1.中国证券监督管理委员会发布《证券期货业网络和信息安全管理办法》

【内容概述】2023年3月3日，中国证券监督管理委员会发布了《证券期货业网络和信息安全管理办法》（以下简称《办法》），并于2023年5月1日起正式实施。《办法》旨在进一步落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规要求，保障证券期货业网络和信息安全。

《办法》共8章75条，对证券期货业网络和信息安全体系建设提出了5方面要求。一是建立网络和信息安全管理机制，主要包括：明确机构管理机制、建立机构网络和信息安全管理和监管制度、完善网络和信息安全防护体系等；二是强化投资者个人信息保护，主要包括：建立健全个人信息保护管理机制、完善个人信息处理流程、明确安全防护的技术要求等；三是加强网络和信息安全应急处置，主要包括：建立风险监测预警体制、完善应急处理机制、规范网络安全事件报告和调查制度等；四是落实关键信息基础设施安全保护，主要包括：确保资金投入、完善组织保障、分类和分级保护关键信息基础设施等；五是平衡网络和信息安全促进与发展，主要包括：加强网络和信息安全监管专业支撑、强化行业人才队伍建设、鼓励网络和信息安全技术的创新应用等。

原文链接：

http://www.csrc.gov.cn/csrc/c100028/c7202729/content.shtml

【导读分析】证券期货业的行业性质决定了其发展与网络、数据密不可分，其面临的网络安全挑战也更加突出和复杂。2012年以来，证监会相继发布了《证券期货业信息安全保障管理办法》《证券基金经营机构信息技术管理办法》等规范性文件，推进行业网络和信息安全治理体系建设。以此为基础，2022年4月，证监会又发布了《证券期货业网络安全管理办法（征求意见稿）》（以下简称《征求意见稿》），面向社会公开征求意见。

相比《征求意见稿》，《办法》主要有3方面重要变化。一是拓展规范对象范围，规范对象由原来的“网络安全”调整为“网络和信息全”；二是突出个人信息保护，将原来的“数据安全统筹管理”一章整体变更为“投资者个人信息保护”，相关内容也更加聚焦于核心机构和经营机构的个人信息保护义务；三是进一步明确细化相关规定，如细化了对于人员职责、运行标准、管理制度等方面的要求，增加了新业务模式安全的规定等等。

《办法》的发布，或将带来网络安全产业发展的新契机。一是在证券期货行业网络和信息安全方面，《办法》明确了监测预警、入侵检测和防御、态势感知等方面的建设需求，有助于促进网络安全咨询和评估、网络安全运维、网络安全事件响应等业务的发展。二是在证券期货行业个人信息保护方面，《办法》重点强调了个人信息保护相关的加密、脱敏、备份和恢复、审计监督等保护措施，无疑将带动与个人信息保护强相关的数据信息处理技术研发、数据信息审计溯源等业务发展。三是在关键信息基础设施安全保护方面，《办法》将《关键信息基础设施安全保护条例》的相关要求在证券期货行业落地，并具体化为关键信息基础设施分类分级保护、关键信息基础设施产品风险监测和评估检测、关键信息基础设施应急保障等，也有助于促进关键信息基础设施网络安全相关产品、方案和服务的发展。四是在行业网络安全基础方面，《办法》所明确的人才培育、资金投入、技术支持等保障举措，对于进一步优化网络安全人才实训、推进行业网络安全产业生态构建等，也会有较直接的促进。

2.工业和信息化部等四部门联合印发《关于开展网络安全服务认证工作的实施意见》

【内容概述】2023年3月28日，国家市场监督管理总局、中央网络安全和信息化委员会办公室、工业和信息化部以及公安部四部门发布《关于开展网络安全服务认证工作的实施意见》（以下简称《实施意见》）。《实施意见》旨在推进网络安全服务认证体系建设，提升网络安全服务机构能力水平和服务质量。

《实施意见》主要包括以下5个方面内容。第一，确立网络安全服务认证原则，即“统一管理、共同实施、统一标准、规范有序”；第二，制定网络安全服务认证目录，包括检测评估、安全运维、安全咨询和等级保护测评等服务类别；第三，完善网络安全服务认证工作组织架构，包括组建网络安全服务认证技术委员会、设立从事网络安全服务认证活动的认证机构等；第四，明确网络安全服务认证机构工作要求，主要包括：一是建立可追溯工作机制；二是公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态；三是按照有关要求依法开展网络安全服务工作，确保持续符合认证要求等；第五，明确监管部门职责，主要包括：一是市场监管部门负责对网络安全服务认证机构、认证活动和认证结果进行监督管理，依法查处认证违法行为；二是网信部门、工业和信息化部门、公安部门负责推动认证结果采信应用，加强网络安全服务监督管理，促进网络安全服务产业发展。

原文链接：

https://gkml.samr.gov.cn/nsjg/rzjgs/202303/t20230328_354213.html

【导读分析】本次发布的《实施意见》，相较2022年7月发布的《关于开展网络安全服务认证工作的实施意见（征求意见稿）》，主要有4方面修改：一是突出监管目标，进一步强调了“促进网络安全服务产业健康有序发展”的目标和原则；二是健全监管机制，将工业和信息化部纳入监管体系；三是细化监管职责，增加网信部门、工业和信息化部门、公安部门“依法查处有关违法行为”的权力；四是明确监管要求，强化网络安全服务机构的主体责任，要求其“确保持续符合认证要求”。

此次《实施意见》进一步推动网络安全服务认证工作的体系化、规范化和有序化发展，对完善我国网络安全认证体系具有现实意义。一是立足解决当网络安全服务机构面临的重复认证等问题，推动网络安全服务认证的一体化发展；二是推进完善、优化网络安全服务认证体系，明确提出建立“网络安全服务认证目录”、组建“网络安全服务认证技术委员会”等制度安排；三是实现政策间的衔接，例如《实施意见》将等级保护测评纳入认证目录，与此前发布的《检验机构能力认可准则在网络安全等级测评领域的应用说明》等制度设计保持一致。

对于网络安全厂商而言，“网络安全服务认证目录”等制度值得持续关注。如新的网络安全服务认证涉及哪些服务类别？现有的网络安全服务认证资质在申请流程等方面是否有变化？都与业务开展密切相关。因此：一方面，可加强对后续政策和相关机构跟进，密切关注服务认证要求的动态变化；另一方面，开展服务资质梳理工作，并基于这些梳理和思考，争取将实际问题和诉求反映到即将出台的认证目录、认证规则等规范文件中。

（ 依据互联网公开信息整理）