來源:金融界網站
證監會新聞發言人高莉12月11日在例行新聞發布會上表示,證監會就《證券期貨業網絡信息安全事件報告與調查處理辦法》公開徵求意見。
《證券期貨業網絡安全事件報告與調查處理辦法(徵求意見稿)》主要修訂內容如下:
一是將網絡安全事件責任主體限定為提供證券期貨相關服務的機構。網絡安全責任主體進一步明確為:承擔證券期貨市場公共職能的機構、承擔證券期貨行業信息技術公共基礎設施運營的機構等證券期貨市場核心機構及其承擔上述公共職能的下屬機構,證券公司、期貨公司、基金管理公司及其提供證券期貨相關服務的下屬機構、證券期貨服務機構等證券期貨經營機構。
二是明確了對證券期貨服務機構採取監督管理措施。根據《證券法》《證券投資基金法》《證券期貨業信息安全保障管理辦法》(證監會第82號令)《證券基金經營機構信息技術管理辦法》(證監會第152號令)等法律法規和我會規章,將證券期貨服務機構明確為證券期貨業網絡安全保障責任主體,網絡安全事件相關證券期貨服務機構存在人為責任的,中國證監會及其派出機構可以要求其提交說明材料,並依照有關法律、行政法規和規章,採取監督管理措施。
三是與相關法律法規使用相同的用語。為與《網絡安全法》等法律法規的表述保持一致,此次起草工作將《證券期貨業信息安全事件報告與調查處理辦法》改為《證券期貨業網絡安全事件報告與調查處理辦法》。
四是對信息系統進行了統一分類。按照信息系統發生網絡安全事件後,對國家金融安全、社會秩序、投資者合法權益造成的損害程度,核心機構和經營機構的信息系統由高到低分為五類,即五類系統、四類系統、三類系統、二類系統和一類系統。
五是增加了定量描述系統服務能力異常的方法。根據交易撮合類系統、行情計算發布類系統、結算類系統、開戶類系統、網站類系統等提供的服務的差異性,給出了服務能力異常計算公式,從而可以定量描述系統服務能力異常情況。
六是提出了統一的網絡安全事件分級方法。結合信息系統類別和信息系統服務能力異常,提出了統一的網絡安全事件分級方法。同時,對於數據洩露、結算金額差錯、發布不良信息等網絡安全事件,依據數據量和影響程度提出了定級標準。
七是完善了網絡安全事件報告流程。增加了通過事件報送平臺報告事件情況;考慮到事件發生時,很難判斷是否會進一步惡化,要求信息系統發生故障,可能構成網絡安全事件的,都應當立即報告;要求機構對事件初步定級、對可能構成特別重大、重大網絡安全事件的,每隔30分鐘至少上報一次事件處置情況,直至信息系統恢復正常運行,其他網絡安全事件第一次上報後,無須持續上報事件處置情況,如有重要情況應當立即報告。
八是網絡安全事件處罰更加具有針對性和靈活性。對於存在明顯過錯、疏忽且社會影響較大的網絡安全事件,可酌情提高事件定級;從鼓勵行業自主創新、網絡安全事件實際影響、盡職免責等角度出發,對未發現明顯過錯、疏忽且不良影響較小的網絡安全事件,可酌情從輕分級或不認定為網絡安全事件。