首页 证券期货业网络和信息安全管理办法 证券期货业网络和信息安全管理办法(2023年) 发布机关 中国证监会 效力 现行有效 (2023年1月17日中国证券监督管理委员会第1次委务会议审议通过) 第一章 总则 第一条 为了保障证券期货业网络和信息安全,保护投资者合法权益,促进证券期货业稳定健康发展,根据《中华人民共和国证券法》(以下简称《证券法》)、《中华人民共和国期货和衍生… 第二条 核心机构和经营机构在中华人民共和国境内建设、运营、维护、使用网络及信息系统,信息技术系统服务机构为证券期货业务活动提供产品或者服务的网络和信息安全保障,以及证券… 第三条 核心机构和经营机构应当遵循保障安全、促进发展的原则,建立健全网络和信息安全防护体系,提升安全保障水平,确保与信息化工作同步推进,促进本机构相关工作稳妥健康发展。 第四条 核心机构和经营机构应当依法履行网络和信息安全保护义务,对本机构网络和信息安全负责,相关责任不因其他机构提供产品或者服务进行转移或者减轻。 第五条 中国证监会依法履行以下监督管理职责: 第六条 中国证监会建立集中管理、分级负责的证券期货业网络和信息安全监督管理体制。中国证监会科技监管部门对证券期货业网络和信息安全实施监督管理。中国证监会履行监管职责的其… 第七条 中国证券业协会、中国期货业协会、中国证券投资基金业协会等行业协会(以下统称行业协会)依法制定行业网络和信息安全自律规则,对经营机构网络和信息安全实施自律管理。 第八条 核心机构依法制定保障市场相关主体与本机构信息系统安全互联的技术规则,对与本机构信息系统和网络通信设施相关联主体加强指导,督促其强化网络和信息安全管理,保障相关信… 第二章 网络和信息安全运行 第九条 核心机构和经营机构应当具有完善的信息技术治理架构,健全网络和信息安全管理制度体系,建立内部决策、管理、执行和监督机制,确保网络和信息安全管理能力与业务活动规模、… 第十条 核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。 第十一条 核心机构和经营机构应当指定或者设立网络和信息安全工作牵头部门或者机构,负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等工作。 第十二条 核心机构和经营机构应当保障人员和资金投入与业务活动规模、复杂程度相适应,确保网络和信息安全人员具备与履行职责相匹配的专业知识和职业技能。 第十三条 核心机构和经营机构应当确保信息系统和相关基础设施具备合理的架构,足够的性能、容量、可靠性、扩展性和安全性,并保证相关安全技术措施与信息化工作同步规划、同步建设、… 第十四条 核心机构和经营机构应当落实网络安全等级保护制度,依法履行网络安全等级保护义务,按照国家和证券期货业网络安全等级保护相关要求,开展网络和信息系统定级备案、等级测评… 第十五条 核心机构和经营机构新建上线、运行变更、下线移除重要信息系统的,应当充分评估技术和业务风险,制定风险防控措施、应急处置和回退方案,并对相关结果进行复核验证;可能对… 第十六条 核心机构和经营机构在重要信息系统上线、变更前应当制定全面的测试方案,持续完善测试用例和测试数据,并保障测试的有效执行。 第十七条 核心机构和经营机构暂停或者终止借助网络向投资者提供服务前,应当履行告知义务,合理选取公告、定向通知等方式告知投资者相关业务影响情况、替代方式及应对措施。 第十八条 核心机构和经营机构应当建立健全网络和信息安全监测预警机制,设定监测指标,持续监测信息系统和相关基础设施的运行状况,及时处置异常情形,对监测机制执行效果进行定期评… 第十九条 核心机构和经营机构应当构建网络和信息安全防护体系,综合采取网络隔离、用户认证、访问控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势… 第二十条 核心机构和经营机构应当建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证。 第二十一条 核心机构和经营机构应当每年至少开展一次重要信息系统压力测试;发现市场较大波动,重要信息系统的性能容量可能无法保障安全平稳运行的,应当及时对相关信息系统开展压力测… 第二十二条 核心机构和经营机构应当建立健全供应商管理机制,明确信息技术产品和服务准入标准,审慎采购并持续评估相关产品和服务的质量,及时改进风险管理措施,健全应急处置机制,确… 第二十三条 供应商为核心机构和经营机构提供重要信息系统相关产品或者服务的,应当依法作为信息技术系统服务机构向中国证监会备案。 第二十四条 任何机构和个人不得违规开展证券期货业信息系统认证、检测、风险评估等活动,不得违规发布证券期货业信息安全漏洞、计算机病毒、网络攻击、网络侵入等信息。 第二十五条 核心机构和经营机构应当建立信息发布审核机制,加强对本机构和本机构运营平台发布信息的管理,发现违反法律法规和有关监管规定的,应当立即停止发布传输,采取必要的处置措… 第二十六条 核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,掌握执行程序和源代码并安全可靠存放。 