中國(guó)證券監(jiān)督管理委員會(huì)

中國(guó)證券監(jiān)督管理委員會(huì)令

第218號(hào)

《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》已經(jīng)2023年1月17日中國(guó)證券監(jiān)督管理委員會(huì)2023年第1次委務(wù)會(huì)議審議通過(guò),現(xiàn)予公布,自2023年5月1日起施行。

中國(guó)證券監(jiān)督管理委員會(huì)主席:易會(huì)滿(mǎn)

2023年2月27日


證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法


（2023 年 1 月 17 日中國(guó)證券監(jiān)督管理委員會(huì)第 1 次委務(wù)會(huì)議審議通過(guò)）

第一章 總 則
第一條 為了保障證券期貨業(yè)網(wǎng)絡(luò)和信息安全，保護(hù)投資者合法權(quán)益，促進(jìn)證券期貨業(yè)穩(wěn)定健康發(fā)展，根據(jù)《中華人民共和國(guó)證券法》（以下簡(jiǎn)稱(chēng)《證券法》）、《中華人民共和國(guó)期貨和衍生品法》（以下簡(jiǎn)稱(chēng)《期貨和衍生品法》）、《中華人民共和國(guó)證券投資基金法》（以下簡(jiǎn)稱(chēng)《證券投資基金法》）、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》）、《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》）、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)，制定本辦法。
第二條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)、使用網(wǎng)絡(luò)及信息系統(tǒng)，信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)的網(wǎng)絡(luò)和信息安全保障，以及證券期貨業(yè)網(wǎng)絡(luò)和信息安全的監(jiān)督管理，適用本辦法。
第三條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)遵循保障安全、促進(jìn)發(fā)展的原則，建立健全網(wǎng)絡(luò)和信息安全防護(hù)體系，提升安全保障水平，確保與信息化工作同步推進(jìn)，促進(jìn)本機(jī)構(gòu)相關(guān)工作穩(wěn)妥健康發(fā)展。
信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)遵循技術(shù)安全、服務(wù)合規(guī)的原則，為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)，與核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)共同保障行業(yè)網(wǎng)絡(luò)和信息安全，促進(jìn)行業(yè)信息化發(fā)展。
第四條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)依法履行網(wǎng)絡(luò)和信息安全保護(hù)義務(wù)，對(duì)本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全負(fù)責(zé)，相關(guān)責(zé)任不因其他機(jī)構(gòu)提供產(chǎn)品或者服務(wù)進(jìn)行轉(zhuǎn)移或者減輕。
信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)勤勉盡責(zé)，對(duì)提供產(chǎn)品或者服務(wù)的安全性、合規(guī)性承擔(dān)責(zé)任。
第五條 中國(guó)證監(jiān)會(huì)依法履行以下監(jiān)督管理職責(zé)：
（一）組織制定并推動(dòng)落實(shí)證券期貨業(yè)網(wǎng)絡(luò)和信息安全發(fā)展規(guī)劃、監(jiān)管規(guī)則和行業(yè)標(biāo)準(zhǔn)；
（二）負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)和信息安全的監(jiān)督管理，按規(guī)定做好證券期貨業(yè)涉及的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)作；
（三）負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)和信息安全重大技術(shù)路線(xiàn)、重大科技項(xiàng)目管理；
（四）組織開(kāi)展證券期貨業(yè)投資者個(gè)人信息保護(hù)工作；
（五）負(fù)責(zé)證券期貨業(yè)網(wǎng)絡(luò)安全應(yīng)急演練、應(yīng)急處置、事件報(bào)告與調(diào)查處理；
（六）指導(dǎo)證券期貨業(yè)網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展；
（七）支持、協(xié)助國(guó)家有關(guān)部門(mén)組織實(shí)施網(wǎng)絡(luò)和信息安全相關(guān)法律、行政法規(guī)；
（八）法律法規(guī)規(guī)定的其他網(wǎng)絡(luò)和信息安全監(jiān)管職責(zé)。
第六條 中國(guó)證監(jiān)會(huì)建立集中管理、分級(jí)負(fù)責(zé)的證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)督管理體制。中國(guó)證監(jiān)會(huì)科技監(jiān)管部門(mén)對(duì)證券期貨業(yè)網(wǎng)絡(luò)和信息安全實(shí)施監(jiān)督管理。中國(guó)證監(jiān)會(huì)履行監(jiān)管職責(zé)的其他部門(mén)配合開(kāi)展相關(guān)工作。
中國(guó)證監(jiān)會(huì)派出機(jī)構(gòu)對(duì)本轄區(qū)經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)和信息安全實(shí)施日常監(jiān)管。
第七條 中國(guó)證券業(yè)協(xié)會(huì)、中國(guó)期貨業(yè)協(xié)會(huì)、中國(guó)證券投資基金業(yè)協(xié)會(huì)等行業(yè)協(xié)會(huì)（以下統(tǒng)稱(chēng)行業(yè)協(xié)會(huì)）依法制定行業(yè)網(wǎng)絡(luò)和信息安全自律規(guī)則，對(duì)經(jīng)營(yíng)機(jī)構(gòu)網(wǎng)絡(luò)和信息安全實(shí)施自律管理。
第八條 核心機(jī)構(gòu)依法制定保障市場(chǎng)相關(guān)主體與本機(jī)構(gòu)信息系統(tǒng)安全互聯(lián)的技術(shù)規(guī)則，對(duì)與本機(jī)構(gòu)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施相關(guān)聯(lián)主體加強(qiáng)指導(dǎo)，督促其強(qiáng)化網(wǎng)絡(luò)和信息安全管理，保障相關(guān)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施的安全平穩(wěn)運(yùn)行。
