News
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会于近日发布了《证券期货业网络和信息安全管理办法》(以下简称《管理办法》),并将于2023年5月1日起正式实施。
随着行业数字化智能化加速发展、网络和信息安全上升为国家战略、资本市场持续深化改革等内外部条件的变化,针对数据的安全攻击呈现出高频化、高损化、高显化等特征,证券期货业务场景所具有的特殊性与复杂性,也使得证券期货业网络和信息安全面临的新情况新问题逐渐凸显。一方面,行业网络和信息安全形势严峻复杂。另一方面,法律法规的上位要求有待进一步落实。与此同时,监管实践成果制度化还需加强。基于上述新情况新问题,有必要进一步健全证券期货业网络和信息安全监管制度体系。
一、《管理办法》明确要求建立健全网络和信息安全防护体系
《管理办法》的出台对证券期货业安全监管具有里程碑意义。它全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求。
《管理办法》结构图
(一)基础设施与技术应用:稳定运行、加强风险管控
《管理办法》通过一系列的量化指标解决来加强证券期货机构的网络安全监测预警能力、提升系统的应急处置能力能够帮助机构更加从容高效地应对类似风险事件的发生。
(二)数据安全:强化数据安全管理
《管理办法》对后续证券期货行业的整体数据安全监管提出了有效的高阶指导,提出建立健全数据安全管理制度体系,完善数据运营和管控机制。健全数据安全管理组织架构,明确数据安全管理权责机制。制定覆盖本机构全部业务数据的相关标准,实施与业务特点相适应的数据分类分级管理等要求。
(三)应急处置:提升安全事件处理能力
网络和信息安全应急处置是《管理办法》的重要内容,提出了三大细分要求:一是建立风险监测预警体制,加强日常漏洞扫描、安全评估,及时消除风险隐患;二是完善应急预案的应急场景和处置流程,要求定期开展应急演练;三是强化网络安全事件报告和调查处理工作,明确故障排查、相关方告知等工作要求。
(四)关键信息基础设施安全:更高的网络安全管理和防护能力要求
《管理办法》对关键信息基础设施安全保护进行了明确,其提出,要落实国家关于关键信息基础设施的安全保护要求,结合行业特点,从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面,对关键信息基础设施运营者提出进一步的督导要求。
(五)安全治理层面:明确责任、体系完备
《管理办法》督促行业机构建立健全网络和信息安全管理体制机制,强化管理层责任,指定或设立牵头部门,保障资源投入。
二、多规管理融合保障证券期货业网络和信息安全
基于《管理办法》提出的明确要求,道普信息风险管控专家表示,安全是整体,合规是基准,可以借助专业的第三方风险管控服务,构建以合规为底线、以技术为保障的网络安全防护体系,采取多规管理融合、数据安全治理、安全运营体系等手段,构建证券期货业网络和信息安全管理的防护框架,促进提升行业安全保障能力。
多规管理融合加强网络安全合规
基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,开展等保、密码、关保等多规测评,针对风险提出改进建议,帮助证券行业完成合规整改。
健全数据安全治理体系保障数据安全
通过数据治理体系建设,不断开发创新的数据服务,融合目标、流程、方法、工具,建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架,实现数据的资产化、可视化、服务化,保障数据的核心价值。
强化数据安全风险评估,对数据全生命周期进行风险识别和评估,提升数据安全保障能力、风险发现能力,确保证券行业数据安全风险可控。
构建动态安全防护体系应对网络威胁
从运营管理、运营运行、运行技术三方面,构建具备一体化的分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能的安全保障体系,形成终端防护、边界隔离与威胁监测的安全方案,实现安全运营,保障网络安全。
随着近年来相关法律法规与行业标准相继出台,网络安全体系建设的监管要求日趋严格。其中《网络安全法》《数据安全法》将信息安全和数据安全上升为国家战略,证券期货业作为国家金融活动的重要入口,汇聚了大量敏感、重要的金融数据,对网络和数据安全有着天然的诉求。
三、证券行业多项网络和数据安全政策规范汇总
1.《证券期货业数据安全管理与保护指引》R/T 0250—2022
