91精品国产99久久久久久红楼,欧美高清另类,欧美日韩中文在线观看,久久激情精品,91视频导航,亚洲欧美日韩一级,巨人精品福利官方导航

2012年8月，中國證券監(jiān)督管理委員會（以下簡稱“證監(jiān)會”）頒布了《證券期貨業(yè)信息安全保障管理辦法》（以下簡稱“舊管理辦法”），以加強證券期貨業(yè)信息安全管理；2022年4月，為充分銜接上位法要求，在總結(jié)監(jiān)管實踐的基礎(chǔ)上，證監(jiān)會發(fā)布《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法（征求意見稿）》（以下簡稱“征求意見稿”）；2023年2月27日，證監(jiān)會發(fā)布《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》（以下簡稱“新管理辦法”），并于2023年5月1日正式施行，同時宣告舊管理辦法廢止。

本文擬通過對比上述三個文件規(guī)定的變化，結(jié)合《<證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法>立法說明》（以下簡稱“立法說明”）的相關(guān)內(nèi)容，基于我們相關(guān)的行業(yè)實踐，針對新管理辦法的重點規(guī)定進行解讀，幫助證券期貨行業(yè)機構(gòu)厘清合規(guī)要點。總體而言，新管理辦法的合規(guī)要點主要體現(xiàn)在以下方面： 

一、 適用對象

新管理辦法的適用對象為證券期貨業(yè)核心機構(gòu)、經(jīng)營機構(gòu)以及信息技術(shù)系統(tǒng)服務(wù)機構(gòu)，在舊管理辦法的基礎(chǔ)上，將信息技術(shù)系統(tǒng)服務(wù)機構(gòu)納入規(guī)范范圍。信息技術(shù)系統(tǒng)服務(wù)機構(gòu)，是指為證券期貨業(yè)務(wù)活動提供重要信息系統(tǒng)的開發(fā)、測試、集成、測評、運維及日常安全管理等產(chǎn)品或者服務(wù)的機構(gòu)。根據(jù)新管理辦法的相關(guān)規(guī)定，信息技術(shù)系統(tǒng)服務(wù)機構(gòu)應(yīng)當履行以下合規(guī)義務(wù)：

l  建立網(wǎng)絡(luò)和信息安全管理制度

l  配備網(wǎng)絡(luò)和信息安全、合規(guī)管理人員

l  提供重要信息系統(tǒng)相關(guān)產(chǎn)品或服務(wù)的，依法向證監(jiān)會備案

l  排查、整改所提供產(chǎn)品或服務(wù)的網(wǎng)絡(luò)和信息安全風險

l  協(xié)助開展核心機構(gòu)與經(jīng)營機構(gòu)的信息系統(tǒng)風險排查和整改工作

l  向證監(jiān)會報送或者提供證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理相關(guān)信息和數(shù)據(jù) 

二、 內(nèi)部組織機構(gòu)與責任人

根據(jù)新管理辦法的相關(guān)規(guī)定，核心機構(gòu)和經(jīng)營機構(gòu)需要新設(shè)網(wǎng)絡(luò)和信息安全工作牽頭部門或者機構(gòu)，其主要職責為：（1）負責管理重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施；（2）制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案；（3）組織應(yīng)急演練等工作。

同時，新管理辦法新增了關(guān)于網(wǎng)絡(luò)安全責任人的規(guī)定，即核心機構(gòu)和經(jīng)營機構(gòu)的主要負責人為本機構(gòu)網(wǎng)絡(luò)和信息安全工作的第一責任人，分管網(wǎng)絡(luò)和信息安全工作的領(lǐng)導班子成員或者高級管理人員為直接責任人。責任人的設(shè)置并非是空有其表，其意味著若核心機構(gòu)、經(jīng)營機構(gòu)以及信息技術(shù)系統(tǒng)服務(wù)機構(gòu)違反管理辦法的相關(guān)規(guī)定，相關(guān)責任人將視情況承擔警告、罰款等法律責任。 

三、 制度體系建設(shè)與安全保障措施

新管理辦法在舊管理辦法的基礎(chǔ)上，新增了網(wǎng)絡(luò)安全等級保護制度，要求構(gòu)建網(wǎng)絡(luò)和信息安全防護體系，對網(wǎng)絡(luò)與信息安全應(yīng)急處置設(shè)置了專章予以規(guī)范，并針對系統(tǒng)安全運行、數(shù)據(jù)存儲與備份等方面制定了更為詳細和嚴格的保障措施。

