證券期貨業(yè)網(wǎng)絡和信息安全管理辦法

第一章　總　　則

第一條　為了保障證券期貨業(yè)網(wǎng)絡和信息安全，保護投資者合法權益，促進證券期貨業(yè)穩(wěn)定健康發(fā)展，根據(jù)《中華人民共和國證券法》（以下簡稱《證券法》）、《中華人民共和國期貨和衍生品法》（以下簡稱《期貨和衍生品法》）、《中華人民共和國證券投資基金法》（以下簡稱《證券投資基金法》）、《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）、《關鍵信息基礎設施安全保護條例》等法律法規(guī)，制定本辦法。

第二條　核心機構和經(jīng)營機構在中華人民共和國境內建設、運營、維護、使用網(wǎng)絡及信息系統(tǒng)，信息技術系統(tǒng)服務機構為證券期貨業(yè)務活動提供產(chǎn)品或者服務的網(wǎng)絡和信息安全保障，以及證券期貨業(yè)網(wǎng)絡和信息安全的監(jiān)督管理，適用本辦法。

第三條　核心機構和經(jīng)營機構應當遵循保障安全、促進發(fā)展的原則，建立健全網(wǎng)絡和信息安全防護體系，提升安全保障水平，確保與信息化工作同步推進，促進本機構相關工作穩(wěn)妥健康發(fā)展。

信息技術系統(tǒng)服務機構應當遵循技術安全、服務合規(guī)的原則，為證券期貨業(yè)務活動提供產(chǎn)品或者服務，與核心機構、經(jīng)營機構共同保障行業(yè)網(wǎng)絡和信息安全，促進行業(yè)信息化發(fā)展。

第四條　核心機構和經(jīng)營機構應當依法履行網(wǎng)絡和信息安全保護義務，對本機構網(wǎng)絡和信息安全負責，相關責任不因其他機構提供產(chǎn)品或者服務進行轉移或者減輕。

信息技術系統(tǒng)服務機構應當勤勉盡責，對提供產(chǎn)品或者服務的安全性、合規(guī)性承擔責任。

第五條　中國證監(jiān)會依法履行以下監(jiān)督管理職責：

（一）組織制定并推動落實證券期貨業(yè)網(wǎng)絡和信息安全發(fā)展規(guī)劃、監(jiān)管規(guī)則和行業(yè)標準；

（二）負責證券期貨業(yè)網(wǎng)絡和信息安全的監(jiān)督管理，按規(guī)定做好證券期貨業(yè)涉及的關鍵信息基礎設施安全保護工作；

（三）負責證券期貨業(yè)網(wǎng)絡和信息安全重大技術路線、重大科技項目管理；

（四）組織開展證券期貨業(yè)投資者個人信息保護工作；

（五）負責證券期貨業(yè)網(wǎng)絡安全應急演練、應急處置、事件報告與調查處理；

（六）指導證券期貨業(yè)網(wǎng)絡和信息安全促進與發(fā)展；

（七）支持、協(xié)助國家有關部門組織實施網(wǎng)絡和信息安全相關法律、行政法規(guī)；

（八）法律法規(guī)規(guī)定的其他網(wǎng)絡和信息安全監(jiān)管職責。

第六條　中國證監(jiān)會建立集中管理、分級負責的證券期貨業(yè)網(wǎng)絡和信息安全監(jiān)督管理體制。中國證監(jiān)會科技監(jiān)管部門對證券期貨業(yè)網(wǎng)絡和信息安全實施監(jiān)督管理。中國證監(jiān)會履行監(jiān)管職責的其他部門配合開展相關工作。

中國證監(jiān)會派出機構對本轄區(qū)經(jīng)營機構和信息技術系統(tǒng)服務機構網(wǎng)絡和信息安全實施日常監(jiān)管。

第七條　中國證券業(yè)協(xié)會、中國期貨業(yè)協(xié)會、中國證券投資基金業(yè)協(xié)會等行業(yè)協(xié)會（以下統(tǒng)稱行業(yè)協(xié)會）依法制定行業(yè)網(wǎng)絡和信息安全自律規(guī)則，對經(jīng)營機構網(wǎng)絡和信息安全實施自律管理。

第八條　核心機構依法制定保障市場相關主體與本機構信息系統(tǒng)安全互聯(lián)的技術規(guī)則，對與本機構信息系統(tǒng)和網(wǎng)絡通信設施相關聯(lián)主體加強指導，督促其強化網(wǎng)絡和信息安全管理，保障相關信息系統(tǒng)和網(wǎng)絡通信設施的安全平穩(wěn)運行。

