基金管理公司提升网络和信息安全保障能力——《证券期货业网络和信息安全管理办法》评述
中国证券监督管理委员会 ( “ 中国证监会 ” ) 于 2023 年 2 月 27 日颁布 了 《证券期货业网络和信息安全管理办法》 ( 证监会令第 218 号 , “ 《管理办法》 ” ) ,并 自 2023 年 5 月 1 日 起施行 。 本文将梳理《管理办法》对基金管理公司在网络和信息安全管理方面提出的核心监管要求,旨在为行业提升网络和信息安全保障能力提供参考和建议。中国证监会之所以以《管理办法》更新2012年11月1日起施行的《证券期货业信息安全保障管理办法》(证监会令第82号)等监管规则,我们认为主要有以下两项核心原因:1、健全网络和信息安全法律体系近年来,随着《中华人民共和国网络安全法》(“《网络安全法》”)、《中华人民共和国数据安全法》(“《数据安全法》”)、《中华人民共和国个人信息保护法》(“《个人信息保护法》”)等法律法规密集发布实施,我国网络和信息安全法律法规体系进一步健全,新型管理框架基本成型。与此同时,由于原来的监管规则制订时间较早、监管实践变化等原因,其在有效衔接法律法规上位要求方面有待进一步完善。《管理办法》的出台结合监管实践成果,进一步落实了法律法规的上位要求,防范化解网络和信息安全风险隐患,助力资本市场安全平稳高效运行。2012年以来证券期货业网络和信息安全方面重要立法脉络如下(根据颁布时间排序):2、行业数字化智能化转型加速正如《管理办法》起草说明中所提及的,相比于其他行业,证券期货业本身涉及海量数据,随着证券期货业务与技术加速融合,其各类业务活动日益依赖网络系统和信息化,增加了网络和信息安全管理的复杂度。2014年10月,纽约时报引述知情人士消息称摩根大通电脑数据泄密,涉及约7,600万客户的资料,给众金融机构敲响了警钟。具体到基金管理公司,其在交易、行情、开户、结算、通信过程中本身就会接触并处理客户、投资对象的繁杂信息;如果将大数据、云计算、区块链、人工智能等新型信息技术运用到信息系统的建设和上线变更中,基金管理公司将面对进一步提高数据安全管理和保障能力的挑战。因此,我们建议基金管理公司根据《管理办法》的相关要求,建立健全本公司的网络和信息安全管理制度体系,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。1、涉及个人信息和网络安全的业务环节核心机构和经营机构在中华人民共和国境内建设、运营、维护、使用网络及信息系统,信息技术系统服务机构为证券期货业务活动提供产品或者服务的网络和信息安全保障,以及证券期货业网络和信息安全的监督管理均适用《管理办法》。基金管理公司网络及信息系统均在中华人民共和国境内建设、运营、维护、使用,其开展日常业务落入《管理办法》的规制范畴。具体而言,基金管理公司的交易、开户、结算、通信系统都会涉及到网络安全或个人信息保护。在交易系统中,基金管理公司将买入标的、时间、金额等投资交易信息统一归集到投资交易管理系统,并针对不同投资品种设定相应的投资风险监控指标、风险额度等数据指标,进行全面风险管理;在开户相关系统中,基金管理公司收集并保存大量机构投资者和个人投资者的身份信息、风险评估数据;在结算相关系统中,基金管理公司对每只投资组合进行会计核算、估值、销售结算、收益分配、资金划拨;在通信相关系统中,基金管理公司在指定范围内传递大量一旦泄露会造成证券市场异常波动的非公开信息。总之,基金管理公司的业务全流程都伴随着生产、接收、处理数据,面对严峻复杂的网络和信息安全形势。2、业务中存在的网络和信息安全风险如前所述,基金管理公司业务开展离不开各类重要信息系统。而一旦由于黑客攻击、操作失误、系统缺陷、稳定性受扰等原因,不确定的风险转化为现实发生的网络安全事件,必然会对国家金融安全、社会秩序、投资者合法权益造成损害。上述网络安全事件包括:(i) 服务能力异常;(ii) 数据损毁、泄露或篡改;(iii) 漏结、重复结、错结等结算金额差错;(iv) 直接资金损失;(v) 因审核不严或系统被非法入侵,相关信息平台发送违法和不良信息等。其中,数据损毁、泄露或篡改是较为频发且涉及范围较广的一类安全事件。