1.  網(wǎng)絡(luò)安全等級保護制度

網(wǎng)絡(luò)安全等級保護制度為《網(wǎng)絡(luò)安全法》中明確規(guī)定的一項安全管理制度，其要求網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。此次，在新管理辦法中新增網(wǎng)絡(luò)安全等級保護制度，正是回應(yīng)了立法說明中關(guān)于舊管理辦法無法有效銜接上位要求的問題。

2.  構(gòu)建網(wǎng)絡(luò)和信息安全防護體系

與舊管理辦法以及先前的征求意見稿僅羅列核心機構(gòu)與經(jīng)營機構(gòu)應(yīng)當采取的安全防護措施不同，新管理辦法強調(diào)其應(yīng)當構(gòu)建網(wǎng)絡(luò)和信息安全防護體系。體系相對于單一或多個措施而言，其更具有邏輯性和程式化，這意味著核心機構(gòu)與經(jīng)營機構(gòu)在網(wǎng)絡(luò)和信息安全防護方面應(yīng)當制定相關(guān)的管理流程，以系統(tǒng)地防止網(wǎng)絡(luò)和信息安全風險。

3.  網(wǎng)絡(luò)與信息安全應(yīng)急處置

舊管理辦法主要在其第三十二條、三十三條對內(nèi)部應(yīng)急機制以及進行應(yīng)急演練做了簡要規(guī)定，新管理辦法則設(shè)置專章，對網(wǎng)絡(luò)與信息安全應(yīng)急處置做了詳細規(guī)定，主要包含以下幾個方面的內(nèi)容：

l  及時核實產(chǎn)品或服務(wù)的網(wǎng)絡(luò)與信息安全風險并加以整改，特殊情況需向證監(jiān)會報告

l  建立網(wǎng)絡(luò)安全應(yīng)急預(yù)案、應(yīng)急處置機制

l  定期開展網(wǎng)絡(luò)安全應(yīng)急演練

l  發(fā)生網(wǎng)絡(luò)安全事件，對投資者造成影響的，應(yīng)當及時通知相關(guān)方

4.  其他安全保障措施

新管理辦法在舊管理辦法的基礎(chǔ)上，對核心機構(gòu)與經(jīng)營機構(gòu)的系統(tǒng)運行、數(shù)據(jù)存儲與備份等多個方面提出了更為嚴格的安全管理要求，新增的主要內(nèi)容如下：

l  除另有規(guī)定外，不得在交易時段對重要信息系統(tǒng)進行變更

l  除必須使用敏感數(shù)據(jù)的情形外，對測試環(huán)境涉及的敏感數(shù)據(jù)進行脫敏或采取同等安全措施

l  暫?；蛘呓K止借助網(wǎng)絡(luò)向投資者提供服務(wù)前，應(yīng)當履行告知義務(wù)

l  全面、準確記錄并妥善保存生產(chǎn)運營過程中的業(yè)務(wù)日志和系統(tǒng)日志至規(guī)定期限

l  建立本地、同城和異地數(shù)據(jù)備份設(shè)施，并按照規(guī)定頻率進行數(shù)據(jù)備份以及開展有效性驗證

l  每年至少開展一次重要信息系統(tǒng)壓力測試

l  建立信息發(fā)布審核機制，加強對本機構(gòu)和本機構(gòu)運營平臺發(fā)布信息的管理

 

四、 供應(yīng)商網(wǎng)絡(luò)與信息安全管理

供應(yīng)商的網(wǎng)絡(luò)與信息安全管理一直是金融領(lǐng)域監(jiān)管的重點關(guān)注問題，2021年年底，中國銀行保險監(jiān)督管理委員會（以下簡稱“銀保監(jiān)會”）發(fā)布了《銀行保險機構(gòu)信息科技外包風險監(jiān)管辦法》，旨在規(guī)范銀行保險機構(gòu)的信息科技外包活動，加強信息科技外包風險管控；2022年8月，銀保監(jiān)會辦公廳非公開發(fā)布《關(guān)于開展銀行保險機構(gòu)侵害個人信息權(quán)益亂象專項整治工作的通知（銀保監(jiān)辦法〔2022〕80號）》，羅列了7類22項侵害個人信息權(quán)益的行為，其中再次突出了銀行保險機構(gòu)在與第三方合作過程中出現(xiàn)的問題，包括但不限于與第三方合作機構(gòu)合作不審慎，違反規(guī)定向第三方合作機構(gòu)提供個人信息等。關(guān)于證券期貨業(yè)供應(yīng)商信息安全管理問題，新管理辦法同樣予以了明確。