第二十七条 中国证监会可以委托相关机构建设证券期货业备份数据中心,开展行业数据的集中备份和管理工作,并采取有效安全防护手段,防范数据损毁泄露风险,持续提升证券期货业重大灾难… 第二十八条 核心机构和经营机构应当按照知识产权相关法律法规,制定知识产权保护策略和制度,不侵犯他人的知识产权,并采取有效措施保护本机构自主知识产权。 第三章 投资者个人信息保护 第二十九条 核心机构和经营机构应当遵循合法、正当、必要和诚信原则,处理投资者个人信息,规范投资者个人信息处理行为,履行投资者个人信息保护义务,不得损害投资者合法权益。 第三十条 核心机构和经营机构处理投资者个人信息,应当建立健全投资者个人信息保护体系,明确相关岗位及职责要求,建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理… 第三十一条 核心机构和经营机构应当按照法律法规的规定及合同的约定处理投资者个人信息,明确告知投资者处理个人信息的目的、方式、范围和隐私保护政策,不得超范围收集和使用投资者个… 第三十二条 核心机构和经营机构处理投资者个人信息时,应当确保个人信息在收集、存储、使用、加工、传输、提供、公开、删除等处理过程中的合规、安全,防止个人信息的泄露、篡改、丢失… 第三十三条 核心机构和经营机构应当依法依规向第三方机构提供投资者个人信息,明确告知投资者个人信息处理目的、处理方式、个人信息种类、保存期限、保护措施以及相关方的权利和义务等… 第三十四条 核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的,应当采取数据脱敏、数据加密等措施,防范化解投资者个人信息在处理过程中的泄露风险。 第三十五条 核心机构和经营机构利用生物特征进行客户身份认证的,应当对其必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,强… 第四章 网络和信息安全应急处置 第三十六条 核心机构、经营机构和信息技术系统服务机构发现网络和信息安全产品或者服务存在安全缺陷、安全漏洞等风险隐患的,应当及时核实并加固整改;可能对证券期货业网络和信息安全… 第三十七条 核心机构和经营机构应当根据业务影响分析情况,建立健全网络安全应急预案,明确应急目标、应急组织和处置流程,应急场景应当覆盖网络安全事件、自然灾害和公共卫生事件、本… 第三十八条 核心机构应当组织与本机构信息系统和网络通信设施相关联主体开展网络安全应急演练,每年至少开展一次,并于演练后15个工作日内将相关情况报告中国证监会。 第三十九条 核心机构和经营机构应当建立应急处置机制,及时处置网络安全事件,尽快恢复信息系统正常运行,保护事件现场和相关证据,向中国证监会及其派出机构进行应急报告,不得瞒报、… 第四十条 核心机构和经营机构应当配合中国证监会及其派出机构对网络安全事件进行调查处理,及时组织内部调查,完成问题整改,认定追究事件责任,并按照有关规定报告中国证监会及其派… 第四十一条 核心机构和经营机构发生网络安全事件,对投资者造成影响的,应当及时通过官方网站、客户交易终端、电话或者邮件等有效渠道通知相关方可以采取的替代方式或者应急措施,提示… 第五章 关键信息基础设施安全保护 第四十二条 证券期货业关键信息基础设施运营者应当按照法律法规及中国证监会有关规定,强化安全管理措施、技术防护及其他必要手段,保障经费投入,确保关键信息基础设施安全稳定运行,… 第四十三条 证券期货业关键信息基础设施运营者应当将关键信息基础设施安全保护情况纳入网络和信息安全工作第一责任人、直接责任人和相关人员的责任考核机制。 第四十四条 证券期货业关键信息基础设施运营者应当指定专门机构或者部门负责关键信息基础设施安全保护管理工作,为每个关键信息基础设施指定网络和信息安全管理责任人,依法认定网络安… 第四十五条 证券期货业关键信息基础设施运营者新建承载关键业务的重要网络设施、信息系统等,投入使用前应当按照关键信息基础设施安全保护相关要求开展安全检测和风险评估,检测评估通… 第四十六条 证券期货业关键信息基础设施运营者应当每年至少进行一次网络和信息安全检测和风险评估,对发现的安全问题及时整改,网络和信息安全检测和风险评估的内容包括但不限于:关键… 第四十七条 证券期货业关键信息基础设施运营者采购网络产品或者服务的,应当按照国家网络安全审查制度要求开展风险预判工作;采购网络产品或者服务与关键信息基础设施密切相关,投入使… 第四十八条 证券期货业关键信息基础设施运营者应当对关键信息基础设施的安全运行进行持续监测,定期开展压力测试,发现系统性能和网络容量不足的,应当及时采取系统升级、扩容等处置措… 第四十九条 证券期货业关键信息基础设施运营者应当在符合本办法第二十条规定的基础上,建设同城和异地灾难备份中心,实现数据同步保存。 