第二章　網(wǎng)絡和信息安全運行

第九條　核心機構和經(jīng)營機構應當具有完善的信息技術治理架構，健全網(wǎng)絡和信息安全管理制度體系，建立內部決策、管理、執(zhí)行和監(jiān)督機制，確保網(wǎng)絡和信息安全管理能力與業(yè)務活動規(guī)模、復雜程度相匹配。

信息技術系統(tǒng)服務機構應當建立網(wǎng)絡和信息安全管理制度，配備相應的安全、合規(guī)管理人員，建立與提供產(chǎn)品或者服務相適應的網(wǎng)絡和信息安全管理機制。

第十條　核心機構和經(jīng)營機構應當明確主要負責人為本機構網(wǎng)絡和信息安全工作的第一責任人，分管網(wǎng)絡和信息安全工作的領導班子成員或者高級管理人員為直接責任人。

核心機構和經(jīng)營機構應當建立網(wǎng)絡和信息安全工作協(xié)調和決策機制，保障第一責任人和直接責任人履行職責。

第十一條　核心機構和經(jīng)營機構應當指定或者設立網(wǎng)絡和信息安全工作牽頭部門或者機構，負責管理重要信息系統(tǒng)和相關基礎設施、制定網(wǎng)絡安全應急預案、組織應急演練等工作。

第十二條　核心機構和經(jīng)營機構應當保障人員和資金投入與業(yè)務活動規(guī)模、復雜程度相適應，確保網(wǎng)絡和信息安全人員具備與履行職責相匹配的專業(yè)知識和職業(yè)技能。

第十三條　核心機構和經(jīng)營機構應當確保信息系統(tǒng)和相關基礎設施具備合理的架構，足夠的性能、容量、可靠性、擴展性和安全性，并保證相關安全技術措施與信息化工作同步規(guī)劃、同步建設、同步使用。

第十四條　核心機構和經(jīng)營機構應當落實網(wǎng)絡安全等級保護制度，依法履行網(wǎng)絡安全等級保護義務，按照國家和證券期貨業(yè)網(wǎng)絡安全等級保護相關要求，開展網(wǎng)絡和信息系統(tǒng)定級備案、等級測評和安全建設等工作。

核心機構和經(jīng)營機構應當按照相關要求，將網(wǎng)絡安全等級保護工作開展情況報送中國證監(jiān)會及其派出機構。

第十五條　核心機構和經(jīng)營機構新建上線、運行變更、下線移除重要信息系統(tǒng)的，應當充分評估技術和業(yè)務風險，制定風險防控措施、應急處置和回退方案，并對相關結果進行復核驗證；可能對證券期貨市場安全平穩(wěn)運行產(chǎn)生較大影響的，應當提前向中國證監(jiān)會及其派出機構報告。

核心機構和經(jīng)營機構不得在交易時段對重要信息系統(tǒng)進行變更，重要信息系統(tǒng)存在故障、缺陷，經(jīng)評估須進行緊急修復的情形除外。

第十六條　核心機構和經(jīng)營機構在重要信息系統(tǒng)上線、變更前應當制定全面的測試方案，持續(xù)完善測試用例和測試數(shù)據(jù)，并保障測試的有效執(zhí)行。

除必須使用敏感數(shù)據(jù)的情形外，核心機構和經(jīng)營機構應當對測試環(huán)境涉及的敏感數(shù)據(jù)進行脫敏，對未脫敏數(shù)據(jù)須采取與生產(chǎn)環(huán)境同等的安全控制措施。

核心機構交易、行情、開戶、結算、通信等重要信息系統(tǒng)上線或者進行重大升級變更時，應當組織市場相關主體進行聯(lián)網(wǎng)測試。

第十七條　核心機構和經(jīng)營機構暫停或者終止借助網(wǎng)絡向投資者提供服務前，應當履行告知義務，合理選取公告、定向通知等方式告知投資者相關業(yè)務影響情況、替代方式及應對措施。

第十八條　核心機構和經(jīng)營機構應當建立健全網(wǎng)絡和信息安全監(jiān)測預警機制，設定監(jiān)測指標，持續(xù)監(jiān)測信息系統(tǒng)和相關基礎設施的運行狀況，及時處置異常情形，對監(jiān)測機制執(zhí)行效果進行定期評估并持續(xù)優(yōu)化。

核心機構和經(jīng)營機構應當全面、準確記錄并妥善保存生產(chǎn)運營過程中的業(yè)務日志和系統(tǒng)日志，確保滿足故障分析、內部控制、調查取證等工作的需要。重要信息系統(tǒng)業(yè)務日志應當保存五年以上，系統(tǒng)日志應當保存六個月以上。

