证券期货业网络和信息安全管理办法 2023

（2023年1月17日中国证券监督管理委员会第1次委务会议审议通过）　 

第一章  总则 

　　第一条  为了保障证券期货业网络和信息安全，保护投资者合法权益，促进证券期货业稳定健康发展，根据《中华人民共和国证券法》（以下简称《证券法》）、《中华人民共和国期货和衍生品法》（以下简称《期货和衍生品法》）、《中华人民共和国证券投资基金法》（以下简称《证券投资基金法》）、《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《关键信息基础设施安全保护条例》等法律法规，制定本办法。 

　　第二条  核心机构和经营机构在中华人民共和国境内建设、运营、维护、使用网络及信息系统，信息技术系统服务机构为证券期货业务活动提供产品或者服务的网络和信息安全保障，以及证券期货业网络和信息安全的监督管理，适用本办法。 

　　第三条  核心机构和经营机构应当遵循保障安全、促进发展的原则，建立健全网络和信息安全防护体系，提升安全保障水平，确保与信息化工作同步推进，促进本机构相关工作稳妥健康发展。 

　　信息技术系统服务机构应当遵循技术安全、服务合规的原则，为证券期货业务活动提供产品或者服务，与核心机构、经营机构共同保障行业网络和信息安全，促进行业信息化发展。 

　　第四条  核心机构和经营机构应当依法履行网络和信息安全保护义务，对本机构网络和信息安全负责，相关责任不因其他机构提供产品或者服务进行转移或者减轻。 

　　信息技术系统服务机构应当勤勉尽责，对提供产品或者服务的安全性、合规性承担责任。 

　　第五条  中国证监会依法履行以下监督管理职责： 

　　（一）组织制定并推动落实证券期货业网络和信息安全发展规划、监管规则和行业标准； 

　　（二）负责证券期货业网络和信息安全的监督管理，按规定做好证券期货业涉及的关键信息基础设施安全保护工作； 

　　（三）负责证券期货业网络和信息安全重大技术路线、重大科技项目管理； 

　　（四）组织开展证券期货业投资者个人信息保护工作； 

　　（五）负责证券期货业网络安全应急演练、应急处置、事件报告与调查处理； 

　　（六）指导证券期货业网络和信息安全促进与发展； 

　　（七）支持、协助国家有关部门组织实施网络和信息安全相关法律、行政法规； 

　　（八）法律法规规定的其他网络和信息安全监管职责。 

　　第六条  中国证监会建立集中管理、分级负责的证券期货业网络和信息安全监督管理体制。中国证监会科技监管部门对证券期货业网络和信息安全实施监督管理。中国证监会履行监管职责的其他部门配合开展相关工作。 

　　中国证监会派出机构对本辖区经营机构和信息技术系统服务机构网络和信息安全实施日常监管。 

　　第七条  中国证券业协会、中国期货业协会、中国证券投资基金业协会等行业协会（以下统称行业协会）依法制定行业网络和信息安全自律规则，对经营机构网络和信息安全实施自律管理。 

　　第八条  核心机构依法制定保障市场相关主体与本机构信息系统安全互联的技术规则，对与本机构信息系统和网络通信设施相关联主体加强指导，督促其强化网络和信息安全管理，保障相关信息系统和网络通信设施的安全平稳运行。 

第二章  网络和信息安全运行

　　第九条  核心机构和经营机构应当具有完善的信息技术治理架构，健全网络和信息安全管理制度体系，建立内部决策、管理、执行和监督机制，确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配。 

　　信息技术系统服务机构应当建立网络和信息安全管理制度，配备相应的安全、合规管理人员，建立与提供产品或者服务相适应的网络和信息安全管理机制。 

　　第十条  核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人，分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。 

　　核心机构和经营机构应当建立网络和信息安全工作协调和决策机制，保障第一责任人和直接责任人履行职责。 

　　第十一条  核心机构和经营机构应当指定或者设立网络和信息安全工作牵头部门或者机构，负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等工作。 

　　第十二条  核心机构和经营机构应当保障人员和资金投入与业务活动规模、复杂程度相适应，确保网络和信息安全人员具备与履行职责相匹配的专业知识和职业技能。 

　　第十三条  核心机构和经营机构应当确保信息系统和相关基础设施具备合理的架构，足够的性能、容量、可靠性、扩展性和安全性，并保证相关安全技术措施与信息化工作同步规划、同步建设、同步使用。 

