修订背景
2012年,证监会发布《证券期货业信息安全事件报告与调查处理办法》(证监会公告〔2012〕46号),其中对证券期货业针对网络安全事件的应急和调查处理提出了相应的要求。在经历了近10年的行业实践后,发现原《证券期货业信息安全事件报告与调查处理办法》在信息系统的分类、网络安全事件分级等方面还不够明确和完善。因此,为了进一步规范证券期货业网络安全事件报告和责任追究机制,证监会开展了对于《证券期货业信息安全事件报告与调查处理办法》(证监会公告〔2012〕46号)的修订,现发布《证券期货业网络 安全事件报告与调查处理办法》(证监会公告〔2021〕12号)。
主要内容
相较2012年的版本,本次发布的主要变更内容集中在新增的第二章节“系统分类与事件分级”,将不同系统详细划分为五个类别,并依据损坏后受影响的不同程度对不同事件进行了分级。同时,新版本制定了明确的系统服务能力异常的定量方法,提高了对于网络安全事件的容纳程度。为了提升网络安全事件的处置效率,还对事件的报告流程进行了进一步优化。为了机构能够对事件展开更加充分的调查,新版本中的内容延长了对于网络安全事件处置后报送事件总结报告的时间。
1.网络安全事件的定义
条款 | 2012版 | 2021版 |
第 二 条 | 证券期货业信息安全事件是指证券期货业信息系统运行异常或者数据损毁、泄露,对投资者合法权益造成损害或者对证券期货市场造成不良影响的事件。 | 证券期货业网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对证券期货业网络和信息系统或者数据造成影响,发生网络和信息系统服务能力异常或者数据损毁、泄露,对国家金融安全、社会秩序、投资者合法权益造成损害的事件。 |
对于证券期货业网络安全事件进行了更加明确的定义,如信息系统的运行异常可以是因为人为原因、软硬件自身缺陷或运行故障以及自然灾害等因素导致的。
2.责任主体的明确
条款 | 2012版 | 2021版 |
第 三 条 | 证券期货业信息安全保障责任主体发生信息安全事件后,应当按本办法规定进行报告和调查处理。 前款所称责任主体,包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。 | 证券期货业网络安全保障责任主体发生网络安全事件后,应当按本办法规定进行报告和调查处理。 前款所称责任主体,包括证券期货交易场所、证券登记结算机构等承担证券期货市场公共职能、承担证券期货业信息技术公共基础设施运营的证券期货市场核心机构及其承担上述相关职能的下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司及其提供证券期货相关服务的下属机构、证券期货服务机构等证券期货经营机构(以下简称经营机构)。 |
将证券期货业网络安全保障的责任主体进一步明确,如明确了承担证券期货市场公共职能的有证券期货交易场所、证券登记结算机构等。对于责任主体的范围并没有扩大,但是进行了细化的说明。
3.信息系统的统一分类
条款 | 2012版 | 2021版 |
第 六 条 | 无。 | 根据网络和信息系统发生网络安全事件后,直接对国家金融安全、社会秩序、投资者合法权益造成的损害程度,网络和信息系统由高到低分为五类系统、四类系统、三类系统、二类系统和一类系统。各类系统的分类原则及典型系统见《网络和信息系统分类表》和《典型系统》(见附件1)。 未列在《典型系统》中的网络和信息系统,如发生网络安全事件,在应急处置和调查处理时,应依据《网络和信息系统分类表》进行分类。 |
根据以往行业内反馈,先将信息系统按照其发生网络安全事件后对国家金融安全、社会秩序、投资者合法权益(三类客体)造成损害的程度(一般损害、严重损害、特别严重损害),将核心机构和经营机构的信息系统分为五类系统,其中五类为最高级别。其中,只有核心机构才拥有如集中竞价交易系统和实时公布的行情系统等五类系统。核心机构的四类系统包括除集中竞价交易系统外的其他实时交易系统。其余的系统分类均按照机构近20个交易日(故障前15个交易日和故障后5个交易日交易时间)的日均活跃用户数、相关系统是否为实时系统以及系统的具体功能来进行划分。未被明确列在典型系统表中的信息系统在发生网络安全事件时,应首先依据分类原则进行分类,并确定其重要性。
*活跃用户数:实际访问并使用相关系统的认证用户数量或者IP地址数。
4.中后台业务的分级
条款 | 2012版 | 2021版 |