据券商中国报道,根据移动支付网发布的《中国个人金融信息保护执法白皮书2020》不完全统计,央行在2020年开出的行政处罚罚单中,案由涉及“个人金融信息”的共计181张,涉罚金额合超1.8亿元人民币,处罚对象包括银行、证券公司、支付机构、消费金融公司等。与此同时,其他安全事件同样值得基金管理公司重视。1、完善公司治理架构从制度建设上来看,基金管理公司应当依照《管理办法》的相关要求,建立完善的网络和信息安全管理制度体系,对网络和信息安全的管理职责进行明确,对数据全生命周期进行规范和管理。从人员配备上看,基金管理公司应当明确公司主要负责人为公司网络和信息安全工作的第一责任人,分管网络和信息安全工作的高级管理人员为直接责任人,并建立网络和信息安全工作协调和决策机制,保障第一责任人和直接责任人有效履行职责。同时,我们也建议基金管理公司建立专门的信息安全工作小组,小组成员应具备与履行职责相匹配的专业知识和职业技能,负责评估和审议相关的信息安全策略,厘清信息安全权责,以及协调公司内部对安全管理措施的落实。督察长可以根据本公司的具体情况,定期检查公司内部对网络和信息安全的保障措施的执行,出具信息安全检查专项报告。总体而言,基金管理公司应当保障人力与资源投入与业务活动规模、复杂程度相适应,以确保信息系统和相关基础设施具备合理的架构以及足够的性能、容量、可靠性、扩展性和安全性。2、履行等级保护义务和告知义务1) 等级保护义务《管理办法》重申《网络安全法》提及的等级保护要求,即要求基金管理公司完成定级对象梳理、定级、备案、网络安全建设、等保测评以及安全运行和维护六个阶段的工作。具体而言,基金管理公司首先需要梳理公司现有网络系统,确定定级对象及其网络安全等级。根据《网络安全等级保护条例(征求意见稿)》的规定,拟定为第二级以上的基金管理公司应当组织专家评审来完成定级工作,并在中国证监会及其派出机构核准网络的安全保护等级后到县级以上公安机关备案。定级备案完成后,第三级以上网络的运营者应当按照《证券期货业网络安全等级保护基本要求》《证券期货业网络安全等级保护测评要求》每年开展一次网络安全等级测评,发现并整改安全风险隐患,并将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告,在取得公安机关颁发的备案证明后20个工作日内将备案证明复印件或电子件报属地中国证监会派出机构。2) 告知义务根据《管理办法》的要求,基金管理公司暂停或终止借助网络向投资者提供服务前,应当履行告知义务,合理选取公告、定向通知等方式告知投资者相关业务影响情况。3、建立网络安全防护体系健全的网络安全防护体系应当包括识别风险、评估风险、防控风险、处置风险、报告风险全环节。1) 识别风险日常业务过程中,基金管理公司应当健全网络和信息安全监测预警机制,设定监测指标,对监测机制执行效果进行定期评估并持续优化,每年至少开展一次重要信息系统压力测试;在重要信息系统上线、变更前,基金管理公司应当制定全面的测试方案,持续完善测试用例和测试数据,并保障测试的有效执行。除必须使用敏感数据的情形外,应当对测试环境涉及的敏感数据进行脱敏,对未脱敏数据须采取与生产环境同等的安全控制措施;在发生重大外部环境变动,比如市场较大波动时,重要信息系统的性能容量可能无法保障安全平稳运行的,基金管理公司应当及时对相关信息系统开展压力测试。2) 评估风险基金管理公司新建上线、运行变更、下线移除重要信息系统的,应当充分评估技术和业务风险,制订风险防控措施、应急处置和回退方案,并对相关结果进行复核验证。3) 防控风险基金管理公司应当确保网络隔离、用户认证、访问控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等相关安全技术措施与信息化工作同步规划、同步建设、同步使用,以及时识别、阻断相关网络攻击,保护重要信息系统和相关基础设施,防范信息泄露与损毁。4) 处置风险在备份方面,基金管理公司可以借助行业数据备份中心建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证。