第十九條　核心機構和經(jīng)營機構應當構建網(wǎng)絡和信息安全防護體系，綜合采取網(wǎng)絡隔離、用戶認證、訪問控制、策略管理、數(shù)據(jù)加密、網(wǎng)站防篡改、病毒木馬防范、非法入侵檢測和網(wǎng)絡安全態(tài)勢感知等安全保障措施，提升網(wǎng)絡和信息安全防護能力，及時識別、阻斷相關網(wǎng)絡攻擊，保護重要信息系統(tǒng)和相關基礎設施，防范信息泄露與損毀。

第二十條　核心機構和經(jīng)營機構應當建立本地、同城和異地數(shù)據(jù)備份設施，重要信息系統(tǒng)應當每天至少備份數(shù)據(jù)一次，每季度至少對數(shù)據(jù)備份進行一次有效性驗證。

核心機構和經(jīng)營機構應當建立重要信息系統(tǒng)的故障備份設施和災難備份設施，根據(jù)信息系統(tǒng)的重要程度和業(yè)務影響情況，確定恢復目標，保證業(yè)務連續(xù)運行。災難備份設施應當通過同城或者異地災難備份中心的形式體現(xiàn)。

核心機構和經(jīng)營機構采取雙活或者多活架構部署重要信息系統(tǒng)的，在確保業(yè)務連續(xù)運行的前提下，任一數(shù)據(jù)中心可視為其他數(shù)據(jù)中心的災難備份設施。

第二十一條　核心機構和經(jīng)營機構應當每年至少開展一次重要信息系統(tǒng)壓力測試；發(fā)現(xiàn)市場較大波動，重要信息系統(tǒng)的性能容量可能無法保障安全平穩(wěn)運行的，應當及時對相關信息系統(tǒng)開展壓力測試。

核心機構和經(jīng)營機構應當依照有關行業(yè)標準，根據(jù)系統(tǒng)技術特點和承載業(yè)務類型，制定壓力測試方案，設定測試場景，從系統(tǒng)性能、網(wǎng)絡負載、災備建設等方面設置測試指標，有序組織測試工作，測試完成后形成壓力測試報告存檔備查，并保存五年以上。

核心機構和經(jīng)營機構重要信息系統(tǒng)的性能容量應當在歷史峰值的兩倍以上。核心機構交易時段相關網(wǎng)絡近一年使用峰值應當在當前帶寬的百分之五十以下，經(jīng)營機構交易時段相關網(wǎng)絡近一年使用峰值應當在當前帶寬的百分之八十以下。

第二十二條　核心機構和經(jīng)營機構應當建立健全供應商管理機制，明確信息技術產(chǎn)品和服務準入標準，審慎采購并持續(xù)評估相關產(chǎn)品和服務的質量，及時改進風險管理措施，健全應急處置機制，確保重要信息系統(tǒng)運行安全可控。

核心機構和經(jīng)營機構應當與供應商簽訂合同及保密協(xié)議，明確約定各方保障網(wǎng)絡和信息安全的權利和義務；在使用供應商提供產(chǎn)品或者服務時引發(fā)網(wǎng)絡安全事件的，相關供應商有義務配合中國證監(jiān)會及其派出機構查明網(wǎng)絡安全事件原因，認定網(wǎng)絡安全事件責任。

第二十三條　供應商為核心機構和經(jīng)營機構提供重要信息系統(tǒng)相關產(chǎn)品或者服務的，應當依法作為信息技術系統(tǒng)服務機構向中國證監(jiān)會備案。

核心機構和經(jīng)營機構應當督促相關信息技術系統(tǒng)服務機構依法履行備案義務。

第二十四條　任何機構和個人不得違規(guī)開展證券期貨業(yè)信息系統(tǒng)認證、檢測、風險評估等活動，不得違規(guī)發(fā)布證券期貨業(yè)信息安全漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等信息。

第二十五條　核心機構和經(jīng)營機構應當建立信息發(fā)布審核機制，加強對本機構和本機構運營平臺發(fā)布信息的管理，發(fā)現(xiàn)違反法律法規(guī)和有關監(jiān)管規(guī)定的，應當立即停止發(fā)布傳輸，采取必要的處置措施，防止信息擴散，積極消除負面影響，并及時向中國證監(jiān)會及其派出機構報告。

第二十六條　核心機構應當對交易、行情、開戶、結算、風控、通信等重要信息系統(tǒng)具有自主開發(fā)能力，掌握執(zhí)行程序和源代碼并安全可靠存放。

經(jīng)營機構應當根據(jù)自身發(fā)展需要，加強自主研發(fā)能力建設，持續(xù)提升自主可控能力。

核心機構和經(jīng)營機構應當按照國家及中國證監(jiān)會有關要求，開展信息技術應用創(chuàng)新以及商用密碼應用相關工作。

第二十七條　中國證監(jiān)會可以委托相關機構建設證券期貨業(yè)備份數(shù)據(jù)中心，開展行業(yè)數(shù)據(jù)的集中備份和管理工作，并采取有效安全防護手段，防范數(shù)據(jù)損毀泄露風險，持續(xù)提升證券期貨業(yè)重大災難應對能力。

