— 1—证券期货业网络和信息安全管理办法 （2023年1月17日中国证券监督管理委员会第1次委务会议 审议通过） 第一章总则 第一条为了保障证券期货业网络和信息安全，保护投资者 合法权益，促进证券期货业稳定健康发展，根据《中华人民共和 国证券法》（以下简称《证券法》）、《中华人民共和国期货和衍生 品法》（以下简称《期货和衍生品法》）、《中华人民共和国证券投 资基金法》（以下简称《证券投资基金法》）、《中华人民共和国网 络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安 全法》《中华人民共和国个人信息保护法》（以下简称《个人信息 保护法》）、《关键信息基础设施安全保护条例》等法律法规，制定 本办法。 第二条核心机构和经营机构在中华人民共和国境内建设、 运营、维护、使用网络及信息系统，信息技术系统服务机构为证 券期货业务活动提供产品或者服务的网络和信息安全保障，以及 证券期货业网络和信息安全的监督管理，适用本办法。— 2—第三条核心机构和经营机构应当遵循保障安全、促进发展 的原则，建立健全网络和信息安全防护体系，提升安全保障水平， 确保与信息化工作同步推进，促进本机构相关工作稳妥健康发展。 信息技术系统服务机构应当遵循技术安全、服务合规的原则， 为证券期货业务活动提供产品或者服务，与核心机构、经营机构 共同保障行业网络和信息安全，促进行业信息化发展。 第四条核心机构和经营机构应当依法履行网络和信息安全 保护义务，对本机构网络和信息安全负责，相关责任不因其他机 构提供产品或者服务进行转移或者减轻。 信息技术系统服务机构应当勤勉尽责，对提供产品或者服务 的安全性、合规性承担责任。 第五条中国证监会依法履行以下监督管理职责： （一）组织制定并推动落实证券期货业网络和信息安全发展 规划、监管规则和行业标准； （二）负责证券期货业网络和信息安全的监督管理，按规定 做好证券期货业涉及的关键信息基础设施安全保护工作； （三）负责证券期货业网络和信息安全重大技术路线、重大 科技项目管理； （四）组织开展证券期货业投资者个人信息保护工作； （五）负责证券期货业网络安全应急演练、应急处置、事件 报告与调查处理； （六）指导证券期货业网络和信息安全促进与发展；— 3—（七）支持、协助国家有关部门组织实施网络和信息安全相 关法律、行政法规； （八）法律法规规定的其他网络和信息安全监管职责。 第六条中国证监会建立集中管理、分级负责的证券期货业 网络和信息安全监督管理体制。中国证监会科技监管部门对证券 期货业网络和信息安全实施监督管理。中国证监会履行监管职责 的其他部门配合开展相关工作。 中国证监会派出机构对本辖区经营机构和信息技术系统服务 机构网络和信息安全实施日常监管。 第七条中国证券业协会、中国期货业协会、中国证券投资 基金业协会等行业协会（以下统称行业协会）依法制定行业网络 和信息安全自律规则，对经营机构网络和信息安全实施自律管理。 第八条核心机构依法制定保障市场相关主体与本机构信息 系统安全互联的技术规则，对与本机构信息系统和网络通信设施 相关联主体加强指导，督促其强化网络和信息安全管理，保障相 关信息系统和网络通信设施的安全平稳运行。 第二章网络和信息安全运行 第九条核心机构和经营机构应当具有完善的信息技术治理 架构，健全网络和信息安全管理制度体系，建立内部决策、管理、 执行和监督机制，确保网络和信息安全管理能力与业务活动规模、— 4—复杂程度相匹配。 信息技术系统服务机构应当建立网络和信息安全管理制度， 配备相应的安全、合规管理人员，建立与提供产品或者服务相适 应的网络和信息安全管理机制。 第十条核心机构和经营机构应当明确主要负责人为本机构 网络和信息安全工作的第一责任人，分管网络和信息安全工作的 领导班子成员或者高级管理人员为直接责任人。 核心机构和经营机构应当建立网络和信息安全工作协调和决 策机制，保障第一责任人和直接责任人履行职责。 第十一条核心机构和经营机构应当指定或者设立网络和信 息安全工作牵头部门或者机构，负责管理重要信息系统和相关基 础设施、制定网络安全应急预案、组织应急演练等工作。 第十二条核心机构和经营机构应当保障人员和资金投入与 业务活动规模、复杂程度相适应，确保网络和信息安全人员具备 与履行职责相匹配的专业知识和职业技能。 第十三条核心机构和经营机构应当确保信息系统和相关基 础设施具备合理的架构，足够的性能、容量、可靠性、扩展性和 安全性，并保证相关安全技术措施与信息化工作同步规划、同步 建设、同步使用。 第十四条核心机构和经营机构应当落实网络安全等级保护 制度，依法履行网络安全等级保护义务，按照国家和证券期货业 网络安全等级保护相关要求，开展网络和信息系统定级备案、等— 5—级测评和安全建设等工作。 