实施时间:2022年11月
主要内容:从数据安全管理基本原则、组织架构、制度、技术等方面提供指引,规范行业机构开展数据安全管理和保护工作,提升行业数据安全管理水平。
2.《证券期货业网络安全事件报告与调查处理办法》
实施时间:2021年6月
主要内容:本办法旨在规范证券期货业网络安全事件的报告和调查处理,减少网络安全事件的发生。
3.《证券期货业网络安全等级保护测评要求》(JR/T 0067—2021)
实施时间:2021年9月
主要内容:规定了证券期货业网络安全等级保护的等级测评方法、第一级到第四级的网络安全等级保护对象的测评要求、整体测评以及测评结论。
4.《证券期货业网络安全等级保护基本要求》(JR/T 0060—2021)
实施时间:2021年9月
主要内容:规定了证券期货业网络安全等级保护的总体要求,以及第一级到第四级等级保护对象的安全通用要求和安全扩展要求,适用于证券期货业分等级的非涉密对象的安全建设和监督管理。
5. 《证券期货业机构内部企业服务总线实施规范》
发布时间:2018年9月
主要内容:本标准规定了企业服务总线的技术结构与组成、服务生命周期以及项目组织管理,并给出了企业服务总线的典型应用场景。
6.《证券期货业数据分类分级指引》
发布时间:2018年9月
主要内容:本指引给出了证券期货业数据分类分级方法概述及数据分类分级方法的具体描述,并就数据分类分级中的关键问题处理给出建议。
7.《证券基金经营机构信息技术管理办法》
实施时间:2019年6月
主要内容:明确治理、安全、合规三条主线。在传统信息安全监管基础上,针对信息技术治理、数据治理、业务合规提出监管要求,明确经营机构应设立信息技术治理委员会及首席信息官,促进信息技术与业务、风控及合规管理深度融合。
8.《证券期货业信息系统托管基本要求》(JR/T 0133—2015)
实施时间:2016年1月
主要内容:是以实践为基础,以服务行业发展实际需求为出发点,制定的行业统一的信息系统托管标准。
9.《证券期货业信息系统审计指南 第5部分:证券公司》
实施实施时间:2016年11月
主要内容:依据国家及行业信息系统相关规范和标准,对信息系统规划、建设、运维和应急等活动进行自我检查和评价,判断系统运行的安全性、系统建设的合规性和系统应用绩效,提出整改建议,并持续跟踪落实整改情况。
10.《证券期货业信息系统审计规范》(JR/T 0112—2014)
实施时间:2014年12月
主要内容:本标准规定了证券期货业信息系统审计工作的要求.本标准适用于证券期货业机构。
11.《证券期货业信息系统运维管理规范》(JR/T 0099—2012)
实施时间:2013年1月
主要内容:明确提出检查和审计范围至少包括对运维管理制度和操作流程的合理性和完整性进行评估,对运维管理制度和操作流程的执行情况进行评估,对文档、配置、数据的有效性进行评估,对整体安全状况进行评估,对运维人员履职能力进行评估等。
12.《金融行业信息安全等级保护测评服务安全指引》(JR/T 0073-2012)
实施时间:2012年7月
主要内容:明确金融行业等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求,指导等级保护测评机构在金融机构开展的信息系统安全等级保护测评工作。
13.《证券期货业信息安全管理办法》
实施时间:2012年11月
主要内容:证券期货业信息安全保障工作实行“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。
14.《证信办证券期货经营机构信息系统备份能力标准》
实施时间:2011年4月
主要内容:明确了证券期货经营机构信息系统备份能力的含义,定义了备份能力的等级。
15.《关于做好证券业重要信息系统安全等级保护定级工作的通知》
发布时间:2007年9月
主要内容:要求各证券、基金公司应按要求完成本单位的定级工作。在确定安全保护等级时,要谨慎、全面地考虑,科学、合理地定级。
16.《证券公司信息技术管理规范》(JR/T 0023-2004)
实施时间:2005年3月
主要内容:提出证券公司应建立健全网络安全体系,统一制定公司得网络安全策略和技术方案,网络安全策略遵循技术保护和管理保护相结合的原则。
热点新闻
-
2024-04-10
-
2024-04-01
-
2024-03-15
-
2024-03-07
-
2024-03-04
-
2024-03-01
