证券期货业网络安全建设再一次提上监管日程。

12月11日,证监会起草了《证券期货网络安全事件报告与调查处理办法(征求意见稿)》(以下简称《处理办法》),并向社会公开征求意见。

早在2012年12月,证监会就印发了《证券期货业信息安全事件报告与调查处理办法》。但规则中存在未对证券期货业信息系统进行统一分类、未定量描述事件级别、事件报告效率较低、处罚缺乏针对性和灵活性等问题。在信息系统分类、网络安全事件分级、责任追究、事件处置等方面需要进一步完善。

为解决上述问题,新起草的《处理办法》首先就对规范范围进行了界定。

网络安全责任主体进一步明确为:承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其承担上述公共职能的下属机构,证券公司、期货公司、基金管理公司及其提供证券期货相关服务的下属机构、证券期货服务机构等证券期货经营机构。

证券期货服务机构也在新规中被明确为证券期货业网络安全保障责任主体。当网络安全事件相关证券期货服务机构存在人为责任的,证监会及其派出机构可以要求其提交说明材料,并依照有关法律、行政法规和规章,采取监督管理措施。

而按照信息系统发生网络安全事件后,对国家金融安全、社会秩序、投资者合法权益造成的损害程度,《处理办法》将核心机构和经营机构的信息系统由高到低分为五类,即五类系统至一类系统。

在此基础上,《处理办法》进一步提出了统一的网络安全事件分级方法。结合信息系统类别和信息系统服务能力异常,提出了统一的网络安全事件分级方法。同时,对于数据泄露、结算金额差错、发布不良信息等网络安全事件,依据数据量和影响程度提出了定级标准。

其中,特别重大事件被定义为对国家金融安全、社会秩序、投资者合法权益造成特别严重损害的网络安全事件。符合下列情形之一的为特别重大事件:

(一)五类系统服务能力严重异常且故障持续时间 30分钟以上的;

(二)四类系统服务能力严重异常且故障持续时间 2 小时以上的;

(三)100 万人以上的投资者数据发生损毁、泄露或篡改的;

(四)结算金额差错 100 亿元以上或者给投资者造成直接资金损失 10 亿元以上的;

(五)其他对国家金融安全、社会秩序、投资者合法权益造成特别严重损害的事件。

除此以外,《处理办法》还增加了定量描述系统服务能力异常的方法。根据交易撮合类系统、行情计算发布类系统、结算类系统、开户类系统、网站类系统等提供的服务的差异性,给出了服务能力异常计算公式,从而可以定量描述系统服务能力异常情况。

危机之后的网络安全事件报告流程上,《处理办法》则是增加了通过事件报送平台报告事件情况。

证监会方面表示,考虑到事件发生时,很难判断是否会进一步恶化,要求信息系统发生故障,可能构成网络安全事件的,都应当立即报告。要求机构对事件初步定级、对可能构成特别重大、重大网络安全事件的,每隔30分钟至少上报一次事件处置情况,直至信息系统恢复正常运行,其他网络安全事件第一次上报后,无须持续上报事件处置情况,如有重要情况应当立即报告。

值得一提的是,未来新规落地后,网络安全事件处罚也将更加具有针对性和灵活性。

对于存在明显过错、疏忽且社会影响较大的网络安全事件,可酌情提高事件定级。而从鼓励行业自主创新、网络安全事件实际影响、尽职免责等角度出发,对未发现明显过错、疏忽且不良影响较小的网络安全事件,可酌情从轻分级或不认定为网络安全事件。

(作者:满乐 编辑:朱益民)