　　第十四条  核心机构和经营机构应当落实网络安全等级保护制度，依法履行网络安全等级保护义务，按照国家和证券期货业网络安全等级保护相关要求，开展网络和信息系统定级备案、等级测评和安全建设等工作。 

　　核心机构和经营机构应当按照相关要求，将网络安全等级保护工作开展情况报送中国证监会及其派出机构。 

　　第十五条  核心机构和经营机构新建上线、运行变更、下线移除重要信息系统的，应当充分评估技术和业务风险，制定风险防控措施、应急处置和回退方案，并对相关结果进行复核验证；可能对证券期货市场安全平稳运行产生较大影响的，应当提前向中国证监会及其派出机构报告。 

　　核心机构和经营机构不得在交易时段对重要信息系统进行变更，重要信息系统存在故障、缺陷，经评估须进行紧急修复的情形除外。 

　　第十六条  核心机构和经营机构在重要信息系统上线、变更前应当制定全面的测试方案，持续完善测试用例和测试数据，并保障测试的有效执行。 

　　除必须使用敏感数据的情形外，核心机构和经营机构应当对测试环境涉及的敏感数据进行脱敏，对未脱敏数据须采取与生产环境同等的安全控制措施。 

　　核心机构交易、行情、开户、结算、通信等重要信息系统上线或者进行重大升级变更时，应当组织市场相关主体进行联网测试。 

　　第十七条  核心机构和经营机构暂停或者终止借助网络向投资者提供服务前，应当履行告知义务，合理选取公告、定向通知等方式告知投资者相关业务影响情况、替代方式及应对措施。 

　　第十八条  核心机构和经营机构应当建立健全网络和信息安全监测预警机制，设定监测指标，持续监测信息系统和相关基础设施的运行状况，及时处置异常情形，对监测机制执行效果进行定期评估并持续优化。 

　　核心机构和经营机构应当全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志，确保满足故障分析、内部控制、调查取证等工作的需要。重要信息系统业务日志应当保存五年以上，系统日志应当保存六个月以上。 

　　第十九条  核心机构和经营机构应当构建网络和信息安全防护体系，综合采取网络隔离、用户认证、访问控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等安全保障措施，提升网络和信息安全防护能力，及时识别、阻断相关网络攻击，保护重要信息系统和相关基础设施，防范信息泄露与损毁。 

　　第二十条  核心机构和经营机构应当建立本地、同城和异地数据备份设施，重要信息系统应当每天至少备份数据一次，每季度至少对数据备份进行一次有效性验证。 

　　核心机构和经营机构应当建立重要信息系统的故障备份设施和灾难备份设施，根据信息系统的重要程度和业务影响情况，确定恢复目标，保证业务连续运行。灾难备份设施应当通过同城或者异地灾难备份中心的形式体现。 

　　核心机构和经营机构采取双活或者多活架构部署重要信息系统的，在确保业务连续运行的前提下，任一数据中心可视为其他数据中心的灾难备份设施。 

　　第二十一条  核心机构和经营机构应当每年至少开展一次重要信息系统压力测试；发现市场较大波动，重要信息系统的性能容量可能无法保障安全平稳运行的，应当及时对相关信息系统开展压力测试。 

　　核心机构和经营机构应当依照有关行业标准，根据系统技术特点和承载业务类型，制定压力测试方案，设定测试场景，从系统性能、网络负载、灾备建设等方面设置测试指标，有序组织测试工作，测试完成后形成压力测试报告存档备查，并保存五年以上。 

　　核心机构和经营机构重要信息系统的性能容量应当在历史峰值的两倍以上。核心机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之五十以下，经营机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之八十以下。 

　　第二十二条  核心机构和经营机构应当建立健全供应商管理机制，明确信息技术产品和服务准入标准，审慎采购并持续评估相关产品和服务的质量，及时改进风险管理措施，健全应急处置机制，确保重要信息系统运行安全可控。 

　　核心机构和经营机构应当与供应商签订合同及保密协议，明确约定各方保障网络和信息安全的权利和义务；在使用供应商提供产品或者服务时引发网络安全事件的，相关供应商有义务配合中国证监会及其派出机构查明网络安全事件原因，认定网络安全事件责任。 

