证券期货业网络和信息安全管理办法发布 全面覆盖行业机构各类主体

　　证券期货业网络和信息安全管理将进一步规范。据证监会消息，证监会日前制定并发布了《证券期货业网络和信息安全管理办法》（下称《办法》），于2023年5月1日起正式实施。

　　《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体，并督促行业机构建立健全网络和信息安全管理体制机制，提升安全运行保障能力。

　　《办法》聚焦网络和信息安全领域，为上位法在证券期货行业的落地实施明确了路径，主要内容包括网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。

　　根据《办法》，核心机构、经营机构需具有完善的治理架构，指定或设立牵头部门，保障资源投入；审慎开展系统新建、变更和移除，及时履行投资者告知义务，加强网络和信息安全日常监测；建立网络和信息安全防护体系，明确数据备份、信息系统备份有关要求。

　　同时，《办法》对核心机构、经营机构的信息系统和基础设施提出了基本要求，明确等级保护义务，并强化了核心机构、经营机构对供应商的管理，督促信息技术系统服务机构履行备案义务，提升自主研发和安全可控能力，加强知识产权保护。

　　《办法》还加强了对投资者个人信息的保护：一是明确核心机构和经营机构处理投资者个人信息的基本原则，要求建立健全投资者个人信息保护体系和管理机制，履行保护义务。二是明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求。三是提出核心机构和经营机构在网络安全防护边界外处理投资者个人信息的技术要求，防范化解信息泄露风险。四是对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。

　　《办法》从三方面明确了网络和信息安全应急处置：建立风险监测预警体制，加强日常漏洞扫描、安全评估；完善应急预案的应急场景和处置流程，定期开展应急演练；强化网络安全事件报告和调查处理工作，明确故障排查、相关方告知等工作要求。

　　此外，《办法》明确了名词释义、参照执行主体和情境。《办法》施行后，证监会此前发布的《证券期货业信息安全保障管理办法》同时废止。

　　下一步，证监会将组织开展相关专项培训，持续做好督导落实。《办法》规定的参照适用主体无需报送《办法》规定的网络和信息安全管理年报。关于参照适用主体落实《办法》规定的数据备份义务，证监会将指导有关行业协会进一步细化有关要求。