《证券期货业网络和信息安全管理办法》解读

新规出台背景

经过近11个月的意见征求之后，中国证监会于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》（以下简称《办法》）, 并将于2023年5月1日起正式实施期货管理。《办法》的主要内容包括网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置以及关键信息基础设施安全保护等，旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法律法规要求，并为证券期货业网络和信息安全管理提供了契合行业特性的高阶指导、具体要求以及量化标准。

《办法》的第二章在网络和信息安全运行方面中投入了大量篇幅，从较为宏观的健全制度、厘清责任，到更为细节的信息备份频率及性能容量指标，无不体现了监管部门对不同成熟度阶段适用对象如何落实新规的考虑期货管理。

另外，原征求意见稿中的“数据安全统筹管理”被替换为“投资者个人信息保护”，从多个维度提出了对个人信息保护的相关要求，如信息收集的告知同意、最小必要原则、生命周期管理、个人信息脱敏、个人生物特征信息等，体现了行业监管对个人信息保护的重视程度期货管理。

注：在《办法》发布的不久之后，国务院机构改革方案出炉，中国证监会调整为国务院直属机构期货管理。“国家金融监督管理总局”在原银保监会基础上组建，同时并入了人民银行和中国证监会的部分职责，包括：

展开全文

《办法》适用对象

《办法》适用于以下对象：

1、在境内建设、运营、维护、使用网络及信息系统的核心机构和经营机构；

2、为证券期货业务活动提供产品或者服务的网络和信息安全保障的信息技术系统服务机构；

3、以及，为证券期货业务活动提供网络和信息安全的监督管理的信息技术系统服务机构期货管理。

注：境内开展证券公司客户交易结算资金第三方存管业务、期货保证金存管业务的商业银行，证券投资咨询机构，基金托管机构和从事公开募集基金的销售、销售支付、份额登记、估值、投资顾问、评价等基金服务业务的机构，从事证券期货业务活动的经营机构子公司，借助自身运维管理的信息系统从事证券投资活动且存续产品涉及基金份额持有人账户合计一千人以上的私募证券投资基金管理人，应当根据相关信息系统网络和信息安全管理的特点，参照适用《办法》期货管理。

核心机构和经营机构设立信息科技专业子公司，为母公司提供信息科技服务的，信息科技专业子公司应当按照《办法》落实网络和信息安全相关要求期货管理。

《办法》与旧监管要求的主要变化

毕马威将正式发布的《办法》与2022年的征求意见稿，以及过往的行业监管要求（包括《证券基金经营机构信息技术管理办法》、《证券期货业信息安全保障管理办法》、《证券期货业信息系统运维管理规范》、《证券期货经营机构信息技术治理工作指引（试行）》、《证券期货业网络安全事件报告与调查处理办法》、《证券期货业网络安全等级保护基本要求》、《证券期货业经营机构内部应用系统日志规范》等）进行比对，并分析总结了主要区别期货管理。对于大部分证券公司、期货公司和基金管理公司等证券期货经营机构最主要的三大影响及可以考虑的应对措施如下：

注：《办法》于2023年5月1日正式施行后期货管理，证监会此前发布的《证券期货业信息安全保障管理办法》同时废止

新规落地时关注要点

核心机构和经营机构在推进新规落地时，可重点围绕以下要点制定切实可行的实施方案，以提升本机构的安全保障水平期货管理。

建立和完善信息技术治理体系

建立完善的信息技术治理架构以及网络和信息安全管理制度体系；

明确主要负责人为本机构网络和信息安全工作的第一责任人期货管理，分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人，同时指定或设立网络和信息安全工作牵头部门或机构；

落实网络安全等级保护制度，按相关要求开展网络和信息系统定级备案、等级测评和安全建设等工作期货管理。

设置可靠的安全运营量化指标

重要信息系统业务日志应当保存五年以上期货管理，系统日志应当保存六个月以上；

应当建立本地、同城和异地数据备份设施期货管理，重要信息系统应当每天至少备份数据一次，每季度至少对数据备份进行一次有效性验证；

每年至少开展一次重要信息系统压力测试期货管理，测试完成后形成压力测试报告存档备查，并保存五年以上；

重要信息系统的性能容量应当在历史峰值的两倍以上；

核心机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之五十以下，经营机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之八十以下期货管理。

建立健全投资者个人信息保护体系

建立健全投资者个人信息保护体系期货管理，加强对投资者个人信息的保护；

依法依规处理投资者个人信息期货管理，遵循“告知同意，最小必要”原则；

依法依规向第三方提供投资者的个人信息期货管理，并取得个人投资者的单独同意；

在本机构网络安全防护边界以外处理投资者个人信息时期货管理，需采取技术措施加强个人信息保护；

对利用生物特征进行客户身份认证的必要性和安全性进行风险评估期货管理。不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式，进而强制客户同意收集其个人生物特征信息。

提升安全应急处置能力

建立健全网络安全应急预案期货管理，并定期开展网络安全应急演练；

建立应急处置机制，明确事件报告流程期货管理。

加强关键基础设施安全防护

将关键信息基础设施安全保护情况纳入责任考核机制；

对关键信息基础设施进行持续性的安全检测和定期风险评估；

建立本地、同城和异地数据备份设施，实现数据同步保存期货管理。

毕马威可提供服务

毕马威在证券期货业网络与信息安全合规咨询领域具有非常丰富的经验期货管理。我们的客户涵盖了业内众多的证券期货业核心机构与经营机构，服务领域涵盖了信息技术全面审计、网络安全合规、数据安全与个人信息保护、等级保护制度咨询、跨境数据合规咨询等，协助我们的客户开展摸家底、找差距、建体系、落控制、勤优化的多步走策略，最终达成安全合规和安全管控能力的总体提升。

为了协助我们证券期货行业客户提升安全合规能力，毕马威针对《证券期货业网络安全管理办法》提供个人信息安全保护体系建设咨询、网络安全合规咨询、等级保护制度咨询、网络和信息安全专项评估、信息技术全面/专项审计等服务期货管理。通过结合毕马威以往的行业合规服务经验，以及《办法》的具体要求，从治理结构、制度与机制保障、基础设施与技术保障等多个维度出发，协助客户快速全面识别当前经营活动过程中的合规薄弱环节，明确未来的重点建设领域及完善方向，在关键领域给出切实可行的改进建议，切实帮助机构打好网络和信息安全合规基础。

本文内容仅供一般参考用，并非针对任何个人或团体的个别或特定情况而提供期货管理。虽然我们已致力提供准确和及时的资料，但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。

©2023毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所，均是与英国私营担保有限公司— 毕马威国际有限公司(“毕马威国际”)相关联期货管理。毕马威国际不提供任何客户服务。各成员所均为各自独立的法律主体，其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所；毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司；毕马威会计师事务所 — 香港合伙制事务所。版权所有，不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。