 

《證券期貨業(yè)信息安全保障管理辦法》	《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法（征求意見稿）》	《證券期貨業(yè)網(wǎng)絡(luò)與信息安全管理辦法》
第三十六條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立供應(yīng)商管理制度，定期對供應(yīng)商的資質(zhì)、專業(yè)經(jīng)驗、產(chǎn)品和服務(wù)的質(zhì)量進行了解和評估。	第二十條 信息技術(shù)服務(wù)機構(gòu)應(yīng)當依法向中國證監(jiān)會備案，并按照有關(guān)業(yè)務(wù)規(guī)則為證券期貨業(yè)務(wù)活動提供信息技術(shù)產(chǎn)品或者服務(wù)。 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立健全內(nèi)部管理機制，完善信息技術(shù)產(chǎn)品和服務(wù)準入標準，審慎采購并持續(xù)評估相關(guān)產(chǎn)品和服務(wù)的質(zhì)量，加強保密管理，及時改進風險管理措施，健全應(yīng)急處置機制，保障本機構(gòu)網(wǎng)絡(luò)安全和相關(guān)業(yè)務(wù)的安全平穩(wěn)運行。	第二十二條　 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立健全供應(yīng)商管理機制，明確信息技術(shù)產(chǎn)品和服務(wù)準入標準，審慎采購并持續(xù)評估相關(guān)產(chǎn)品和服務(wù)的質(zhì)量，及時改進風險管理措施，健全應(yīng)急處置機制，確保重要信息系統(tǒng)運行安全可控。 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當與供應(yīng)商簽訂合同及保密協(xié)議，明確約定各方保障網(wǎng)絡(luò)和信息安全的權(quán)利和義務(wù)；在使用供應(yīng)商提供產(chǎn)品或者服務(wù)時引發(fā)網(wǎng)絡(luò)安全事件的，相關(guān)供應(yīng)商有義務(wù)配合中國證監(jiān)會及其派出機構(gòu)查明網(wǎng)絡(luò)安全事件原因，認定網(wǎng)絡(luò)安全事件責任。
第三十七條 核心機構(gòu)和經(jīng)營機構(gòu)在采購軟硬件產(chǎn)品或者技術(shù)服務(wù)時，應(yīng)當與供應(yīng)商簽訂合同和保密協(xié)議，并在合同和保密協(xié)議中明確約定信息安全和保密的權(quán)利和義務(wù)。 涉及證券期貨交易、行情、開戶、結(jié)算等軟件產(chǎn)品或者技術(shù)服務(wù)的采購合同，應(yīng)當約定供應(yīng)商須接受中國證監(jiān)會及其派出機構(gòu)的信息安全延伸檢查。

表1：三部法律文件關(guān)于供應(yīng)商管理規(guī)定的對比表 

由上表可以看出，舊管理辦法重點強調(diào)對于供應(yīng)商的事中評估，并通過采購合同的形式約束核心機構(gòu)、經(jīng)營機構(gòu)與供應(yīng)商之間的權(quán)利義務(wù)；而先前的征求意見稿并未明確建立供應(yīng)商管理機制，而是將其納入內(nèi)部管理機制，且強調(diào)對于供應(yīng)商的事前評估；新管理辦法則是將前述二者的規(guī)定予以整合，強調(diào)核心機構(gòu)與經(jīng)營機構(gòu)應(yīng)當明確建立供應(yīng)商管理機制，且需要加強對供應(yīng)商的事前、事中評估。

事實上，對于供應(yīng)商管理，核心機構(gòu)與經(jīng)營機構(gòu)應(yīng)當建立事前、事中、事后整個流程的管理機制：（1）在選擇供應(yīng)商之前，應(yīng)當設(shè)置明確的供應(yīng)商準入標準，并對供應(yīng)商開展盡職調(diào)查，審查其數(shù)據(jù)合規(guī)安全風險以及數(shù)據(jù)安全能力，審慎選擇供應(yīng)商；（2）一旦確定供應(yīng)商，需要通過合同的形式，載明雙方在合作過程中應(yīng)當各自承擔的網(wǎng)絡(luò)信息安全責任和義務(wù)；（3）在與供應(yīng)商合作期間，應(yīng)當建立風險管理制度和流程，建立服務(wù)效能和質(zhì)量監(jiān)控體系，針對供應(yīng)商進行持續(xù)監(jiān)控和評估，制定應(yīng)急預(yù)案以防范安全事件；（4）在供應(yīng)商的服務(wù)結(jié)束后，應(yīng)當妥善完成與供應(yīng)商的交接事宜，包括但不限于事先制定供應(yīng)商服務(wù)終止的交接計劃，明確供應(yīng)商服務(wù)終止后保密義務(wù)的履行，針對相關(guān)數(shù)據(jù)的刪除與銷毀。