鼓勵證券期貨業(yè)關鍵信息基礎設施運營者及時向證券期貨業(yè)備份數(shù)據(jù)中心備份數(shù)據(jù)。其他核心機構和經(jīng)營機構可以結合經(jīng)營需要，自主選擇證券期貨業(yè)備份數(shù)據(jù)中心，開展數(shù)據(jù)級災難備份工作。

第二十八條　核心機構和經(jīng)營機構應當按照知識產(chǎn)權相關法律法規(guī)，制定知識產(chǎn)權保護策略和制度，不侵犯他人的知識產(chǎn)權，并采取有效措施保護本機構自主知識產(chǎn)權。

第三章　投資者個人信息保護

第二十九條　核心機構和經(jīng)營機構應當遵循合法、正當、必要和誠信原則，處理投資者個人信息，規(guī)范投資者個人信息處理行為，履行投資者個人信息保護義務，不得損害投資者合法權益。

第三十條　核心機構和經(jīng)營機構處理投資者個人信息，應當建立健全投資者個人信息保護體系，明確相關崗位及職責要求，建立健全投資者個人信息處理、安全防護、應急處置、審計監(jiān)督等管理機制，加強投資者個人信息保護。

第三十一條　核心機構和經(jīng)營機構應當按照法律法規(guī)的規(guī)定及合同的約定處理投資者個人信息，明確告知投資者處理個人信息的目的、方式、范圍和隱私保護政策，不得超范圍收集和使用投資者個人信息，不得收集提供服務非必要的投資者個人信息。合同約定事項應當基于從事證券期貨業(yè)務活動的必要限度。

核心機構和經(jīng)營機構不得以投資者不同意處理其個人信息或者撤回同意為由，拒絕向投資者提供服務，為投資者提供服務所必需、履行法定職責或者法定義務等情形除外。

第三十二條　核心機構和經(jīng)營機構處理投資者個人信息時，應當確保個人信息在收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理過程中的合規(guī)、安全，防止個人信息的泄露、篡改、丟失。

第三十三條　核心機構和經(jīng)營機構應當依法依規(guī)向第三方機構提供投資者個人信息，明確告知投資者個人信息處理目的、處理方式、個人信息種類、保存期限、保護措施以及相關方的權利和義務等，并取得投資者個人單獨同意，履行法定職責或者法定義務的情形除外。

第三十四條　核心機構和經(jīng)營機構在本機構網(wǎng)絡安全防護邊界以外處理投資者個人信息的，應當采取數(shù)據(jù)脫敏、數(shù)據(jù)加密等措施，防范化解投資者個人信息在處理過程中的泄露風險。

核心機構和經(jīng)營機構通過短信、郵件等非自主運營渠道發(fā)送投資者敏感個人信息的，應當將投資者賬號信息、身份證號碼等敏感個人信息進行脫敏處理。

第三十五條　核心機構和經(jīng)營機構利用生物特征進行客戶身份認證的，應當對其必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的客戶身份認證方式，強制客戶同意收集其個人生物特征信息。

第四章　網(wǎng)絡和信息安全應急處置

第三十六條　核心機構、經(jīng)營機構和信息技術系統(tǒng)服務機構發(fā)現(xiàn)網(wǎng)絡和信息安全產(chǎn)品或者服務存在安全缺陷、安全漏洞等風險隱患的，應當及時核實并加固整改；可能對證券期貨業(yè)網(wǎng)絡和信息安全平穩(wěn)運行產(chǎn)生較大影響的，應當向中國證監(jiān)會及其派出機構報告。

第三十七條　核心機構和經(jīng)營機構應當根據(jù)業(yè)務影響分析情況，建立健全網(wǎng)絡安全應急預案，明確應急目標、應急組織和處置流程，應急場景應當覆蓋網(wǎng)絡安全事件、自然災害和公共衛(wèi)生事件、本機構網(wǎng)絡和信息安全相關重大人事變動、主要信息技術系統(tǒng)服務機構退出等情形。

第三十八條　核心機構應當組織與本機構信息系統(tǒng)和網(wǎng)絡通信設施相關聯(lián)主體開展網(wǎng)絡安全應急演練，每年至少開展一次，并于演練后15個工作日內將相關情況報告中國證監(jiān)會。