　　第二十三条  供应商为核心机构和经营机构提供重要信息系统相关产品或者服务的，应当依法作为信息技术系统服务机构向中国证监会备案。 

　　核心机构和经营机构应当督促相关信息技术系统服务机构依法履行备案义务。 

　　第二十四条  任何机构和个人不得违规开展证券期货业信息系统认证、检测、风险评估等活动，不得违规发布证券期货业信息安全漏洞、计算机病毒、网络攻击、网络侵入等信息。 

　　第二十五条  核心机构和经营机构应当建立信息发布审核机制，加强对本机构和本机构运营平台发布信息的管理，发现违反法律法规和有关监管规定的，应当立即停止发布传输，采取必要的处置措施，防止信息扩散，积极消除负面影响，并及时向中国证监会及其派出机构报告。 

　　第二十六条  核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力，掌握执行程序和源代码并安全可靠存放。 

　　经营机构应当根据自身发展需要，加强自主研发能力建设，持续提升自主可控能力。 

　　核心机构和经营机构应当按照国家及中国证监会有关要求，开展信息技术应用创新以及商用密码应用相关工作。 

　　第二十七条  中国证监会可以委托相关机构建设证券期货业备份数据中心，开展行业数据的集中备份和管理工作，并采取有效安全防护手段，防范数据损毁泄露风险，持续提升证券期货业重大灾难应对能力。 

　　鼓励证券期货业关键信息基础设施运营者及时向证券期货业备份数据中心备份数据。其他核心机构和经营机构可以结合经营需要，自主选择证券期货业备份数据中心，开展数据级灾难备份工作。 

　　第二十八条  核心机构和经营机构应当按照知识产权相关法律法规，制定知识产权保护策略和制度，不侵犯他人的知识产权，并采取有效措施保护本机构自主知识产权。 

第三章  投资者个人信息保护

　　第二十九条  核心机构和经营机构应当遵循合法、正当、必要和诚信原则，处理投资者个人信息，规范投资者个人信息处理行为，履行投资者个人信息保护义务，不得损害投资者合法权益。 

　　第三十条  核心机构和经营机构处理投资者个人信息，应当建立健全投资者个人信息保护体系，明确相关岗位及职责要求，建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制，加强投资者个人信息保护。 

　　第三十一条  核心机构和经营机构应当按照法律法规的规定及合同的约定处理投资者个人信息，明确告知投资者处理个人信息的目的、方式、范围和隐私保护政策，不得超范围收集和使用投资者个人信息，不得收集提供服务非必要的投资者个人信息。合同约定事项应当基于从事证券期货业务活动的必要限度。 

　　核心机构和经营机构不得以投资者不同意处理其个人信息或者撤回同意为由，拒绝向投资者提供服务，为投资者提供服务所必需、履行法定职责或者法定义务等情形除外。 

　　第三十二条  核心机构和经营机构处理投资者个人信息时，应当确保个人信息在收集、存储、使用、加工、传输、提供、公开、删除等处理过程中的合规、安全，防止个人信息的泄露、篡改、丢失。 

　　第三十三条  核心机构和经营机构应当依法依规向第三方机构提供投资者个人信息，明确告知投资者个人信息处理目的、处理方式、个人信息种类、保存期限、保护措施以及相关方的权利和义务等，并取得投资者个人单独同意，履行法定职责或者法定义务的情形除外。 

　　第三十四条  核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的，应当采取数据脱敏、数据加密等措施，防范化解投资者个人信息在处理过程中的泄露风险。 

　　核心机构和经营机构通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的，应当将投资者账号信息、身份证号码等敏感个人信息进行脱敏处理。 

　　第三十五条  核心机构和经营机构利用生物特征进行客户身份认证的，应当对其必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式，强制客户同意收集其个人生物特征信息。 

第四章  网络和信息安全应急处置

　　第三十六条  核心机构、经营机构和信息技术系统服务机构发现网络和信息安全产品或者服务存在安全缺陷、安全漏洞等风险隐患的，应当及时核实并加固整改；可能对证券期货业网络和信息安全平稳运行产生较大影响的，应当向中国证监会及其派出机构报告。 

　　第三十七条  核心机构和经营机构应当根据业务影响分析情况，建立健全网络安全应急预案，明确应急目标、应急组织和处置流程，应急场景应当覆盖网络安全事件、自然灾害和公共卫生事件、本机构网络和信息安全相关重大人事变动、主要信息技术系统服务机构退出等情形。 

　　第三十八条  核心机构应当组织与本机构信息系统和网络通信设施相关联主体开展网络安全应急演练，每年至少开展一次，并于演练后15个工作日内将相关情况报告中国证监会。 

　　核心机构和经营机构应当定期开展网络安全应急演练，并形成应急演练报告存档备查