第二章 網(wǎng)絡(luò)和信息安全運(yùn)行
第九條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有完善的信息技術(shù)治理架構(gòu)，健全網(wǎng)絡(luò)和信息安全管理制度體系，建立內(nèi)部決策、管理、執(zhí)行和監(jiān)督機(jī)制，確保網(wǎng)絡(luò)和信息安全管理能力與業(yè)務(wù)活動(dòng)規(guī)模、復(fù)雜程度相匹配。
信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)和信息安全管理制度，配備相應(yīng)的安全、合規(guī)管理人員，建立與提供產(chǎn)品或者服務(wù)相適應(yīng)的網(wǎng)絡(luò)和信息安全管理機(jī)制。
第十條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)明確主要負(fù)責(zé)人為本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全工作的第一責(zé)任人，分管網(wǎng)絡(luò)和信息安全工作的領(lǐng)導(dǎo)班子成員或者高級(jí)管理人員為直接責(zé)任人。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)和信息安全工作協(xié)調(diào)和決策機(jī)制，保障第一責(zé)任人和直接責(zé)任人履行職責(zé)。
第十一條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)指定或者設(shè)立網(wǎng)絡(luò)和信息安全工作牽頭部門(mén)或者機(jī)構(gòu)，負(fù)責(zé)管理重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施、制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案、組織應(yīng)急演練等工作。
第十二條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)保障人員和資金投入與業(yè)務(wù)活動(dòng)規(guī)模、復(fù)雜程度相適應(yīng)，確保網(wǎng)絡(luò)和信息安全人員具備與履行職責(zé)相匹配的專(zhuān)業(yè)知識(shí)和職業(yè)技能。
第十三條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)確保信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施具備合理的架構(gòu)，足夠的性能、容量、可靠性、擴(kuò)展性和安全性，并保證相關(guān)安全技術(shù)措施與信息化工作同步規(guī)劃、同步建設(shè)、同步使用。
第十四條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，依法履行網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù)，按照國(guó)家和證券期貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)要求，開(kāi)展網(wǎng)絡(luò)和信息系統(tǒng)定級(jí)備案、等級(jí)測(cè)評(píng)和安全建設(shè)等工作。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照相關(guān)要求，將網(wǎng)絡(luò)安全等級(jí)保護(hù)工作開(kāi)展情況報(bào)送中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)。
第十五條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)新建上線(xiàn)、運(yùn)行變更、下線(xiàn)移除重要信息系統(tǒng)的，應(yīng)當(dāng)充分評(píng)估技術(shù)和業(yè)務(wù)風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)防控措施、應(yīng)急處置和回退方案，并對(duì)相關(guān)結(jié)果進(jìn)行復(fù)核驗(yàn)證；可能對(duì)證券期貨市場(chǎng)安全平穩(wěn)運(yùn)行產(chǎn)生較大影響的，應(yīng)當(dāng)提前向中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)不得在交易時(shí)段對(duì)重要信息系統(tǒng)進(jìn)行變更，重要信息系統(tǒng)存在故障、缺陷，經(jīng)評(píng)估須進(jìn)行緊急修復(fù)的情形除外。
第十六條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在重要信息系統(tǒng)上線(xiàn)、變更前應(yīng)當(dāng)制定全面的測(cè)試方案，持續(xù)完善測(cè)試用例和測(cè)試數(shù)據(jù)，并保障測(cè)試的有效執(zhí)行。
除必須使用敏感數(shù)據(jù)的情形外，核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)對(duì)測(cè)試環(huán)境涉及的敏感數(shù)據(jù)進(jìn)行脫敏，對(duì)未脫敏數(shù)據(jù)須采取與生產(chǎn)環(huán)境同等的安全控制措施。
核心機(jī)構(gòu)交易、行情、開(kāi)戶(hù)、結(jié)算、通信等重要信息系統(tǒng)上線(xiàn)或者進(jìn)行重大升級(jí)變更時(shí)，應(yīng)當(dāng)組織市場(chǎng)相關(guān)主體進(jìn)行聯(lián)網(wǎng)測(cè)試。
第十七條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)暫�；蛘呓K止借助網(wǎng)絡(luò)向投資者提供服務(wù)前，應(yīng)當(dāng)履行告知義務(wù)，合理選取公告、定向通知等方式告知投資者相關(guān)業(yè)務(wù)影響情況、替代方式及應(yīng)對(duì)措施。
第十八條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立健全網(wǎng)絡(luò)和信息安全監(jiān)測(cè)預(yù)警機(jī)制，設(shè)定監(jiān)測(cè)指標(biāo)，持續(xù)監(jiān)測(cè)信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施的運(yùn)行狀況，及時(shí)處置異常情形，對(duì)監(jiān)測(cè)機(jī)制執(zhí)行效果進(jìn)行定期評(píng)估并持續(xù)優(yōu)化。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)全面、準(zhǔn)確記錄并妥善保存生產(chǎn)運(yùn)營(yíng)過(guò)程中的業(yè)務(wù)日志和系統(tǒng)日志，確保滿(mǎn)足故障分析、內(nèi)部控制、調(diào)查取證等工作的需要。重要信息系統(tǒng)業(yè)務(wù)日志應(yīng)當(dāng)保存五年以上，系統(tǒng)日志應(yīng)當(dāng)保存六個(gè)月以上。
