2024证券从业资格证 法律法规 证券公司网络和信息安全管理.pdf

第第六六节节证证券券公公司司网网络络和和信信息息安安全全管管理理

•本节考点分布

考点内容考察要求

1相关主体在证券货业网络和信息安全管理过程中的职责了解

2证券公司网络和信息安全运行相关要求熟悉

3证券公司投资者个人信息保护相关要求掌握

4证券公司网络和信息安全应急处置相关要求掌握

5证券公司网络和信息安全的监管要求及法律责任了解

考考点点6-1相关主体在证券货业网络和信息安全管理过程中的职责【了解】

•证券公司

证券公司应当依法履行网络和信息安全保护义务，对本机构网络和信息安全负责，相关责任不因其他机构提供产品或者服务进

行转移或者减轻。

•证监会

中国证监会依法履行以下监督管理职责：

①组织制定并推动落实证券货业网络和信息安全发展规划、监管规则和行业标准；

②负责证券货业网络和信息安全的监督管理，按规定做好证券货业涉及的关键信息基础设施安全保护工作；

③负责证券货业网络和信息安全重大技术路线、重大科技项目管理；

④组织开展证券货业投资者个人信息保护工作；

⑤负责证券货业网络安全应急演练、应急处置、事件报告与调查处理；

⑥指导证券货业网络和信息安全促进与发展；

⑦支持、协助国家有关部门组织实施网络和信息安全相关法律、行政法规；

⑧法律法规规定的其他网络和信息安全监管职责。

•自律组织

中国证券业协会、中国货业协会、中国证券投资基金业协会等行业协会依法制定行业网络和信息安全自律规则，对经营机构

网络和信息安全实施自律管理。

•核心机构——证券货交易场所、证券登记结算机构等承担证券货市场公共职能、承担证券货业信息技术公共基础设施

运营的证券货市场核心机构及其承担上述相关职能的下属机构

依法制定保障市场相关主体与本机构信息系统安全互联的技术规则，对与本机构信息系统和网络通信设施相关联主体加强指

导，督促其强化网络和信息安全管理，保障相关信息系统和网络通信设施的安全平稳运行。

考考点点6-2证券公司网络和信息安全运行相关要求【熟悉】

•网络和信息安全治理架构、资源投入

证券公司应当明确主要负责人为本机构网络和信息安全工作的第一责任人，分管网络和信息安全工作的领导班子成员或者高级

管理人员为直接责任人。

证券公司应当指定或者设立网络和信息安全工作牵头部门或者机构，负责管理重要信息系统和相关基础设施、制定网络安全应

急预案、组织应急演练等工作。

证券公司应当保障人员和资金投入与业务活动规模、复杂程度相适应，确保网络和信息安全人员具备与履行职责相匹配的专业

知识和职业技能。

•信息系统和相关基础设施基本要求、网络安全等级保护义务

证券公司应当保证相关安全技术措施与信息化工作同步规划、同步建设、同步使用。

证券公司应当落实网络安全等级保护制度，依法履行网络安全等级保护义务，按照国家和证券货业网络安全等级保护相关要

求，开展网络和信息系统定级备案、等级测评和安全建设等工作。

证券公司应当按照相关要求，将网络安全等级保护工作开展情况报送中国证监会及其派出机构。

•重要信息系统新建、变更、移除及日常监测

证券公司不得在交易时段对重要信息系统进行变更，重要信息系统存在故障、缺陷，经评估须进行紧急修复的情形除外。

除必须使用敏感数据的情形外，证券公司应当对测试环境涉及的敏感数据进行脱敏，对未脱敏数据须采取与生产环境同等的安

全控制措施。

重要信息系统业务日志应当保存5年以上，系统日志应当保存6个月以上。

•网络和信息安全防护体系

证券公司应当建立本地、同城和异地数据备份设施，重要信息系统应当每天至少备份数据一次，每季度至少对数据备份进行一

次有效性验证。

证券公司应当建立重要信息系统的故障备份设施和灾难备份设施。证券公司采取双活或者多活架构部署重要信息系统的，在确

保业务连续运行的前提下，任一数据中心可视为其他数据中心的灾难备份设施。

证券公司应当每年至少开展一次重要信息系统压力测试。

•供应商管理、知识产权保护

供应商为证券公司提供重要信息系统相关产品或者服务的，应当依法作为信息技术系统服务机构向中国证监会备案。

证券公司应当督促相关信息技术系统服务机构依法履行备案义务。

考考点点6-3证券公司投资者个人信息保护相关要求【掌握】

•符合下列情形之一的，个人信息处理者方可处理个人信息：

①取得个人的同意；

②为订立、履行个人作为一方当事人的