核心機構和經(jīng)營機構應當定期開展網(wǎng)絡安全應急演練，并形成應急演練報告存檔備查。

第三十九條　核心機構和經(jīng)營機構應當建立應急處置機制，及時處置網(wǎng)絡安全事件，盡快恢復信息系統(tǒng)正常運行，保護事件現(xiàn)場和相關證據(jù)，向中國證監(jiān)會及其派出機構進行應急報告，不得瞞報、謊報、遲報、漏報。

信息技術系統(tǒng)服務機構應當協(xié)助開展信息系統(tǒng)故障排查、修復等工作，并及時告知使用同類產(chǎn)品或者服務的核心機構和經(jīng)營機構，配合開展風險排查和整改工作。

第四十條　核心機構和經(jīng)營機構應當配合中國證監(jiān)會及其派出機構對網(wǎng)絡安全事件進行調查處理，及時組織內部調查，完成問題整改，認定追究事件責任，并按照有關規(guī)定報告中國證監(jiān)會及其派出機構。

第四十一條　核心機構和經(jīng)營機構發(fā)生網(wǎng)絡安全事件，對投資者造成影響的，應當及時通過官方網(wǎng)站、客戶交易終端、電話或者郵件等有效渠道通知相關方可以采取的替代方式或者應急措施，提示相關方防范和應對可能出現(xiàn)的風險。

第五章　關鍵信息基礎設施安全保護

第四十二條　證券期貨業(yè)關鍵信息基礎設施運營者應當按照法律法規(guī)及中國證監(jiān)會有關規(guī)定，強化安全管理措施、技術防護及其他必要手段，保障經(jīng)費投入，確保關鍵信息基礎設施安全穩(wěn)定運行，維護數(shù)據(jù)的完整性、保密性和可用性。

第四十三條　證券期貨業(yè)關鍵信息基礎設施運營者應當將關鍵信息基礎設施安全保護情況納入網(wǎng)絡和信息安全工作第一責任人、直接責任人和相關人員的責任考核機制。

第四十四條　證券期貨業(yè)關鍵信息基礎設施運營者應當指定專門機構或者部門負責關鍵信息基礎設施安全保護管理工作，為每個關鍵信息基礎設施指定網(wǎng)絡和信息安全管理責任人，依法認定網(wǎng)絡安全關鍵崗位，配備充足的網(wǎng)絡和信息安全人員，并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。

第四十五條　證券期貨業(yè)關鍵信息基礎設施運營者新建承載關鍵業(yè)務的重要網(wǎng)絡設施、信息系統(tǒng)等，投入使用前應當按照關鍵信息基礎設施安全保護相關要求開展安全檢測和風險評估，檢測評估通過后上線運行。

證券期貨業(yè)關鍵信息基礎設施運營者對關鍵信息基礎設施實施運行變更或者下線移除，可能對證券期貨市場安全平穩(wěn)運行產(chǎn)生較大影響的，應當在遵守本辦法第十五條的前提下，組織開展專家評審；未通過評審的，原則上不得實施運行變更、下線移除等操作。

證券期貨業(yè)關鍵信息基礎設施停止運營或者發(fā)生較大變化，可能影響認定結果的，相關運營者應當及時將相關情況報告中國證監(jiān)會及其派出機構。

第四十六條　證券期貨業(yè)關鍵信息基礎設施運營者應當每年至少進行一次網(wǎng)絡和信息安全檢測和風險評估，對發(fā)現(xiàn)的安全問題及時整改，網(wǎng)絡和信息安全檢測和風險評估的內容包括但不限于：關鍵信息基礎設施的運行情況、面臨的主要威脅、風險管理情況、應急處置情況等。

第四十七條　證券期貨業(yè)關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品或者服務的，應當按照國家網(wǎng)絡安全審查制度要求開展風險預判工作；采購網(wǎng)絡產(chǎn)品或者服務與關鍵信息基礎設施密切相關，投入使用后可能影響國家安全的，應當及時申報網(wǎng)絡安全審查。

第四十八條　證券期貨業(yè)關鍵信息基礎設施運營者應當對關鍵信息基礎設施的安全運行進行持續(xù)監(jiān)測，定期開展壓力測試，發(fā)現(xiàn)系統(tǒng)性能和網(wǎng)絡容量不足的，應當及時采取系統(tǒng)升級、擴容等處置措施，確保系統(tǒng)性能容量在歷史峰值的三倍以上，交易時段相關網(wǎng)絡帶寬應當在近一年使用峰值的兩倍以上。

第四十九條　證券期貨業(yè)關鍵信息基礎設施運營者應當在符合本辦法第二十條規(guī)定的基礎上，建設同城和異地災難備份中心，實現(xiàn)數(shù)據(jù)同步保存。