第十九條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)構(gòu)建網(wǎng)絡(luò)和信息安全防護(hù)體系，綜合采取網(wǎng)絡(luò)隔離、用戶(hù)認(rèn)證、訪(fǎng)問(wèn)控制、策略管理、數(shù)據(jù)加密、網(wǎng)站防篡改、病毒木馬防范、非法入侵檢測(cè)和網(wǎng)絡(luò)安全態(tài)勢(shì)感知等安全保障措施，提升網(wǎng)絡(luò)和信息安全防護(hù)能力，及時(shí)識(shí)別、阻斷相關(guān)網(wǎng)絡(luò)攻擊，保護(hù)重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施，防范信息泄露與損毀。
第二十條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立本地、同城和異地?cái)?shù)據(jù)備份設(shè)施，重要信息系統(tǒng)應(yīng)當(dāng)每天至少備份數(shù)據(jù)一次，每季度至少對(duì)數(shù)據(jù)備份進(jìn)行一次有效性驗(yàn)證。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立重要信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施，根據(jù)信息系統(tǒng)的重要程度和業(yè)務(wù)影響情況，確定恢復(fù)目標(biāo)，保證業(yè)務(wù)連續(xù)運(yùn)行。災(zāi)難備份設(shè)施應(yīng)當(dāng)通過(guò)同城或者異地災(zāi)難備份中心的形式體現(xiàn)。核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)采取雙活或者多活架構(gòu)部署重要信息系統(tǒng)的，在確保業(yè)務(wù)連續(xù)運(yùn)行的前提下，任一數(shù)據(jù)中心可視為其他數(shù)據(jù)中心的災(zāi)難備份設(shè)施。
第二十一條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)每年至少開(kāi)展一次重要信息系統(tǒng)壓力測(cè)試；發(fā)現(xiàn)市場(chǎng)較大波動(dòng)，重要信息系統(tǒng)的性能容量可能無(wú)法保障安全平穩(wěn)運(yùn)行的，應(yīng)當(dāng)及時(shí)對(duì)相關(guān)信息系統(tǒng)開(kāi)展壓力測(cè)試。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)依照有關(guān)行業(yè)標(biāo)準(zhǔn)，根據(jù)系統(tǒng)技術(shù)特點(diǎn)和承載業(yè)務(wù)類(lèi)型，制定壓力測(cè)試方案，設(shè)定測(cè)試場(chǎng)景，從系統(tǒng)性能、網(wǎng)絡(luò)負(fù)載、災(zāi)備建設(shè)等方面設(shè)置測(cè)試指標(biāo)，有序組織測(cè)試工作，測(cè)試完成后形成壓力測(cè)試報(bào)告存檔備查，并保存五年以上。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)重要信息系統(tǒng)的性能容量應(yīng)當(dāng)在歷史峰值的兩倍以上。核心機(jī)構(gòu)交易時(shí)段相關(guān)網(wǎng)絡(luò)近一年使用峰值應(yīng)當(dāng)在當(dāng)前帶寬的百分之五十以下，經(jīng)營(yíng)機(jī)構(gòu)交易時(shí)段相關(guān)網(wǎng)絡(luò)近一年使用峰值應(yīng)當(dāng)在當(dāng)前帶寬的百分之八十以下。
第二十二條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立健全供應(yīng)商管理機(jī)制，明確信息技術(shù)產(chǎn)品和服務(wù)準(zhǔn)入標(biāo)準(zhǔn)，審慎采購(gòu)并持續(xù)評(píng)估相關(guān)產(chǎn)品和服務(wù)的質(zhì)量，及時(shí)改進(jìn)風(fēng)險(xiǎn)管理措施，健全應(yīng)急處置機(jī)制，確保重要信息系統(tǒng)運(yùn)行安全可控。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)與供應(yīng)商簽訂合同及保密協(xié)議，明確約定各方保障網(wǎng)絡(luò)和信息安全的權(quán)利和義務(wù)；在使用供應(yīng)商提供產(chǎn)品或者服務(wù)時(shí)引發(fā)網(wǎng)絡(luò)安全事件的，相關(guān)供應(yīng)商有義務(wù)配合中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)查明網(wǎng)絡(luò)安全事件原因，認(rèn)定網(wǎng)絡(luò)安全事件責(zé)任。
第二十三條 供應(yīng)商為核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)提供重要信息系統(tǒng)相關(guān)產(chǎn)品或者服務(wù)的，應(yīng)當(dāng)依法作為信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)向中國(guó)證監(jiān)會(huì)備案。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)督促相關(guān)信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)依法履行備案義務(wù)。
第二十四條 任何機(jī)構(gòu)和個(gè)人不得違規(guī)開(kāi)展證券期貨業(yè)信息系統(tǒng)認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，不得違規(guī)發(fā)布證券期貨業(yè)信息安全漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等信息。
第二十五條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立信息發(fā)布審核機(jī)制，加強(qiáng)對(duì)本機(jī)構(gòu)和本機(jī)構(gòu)運(yùn)營(yíng)平臺(tái)發(fā)布信息的管理，發(fā)現(xiàn)違反法律法規(guī)和有關(guān)監(jiān)管規(guī)定的，應(yīng)當(dāng)立即停止發(fā)布傳輸，采取必要的處置措施，防止信息擴(kuò)散，積極消除負(fù)面影響，并及時(shí)向中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告。
