Category: 财经资讯

证券期货业网络安全等级保护基本要求

证券期货业网络安全等级保护基本要求

随着互联网的发展，证券期货服务的信息技术需求不断增加，网络安全等

级保护工作亦十分重要。中国证券监督管理委员会出台的证券期货业网络安全

等级保护（以下简称“等级保护”）

，将网络安全等级保护分为五个等级，分别

为高级、中级、低级、低于低级和未转换等级，以更细化地监管服务主体的网

络安全管理和风险控制工作，保护服务主体及社会投资者利益。

等级保护要求，各级别网络安全管理和技术控制要求应体现在证券期货服

务主体安全信息系统的制度设计、合法合规操作活动、系统安全实施与管理、

备份防范措施、审计监督机制等方面。要原则性完善应用系统安全控制、业务

安全控制和网络安全控制；客户数据、业务流程、数据准入、系统访问、访问

记录、数据安全、网络安全等，应按照等级要求进行防范控制，安全隐患要及

时发现处理；要加强技术控制的合法合规性，避免违反法规的行为；对风险治

理体系必须做到完善，监督实施有效；要按照国家法律法规规定全面建立审计

机制，确保审计准确、及时性。

此外，为了迎接国际信息安全标准，中国证券监督管理委员会应当把国际

信息安全标准适应中国实际，对等级保护框架和原则作出进一步提高，同时对

服务主体实施等级保护安全的检查和评估，以评定他们的安全等级。以确保证

券期货服务主体及社会投资者利益的维护和安全社会的建设成为可能。

最新变化！重大网络安全事件30分钟上报一次事件处置情况，证券期货业迎网安新规，完善四大内容

12月11日晚，证监会就网络安全事件相关新规征求意见，拟从四大方面完善证券期货业网络安全。

《证券期货业网络安全事件报告与调查处理办法（征求意见稿）》主要从四个方面完善相关法规：第一，对信息系统进行统一分类；第二，增加定量描述系统服务能力异常方法，并提出统一的网络安全事件分级方法；第三，完善网络安全事件报告流程；第四，处罚更具针对性和灵活性。

财联社记者梳理发现，最近三年，至少有9家券商因信息安全问题遭遇监管处罚。违规原因主要集中在交易系统故障导致客户无法正常交易，且未及时报告，但也存在核心设备老旧、营业部服务器被植入木马程序、内网安全策略不合理、SVN源代码泄漏等安全漏洞。

2020年11月23日，因存在重大信息安全事件未报告，江苏证监局对华泰证券采取出具警示函的行政监管措施。早在今年2月，华泰证券因未按规定履行客户身份识别义务、未按规定报送可疑交易报告、与身份不明的客户进行交易，被央行合计罚款1010万元。

证券期货业网络安全事件迎新规，完善4大方面

12月11日晚，证监会就《证券期货业网络安全事件报告与调查处理办法（征求意见稿）》（简称《征求意见稿》）公开征求意见。

证监会称，2012年12月印发实施的《证券期货业信息安全事件报告与调查处理办法》发挥作用的同时，需进一步完善4个方面：一是未对证券期货业信息系统进行统一分类，导致不能对部分网络安全事件进行合理定级。二是未定量描述事件级别，在实际操作中存在较大的主观性，不利于客观判定事件的影响情况。三是事件报告效率较低，不利于采取针对性的措施，容易导致事件迟报。四是处罚缺乏针对性和灵活性。

针对以上4个方面的不足，此次《征求意见稿》对证券期货业信息安全事件报告与调查处理办法主要做出以下修订。

第一，对信息系统进行统一分类。

《征求意见稿》按照信息系统发生网络安全事件后对国家金融安全、社会秩序、投资者合法权益所造成的损害程度，核心机构和经营机构的信息系统由高到低分为五类，即五类系统、四类系统、三类系统、二类系统和一类系统。

（信息系统分类表；来源：证监会）

此外，《征求意见稿》规定，对于未列在典型系统/模块表中的信息系统，如果发生网络安全事件，应首先依据分类原则进行分类，以确定信息系统的重要性。

第二，增加定量描述系统服务能力异常方法，并提出统一的网络安全事件分级方法。

根据服务能力异常程度，《征求意见稿》将信息系统服务能力异常分为严重异常、中度异常、轻度异常。具体如下：(一)严重异常，是指信息系统发生故障，服务能力异常80%以上的情形；(二)中度异常，是指信息系统发生故障，服务能力异常30%以上且未构成严重异常的情形；(三)轻度异常：是指信息系统发生故障，服务能力异常但未构成严重异常、中度异常的情形。

《征求意见稿》根据交易撮合类、行情计算发布类、结算类、开户类、网站类系统等提供服务的差异性给出了服务能力异常计算公式。

（证券期货交易类服务能力异常比例计算公式；来源：证监会）

另外，《征求意见稿》综合考虑信息系统分类、服务能力异常、事件持续时间、数据损毁、结算金额差错数额、直接资金损失以及对国家金融安全、社会秩序、投资者合法权益造成损害的程度，网络安全事件分为特别重大事件、重大事件、较大事件、一般事件。

（特别重大事件的五种情形；来源：证监会）

第三，完善网络安全事件报告流程。

《征求意见稿》要求信息系统发生故障可能构成网络安全事件的都应该报告；要求机构对事件初步定级，对可能构成特别重大、重大网络安全事件的，每隔30分钟至少上报一次事件处置情况，直至信息系统恢复正常运行；对较大和一般网络安全事件，第一次上报后，无须持续上报事件处置情况；如有重要情况应当立即报告。

第四，处罚更具针对性和灵活性。

《征求意见稿》对于存在明显过错疏忽、社会影响较大的事件可酌情提高事件的定级，对未发现明显过错、影响较小的事件，可酌轻或不认定为网络安全事件处理。

（可酌情从轻分级或不认为网络安全事件的情况；来源：证监会）

另外，因结算系统等中后台业务系统的实时性不强，《征求意见稿》未对结算系统进行分类，也未依据结算系统故障时间进行事件分级，而是按照受其影响的前台业务系统的类别和受影响程度，或按照其导致的投资者数据和结算金额差错、直接资金损失等，进行结算系统等中后台业务系统网络安全事件的分类分级。

近三年至少9家券商因信息安全问题遭监管处罚

2020年11月23日，江苏证监局对华泰证券采取出具警示函的行政监管措施。经查，华泰2019年8月存在重大信息安全事件未报告，违反相关规定。

早在今年2月，华泰证券因未按规定履行客户身份识别义务、未按规定报送可疑交易报告、与身份不明的客户进行交易，被央行合计罚款1010万元。

今年5月，西藏证监局向华林证券出具警示函。西藏证监局在日常监管中发现华林证券存在以下问题：部分互联网渠道交易系统于2019年9月16日全部中断57分29秒，影响客户正常业务办理，未及时报告，并在证监局电话督促后，存在迟报情况。

财联社记者梳理证监系统罚单显示，最近三年，至少有9家券商因信息安全问题遭遇监管处罚。

具体而言，违规原因主要集中在交易系统故障导致客户无法正常交易，且未及时报告，但也存在核心设备老旧、营业部服务器被植入木马程序、内网安全策略不合理、SVN源代码泄漏等安全漏洞。

扫二维码 领开户福利！