第六章　網(wǎng)絡和信息安全促進與發(fā)展

第五十條　鼓勵核心機構、經(jīng)營機構和信息技術系統(tǒng)服務機構在依法合規(guī)的前提下，積極開展網(wǎng)絡和信息安全技術應用工作，運用新技術提升網(wǎng)絡和信息安全保障水平。

第五十一條　核心機構和經(jīng)營機構組織開展行業(yè)信息基礎設施建設的，應當在保障本機構網(wǎng)絡和信息安全的前提下，為行業(yè)統(tǒng)籌提供服務，提升信息技術資源利用和服務水平。

第五十二條　核心機構和經(jīng)營機構參加資本市場金融科技創(chuàng)新機制的，應當遵守有關規(guī)定，在依法合規(guī)、風險可控的前提下，有序開展金融科技創(chuàng)新與應用，借助新型信息技術手段，提升本機構證券期貨業(yè)務活動的運行質量和效能。

信息技術系統(tǒng)服務機構參加資本市場金融科技創(chuàng)新機制的，應當遵守有關規(guī)定，持續(xù)優(yōu)化技術服務水平，增強安全合規(guī)管理能力。

第五十三條　核心機構可以申請開展證券期貨業(yè)網(wǎng)絡和信息安全相關認證、檢測、測試和風險評估等監(jiān)管支撐工作。相關核心機構應當保障充足的資源投入，完善內部管理制度和工作流程，保證工作專業(yè)性、獨立性和公信力。

中國證監(jiān)會定期對核心機構前款工作情況開展評估，評估通過的，可以將其作為證券期貨業(yè)網(wǎng)絡和信息安全監(jiān)管支撐單位，相關工作情況可以作為中國證監(jiān)會及其派出機構實施監(jiān)督管理的參考依據(jù)。

第五十四條　核心機構和經(jīng)營機構應當加強網(wǎng)絡和信息安全人才隊伍建設，建立與網(wǎng)絡和信息安全工作特點相適應的人才培養(yǎng)機制，確保人才資質、經(jīng)驗、專業(yè)素質及職業(yè)道德符合崗位要求。

行業(yè)協(xié)會應當制定網(wǎng)絡和信息安全培訓計劃，定期組織培訓交流，提高證券期貨從業(yè)人員網(wǎng)絡和信息安全意識和專業(yè)素養(yǎng)。

第五十五條　核心機構和經(jīng)營機構應當加強本機構網(wǎng)絡和信息安全宣傳與教育，每年至少開展一次全員網(wǎng)絡和信息安全教育活動，提升員工網(wǎng)絡和信息安全意識。

經(jīng)營機構應當定期組織開展面向投資者的網(wǎng)絡和信息安全宣傳教育活動，結合網(wǎng)上證券期貨業(yè)務活動的特點，揭示網(wǎng)絡和信息安全風險，增強投資者風險防范能力。

第五十六條　行業(yè)協(xié)會應當鼓勵、引導網(wǎng)絡和信息安全技術創(chuàng)新與應用，增強自主可控能力，組織開展科技獎勵，促進行業(yè)科技進步。

行業(yè)協(xié)會應當引導信息技術系統(tǒng)服務機構規(guī)范參與行業(yè)網(wǎng)絡和信息安全和信息化工作，提升服務的安全合規(guī)水平，促進市場有序競爭。

第七章　監(jiān)督管理與法律責任

第五十七條　核心機構、經(jīng)營機構和信息技術系統(tǒng)服務機構應當向中國證監(jiān)會及其派出機構報送或者提供證券期貨業(yè)網(wǎng)絡和信息安全管理相關信息和數(shù)據(jù)，確保有關信息和數(shù)據(jù)的真實、準確、完整。

第五十八條　中國證監(jiān)會負責建立健全行業(yè)網(wǎng)絡和信息安全態(tài)勢感知工作機制，并就相關安全缺陷、安全漏洞等風險隱患開展行業(yè)通報預警。核心機構、經(jīng)營機構和信息技術系統(tǒng)服務機構應當及時排查并采取風險防范措施。

第五十九條　核心機構和經(jīng)營機構應當于每年4月30日前，完成對上一年網(wǎng)絡和信息安全工作的專項評估，編制網(wǎng)絡和信息安全管理年報，報送中國證監(jiān)會及其派出機構，年報內容包括但不限于網(wǎng)絡和信息安全治理情況、人員情況、投入情況、風險情況、處置情況和下一年度工作計劃等。

核心機構和經(jīng)營機構報送網(wǎng)絡和信息安全管理年報時，可以與中國證監(jiān)會要求的信息科技管理專項報告等其他年度信息科技類報告合并報送，關鍵信息基礎設施安全保護年度計劃除外。