第 七 条 | 无。 | 核心机构和经营机构结算系统等中后台业务系统发生网络安全事件后,按照受其影响的前台业务系统的类别和受影响程度,或按照其导致的投资者数据和结算金额差错、直接资金损失等,进行网络安全事件的分类分级。 |
在以往的实践中,因中后台业务系统发生异常或网络安全事件时,可能不会立即对投资者合法权益造成损害,因此对其重视程度不够,其对整个市场的影响是通过与其相关的交易行情等前台系统表现出的,因此依据其受影响的前台业务系统的类别和影响程度或导致的具体数据差错及资金损失等进行网络安全事件的分类分级,使责任主体在具体安全事件下可以明确后台业务系统的重要程度并依据其重要程度执行合理的处置措施及报告流程。
5.系统服务能力异常的定量描述
条款 | 2012版 | 2021版 |
第 八 条 | 无。 | 根据服务能力异常程度,网络和信息系统服务能力异常分为严重异常、中度异常、轻度异常。具体如下: (一)严重异常,是指网络和信息系统发生故障,服务能力异常80%以上的情形; (二)中度异常,是指网络和信息系统发生故障,服务能力异常30%以上且未构成严重异常的情形; (三)轻度异常,是指网络和信息系统发生故障,服务能力异常但未构成严重异常、中度异常的情形。 不同业务类型网络和信息系统服务能力异常的计算方法见《服务能力异常计算方法》(见附件2)。 |
增加了定量描述系统服务能力异常的方法,根据系统承载的业务类型设定不同的系统服务能力异常比例的计算公式并依此计算能力异常程度,并根据异常程度将网络。其中严重异常须达到80%以上的故障状态,中度异常须达到30%以上。
《服务能力异常计算方法》表中针对不同系统类型设定了不同的能力异常比例计算公式,系统类型分别为:证券期货交易系统、证券交易场所交易基金销售系统、基金销售系统、会计核算系统、注册登记系统、行情计算发布系统、开户系统、网站系统、行业基础通信系统及其他系统。清晰的分类以及不同的计算方式会使实际操作更加便捷。
6.网络安全事件的统一分级方法
条款 | 2012版 | 2021版 |
第 九 条 | 无。 | 综合考虑网络和信息系统类别、服务能力异常程度、事件持续时间、数据损毁程度、结算金额差错数额、直接资金损失以及对国家金融安全、社会秩序、投资者合法权益造成损害的程度,网络安全事件分为特别重大事件、重大事件、较大事件、一般事件。 同时符合两类或两类以上分级情形的,应当以孰高原则分级。 |
统一了机构对于网络安全事件的分级,依据系统类别、服务能力异常程度、安全事件持续的事件、数据损毁的程度、结算金额的差错数额、直接资金损失以及对国家金融安全、社会秩序、投资者合法权益造成损害的程度,将事件分为特别重大、重大、较大和一般事件。第十条至第十三条分别详细描述了在何种情况下的异常归属于以上四种级别的网络安全事件。如,特别重大安全事件一般出现在五类系统出现异常且故障持续30分钟以上或者四类系统异常持续时间2小时以上的情况,但如发生100万人以上投资者数据遭到损毁、泄露篡改或结算金额差错100亿元以上或给投资者造成直接损失达10亿元人民币以上的事件均属于特别重大的网络安全事件的范畴。
7.对于网络安全事件的容纳程度的提升
条款 | 2012版 | 2021版 |
第 十 四 条 第 十 五 条 | 无。 | 存在明显过错、疏忽且社会影响较大的网络安全事件,中国证监会及其派出机构可酌情提高事件定级。 符合以下情形之一的,未发现明显过错、疏忽且不良影响较小的,可酌情从轻分级,或不认定为网络安全事件: (一)自主研发的系统上线一年内发生网络安全事件的; (二)基金销售、会计核算、注册登记系统发生网络安全事件后及时修复,未对行业及投资者权益造成影响的; (三)具有冗余架构的系统或基础设施,在合理的切换时间内完成切换不影响系统提供正常服务的; (四)经营机构面向50名以下投资者提供服务或者网络安全事件发生前20个交易日日均成交笔数不足50笔的系统、分支机构系统发生故障,处置得当,受影响客户得到妥善安抚的; (五)其他未发现明显过错、疏忽且不良影响较小的网络安全事件。 |
新版内容对于网络安全事件的定级给予了机构更多的自主空间,使得事件的定级更加具有针对性和实际操作性的同时更加“人性化“。其中,为了明确网络事件的严肃性,规定对于社会影响较大的且存在明显过错的可酌情提高事件级别,从严处理。但同时,基于事件的实际影响情况看,针对未发现明显过错且受到影响较小的事件可从轻处理。其中,自主研发的系统上线一年内发生网络安全事件且事件影响较小的可酌情从轻分级,表示监管机构对于行业自主创新行为的认可与鼓励。