第二十六條 核心機(jī)構(gòu)應(yīng)當(dāng)對(duì)交易、行情、開(kāi)戶(hù)、結(jié)算、風(fēng)控、通信等重要信息系統(tǒng)具有自主開(kāi)發(fā)能力，掌握?qǐng)?zhí)行程序和源代碼并安全可靠存放。
經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身發(fā)展需要，加強(qiáng)自主研發(fā)能力建設(shè)，持續(xù)提升自主可控能力。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家及中國(guó)證監(jiān)會(huì)有關(guān)要求，開(kāi)展信息技術(shù)應(yīng)用創(chuàng)新以及商用密碼應(yīng)用相關(guān)工作。
第二十七條 中國(guó)證監(jiān)會(huì)可以委托相關(guān)機(jī)構(gòu)建設(shè)證券期貨業(yè)備份數(shù)據(jù)中心，開(kāi)展行業(yè)數(shù)據(jù)的集中備份和管理工作，并采取有效安全防護(hù)手段，防范數(shù)據(jù)損毀泄露風(fēng)險(xiǎn)，持續(xù)提升證券期貨業(yè)重大災(zāi)難應(yīng)對(duì)能力。
鼓勵(lì)證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者及時(shí)向證券期貨業(yè)備份數(shù)據(jù)中心備份數(shù)據(jù)。其他核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)可以結(jié)合經(jīng)營(yíng)需要，自主選擇證券期貨業(yè)備份數(shù)據(jù)中心，開(kāi)展數(shù)據(jù)級(jí)災(zāi)難備份工作。
第二十八條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照知識(shí)產(chǎn)權(quán)相關(guān)法律法規(guī)，制定知識(shí)產(chǎn)權(quán)保護(hù)策略和制度，不侵犯他人的知識(shí)產(chǎn)權(quán)，并采取有效措施保護(hù)本機(jī)構(gòu)自主知識(shí)產(chǎn)權(quán)。
第三章 投資者個(gè)人信息保護(hù)
第二十九條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，處理投資者個(gè)人信息，規(guī)范投資者個(gè)人信息處理行為，履行投資者個(gè)人信息保護(hù)義務(wù)，不得損害投資者合法權(quán)益。
第三十條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)處理投資者個(gè)人信息，應(yīng)當(dāng)建立健全投資者個(gè)人信息保護(hù)體系，明確相關(guān)崗位及職責(zé)要求，建立健全投資者個(gè)人信息處理、安全防護(hù)、應(yīng)急處置、審計(jì)監(jiān)督等管理機(jī)制，加強(qiáng)投資者個(gè)人信息保護(hù)。
第三十一條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照法律法規(guī)的規(guī)定及合同的約定處理投資者個(gè)人信息，明確告知投資者處理個(gè)人信息的目的、方式、范圍和隱私保護(hù)政策，不得超范圍收集和使用投資者個(gè)人信息，不得收集提供服務(wù)非必要的投資者個(gè)人信息。
合同約定事項(xiàng)應(yīng)當(dāng)基于從事證券期貨業(yè)務(wù)活動(dòng)的必要限度。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)不得以投資者不同意處理其個(gè)人信息或者撤回同意為由，拒絕向投資者提供服務(wù)，為投資者提供服務(wù)所必需、履行法定職責(zé)或者法定義務(wù)等情形除外。
第三十二條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)處理投資者個(gè)人信息時(shí)，應(yīng)當(dāng)確保個(gè)人信息在收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等處理過(guò)程中的合規(guī)、安全，防止個(gè)人信息的泄露、篡改、丟失。
第三十三條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)依法依規(guī)向第三方機(jī)構(gòu)提供投資者個(gè)人信息，明確告知投資者個(gè)人信息處理目的、處理方式、個(gè)人信息種類(lèi)、保存期限、保護(hù)措施以及相關(guān)方的權(quán)利和義務(wù)等，并取得投資者個(gè)人單獨(dú)同意，履行法定職責(zé)或者法定義務(wù)的情形除外。
第三十四條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在本機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)邊界以外處理投資者個(gè)人信息的，應(yīng)當(dāng)采取數(shù)據(jù)脫敏、數(shù)據(jù)加密等措施，防范化解投資者個(gè)人信息在處理過(guò)程中的泄露風(fēng)險(xiǎn)。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)通過(guò)短信、郵件等非自主運(yùn)營(yíng)渠道發(fā)送投資者敏感個(gè)人信息的，應(yīng)當(dāng)將投資者賬號(hào)信息、身份證號(hào)碼等敏感個(gè)人信息進(jìn)行脫敏處理。
第三十五條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)利用生物特征進(jìn)行客戶(hù)身份認(rèn)證的，應(yīng)當(dāng)對(duì)其必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的客戶(hù)身份認(rèn)證方式，強(qiáng)制客戶(hù)同意收集其個(gè)人生物特征信息。
第四章 網(wǎng)絡(luò)和信息安全應(yīng)急處置
第三十六條 核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)發(fā)現(xiàn)網(wǎng)絡(luò)和信息安全產(chǎn)品或者服務(wù)存在安全缺陷、安全漏洞等風(fēng)險(xiǎn)隱患的，應(yīng)當(dāng)及時(shí)核實(shí)并加固整改；可能對(duì)證券期貨業(yè)網(wǎng)絡(luò)和信息安全平穩(wěn)運(yùn)行產(chǎn)生較大影響的，應(yīng)當(dāng)向中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告。
第三十七條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)業(yè)務(wù)影響分析情況，建立健全網(wǎng)絡(luò)安全應(yīng)急預(yù)案，明確應(yīng)急目標(biāo)、應(yīng)急組織和處置流程，應(yīng)急場(chǎng)景應(yīng)當(dāng)覆蓋網(wǎng)絡(luò)安全事件、自然災(zāi)害和公共衛(wèi)生事件、本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全相關(guān)重大人事變動(dòng)、主要信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)退出等情形。
