期评估并持续优化。 核心机构和经营机构应当全面、准确记录并妥善保存生 产运营过程中的业务日志和系统日志，确保满足故障分析、 内部控制、调查取证等工作的需要。业务日志保存期限不得 少于二十年，系统日志保存期限不得少于六个月。 第十八条 核心机构和经营机构应当建立同城和异地 数据备份设施，至少每天备份数据一次，每季度至少对数据 备份进行一次有效性验证。 核心机构和经营机构应当建立信息系统的故障备份设 施和灾难备份设施，根据信息系统的重要程度和影响范围， 5 确定恢复目标，保证业务活动连续。灾难备份设施应当通过 同城或者异地灾难备份中心的形式体现。 核心机构和经营机构采取双活或者多活架构部署重要 信息系统的，确保业务连续运行能力不低于前款规定的前提 下，任一数据中心可以视为其他数据中心的灾难备份设施。 第十九条 核心机构和经营机构应当至少每半年开展 一次重要信息系统压力测试，根据系统技术特点和承载业务 类型，制定压力测试方案，设定测试场景，从系统处理能力、 网络冗余、灾备建设等方面设置测试指标，有序组织测试工 作，测试完成后形成压力测试报告存档备查。 核心机构和经营机构应当按照有关要求，参加中国证监 会组织开展的全行业重要信息系统压力测试，并根据测试情 况及时整改；暂时无法整改的，应当制定切实可行的整改计 划。 第二十条 信息技术服务机构应当依法向中国证监会 备案，并按照有关业务规则为证券期货业务活动提供信息技 术产品或者服务。 核心机构和经营机构应当建立健全内部管理机制，完善 信息技术产品和服务准入标准，审慎采购并持续评估相关产 品和服务的质量，加强保密管理，及时改进风险管理措施， 健全应急处置机制，保障本机构网络安全和相关业务的安全 平稳运行。 6 第二十一条 核心机构和经营机构应当加强自主研发 能力建设，持续提升自主可控能力，并按照国家及中国证监 会有关要求开展信息技术应用创新相关工作。 第二十二条 核心机构和经营机构应当按照知识产权 相关法律法规，制定知识产权保护策略和制度，采取有效措 施保护本机构自主知识产权，不侵犯他人的知识产权。 第三章 第二十三条 数据安全统筹管理 核心机构和经营机构应当履行数据安全 管理责任，包括但不限于以下方面： （一）建立健全数据安全管理制度体系，完善数据运营 和管控机制； （二）健全数据安全管理组织架构，明确数据安全管理 权责机制； （三）依据行业相关数据标准，制定覆盖本机构全部业 务数据的相关标准，实施与业务特点相适应的数据分类分级 管理； （四）建立数据权限管理策略，按照最小授权原则设置 数据访问权限，定期排查清理，并对数据访问记录进行留痕 审计； （五）构建数据质量评估框架，建立质量管控和追责机 制； 7 （六）法律法规及中国证监会规定的其他事项。 第二十四条 核心机构和经营机构处理重要数据、核心 数据的，应当依法明确数据安全负责人，指定数据安全管理 机构或者部门。 核心机构和经营机构处理重要数据的信息系统原则上 应当满足三级以上网络安全等级保护要求，处理核心数据的 信息系统依照有关法律法规从严保护。 第二十五条 核心机构和经营机构应当综合采取网络 隔离、用户认证、访问控制、数据加密、病毒防范、非法入 侵检测和网络安全态势感知等技术手段，及时识别、阻断和 溯源相关网络攻击，保障数据安全。 第二十六条 核心机构和经营机构应当遵循合法、正当、 必要和诚信原则处理投资者个人信息，依法履行投资者个人 信息保护义务，包括但不限于下列要求： （一）收集个人信息，应当告知投资者个人信息处理的 目的、方式和范围，并取得个人同意； （二）采取必要的安全技术措施存储、传输个人信息， 防止个人信息泄露、篡改、丢失； （三）合理确定个人信息使用策略和操作权限，不得滥 用个人信息； （四）处理证券期货账户等敏感个人信息、向他人提供 或者公开个人信息的，应当取得个人的单独同意。 8 为履行法定职责、法定义务或者监管要求所必需，核心 机构和经营机构可以在未取得个人同意的情况下，处理个人 信息。 第二十七条 核心机构和经营机构应当建立信息发布 审核机制，加强对本机构和用户发布信息的管理，发现违反 法律法规和有关监管规定的，应当立即停止发布传输，采取 必要的处置措施，防止信息扩散，积极消除负面影响，并及 时向中国证监会及其派出机构报告。 信息技术服务机构为证券期货业务活动提供产品或者 服务的，应当按照前款规定执行。 第二十八条 任何机构和个人不得违规开展证券期货 业重要信息系统认证、检测、风险评估等活动，不得违规向 社会发布证券期货业系统漏洞、计算机病毒、网络攻击、网 络侵入等网络安全信息。 第二十九条 中国证监会可以指定相关机构建设证券 期货业战略备份数据中心，开展行业数据的集中备份和管理 工作，持续提升证券期货业重大灾难应对能力。 核心机构和经营机构应当按照规定及时向证券期货业 战略数据备份中心报送数据，报送的数据必须真实、准确、 完整。 9 第四章 第三十条 网络安全应急处置 核心机构和经营机构应当建立网络安全风 险监测预警机制，加强日常监测，定期开展漏洞扫描、安全 评估等工作。核心机构、经营机构和信息技术服务机构发现 网络安全产品或者服务存在安全缺陷、系统漏洞等风险隐患 的，应当及时核实并加固整改；可能对证券期货业网络安全 产生较大影响的，应当向中国证监会及其派出机构报告。 中国证监会及其派出机构可以就相关安全缺陷、系统漏 洞等风险隐患开展行业通报，核心机构、经营机构和信息技