核心机构和经营机构应当按照相关要求，将网络安全等级保 护工作开展情况报送中国证监会及其派出机构。 第十五条核心机构和经营机构新建上线、运行变更、下线 移除重要信息系统的，应当充分评估技术和业务风险，制定风险 防控措施、应急处置和回退方案，并对相关结果进行复核验证； 可能对证券期货市场安全平稳运行产生较大影响的，应当提前向 中国证监会及其派出机构报告。 核心机构和经营机构不得在交易时段对重要信息系统进行变 更，重要信息系统存在故障、缺陷，经评估须进行紧急修复的情 形除外。 第十六条核心机构和经营机构在重要信息系统上线、变更 前应当制定全面的测试方案，持续完善测试用例和测试数据，并 保障测试的有效执行。 除必须使用敏感数据的情形外，核心机构和经营机构应当对 测试环境涉及的敏感数据进行脱敏，对未脱敏数据须采取与生产 环境同等的安全控制措施。 核心机构交易、行情、开户、结算、通信等重要信息系统上 线或者进行重大升级变更时，应当组织市场相关主体进行联网测 试。 第十七条核心机构和经营机构暂停或者终止借助网络向投 资者提供服务前，应当履行告知义务，合理选取公告、定向通知— 6—等方式告知投资者相关业务影响情况、替代方式及应对措施。 第十八条核心机构和经营机构应当建立健全网络和信息安 全监测预警机制，设定监测指标，持续监测信息系统和相关基础 设施的运行状况，及时处置异常情形，对监测机制执行效果进行 定期评估并持续优化。 核心机构和经营机构应当全面、准确记录并妥善保存生产运 营过程中的业务日志和系统日志，确保满足故障分析、内部控制、 调查取证等工作的需要。重要信息系统业务日志应当保存五年以 上，系统日志应当保存六个月以上。 第十九条核心机构和经营机构应当构建网络和信息安全防 护体系，综合采取网络隔离、用户认证、访问控制、策略管理、 数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安 全态势感知等安全保障措施，提升网络和信息安全防护能力，及 时识别、阻断相关网络攻击，保护重要信息系统和相关基础设施， 防范信息泄露与损毁。 第二十条核心机构和经营机构应当建立本地、同城和异地 数据备份设施，重要信息系统应当每天至少备份数据一次，每季 度至少对数据备份进行一次有效性验证。 核心机构和经营机构应当建立重要信息系统的故障备份设施 和灾难备份设施，根据信息系统的重要程度和业务影响情况，确 定恢复目标，保证业务连续运行。灾难备份设施应当通过同城或 者异地灾难备份中心的形式体现。— 7—核心机构和经营机构采取双活或者多活架构部署重要信息系 统的，在确保业务连续运行的前提下，任一数据中心可视为其他 数据中心的灾难备份设施。 第二十一条核心机构和经营机构应当每年至少开展一次重 要信息系统压力测试；发现市场较大波动，重要信息系统的性能 容量可能无法保障安全平稳运行的，应当及时对相关信息系统开 展压力测试。 核心机构和经营机构应当依照有关行业标准，根据系统技术 特点和承载业务类型，制定压力测试方案，设定测试场景，从系 统性能、网络负载、灾备建设等方面设置测试指标，有序组织测 试工作，测试完成后形成压力测试报告存档备查，并保存五年以 上。 核心机构和经营机构重要信息系统的性能容量应当在历史峰 值的两倍以上。核心机构交易时段相关网络近一年使用峰值应当 在当前带宽的百分之五十以下，经营机构交易时段相关网络近一 年使用峰值应当在当前带宽的百分之八十以下。 第二十二条核心机构和经营机构应当建立健全供应商管理 机制，明确信息技术产品和服务准入标准，审慎采购并持续评估 相关产品和服务的质量，及时改进风险管理措施，健全应急处置 机制，确保重要信息系统运行安全可控。 核心机构和经营机构应当与供应商签订合同及保密协议，明 确约定各方保障网络和信息安全的权利和义务；在使用供应商提— 8—供产品或者服务时引发网络安全事件的，相关供应商有义务配合 中国证监会及其派出机构查明网络安全事件原因，认定网络安全 事件责任。 第二十三条供应商为核心机构和经营机构提供重要信息系 统相关产品或者服务的，应当依法作为信息技术系统服务机构向 中国证监会备案。 核心机构和经营机构应当督促相关信息技术系统服务机构依 法履行备案义务。 第二十四条任何机构和个人不得违规开展证券期货业信息 系统认证、检测、风险评估等活动，不得违规发布证券期货业信 息安全漏洞、计算机病毒、网络攻击、网络侵入等信息。 第二十五条核心机构和经营机构应当建立信息发布审核机 制，加强对本机构和本机构运营平台发布信息的管理，发现违反 法律法规和有关监管规定的，应当立即停止发布传输，采取必要 的处置措施，防止信息扩散，积极消除负面影响，并及时向中国 证监会及其派出机构报告。 第二十六条核心机构应当对交易、行情、开户、结算、风 控、通信等重要信息系统具有自