第三十八條 核心機(jī)構(gòu)應(yīng)當(dāng)組織與本機(jī)構(gòu)信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施相關(guān)聯(lián)主體開(kāi)展網(wǎng)絡(luò)安全應(yīng)急演練，每年至少開(kāi)展一次，并于演練后 15 個(gè)工作日內(nèi)將相關(guān)情況報(bào)告中國(guó)證監(jiān)會(huì)。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)定期開(kāi)展網(wǎng)絡(luò)安全應(yīng)急演練，并形成應(yīng)急演練報(bào)告存檔備查。
第三十九條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立應(yīng)急處置機(jī)制，及時(shí)處置網(wǎng)絡(luò)安全事件，盡快恢復(fù)信息系統(tǒng)正常運(yùn)行，保護(hù)事件現(xiàn)場(chǎng)和相關(guān)證據(jù)，向中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)進(jìn)行應(yīng)急報(bào)告，不得瞞報(bào)、謊報(bào)、遲報(bào)、漏報(bào)。
信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)協(xié)助開(kāi)展信息系統(tǒng)故障排查、修復(fù)等工作，并及時(shí)告知使用同類(lèi)產(chǎn)品或者服務(wù)的核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)，配合開(kāi)展風(fēng)險(xiǎn)排查和整改工作。
第四十條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)配合中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查處理，及時(shí)組織內(nèi)部調(diào)查，完成問(wèn)題整改，認(rèn)定追究事件責(zé)任，并按照有關(guān)規(guī)定報(bào)告中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)。
第四十一條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件，對(duì)投資者造成影響的，應(yīng)當(dāng)及時(shí)通過(guò)官方網(wǎng)站、客戶(hù)交易終端、電話(huà)或者郵件等有效渠道通知相關(guān)方可以采取的替代方式或者應(yīng)急措施，提示相關(guān)方防范和應(yīng)對(duì)可能出現(xiàn)的風(fēng)險(xiǎn)。
第五章 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)
第四十二條 證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)按照法律法規(guī)及中國(guó)證監(jiān)會(huì)有關(guān)規(guī)定，強(qiáng)化安全管理措施、技術(shù)防護(hù)及其他必要手段，保障經(jīng)費(fèi)投入，確保關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行，維護(hù)數(shù)據(jù)的完整性、保密性和可用性。
第四十三條 證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)情況納入網(wǎng)絡(luò)和信息安全工作第一責(zé)任人、直接責(zé)任人和相關(guān)人員的責(zé)任考核機(jī)制。
第四十四條 證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)指定專(zhuān)門(mén)機(jī)構(gòu)或者部門(mén)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理工作，為每個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施指定網(wǎng)絡(luò)和信息安全管理責(zé)任人，依法認(rèn)定網(wǎng)絡(luò)安全關(guān)鍵崗位，配備充足的網(wǎng)絡(luò)和信息安全人員，并對(duì)專(zhuān)門(mén)安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。
第四十五條 證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者新建承載關(guān)鍵業(yè)務(wù)的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等，投入使用前應(yīng)當(dāng)按照關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)要求開(kāi)展安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，檢測(cè)評(píng)估通過(guò)后上線(xiàn)運(yùn)行。
證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施運(yùn)行變更或者下線(xiàn)移除，可能對(duì)證券期貨市場(chǎng)安全平穩(wěn)運(yùn)行產(chǎn)生較大影響的，應(yīng)當(dāng)在遵守本辦法第十五條的前提下，組織開(kāi)展專(zhuān)家評(píng)審；未通過(guò)評(píng)審的，原則上不得實(shí)施運(yùn)行變更、下線(xiàn)移除等操作。
證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施停止運(yùn)營(yíng)或者發(fā)生較大變化，可能影響認(rèn)定結(jié)果的，相關(guān)運(yùn)營(yíng)者應(yīng)當(dāng)及時(shí)將相關(guān)情況報(bào)告中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)。
第四十六條 證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)每年至少進(jìn)行一次網(wǎng)絡(luò)和信息安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)現(xiàn)的安全問(wèn)題及時(shí)整改，網(wǎng)絡(luò)和信息安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估的內(nèi)容包括但不限于：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行情況、面臨的主要威脅、風(fēng)險(xiǎn)管理情況、應(yīng)急處置情況等。
