全面务实的证券期货行业网络安全监管里程碑

《证券期货业网络安全管理办法（征求意见稿）》（以下简称为“办法”）在近期出台，基于毕马威网络安全专家及行业专家对《办法》全文的深入研读，以及与业内客户的充分讨论，我们理解《办法》对证券期货行业的网络安全监管将具有里程碑的意义，充分体现了在监管以及行业指导上的全面性与充分性，相关监管条文在实施主体责任上清晰明确，有利于行业落地实施；同时，我们也注意到《办法》部分条文上又充分体现了监管的弹性，在严守安全底线的前提下，充分考虑了通过发展解决问题，并起到了对金融创新充分支持的作用期货行业。

覆盖各类主体期货行业，厘清权责边界

在适用主体上，《办法》区别于以往的证券期货行业监管，按照核心机构、经营机构、信息技术服务机构、行业关键信息基础设施、涉及到核心数据与重要数据等不同的适用对象分别明确了其所应去遵循的网络安全要求，合理规避了监管过严“一刀切”导致的机构业务创新受影响，缺乏发展动力的问题期货行业。同时，在《办法》中引入了一些符合证券期货行业特性的创新监管思路，如充分鼓励行业协会在整体行业监管活动中，承担与其相匹配的作用，包括制定网络安全自律规则、引导证券期货行业网络安全技术创新与应用、组织行业培训与交流等。

承接安全监管焦点期货行业，体现全面充分

在全面性与充分性上，《办法》共八章六十六条，承接了《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规中的监管要求，从证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面对适用主体提出了明确具体的要求，涵盖了当前网络安全监管活动中的焦点监管话题，如证券期货机构网络安全与数据安全的治理结构、机构客户信息保护、网络和数据安全事件的应急管理、关键信息基础设施的网络安全管理、核心数据与重要数据的安全、等级保护制度的落实等期货行业。

清晰明确期货行业，便于落实执行

纵览《办法》全文，对各类适用主体提出了百余条需要满足并执行的务实的具化要求，相关要求分梯度、有层次，在部分关键监管领域通过量化指标明确了证券期货机构所应履行的合规义务，同时又充分考虑了针对不同成熟度阶段的主体，在满足监管红线的前提下，鼓励网络安全技术应用、科技创新与自主可控的尝试期货行业。以核心机构和经营机构为例，其安全监管要求包括如下主要内容：

展开全文

安全治理层面：明确责任、体系完备

主要负责人为证券期货业机构网络安全的第一责任人，分管科技工作的负责人为直接责任人期货行业。

应当建立网络安全工作协调和决策机制期货行业。

应当指定网络安全工作牵头部门或者机构期货行业，负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练、认定网络安全关键岗位

应当配备网络安全专职人员期货行业。

应当落实网络安全等级保护制度期货行业。

毕马威观察

《办法》关注解决当前证券期货行业内机构容易发生的由于内部网络安全职责未清晰界定导致部门间相互推诿、从事网络安全的人力资源配备与实际所应履行的安全管控工作不匹配等相关问题，协助机构厘清网络安全责任以及明确下一步网络安全重点工作方向期货行业。但在实际的落实过程中，监管要求更多的关注的是红线的基本要求，而不同规模、不同成熟度的证券期货业机构在网络安全治理结构、体系建设重点及优先级等方面还应结合自身实际来开展规划设计。

基础设施与技术应用：稳定运行、加强风险管控

信息系统的性能容量不得低于历史峰值的两倍期货行业。

新建上线、运行变更、下线移除重要信息系统的，应当进行风险评估并开展充分测试，制定应急处置与回退方案期货行业。

建立健全网络安全监测预警机制，设定监测指标期货行业。

全面、准确记录并妥善保存业务日志和系统日志，业务日志保存期限不得少于二十年，系统日志保存期限不得少于六个月期货行业。

证券期货业机构应当建立同城和异地数据备份设施，至少每天备份数据一次，每季度至少对数据备份进行一次有效性验证期货行业。

应至少每半年开展一次重要信息系统压力测试期货行业。

毕马威观察

《办法》通过一系列的量化指标解决当前证券期货机构普遍面临的安全运营缺乏明确指导，“头痛医头脚痛医脚”的问题期货行业。过往的“乌龙指”事件推动着证券期货机构强化风险管理，而与之相匹配的网络安全管理亦是机构全面风险的重要部分，通过加强证券期货机构的网络安全监测预警能力、提升系统的应急处置能力能够帮助机构更加从容高效地应对类似风险事件的发生。

