浅谈《证券期货业网络安全管理办法（征求意见稿）》

建立健全证券期货业网络安全监管制度体系

——浅谈《证券期货业网络安全管理办法（征求意见稿）》　

　　近日，中国证监会发布《证券期货业网络安全管理办法（征求意见稿）》（以下简称《征求意见稿》），公开征求意见。《征求意见稿》进一步建立健全证券期货业网络安全监管制度体系，防范化解行业网络安全风险隐患，维护资本市场安全平稳高效运行。

　　2012年以来，证监会陆续发布《证券期货业信息安全保障管理办法》《证券基金经营机构信息技术管理办法》等部门规章及规范性文件，不断建立健全证券期货基金信息技术安全监管制度体系。《征求意见稿》进一步明晰证券期货业机构网络安全合规义务。比如，在管理体系方面，要求证券期货业机构应当明确网络安全与数据安全的内部管理、决策、执行、监督、问责机制，依法明确网络安全第一责任人和直接责任人，配置管理机构、专职技术人员和合理架构的信息系统与基础设施，建立数据分类分级管理制度、数据权限管理策略，构建数据质量评估框架，且每年至少进行一次网络安全教育活动等。在技术安全要求方面，对经营机构提出了诸如重要信息系统变更的风险评估与报告、压力测试等技术要求和管理要求。在个人信息保护方面，重申和强调证券期货业反洗钱、交易留痕等监管要求。在信息技术服务机构管理方面，进一步要求完善采购信息技术产品和服务准入标准、风险管理措施等。同时，《征求意见稿》多处规定了证券期货业经营机构对重要信息系统、网络安全审查、风险评估的义务。

　　《征求意见稿》聚焦网络安全管理，结合行业特点，强化数据安全和个人信息保护，明确实施路径，为证券期货业网络安全管理提供制度保障，对证券期货业经营机构提出了新的要求，相关经营机构要高度重视信息技术治理与管控、提升信息技术体系管理能力、厘清相关岗位职责，以确保信息系统安全运行。要在落实数据安全保护法律法规、标准规范的基础上，明确数据安全负责人和管理机构机制，明确原始数据和衍生数据收集目的、加工方式和使用范围，确保在用户充分知情、明确授权前提下规范开展数据收集使用，避免数据过度收集、误用、溢用。同时，建立健全数据全生命周期安全管理长效机制和防护措施，采取网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测和网络安全态势感知等技术手段，及时识别、阻断和溯源相关网络攻击，保障数据安全。建立信息发布审核机制，加强对本机构和用户发布信息的管理。加强金融科技创新应用，尤其是结合经营机构自身实际、围绕细分领域，走出具有机构特色的金融科技发展之路。《征求意见稿》第四十七条规定：“核心机构和经营机构应当加强网络安全人才队伍建设，建立与网络安全工作特点相适应的人才培养机制，确保网络安全人才的资质、经验、专业素质及职业道德符合岗位要求。”因此，证券期货业经营机构要发展壮大自身网络安全团队，组建结构合理的网络安全、数据管理人才梯队。同时，经营机构在借助外部力量方面，也应深度掌握网络安全和数据应用技术，增强机构自主可控能力，降低对信息技术服务商的依赖。