第四十七條 證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的，應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全審查制度要求開(kāi)展風(fēng)險(xiǎn)預(yù)判工作；采購(gòu)網(wǎng)絡(luò)產(chǎn)品或者服務(wù)與關(guān)鍵信息基礎(chǔ)設(shè)施密切相關(guān)，投入使用后可能影響國(guó)家安全的，應(yīng)當(dāng)及時(shí)申報(bào)網(wǎng)絡(luò)安全審查。
第四十八條 證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全運(yùn)行進(jìn)行持續(xù)監(jiān)測(cè)，定期開(kāi)展壓力測(cè)試，發(fā)現(xiàn)系統(tǒng)性能和網(wǎng)絡(luò)容量不足的，應(yīng)當(dāng)及時(shí)采取系統(tǒng)升級(jí)、擴(kuò)容等處置措施，確保系統(tǒng)性能容量在歷史峰值的三倍以上，交易時(shí)段相關(guān)網(wǎng)絡(luò)帶寬應(yīng)當(dāng)在近一年使用峰值的兩倍以上。
第四十九條 證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)在符合本辦法第二十條規(guī)定的基礎(chǔ)上，建設(shè)同城和異地災(zāi)難備份中心，實(shí)現(xiàn)數(shù)據(jù)同步保存。
第六章 網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展
第五十條 鼓勵(lì)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)在依法合規(guī)的前提下，積極開(kāi)展網(wǎng)絡(luò)和信息安全技術(shù)應(yīng)用工作，運(yùn)用新技術(shù)提升網(wǎng)絡(luò)和信息安全保障水平。
第五十一條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)組織開(kāi)展行業(yè)信息基礎(chǔ)設(shè)施建設(shè)的，應(yīng)當(dāng)在保障本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全的前提下，為行業(yè)統(tǒng)籌提供服務(wù)，提升信息技術(shù)資源利用和服務(wù)水平。
第五十二條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)參加資本市場(chǎng)金融科技創(chuàng)新機(jī)制的，應(yīng)當(dāng)遵守有關(guān)規(guī)定，在依法合規(guī)、風(fēng)險(xiǎn)可控的前提下，有序開(kāi)展金融科技創(chuàng)新與應(yīng)用，借助新型信息技術(shù)手段，提升本機(jī)構(gòu)證券期貨業(yè)務(wù)活動(dòng)的運(yùn)行質(zhì)量和效能。
信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)參加資本市場(chǎng)金融科技創(chuàng)新機(jī)制的，應(yīng)當(dāng)遵守有關(guān)規(guī)定，持續(xù)優(yōu)化技術(shù)服務(wù)水平，增強(qiáng)安全合規(guī)管理能力。
第五十三條 核心機(jī)構(gòu)可以申請(qǐng)開(kāi)展證券期貨業(yè)網(wǎng)絡(luò)和信息安全相關(guān)認(rèn)證、檢測(cè)、測(cè)試和風(fēng)險(xiǎn)評(píng)估等監(jiān)管支撐工作。相關(guān)核心機(jī)構(gòu)應(yīng)當(dāng)保障充足的資源投入，完善內(nèi)部管理制度和工作流程，保證工作專(zhuān)業(yè)性、獨(dú)立性和公信力。
中國(guó)證監(jiān)會(huì)定期對(duì)核心機(jī)構(gòu)前款工作情況開(kāi)展評(píng)估，評(píng)估通過(guò)的，可以將其作為證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)管支撐單位，相關(guān)工作情況可以作為中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)實(shí)施監(jiān)督管理的參考依據(jù)。
第五十四條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)網(wǎng)絡(luò)和信息安全人才隊(duì)伍建設(shè)，建立與網(wǎng)絡(luò)和信息安全工作特點(diǎn)相適應(yīng)的人才培養(yǎng)機(jī)制，確保人才資質(zhì)、經(jīng)驗(yàn)、專(zhuān)業(yè)素質(zhì)及職業(yè)道德符合崗位要求。
行業(yè)協(xié)會(huì)應(yīng)當(dāng)制定網(wǎng)絡(luò)和信息安全培訓(xùn)計(jì)劃，定期組織培訓(xùn)交流，提高證券期貨從業(yè)人員網(wǎng)絡(luò)和信息安全意識(shí)和專(zhuān)業(yè)素養(yǎng)。
第五十五條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全宣傳與教育，每年至少開(kāi)展一次全員網(wǎng)絡(luò)和信息安全教育活動(dòng)，提升員工網(wǎng)絡(luò)和信息安全意識(shí)。
經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)定期組織開(kāi)展面向投資者的網(wǎng)絡(luò)和信息安全宣傳教育活動(dòng)，結(jié)合網(wǎng)上證券期貨業(yè)務(wù)活動(dòng)的特點(diǎn)，揭示網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)，增強(qiáng)投資者風(fēng)險(xiǎn)防范能力。
第五十六條 行業(yè)協(xié)會(huì)應(yīng)當(dāng)鼓勵(lì)、引導(dǎo)網(wǎng)絡(luò)和信息安全技術(shù)創(chuàng)新與應(yīng)用，增強(qiáng)自主可控能力，組織開(kāi)展科技獎(jiǎng)勵(lì)，促進(jìn)行業(yè)科技進(jìn)步。
行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)規(guī)范參與行業(yè)網(wǎng)絡(luò)和信息安全和信息化工作，提升服務(wù)的安全合規(guī)水平，促進(jìn)市場(chǎng)有序競(jìng)爭(zhēng)。
第七章 監(jiān)督管理與法律責(zé)任
第五十七條 核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)向中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送或者提供證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理相關(guān)信息和數(shù)據(jù)，確保有關(guān)信息和數(shù)據(jù)的真實(shí)、準(zhǔn)確、完整。