證券期貨業(yè)關鍵信息基礎設施運營者應當將關鍵信息基礎設施網(wǎng)絡和信息安全檢測和風險評估情況納入網(wǎng)絡和信息安全管理年報。

第六十條　中國證監(jiān)會及其派出機構可以委托國家、行業(yè)有關專業(yè)機構采用漏洞掃描、風險評估等方式，協(xié)助對核心機構、經(jīng)營機構和信息技術系統(tǒng)服務機構開展監(jiān)督、檢查。

第六十一條　中國證監(jiān)會可以根據(jù)國家有關要求或者行業(yè)工作需要，組織開展證券期貨業(yè)重要時期網(wǎng)絡和信息安全保障。中國證監(jiān)會派出機構負責督促本轄區(qū)經(jīng)營機構和信息技術系統(tǒng)服務機構落實相關工作要求。

證券期貨業(yè)重要時期網(wǎng)絡和信息安全保障期間，核心機構和經(jīng)營機構應當遵循安全優(yōu)先的原則，加強安全生產(chǎn)值守，嚴格落實信息報送要求。

第六十二條　核心機構違反本辦法規(guī)定的，中國證監(jiān)會可以對其采取責令改正、監(jiān)管談話等監(jiān)管措施；對有關高級管理人員給予警告、記過、記大過、降級、撤職、開除等行政處分，并責令核心機構對其他責任人給予紀律處分。

經(jīng)營機構和信息技術系統(tǒng)服務機構違反本辦法規(guī)定的，中國證監(jiān)會及其派出機構可以對其采取責令改正、監(jiān)管談話、出具警示函、責令公開說明、責令定期報告、責令增加內部合規(guī)檢查次數(shù)等監(jiān)管措施；對直接責任人和其他責任人員采取責令改正、監(jiān)管談話、出具警示函等監(jiān)管措施；情節(jié)嚴重的，對相關機構及責任人員單處或者并處警告、十萬元以下罰款，涉及金融安全且有危害后果的，并處二十萬元以下罰款。

第六十三條　經(jīng)營機構違反本辦法規(guī)定，反映機構治理混亂、內控失效或者不符合持續(xù)性經(jīng)營規(guī)則的，中國證監(jiān)會及其派出機構可以依照《證券法》、《期貨和衍生品法》、《證券投資基金法》相關規(guī)定，采取責令暫停借助網(wǎng)絡開展部分業(yè)務或者全部業(yè)務、責令更換董事、監(jiān)事、高級管理人員或者限制其權利等監(jiān)管措施。

信息技術系統(tǒng)服務機構違反本辦法規(guī)定，未履行備案義務的，中國證監(jiān)會及其派出機構可以依照《證券法》、《期貨和衍生品法》相關規(guī)定予以處罰。

第六十四條　核心機構、經(jīng)營機構和信息技術系統(tǒng)服務機構違反本辦法第九條、第十條、第十八條、第十九條、第二十條、第三十七條、第三十九條規(guī)定，未履行網(wǎng)絡和信息安全保護義務，或者應急管理存在重大過失的，中國證監(jiān)會及其派出機構可以依照《網(wǎng)絡安全法》相關規(guī)定予以處罰。

證券期貨業(yè)關鍵信息基礎設施運營者未履行本辦法第九條、第十條、第十八條、第十九條、第二十條、第二十二條、第三十七條、第三十八條、第四十二條、第四十四條、第四十六條、第四十九條、第五十五條規(guī)定的網(wǎng)絡安全保護義務的，中國證監(jiān)會及其派出機構可以依照《網(wǎng)絡安全法》、《關鍵信息基礎設施安全保護條例》相關規(guī)定予以處罰。

第六十五條　核心機構和經(jīng)營機構違反本辦法第十七條、第三十六條規(guī)定，擅自暫停或者終止借助網(wǎng)絡向投資者提供服務，對其產(chǎn)品、服務存在安全缺陷、漏洞等風險未立即采取補救措施，或者未按照規(guī)定及時報告的，中國證監(jiān)會及其派出機構可以依照《網(wǎng)絡安全法》相關規(guī)定予以處罰。

第六十六條　違反本辦法第二十四條規(guī)定，開展證券期貨業(yè)信息系統(tǒng)認證、檢測、風險評估等活動，或者向社會發(fā)布證券期貨業(yè)信息安全漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等信息的，中國證監(jiān)會及其派出機構可以依照《網(wǎng)絡安全法》相關規(guī)定予以處罰。