五、 投資者個人信息保護

新管理辦法的一大亮點在于專章規(guī)定了投資者的個人信息保護，實現(xiàn)了其與《個人信息保護法》等上位法的有效銜接，且其相比于舊管理辦法和先前的征求意見稿而言，更為詳盡地規(guī)定了核心機構(gòu)與經(jīng)營機構(gòu)應(yīng)當履行哪些個人信息保護義務(wù)。征求意見稿僅用一條規(guī)定了核心機構(gòu)與經(jīng)營機構(gòu)應(yīng)當依法履行投資者個人信息保護義務(wù)，過于籠統(tǒng)和原則，新管理辦法設(shè)置專章，從個人信息的處理原則、內(nèi)部保護體系建設(shè)、個人信息全流程處理合規(guī)、個人信息向第三方提供等多個維度規(guī)范核心機構(gòu)與經(jīng)營機構(gòu)的個人信息處理行為，將為相關(guān)機構(gòu)實現(xiàn)個人信息保護合規(guī)提供更為明確的指引。可見監(jiān)管機構(gòu)對于投資者個人信息保護問題的重視，我們也將在本系列的后續(xù)文章中對投資者個人保護合規(guī)實踐進行更為詳細的解讀。 

六、 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護

為實現(xiàn)與《網(wǎng)絡(luò)安全法》以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等上位法的有效銜接，新管理辦法新增了“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護”章節(jié)，對于構(gòu)成證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者的相關(guān)機構(gòu)，規(guī)定了更為嚴格的合規(guī)要求，具體表現(xiàn)在以下方面：

l  將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護情況納入負責人網(wǎng)絡(luò)和信息安全工作的考核內(nèi)容

l  為每個關(guān)鍵信息基礎(chǔ)設(shè)施指定網(wǎng)絡(luò)和信息安全管理責任人，并對專門安全管理機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查

l  新建承載關(guān)鍵業(yè)務(wù)的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等情形需開展安全監(jiān)測和風險評估

l  對關(guān)鍵信息基礎(chǔ)設(shè)施實施運行變更或者下線移除，可能對證券期貨市場安全平穩(wěn)運行產(chǎn)生較大影響的，需通過專家評審

l  每年至少進行一次網(wǎng)絡(luò)和信息安全檢測和風險評估

l  采購網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的，應(yīng)當按照國家網(wǎng)絡(luò)安全審查制度要求開展風險預(yù)判工作，必要時申報網(wǎng)絡(luò)安全審查

l  對關(guān)鍵信息基礎(chǔ)設(shè)施的安全運行進行持續(xù)監(jiān)測，定期開展壓力測試，確保系統(tǒng)性能和網(wǎng)絡(luò)容量達到規(guī)定數(shù)值

l  建設(shè)同城和異地災(zāi)難備份中心，實現(xiàn)數(shù)據(jù)同步保存 

七、 法律責任

針對違反規(guī)定應(yīng)當承擔的法律責任，舊管理辦法僅籠統(tǒng)規(guī)定了處罰措施，而新管理辦法則針對違反規(guī)定的具體情形詳細規(guī)定了違法機構(gòu)及其負責人應(yīng)當承擔的法律責任。證監(jiān)會不僅可以依據(jù)新管理辦法對違法機構(gòu)及其負責人予以處罰，還可依據(jù)《網(wǎng)絡(luò)安全法》、《個人信息保護法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等對其進行處罰；承擔法律責任的不僅包括核心機構(gòu)、經(jīng)營機構(gòu)以及信息技術(shù)系統(tǒng)服務(wù)機構(gòu)，還包括其負責人。由此可見，新管理辦法對于法律責任的進一步明確以及對于違反相關(guān)規(guī)定的處罰力度進一步加強，相關(guān)機構(gòu)應(yīng)當引起重視，致力于實現(xiàn)網(wǎng)絡(luò)和信息安全管理合規(guī)。