中国证监会关于就《证券期货业网络安全管理办法(征求意见稿)》公开征求意见的通知(2)
第十二条 核心机构和经营机构应当配备网络安全专职人员,保障技术人员数量和资金投入与业务活动规模及复杂程度相适应,网络安全专职人员应当具备与履行职责相匹配的专业知识和职业技能。
第十三条 核心机构和经营机构应当确保信息系统和相关基础设施具备合理的架构,足够的性能、容量、可靠性、扩展性和安全性,并保证相关安全技术措施与信息化工作同步规划、同步建设、同步使用。信息系统的性能容量不得低于历史峰值的两倍。
第十四条 核心机构和经营机构应当落实网络安全等级保护制度,依法履行网络安全等级保护义务,按照国家和证券期货业定级标准和定级要求,向公安机关办理备案和变更。
核心机构和经营机构应当按照相关要求,将网络安全等级保护定级、变更和日常工作开展情况及时报告中国证监会及其派出机构。
第十五条 核心机构和经营机构新建上线、运行变更、下线移除重要信息系统的,应当进行风险评估并开展充分测试,制定应急处置和回退方案;可能对证券期货市场安全平稳运行产生较大影响的,应当提前向中国证监会及其派出机构报告。
第十六条 核心机构和经营机构暂停或者终止借助网络向投资者提供服务前,应当履行告知义务,合理选取公告、定向通知等方式告知投资者相关业务影响情况、替代方式及其他应对措施。
第十七条 核心机构和经营机构应当建立健全网络安全监测预警机制,设定监测指标,持续监测信息系统和相关基础设施的运行状况,及时处置异常情形,对监测机制执行效果进行定期评估并持续优化。
核心机构和经营机构应当全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志,确保满足故障分析、内部控制、调查取证等工作的需要。业务日志保存期限不得少于二十年,系统日志保存期限不得少于六个月。
第十八条 核心机构和经营机构应当建立同城和异地数据备份设施,至少每天备份数据一次,每季度至少对数据备份进行一次有效性验证。
核心机构和经营机构应当建立信息系统的故障备份设施和灾难备份设施,根据信息系统的重要程度和影响范围,确定恢复目标,保证业务活动连续。灾难备份设施应当通过同城或者异地灾难备份中心的形式体现。
核心机构和经营机构采取双活或者多活架构部署重要信息系统的,确保业务连续运行能力不低于前款规定的前提下,任一数据中心可以视为其他数据中心的灾难备份设施。
第十九条 核心机构和经营机构应当至少每半年开展一次重要信息系统压力测试,根据系统技术特点和承载业务类型,制定压力测试方案,设定测试场景,从系统处理能力、网络冗余、灾备建设等方面设置测试指标,有序组织测试工作,测试完成后形成压力测试报告存档备查。
核心机构和经营机构应当按照有关要求,参加中国证监会组织开展的全行业重要信息系统压力测试,并根据测试情况及时整改;暂时无法整改的,应当制定切实可行的整改计划。
第二十条 信息技术服务机构应当依法向中国证监会备案,并按照有关业务规则为证券期货业务活动提供信息技术产品或者服务。
核心机构和经营机构应当建立健全内部管理机制,完善信息技术产品和服务准入标准,审慎采购并持续评估相关产品和服务的质量,加强保密管理,及时改进风险管理措施,健全应急处置机制,保障本机构网络安全和相关业务的安全平稳运行。
第二十一条 核心机构和经营机构应当加强自主研发能力建设,持续提升自主可控能力,并按照国家及中国证监会有关要求开展信息技术应用创新相关工作。
第二十二条 核心机构和经营机构应当按照知识产权相关法律法规,制定知识产权保护策略和制度,采取有效措施保护本机构自主知识产权,不侵犯他人的知识产权。
第三章 数据安全统筹管理
第二十三条 核心机构和经营机构应当履行数据安全管理责任,包括但不限于以下方面:
(一)建立健全数据安全管理制度体系,完善数据运营和管控机制;
(二)健全数据安全管理组织架构,明确数据安全管理权责机制;
(三)依据行业相关数据标准,制定覆盖本机构全部业务数据的相关标准,实施与业务特点相适应的数据分类分级管理;
(四)建立数据权限管理策略,按照最小授权原则设置数据访问权限,定期排查清理,并对数据访问记录进行留痕审计;
(五)构建数据质量评估框架,建立质量管控和追责机制;
(六)法律法规及中国证监会规定的其他事项。
第二十四条 核心机构和经营机构处理重要数据、核心数据的,应当依法明确数据安全负责人,指定数据安全管理机构或者部门。
核心机构和经营机构处理重要数据的信息系统原则上应当满足三级以上网络安全等级保护要求,处理核心数据的信息系统依照有关法律法规从严保护。
第二十五条 核心机构和经营机构应当综合采取网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测和网络安全态势感知等技术手段,及时识别、阻断和溯源相关网络攻击,保障数据安全。
总共7页
[1] 2
[3] [4] [5] [6] [7] 上一页 下一页