数据安全管理：紧跟法律趋势期货行业，强化数据安全管理

建立健全数据安全管理制度体系，完善数据运营和管控机制期货行业。

健全数据安全管理组织架构，明确数据安全管理权责机制期货行业。

制定覆盖本机构全部业务数据的相关标准，实施与业务特点相适应的数据分类分级管理期货行业。

建立数据权限管理策略，按照最小授权原则设置数据访问权限，定期排查清理，并对数据访问记录进行留痕审计期货行业。

构建数据质量评估框架，建立质量管控和追责机制期货行业。

处理重要数据、核心数据的证券期货业机构，应当依法明确数据安全负责人，指定数据安全管理机构或者部门期货行业。

处理重要数据的信息系统原则上应当满足三级以上网络安全等级保护要求期货行业。

核心机构和经营机构应当遵循合法、正当、必要和诚信原则处理投资者个人信息期货行业。

毕马威观察

《办法》对后续证券期货行业的整体数据安全监管提出了有效的高阶指导，与《证券期货业数据分类分级标准》形成了有效的呼应，帮助证券期货业机构明确在数据应用过程中所应关注的重点数据安全领域，其中对金融行业当前热点的消费者信息保护工作亦明确了原则性的思路期货行业。

应急处置：提升安全事件处理能力

应当建立网络安全风险监测预警机制，加强日常监测，定期开展漏洞扫描、安全评估等工作期货行业。

证券期货业核心机构和经营机构应当根据业务影响分析情况，建立健全网络安全应急预案期货行业。

证券期货业核心机构应当组织与本机构信息系统和网络通信设施相关联主体开展网络安全应急演练，频率不低于每年一次期货行业。

应当建立网络安全应急处置机制，及时处置网络安全事件期货行业。

毕马威观察

俄乌冲突过程中在网络安全战场上同样硝烟密布，启示了我们的企业尤其是关系到国计民生、稳定的金融机构更应做好网络安全风险监测预警、网络安全事件的应急工作，毕马威认为《办法》通过对网络安全风险监测预警、网络安全应急等相关机制、预案、演练明确提出要求，对证券期货机构的网络安全运营工作作出了明确的指导，帮助机构切实提升网络安全风险应对与处置能力期货行业。

关键信息基础设施安全：更高的网络安全管理和防护能力要求

应当将关键信息基础设施安全保护情况纳入网络安全第一责任人、直接责任人和相关人员的责任考核机制期货行业。

应当指定专项工作领导机构或者部门负责关键信息基础设施安全保护，配备至少五名网络安全专职人员，为每个关键信息基础设施指定一名网络安全管理责任人，并明确岗位职责和分工期货行业。网络安全专职人员履职前，证券期货业关基单位应当依法开展安全背景审查，相关人员不适合岗位要求的，应当及时调整。

证券期货业关基单位应当对关键信息基础设施的安全运行进行持续监测，定期开展压力测试，确保系统性能容量不低于历史峰值的三倍，网络带宽不得低于历史峰值的两倍期货行业。

毕马威观察

关基单位的网络安全保护关系到金融稳定、社会稳定以及人民的福祉期货行业。办法通过提出细节具体的要求，体现了证券期货行业对《关键信息基础设施安全保护条例》的充分落实。关键信息基础设施强化网络安全保护是国际社会网络安全监管的通行实践，也是我国《网络安全法》中的核心理念。

毕马威在证券期货业网络与数据安全合规咨询领域具有非常丰富的经验期货行业。我们的客户涵盖了业内众多的证券期货业核心机构与经营机构，服务领域涵盖了网络安全合规、数据安全与个人信息保护、等级保护制度咨询、跨境数据合规咨询等，协助我们的客户从摸清家底开展、找差距、建体系、落控制、勤优化的多步走的策略，最终达成安全合规和安全管控能力的总体提升。

为了协助我们证券期货行业客户的安全合规能力的提升，毕马威针对《证券期货业网络安全管理办法》推出了合规健康度检查服务期货行业。该服务通过结合毕马威以往的行业合规服务经验，以及《办法》的具体要求，从治理结构、制度与机制保障、基础设施与技术保障等多个维度出发，协助客户快速全面识别当前经营活动过程中的合规薄弱环节，明确未来的重点建设领域及完善方向，在关键领域给出切实可行的改进建议，切实帮助机构打好安全合规基础。

本文内容仅供一般参考用，并非针对任何个人或团体的个别或特定情况而提供期货行业。虽然我们已致力提供准确和及时的资料，但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。

©2022毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所，均是与英国私营担保有限公司— 毕马威国际有限公司(“毕马威国际”)相关联期货行业。毕马威国际不提供任何客户服务。各成员所均为各自独立的法律主体，其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所；毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司；毕马威会计师事务所 — 香港合伙制事务所。版权所有，不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。