第五十八條 中國(guó)證監(jiān)會(huì)負(fù)責(zé)建立健全行業(yè)網(wǎng)絡(luò)和信息安全態(tài)勢(shì)感知工作機(jī)制，并就相關(guān)安全缺陷、安全漏洞等風(fēng)險(xiǎn)隱患開(kāi)展行業(yè)通報(bào)預(yù)警。核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)及時(shí)排查并采取風(fēng)險(xiǎn)防范措施。
第五十九條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)于每年 4 月 30 日前，完成對(duì)上一年網(wǎng)絡(luò)和信息安全工作的專(zhuān)項(xiàng)評(píng)估，編制網(wǎng)絡(luò)和信息安全管理年報(bào)，報(bào)送中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)，年報(bào)內(nèi)容包括但不限于網(wǎng)絡(luò)和信息安全治理情況、人員情況、投入情況、風(fēng)險(xiǎn)情況、處置情況和下一年度工作計(jì)劃等。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)報(bào)送網(wǎng)絡(luò)和信息安全管理年報(bào)時(shí)，可以與中國(guó)證監(jiān)會(huì)要求的信息科技管理專(zhuān)項(xiàng)報(bào)告等其他年度信息科技類(lèi)報(bào)告合并報(bào)送，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)年度計(jì)劃除外。
證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)和信息安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估情況納入網(wǎng)絡(luò)和信息安全管理年報(bào)。
第六十條 中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以委托國(guó)家、行業(yè)有關(guān)專(zhuān)業(yè)機(jī)構(gòu)采用漏洞掃描、風(fēng)險(xiǎn)評(píng)估等方式，協(xié)助對(duì)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)開(kāi)展監(jiān)督、檢查。
第六十一條 中國(guó)證監(jiān)會(huì)可以根據(jù)國(guó)家有關(guān)要求或者行業(yè)工作需要，組織開(kāi)展證券期貨業(yè)重要時(shí)期網(wǎng)絡(luò)和信息安全保障。中國(guó)證監(jiān)會(huì)派出機(jī)構(gòu)負(fù)責(zé)督促本轄區(qū)經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)落實(shí)相關(guān)工作要求。
證券期貨業(yè)重要時(shí)期網(wǎng)絡(luò)和信息安全保障期間，核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)遵循安全優(yōu)先的原則，加強(qiáng)安全生產(chǎn)值守，嚴(yán)格落實(shí)信息報(bào)送要求。
第六十二條 核心機(jī)構(gòu)違反本辦法規(guī)定的，中國(guó)證監(jiān)會(huì)可以對(duì)其采取責(zé)令改正、監(jiān)管談話(huà)等監(jiān)管措施；對(duì)有關(guān)高級(jí)管理人員給予警告、記過(guò)、記大過(guò)、降級(jí)、撤職、開(kāi)除等行政處分，并責(zé)令核心機(jī)構(gòu)對(duì)其他責(zé)任人給予紀(jì)律處分。
經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)違反本辦法規(guī)定的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以對(duì)其采取責(zé)令改正、監(jiān)管談話(huà)、出具警示函、責(zé)令公開(kāi)說(shuō)明、責(zé)令定期報(bào)告、責(zé)令增加內(nèi)部合規(guī)檢查次數(shù)等監(jiān)管措施；對(duì)直接責(zé)任人和其他責(zé)任人員采取責(zé)令改正、監(jiān)管談話(huà)、出具警示函等監(jiān)管措施；情節(jié)嚴(yán)重的，對(duì)相關(guān)機(jī)構(gòu)及責(zé)任人員單處或者并處警告、十萬(wàn)元以下罰款，涉及金融安全且有危害后果的，并處二十萬(wàn)元以下罰款。
第六十三條 經(jīng)營(yíng)機(jī)構(gòu)違反本辦法規(guī)定，反映機(jī)構(gòu)治理混亂、內(nèi)控失效或者不符合持續(xù)性經(jīng)營(yíng)規(guī)則的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《證券法》《期貨和衍生品法》《證券投資基金法》相關(guān)規(guī)定，采取責(zé)令暫停借助網(wǎng)絡(luò)開(kāi)展部分業(yè)務(wù)或者全部業(yè)務(wù)、責(zé)令更換董事、監(jiān)事、高級(jí)管理人員或者限制其權(quán)利等監(jiān)管措施。信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)違反本辦法規(guī)定，未履行備案義務(wù)的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《證券法》《期貨和衍生品法》相關(guān)規(guī)定予以處罰。
第六十四條 核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)違反本辦法第九條、第十條、第十八條、第十九條、第二十條、第三十七條、第三十九條規(guī)定，未履行網(wǎng)絡(luò)和信息安全保護(hù)義務(wù)，或者應(yīng)急管理存在重大過(guò)失的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定予以處罰。
證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者未履行本辦法第九條、第十條、第十八條、第十九條、第二十條、第二十二條、第三十七條、第三十八條、第四十二條、第四十四條、第四十六條、第四十九條、第五十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》相關(guān)規(guī)定予以處罰。
第六十五條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)違反本辦法第十七條、第三十六條規(guī)定，擅自暫�；蛘呓K止借助網(wǎng)絡(luò)向投資者提供服務(wù)，對(duì)其產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)未立即采取補(bǔ)救措施，或者未按照規(guī)定及時(shí)報(bào)告的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定予以處罰。