8.网络安全事件报告流程的优化
条款 | 2012版 | 2021版 |
第 十 八 条 | 核心机构和经营机构应当建立信息安全应急处置机制,及时处置信息安全事件,尽快恢复信息系统的正常运行,保护事件现场和相关证据,并按照下列要求进行应急报告: (一)核心机构重要信息系统发生可能导致或者已经造成交易中断、严重缓慢的重大故障后,应当立即报告,并每隔30分钟至少上报一次,直至信息系统恢复正常运行;如有重要情况应当立即报告; (二)证券、期货公司集中交易系统发生故障,可能导致或者已经造成交易中断、严重缓慢的,应当立即报告,并每隔30分钟至少上报一次,直至信息系统恢复正常运行;如有重要情况应当立即报告; (三)核心机构和经营机构其他信息系统发生故障,影响投资者正常业务办理,原则上30分钟内无法恢复业务正常运行的,应当立即报告,并每隔1小时至少上报一次,直至业务和信息系统恢复正常运行;如有重要情况应当立即报告; (四)核心机构和经营机构发生投资者数据损毁或者泄露的事件,应当立即报告,在事件解决前,如有重要情况应当立即报告; (五)核心机构和经营机构发生涉及计算机犯罪的事件,应当立即报告,在事件解决前,如有重要情况应当立即报告。 | 核心机构和经营机构应当建立网络安全应急处置机制,及时处置网络安全事件,尽快恢复系统的正常运行,保护事件现场和相关证据,并按照下列要求进行应急报告: (一)网络和信息系统发生故障,可能构成网络安全事件的,应当立即报告。可能构成特别重大、重大网络安全事件的,应当每隔30分钟至少上报一次事件处置情况,直至系统恢复正常运行;对较大和一般网络安全事件,第一次上报后,无须持续上报事件处置情况;如有重要情况应当立即报告; (二)发生涉及犯罪的网络安全事件,应当立即报告。在事件解决前,如有重要情况应当立即报告。 |
优化了发生网络安全事件的报告流程。首先,在事件发生时,无法明确是否会出现导致系统严重缓慢或其他重大故障或者难以判断后续情况是否会进一步恶化,明确只要网络和信息系统发生了故障,可能构成网络安全事件的,不论大小程度均应该第一时间上报。其次,明确只有发生特别重大和重大的事件需每隔30分钟上报一次,但针对较大和一般网络安全事件则只需要上报一次即可,避免频繁上报,加重企业的日常工作负担,也可以提高机构的应急处置效率。
9.报送方式的增加
条款 | 2012版 | 2021版 |
第 十 九 条 | 核心机构和经营机构进行应急报告时应当先进行电话报告,随后书面报送《信息安全事件情况报告书》(见附件),内容包括:事件发生时间、地点、简要经过、影响范围初步评估、影响程度初步评估、影响人数初步评估、经济损失初步评估、后果初步判断、原因初步判断、事件性质初步判断、已采取的措施及效果、需要有关部门和单位协助处置的有关事宜、报告单位、签发人和报告时间、联系人与联系方式、与本事件有关的其他内容。 | 核心机构和经营机构进行应急报告时应当先通过电话或事件报送平台进行报告,随后书面报送《网络安全事件情况报告书》(见附件3),内容包括:事件初步定 级、事件发生时间、地点、简要经过、影响范围初步评估、影响程度初步评估、影响人数初步评估、经济损失初步评估、后果初步判断、原因初步判断、事件性质初步判断、已采取的措施及效果、需要有关部门和单位协助处置的有关事宜、报告单位、签发人和报告时间、联系人与联系方式、与本事件有关的其他内容。 |
本条内容增加了新的报送方式,在发生网络安全事件的第一时间,机构除了可以通过电话,也可以通过事件报送平台进行报告,进一步提高了网络安全事件报告及处置的及时性和系统性。
10.事件总结报告时间的延长
条款 | 2012版 | 2021版 |
第 二 十 条 | 核心机构和经营机构应当在信息安全事件应急处置结束、系统恢复正常运行后5个工作日内,组织内部调查,准确查清事件经过、原因和损失,查明事件性质,认定并追究事件责任,提出整改措施,并进行事件总结报告… | 核心机构和经营机构应当在网络安全事件应急处置结束、系统恢复正常运行后7个工作日内,组织内部调查,准确查清事件经过、原因和损失,查明事件性质,认定并追究事件责任,提出整改措施,并进行事件总结报告… |
本条内容将网络安全事件发生后的事件总结报告的报送时间由5个工作日延长为7个工作日,给予公司更多时间充分对事件展开内部调查,查明事件发生的真实原因以及为机构及投资者等带来的损失。
声明:本文来自小艾信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