第六十七條　核心機構和經(jīng)營機構違反本辦法第二十五條規(guī)定，對法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⑽赐Ｖ箓鬏敗⒉扇∠忍幹么胧⒈４嬗嘘P記錄的，中國證監(jiān)會及其派出機構可以依照《網(wǎng)絡安全法》相關規(guī)定予以處罰。

第六十八條　核心機構和經(jīng)營機構違反本辦法第三十一條第一款、第三十二條、第三十三條規(guī)定，違規(guī)處理個人信息，或者處理個人信息未履行個人信息保護義務的，中國證監(jiān)會及其派出機構可以依照《網(wǎng)絡安全法》、《個人信息保護法》相關規(guī)定予以處罰。

第六十九條　核心機構、經(jīng)營機構和信息技術系統(tǒng)服務機構拒絕、阻礙中國證監(jiān)會及其派出機構行使監(jiān)督檢查、調查職權的，中國證監(jiān)會及其派出機構可以依法予以處罰。

第七十條　核心機構和經(jīng)營機構參加資本市場金融科技創(chuàng)新機制或者信息技術應用創(chuàng)新機制，相關項目發(fā)生網(wǎng)絡安全事件，相關機構處置得當，積極消除不良影響的，中國證監(jiān)會及其派出機構可以予以從輕或者減輕處罰，未對證券期貨市場產(chǎn)生不良影響的，可以免于處罰。

第八章　附　　則

第七十一條　本辦法中下列用語的含義：

（一）核心機構，包括證券期貨交易場所、證券登記結算機構等承擔證券期貨市場公共職能、承擔證券期貨業(yè)信息技術公共基礎設施運營的證券期貨市場核心機構及其承擔上述相關職能的下屬機構。

（二）經(jīng)營機構，是指證券公司、期貨公司和基金管理公司等證券期貨經(jīng)營機構。

（三）信息技術系統(tǒng)服務機構，是指為證券期貨業(yè)務活動提供重要信息系統(tǒng)的開發(fā)、測試、集成、測評、運維及日常安全管理等產(chǎn)品或者服務的機構。

（四）雙活或者多活架構，是指在同城或者異地的兩個或者多個數(shù)據(jù)中心同時對外提供服務，當其中一個或者多個數(shù)據(jù)中心發(fā)生災難性事故時，可以將原先由其承載的服務請求劃撥至其他正常運作的數(shù)據(jù)中心，保障業(yè)務連續(xù)運行。

（五）重要信息系統(tǒng)，是指承載證券期貨業(yè)關鍵業(yè)務活動，如出現(xiàn)系統(tǒng)服務異常、數(shù)據(jù)泄露等情形，將對證券期貨市場和投資者產(chǎn)生重大影響的信息系統(tǒng)。

（六）可能對證券期貨市場安全平穩(wěn)運行產(chǎn)生較大影響，是指依據(jù)網(wǎng)絡安全事件調查處理有關辦法，可能引發(fā)較大或者以上級別網(wǎng)絡安全事件的情形。

（七）“以上”含本數(shù)，“以下”不含本數(shù)。

第七十二條　本辦法規(guī)定的核心機構、經(jīng)營機構和信息技術系統(tǒng)服務機構相關報告事項，是指依照監(jiān)管職責，核心機構應當向中國證監(jiān)會報告；除中國證監(jiān)會另有要求的，經(jīng)營機構和信息技術系統(tǒng)服務機構原則上應當向屬地中國證監(jiān)會派出機構報告。

第七十三條　國家對存儲、處理涉及國家秘密信息的網(wǎng)絡和信息安全管理另有規(guī)定的，從其規(guī)定。

第七十四條　境內開展證券公司客戶交易結算資金第三方存管業(yè)務、期貨保證金存管業(yè)務的商業(yè)銀行，證券投資咨詢機構，基金托管機構和從事公開募集基金的銷售、銷售支付、份額登記、估值、投資顧問、評價等基金服務業(yè)務的機構，從事證券期貨業(yè)務活動的經(jīng)營機構子公司，借助自身運維管理的信息系統(tǒng)從事證券投資活動且存續(xù)產(chǎn)品涉及基金份額持有人賬戶合計一千人以上的私募證券投資基金管理人，應當根據(jù)相關信息系統(tǒng)網(wǎng)絡和信息安全管理的特點，參照適用本辦法。

核心機構和經(jīng)營機構設立信息科技專業(yè)子公司，為母公司提供信息科技服務的，信息科技專業(yè)子公司應當按照本辦法落實網(wǎng)絡和信息安全相關要求。

第七十五條　本辦法自2023年5月1日起施行。2012年11月1日公布的《證券期貨業(yè)信息安全保障管理辦法》（證監(jiān)會令第82號）同時廢止。