相关核心机构应保障资源投入防范信息泄露与损毁
据悉,《办法》共八章七十五条,对证券期货业网络和信息安全监督管理体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理与法律责任等方面提出了要求。
具体来看,《办法》厘清了核心机构、经营机构和信息技术系统服务机构等行业机构的责任边界。其中,核心机构和经营机构应当遵循保障安全、促进发展 的原则,建立健全网络和信息安全防护体系,提升安全保障水平,确保与信息化工作同步推进,促进本机构相关工作稳妥健康发展。信息技术系统服务机构应当遵循技术安全、服务合规的原则,为证券期货业务活动提供产品或者服务,与核心机构、经营机构共同保障行业网络和信息安全,促进行业信息化发展。
在网络和信息安全运行方面,《办法》督促行业机构建立健全网络和信息安全管理体制机制,提升安全运行保障能力。具体包括:要求核心机构、经营机构具有完善的治理架构,强化管理层责任,指定或设立牵头部门,保障资源投入;对核心机构、经营机构的信息系统和相关基础设施提出基本要求,明确等级保护义务;要求核心机构、经营机构审慎开展系统新建、变更和移除,充分评估技术和业务风险,保证充分测试,及时履行投资者告知义务,加强网络和信息安全日常监测;要求核心机构、经营机构建立网络和信息安全防护体系,明确数据备份、信息系统备份有关要求,常态化开展压力测试;强化核心机构、经营机构对供应商的管理,督促信息技术系统服务机构履行备案义务,提升自主研发和安全可控能力,加强知识产权保护等。
在投资者个人信息保护方面,《办法》明确核心机构和经营机构处理投资者个人信息的基本原则,要求建立健全投资者个人信息保护体系和管理机制,履行保护义务;明确核心机构和经营机构在投资者个人信息处理、共享环节的安全防护要求;同时提出核心机构和经营机构在网络安全防护边界外处理投资者个人信息的技术要求,防范化解信息泄露风险;对核心机构和经营机构收集客户生物特征的必要性和安全性提出评估要求。
《办法》提出,核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的,应当采取数据脱敏、数据加密等措施,防范化解投资者个人信息在处理过程中的泄露风险。
在网络和信息安全应急处置方面,《办法》要求核心机构和经营机构建立风险监测预警体制,加强日常漏洞扫描、安全评估,及时消除风险隐患;完善应急预案的应急场景和处置流程,要求定期开展应急演练,每年至少开展一次,并于演练后15 个工作日内将相关情况报告中国证监会;强化网络安全事件报告和调查处理工作,明确故障排查、相关方告知等工作要求。
在网络和信息安全促进与发展方面,《办法》鼓励核心机构、经营机构和信息技术系统服务机构在依法合规的前提下,积极开展网络和信息安全技术应用工作,运用新技术提升网络和信息安全保障水平。同时要求核心机构和经营机构应当加强本机构网络和信息安全宣传与教育,每年至少开展一次全员网络和信息安全教育活动,提升员工网络和信息安全意识。提出行业协会应当鼓励、引导网络和信息安全技术创新与应用,增强自主可控能力,组织开展科技奖励,促进行业科技进步。
此外,《办法》还依据上位要求,结合违法违规的具体情形,规定相应罚则,并规定创新容错相关制度安排。根据规定,核心机构违反本办法规定的,中国证监会可以对其采取责令改正、监管谈话等监管措施;对有关高级管理人员给予警告、记过、记大过、降级、撤职、开除等行政处分,并责令核心机构对其他责任人给予纪律处分。
经营机构和信息技术系统服务机构违反本办法规定的,中国证监会及其派出机构可以对其采取责令改正、监管谈话、出具警示函、责令公开说明、责令定期报告、责令增加内部合规检查次数等监管措施;对直接责任人和其他责任人员采取责令改正、监管谈话、出具警示函等监管措施;情节严重的,对相关机构及责 任人员单处或者并处警告、十万元以下罚款,涉及金融安全且有危害后果的,并处二十万元以下罚款。
免责声明:以上任何观点,皆为交流探讨之用,不构成任何投资建议。据此入市,风险自负!