一、起草背景
证券期货行业高度依赖信息技术,证券期货信息技术系统是资本市场关键的基础设施,证券期货业信息安全保障关系到证券期货市场的稳定运行和健康发展,关系到国家金融安全和社会稳定,对保护投资者交易安全和财产安全具有十分重要的意义。为了加强对信息安全的监管,督促市场主体切实保障信息安全,中国证监会于2005年制定了《证券期货业信息安全保障管理暂行办法》(证监信息字[2005]5号)。但是,目前行业信息安全的管理体制和监管要求已经发生较大变化,该办法已经不能适应新的变化。近几年,中国证监会从行业实际出发,重点加强了信息安全工作,成立了证券期货业信息化工作领导小组,逐步形成了职责清晰、合理高效的行业信息安全管理体制和工作机制,因此,在充分总结经验的基础上,中国证监会研究制定了《证券期货业信息安全保障管理办法》(以下简称《管理办法》),以规章形式固化已经形成的、行之有效的体制机制和监管要求,确立行业信息安全保障的长效机制。
二、立法的依据
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)中明确要求“重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全”。国家有关文件中提出“银行、电力、民航、铁路、证券、海关、税务、保险等信息系统的安全直接关系到国民经济的正常运行、群众生活、社会稳定和国家安全”、“要重点保障基础信息网络和重要信息系统安全”。《证券法》、《证券投资基金法》和《期货交易管理条例》等法律法规明确要求证券公司、基金管理公司和期货公司等证券期货经营机构“有合格的经营场所和业务设施”,要求证券期货交易所等市场核心机构“提供交易的场所和设施”,要求证监会“维护证券市场秩序,保障其合法运行”。
为了贯彻落实国家以及证券期货行业法律、法规的要求,完善行业信息安全管理机制,防范信息安全风险,中国证监会依法制定《管理办法》,确立行业信息安全监管的体制,明确市场主体的信息安全保障责任,提出信息安全工作的要求。
三、《管理办法》的主要内容
《管理办法》包括总则、基本要求、持续保障要求、产品及服务要求、行业自律、监督管理和附则,共七章五十一条。
(一)办法的适用范围
证券期货业信息安全保障、管理、监督等相关活动均适用本办法。适用主体包括:1、承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称“核心机构”),如,证券交易所、期货交易所、中国证券登记结算公司、中国证券投资者保护基金公司、中国期货保证金监控中心公司等机构及其下属机构等;2、证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称“经营机构”);3、开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构等。
《管理办法》明确规定核心机构和经营机构应当依法开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。
(二)基本要求
《管理办法》第二章从基础设施、网络隔离、信息系统、安全防护能力和管理制度等方面对核心机构和经营机构应当具有的基础设施和基本制度作出规定,并从信息系统的自主研发能力、市场安全互联和业务规则等方面对核心机构提出特别要求,作为中国证监会作出行政许可或者验收准入的基本标准。
(三)持续保障要求
证券期货业务的特殊性要求核心机构和经营机构持续保障信息系统的安全稳定运行,保障业务活动的连续进行和数据的安全。《管理办法》第三章从人员和经费保障、系统的升级变更、设施和系统的运行维护、数据备份和集中保存、风险控制和应急处置、信息保密、内部审计等方面对核心机构和经营机构的信息安全保障工作作出规定,并从重要信息系统上线或者变更、组织行业应急演练、建设和运营行业信息技术公共基础设施、指导市场主体正确运行维护互联设施等方面对核心机构提出了特别要求。
考虑到证券、基金、期货等行业特征不同,体现在信息技术的要求上也会不同,《管理办法》对相关基本要求和持续保障要求仅作原则性规定,中国证监会和自律组织可以根据《管理办法》,制定规范性文件、技术指引和技术标准等进一步细化相关技术指标。
(四)产品和服务采购管理
目前,行业的重要信息系统大型设备、基础软件大部分来自于采购。计算机软硬件供应商和技术服务提供商(以下简称供应商)的基础条件对证券期货业的信息安全影响重大。因此,《管理办法》第四章对产品和服务采购的管理单独设置章节予以规范。
《管理办法》要求核心机构和经营机构建立完善的供应商管理机制,通过对供应商进行资质审查、签订完备的合同和保密协议等保障产品和服务质量;并通过合同约定,要求供应商接受中国证监会及其派出机构的信息安全延伸检查。同时,探索通过证券期货行业协会引导和规范供应商行为。对于软硬件产品或者技术服务不符合要求,影响核心机构和经营机构持续经营的,中国证监会有权要求核心机构和经营机构予以改进或者更换。
(五)行业自律和监督管理
《管理办法》明确了中国证监会和自律组织在信息安全管理方面的职责分工,明确了中国证监会在监督检查和信息技术事故调查中可以采取的措施,对核心机构和经营机构的备案、报告义务等作出了规定,列举了核心机构和经营机构信息安全保障不符合要求的法律责任。
此外,由于《证券期货业信息安全保障管理暂行办法》的相关规定已经被本办法覆盖,因此,《管理办法》第七章规定,本办法发布实施后,将同时废止《证券期货业信息安全保障管理暂行办法》。