第六章 网络和信息安全促进与发展 第五十条 鼓励核心机构、经营机构和信息技术系统服务机构在依法合规的前提下,积极开展网络和信息安全技术应用工作,运用新技术提升网络和信息安全保障水平。 第五十一条 核心机构和经营机构组织开展行业信息基础设施建设的,应当在保障本机构网络和信息安全的前提下,为行业统筹提供服务,提升信息技术资源利用和服务水平。 第五十二条 核心机构和经营机构参加资本市场金融科技创新机制的,应当遵守有关规定,在依法合规、风险可控的前提下,有序开展金融科技创新与应用,借助新型信息技术手段,提升本机构证… 第五十三条 核心机构可以申请开展证券期货业网络和信息安全相关认证、检测、测试和风险评估等监管支撑工作。相关核心机构应当保障充足的资源投入,完善内部管理制度和工作流程,保证工… 第五十四条 核心机构和经营机构应当加强网络和信息安全人才队伍建设,建立与网络和信息安全工作特点相适应的人才培养机制,确保人才资质、经验、专业素质及职业道德符合岗位要求。 第五十五条 核心机构和经营机构应当加强本机构网络和信息安全宣传与教育,每年至少开展一次全员网络和信息安全教育活动,提升员工网络和信息安全意识。 第五十六条 行业协会应当鼓励、引导网络和信息安全技术创新与应用,增强自主可控能力,组织开展科技奖励,促进行业科技进步。 第七章 监督管理与法律责任 第五十七条 核心机构、经营机构和信息技术系统服务机构应当向中国证监会及其派出机构报送或者提供证券期货业网络和信息安全管理相关信息和数据,确保有关信息和数据的真实、准确、完整… 第五十八条 中国证监会负责建立健全行业网络和信息安全态势感知工作机制,并就相关安全缺陷、安全漏洞等风险隐患开展行业通报预警。核心机构、经营机构和信息技术系统服务机构应当及时… 第五十九条 核心机构和经营机构应当于每年4月30日前,完成对上一年网络和信息安全工作的专项评估,编制网络和信息安全管理年报,报送中国证监会及其派出机构,年报内容包括但不限于… 第六十条 中国证监会及其派出机构可以委托国家、行业有关专业机构采用漏洞扫描、风险评估等方式,协助对核心机构、经营机构和信息技术系统服务机构开展监督、检查。 第六十一条 中国证监会可以根据国家有关要求或者行业工作需要,组织开展证券期货业重要时期网络和信息安全保障。中国证监会派出机构负责督促本辖区经营机构和信息技术系统服务机构落实… 第六十二条 核心机构违反本办法规定的,中国证监会可以对其采取责令改正、监管谈话等监管措施;对有关高级管理人员给予警告、记过、记大过、降级、撤职、开除等行政处分,并责令核心机… 第六十三条 经营机构违反本办法规定,反映机构治理混乱、内控失效或者不符合持续性经营规则的,中国证监会及其派出机构可以依照《证券法》、《期货和衍生品法》、《证券投资基金法》相… 第六十四条 核心机构、经营机构和信息技术系统服务机构违反本办法第九条、第十条、第十八条、第十九条、第二十条、第三十七条、第三十九条规定,未履行网络和信息安全保护义务,或者应… 第六十五条 核心机构和经营机构违反本办法第十七条、第三十六条规定,擅自暂停或者终止借助网络向投资者提供服务,对其产品、服务存在安全缺陷、漏洞等风险未立即采取补救措施,或者未… 第六十六条 违反本办法第二十四条规定,开展证券期货业信息系统认证、检测、风险评估等活动,或者向社会发布证券期货业信息安全漏洞、计算机病毒、网络攻击、网络侵入等信息的,中国证… 第六十七条 核心机构和经营机构违反本办法第二十五条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,中国证监会及其派出机构可以依照… 第六十八条 核心机构和经营机构违反本办法第三十一条第一款、第三十二条、第三十三条规定,违规处理个人信息,或者处理个人信息未履行个人信息保护义务的,中国证监会及其派出机构可以… 第六十九条 核心机构、经营机构和信息技术系统服务机构拒绝、阻碍中国证监会及其派出机构行使监督检查、调查职权的,中国证监会及其派出机构可以依法予以处罚。 第七十条 核心机构和经营机构参加资本市场金融科技创新机制或者信息技术应用创新机制,相关项目发生网络安全事件,相关机构处置得当,积极消除不良影响的,中国证监会及其派出机构可… 第八章 附则 第七十一条 本办法中下列用语的含义: 第七十二条 本办法规定的核心机构、经营机构和信息技术系统服务机构相关报告事项,是指依照监管职责,核心机构应当向中国证监会报告;除中国证监会另有要求的,经营机构和信息技术系统… 第七十三条 国家对存储、处理涉及国家秘密信息的网络和信息安全管理另有规定的,从其规定。 第七十四条 境内开展证券公司客户交易结算资金第三方存管业务、期货保证金存管业务的商业银行,证券投资咨询机构,基金托管机构和从事公开募集基金的销售、销售支付、份额登记、估值、… 第七十五条 本办法自2023年5月1日起施行。2012年11月1日公布的《证券期货业信息安全保障管理办法》(证监会令第82号)同时废止。 相关版本 证券期货业信息安全保障管理办法(2012) 证券期货业网络和信息安全管理办法(2023) 证券期货业信息安全保障管理办法(2012)