近年来,随着金融科技的发展,证券期货业积累了大量数据资产,如客户数据、交易数据、行情数据、资讯数据等。数据资产是证券期货业的重要资产和核心竞争力,然而各类业务活动高度信息化后,信息安全问题也变得更复杂。
上周证监会正式发布《证券期货业网络和信息安全管理办法》,旨在有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险。
《办法》将于2023年5月1日起正式实施,新规覆盖证券期货行业全部主体,为上位法在证券期货行业的落地实施明确了路径,主要内容包括网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。
1、采取安全保障措施,防范信息泄露与损毁
根据《办法》,核心机构和经营机构应当构建网络和信息安全防护体系,综合采取网络隔离、用户认证、访问控制、策略管理、 数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等安全保障措施,提升网络和信息安全防护能力,及时识别、阻断相关网络攻击,保护重要信息系统和相关基础设施, 防范信息泄露与损毁。
2、完善数据备份机制,保证业务活动连续
数据备份是保护数据安全完整的重要措施,《办法》提出,核心机构和经营机构应当建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证。核心机构和经营机构还应当建立信息系统的故障备份设施和灾难备份设施,根据信息系统的重要程度和影响范围,确定恢复目标,保证业务活动连续。
3、保护投资者个人信息安全,防止泄露、篡改、丢失
《办法》特别提到,核心机构和经营机构应当建立健全投资者个人信息保护体系,明确相关岗位及职责要求, 建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制,确保个人信息在收集、存储、使用、加工、传输、提供、公开、删除等处理过程中的合规、安全,防止个人信息的泄露、篡改、丢失。