同时,其应当建立重要信息系统的故障备份设施和灾难备份设施,根据信息系统的重要程度和业务影响情况,确定恢复目标,保证业务连续运行。灾难备份设施应当通过同城或者异地灾难备份中心的形式体现。在应急预案方面,基金管理公司应当根据业务影响分析情况,建立健全网络安全应急预案,明确应急目标、应急组织和处置流程,应急场景应当覆盖网络安全事件、自然灾害和公共卫生事件、本公司网络和信息安全相关重大人事变动、主要信息技术系统服务机构退出等情形。一旦网络安全事件真正发生,基金管理公司可以根据事先制定的应急预案和应急演练经验,高效、及时进行应对和处理。5) 报告风险基金管理公司向中国证监会及其派出机构的风险报告义务发生在以下几个场景:(i) 新建上线、运行变更、下线移除重要信息系统,可能对证券期货市场安全平稳运行产生较大影响的;(ii) 发现网络和信息安全产品或者服务存在安全缺陷、安全漏洞等风险隐患,可能对证券期货业网络和信息安全平稳运行产生较大影响的;以及(iii) 网络安全事件发生时。4、管理日志留存《管理办法》对重要信息系统的日志提出了明确的要求。首先,核心机构与经营机构应当全面、准确地记录并妥善保存生产运营过程中的业务日志和系统日志,确保满足故障分析、内部控制、调查取证等工作的需要。重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上。其中,业务日志可以参考《证券期货业经营机构内部应用系统日志规范》(JR/T 0233-2021)中的定义。值得关注的是,《网络数据安全管理条例(征求意见稿)》第十二条规定数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:……(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。此处的修改与《网络数据安全管理条例(征求意见稿)》进行了匹配,同时淡化了业务日志的个人信息属性。如果业务日志中包含有个人信息,仍然要按照业务数据的标准,保存二十年以上。5、加强对信息技术服务机构的管理基金管理公司应当建立健全供应商管理机制,明确信息技术产品和服务准入标准,审慎采购并持续评估相关产品和服务的质量。同时,《管理办法》也建议基金管理公司与供应商签订合同及保密协议,明确约定各方保障网络和信息安全的权利和义务。6、保护投资者个人信息基金管理公司业务方面,开户、产品销售、登记结算等典型业务场景均涉及投资者个人信息的处理。因此,基金管理公司应当相应建立健全投资者个人信息保护体系,明确相关岗位及职责要求,建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制,在投资者首次使用APP、《隐私政策》更新、涉及使用或关联第三方SDK、取得投资者单独同意等情形时充分运用《隐私政策》工具,保障投资者的知情同意权;除投资者信息保护外,公司员工、应聘者的个人信息保护亦不容忽视,从招聘、面试、入职,到员工在职管理,再到离职、档案转出,公司在日常管理中也要注重员工及应聘者的个人信息处理。《管理办法》对基金管理公司在个人信息流转各环节的操作都提出了安全管理要求,实现对《个人信息保护法》这一上位法的呼应与细化,具体如下:《管理办法》出台后,我们建议基金管理公司认真学习并对照完善本公司网络和信息安全的制度建设和日常实施,履行数据和安全保障义务,及时化解安全风险隐患。同时,《管理办法》还在“网络和信息安全促进和发展”这一章提出,基金管理公司组织开展行业信息基础设施建设的,应当在保障本公司网络和信息安全的前提下,为行业统筹提供服务,提升信息技术资源利用和服务水平;基金管理公司参加资本市场金融科技创新机制的,应当遵守有关规定,在依法合规、风险可控的前提下,有序开展金融科技创新与应用,借助新型信息技术手段,提升本机构证券期货业务活动的运行质量和效能。基金管理公司在向数字化智能化迈进的路上,以高标准对待网络和信息安全,既是对投资者的负责,也是行业健康有序发展的加持。我们也会持续关注行业实践,助力基金管理公司提升网络和信息安全保障能力。点个在看支持一下❤️
本信息由网络用户发布,本站只提供信息展示,内容详情请与官方联系确认。