第六十六條 違反本辦法第二十四條規(guī)定，開(kāi)展證券期貨業(yè)信息系統(tǒng)認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，或者向社會(huì)發(fā)布證券期貨業(yè)信息安全漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等信息的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定予以處罰。
第六十七條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)違反本辦法第二十五條規(guī)定，對(duì)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⑽赐Ｖ箓鬏�、采取消除等處置措施、保存有關(guān)記錄的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定予以處罰。
第六十八條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)違反本辦法第三十一條第一款、第三十二條、第三十三條規(guī)定，違規(guī)處理個(gè)人信息，或者處理個(gè)人信息未履行個(gè)人信息保護(hù)義務(wù)的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依照《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》相關(guān)規(guī)定予以處罰。
第六十九條 核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)拒絕、阻礙中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)行使監(jiān)督檢查、調(diào)查職權(quán)的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以依法予以處罰。
第七十條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)參加資本市場(chǎng)金融科技創(chuàng)新機(jī)制或者信息技術(shù)應(yīng)用創(chuàng)新機(jī)制，相關(guān)項(xiàng)目發(fā)生網(wǎng)絡(luò)安全事件，相關(guān)機(jī)構(gòu)處置得當(dāng)，積極消除不良影響的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以予以從輕或者減輕處罰，未對(duì)證券期貨市場(chǎng)產(chǎn)生不良影響的，可以免于處罰。
第八章 附 則
第七十一條 本辦法中下列用語(yǔ)的含義：
（一）核心機(jī)構(gòu)，包括證券期貨交易場(chǎng)所、證券登記結(jié)算機(jī)構(gòu)等承擔(dān)證券期貨市場(chǎng)公共職能、承擔(dān)證券期貨業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營(yíng)的證券期貨市場(chǎng)核心機(jī)構(gòu)及其承擔(dān)上述相關(guān)職能的下屬機(jī)構(gòu)。
（二）經(jīng)營(yíng)機(jī)構(gòu)，是指證券公司、期貨公司和基金管理公司等證券期貨經(jīng)營(yíng)機(jī)構(gòu)。
（三）信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)，是指為證券期貨業(yè)務(wù)活動(dòng)提供重要信息系統(tǒng)的開(kāi)發(fā)、測(cè)試、集成、測(cè)評(píng)、運(yùn)維及日常安全管理等產(chǎn)品或者服務(wù)的機(jī)構(gòu)。
（四）雙活或者多活架構(gòu)，是指在同城或者異地的兩個(gè)或者多個(gè)數(shù)據(jù)中心同時(shí)對(duì)外提供服務(wù)，當(dāng)其中一個(gè)或者多個(gè)數(shù)據(jù)中心發(fā)生災(zāi)難性事故時(shí)，可以將原先由其承載的服務(wù)請(qǐng)求劃撥至其他正常運(yùn)作的數(shù)據(jù)中心，保障業(yè)務(wù)連續(xù)運(yùn)行。
（五）重要信息系統(tǒng)，是指承載證券期貨業(yè)關(guān)鍵業(yè)務(wù)活動(dòng)，如出現(xiàn)系統(tǒng)服務(wù)異常、數(shù)據(jù)泄露等情形，將對(duì)證券期貨市場(chǎng)和投資者產(chǎn)生重大影響的信息系統(tǒng)。
（六）可能對(duì)證券期貨市場(chǎng)安全平穩(wěn)運(yùn)行產(chǎn)生較大影響，是指依據(jù)網(wǎng)絡(luò)安全事件調(diào)查處理有關(guān)辦法，可能引發(fā)較大或者以上級(jí)別網(wǎng)絡(luò)安全事件的情形。
（七）“以上”含本數(shù)，“以下”不含本數(shù)。
第七十二條 本辦法規(guī)定的核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)相關(guān)報(bào)告事項(xiàng)，是指依照監(jiān)管職責(zé)，核心機(jī)構(gòu)應(yīng)當(dāng)向中國(guó)證監(jiān)會(huì)報(bào)告；除中國(guó)證監(jiān)會(huì)另有要求的，經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)原則上應(yīng)當(dāng)向?qū)俚刂袊?guó)證監(jiān)會(huì)派出機(jī)構(gòu)報(bào)告。
第七十三條 國(guó)家對(duì)存儲(chǔ)、處理涉及國(guó)家秘密信息的網(wǎng)絡(luò)和信息安全管理另有規(guī)定的，從其規(guī)定。
第七十四條 境內(nèi)開(kāi)展證券公司客戶(hù)交易結(jié)算資金第三方存管業(yè)務(wù)、期貨保證金存管業(yè)務(wù)的商業(yè)銀行，證券投資咨詢(xún)機(jī)構(gòu)，基金托管機(jī)構(gòu)和從事公開(kāi)募集基金的銷(xiāo)售、銷(xiāo)售支付、份額登記、估值、投資顧問(wèn)、評(píng)價(jià)等基金服務(wù)業(yè)務(wù)的機(jī)構(gòu)，從事證券期貨業(yè)務(wù)活動(dòng)的經(jīng)營(yíng)機(jī)構(gòu)子公司，借助自身運(yùn)維管理的信息系統(tǒng)從事證券投資活動(dòng)且存續(xù)產(chǎn)品涉及基金份額持有人賬戶(hù)合計(jì)一千人以上的私募證券投資基金管理人，應(yīng)當(dāng)根據(jù)相關(guān)信息系統(tǒng)網(wǎng)絡(luò)和信息安全管理的特點(diǎn)，參照適用本辦法。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)設(shè)立信息科技專(zhuān)業(yè)子公司，為母公司提供信息科技服務(wù)的，信息科技專(zhuān)業(yè)子公司應(yīng)當(dāng)按照本辦法落實(shí)網(wǎng)絡(luò)和信息安全相關(guān)要求。
第七十五條 本辦法自 2023 年 5 月 1 日起施行。2012 年 11月 1 日公布的《證券期貨業(yè)信息安全保障管理辦法》（證監(jiān)會(huì)令第82號(hào)）同時(shí)廢止。