2023年2月27日，中国证券监督管理委员会（以下简称“证监会”）公布了《证券期货业网络与信息安全管理办法》（证监会令第218号，以下简称“管理办法”）。该办法将于2023年5月1日起施行。本文将梳理《管理办法》对基金管理公司在网络与信息安全管理方面的核心监管要求，旨在为行业提升网络与信息安全防护能力提供参考和建议。

我们认为，证监会之所以对2012年11月1日起施行的《证券期货业信息安全保障管理办法》（证监会令第82号）等监管规则更新《管理办法》，主要基于以下两个核心原因：原因：

1.完善网络与信息安全法律体系

近年来，随着《中华人民共和国网络安全法》（《网络安全法》）、《中华人民共和国数据安全法》（《数据安全法》）、《中华人民共和国个人信息保护法》（《个人信息保护法》）等法律法规的密集发布实施，我国网络信息安全法律法规体系进一步完善，新的管理框架基本形成。同时，由于原有监管规则制定时间较早、监管实践不足、监管方式转变等原因，在有效衔接上级法律法规要求方面还有待进一步完善。

《管理办法》的出台结合监管实践成果，进一步落实法律法规的更高层次要求，防范和化解网络与信息安全风险，助力资本市场安全、平稳、高效运行。

2012年以来证券期货业网络与信息安全重要立法如下（按颁布时间排序）：

2.行业数字化、智能化转型加速

《管理办法》起草说明中提到，与其他行业相比，证券期货行业本身就涉及海量数据，随着证券期货业务和技术的加速融合，其各项业务活动越来越依赖网络系统和信息化，这增加了网络与信息安全管理的复杂性。2014年10月，《纽约时报》援引内部人士的话称网络信息管理岗位职责，摩根大通计算机数据泄露，涉及约7600万客户信息，给多家金融机构敲响了警钟。公司在交易、行情、开户、结算、沟通等过程中，会接触和处理大量复杂的客户、投资对象信息，如果将大数据、云计算、区块链、人工智能等新信息技术应用到信息系统的建设和上线过程中，基金管理公司将面临进一步提高数据安全管理和保护能力的挑战。

因此，我们建议基金管理公司按照《管理办法》的有关要求，建立完善自身的网络与信息安全管理制度，保护网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露、窃取、篡改。

1.涉及个人信息及网络安全的业务环节

核心机构、运营机构应当在中华人民共和国境内建设、运行、维护和使用网络与信息系统，信息技术系统服务机构应当为证券期货业务活动产品或服务提供网络与信息安全保护，证券期货行业网络与信息安全保护的管理和监督均适用《管理办法》。基金管理公司的网络与信息系统均在中华人民共和国境内建设、运行、维护和使用，其日常业务属于《管理办法》监管范围。

具体而言，基金管理公司的交易、开户、结算、通讯系统均涉及网络安全或个人信息保护。在交易系统中，基金管理公司将申购标的、时间、金额等投资交易信息采集到统一的投资交易管理系统中，对不同的投资产品设置相应的投资风险监控指标、风险额度等数据指标，进行全面风险管理；在开户相关系统中，基金管理公司收集并保存大量机构投资者和个人投资者身份信息及风险评估数据；在结算相关系统中，基金管理公司对各投资组合进行核算、估值、销售结算、收益分配、资金划转等；在通讯相关系统中，基金管理公司传输大量非公开信息，这些信息一旦泄露可能引发证券市场的异常波动。

总之，基金管理公司整个业务流程都伴随着数据的生产、接收和处理，面临着严峻复杂的网络与信息安全形势。

2.企业网络与信息安全风险

如上所述，基金管理公司业务的开展离不开各类重要信息系统。这些不确定风险一旦因黑客攻击、操作失误、系统缺陷、稳定性干扰等原因转化为现实的网络安全事件，必然会对国家金融安全、社会秩序、投资者合法权益造成损害。上述网络安全事件包括：（一）服务能力异常；（二）数据损坏、泄露或篡改；（三）漏结算、重复结算；（四）直接资金损失；（五）因审核不严或非法入侵系统，相关信息平台发送违法、负面信息等。

其中，数据损毁、泄露或篡改是发生频率较高、涉及面较广的一类安全事件，据中国证券报报道，据移动支付网发布的《中国个人金融信息保护执法白皮书2020》不完全统计，央行2020年开出的行政处罚单中，涉及“个人金融信息”的有181张，涉及罚款总额超过1.8亿元，处罚对象包括银行、证券公司、支付机构、消费金融公司等。同时，其他安全事件也值得基金管理公司关注。

1、完善公司治理结构

从制度建设来看，基金管理公司应当按照《管理办法》的有关要求，建立完善的网络与信息安全管理制度，明确网络与信息安全的管理职责，对数据全生命周期进行规范和管理。

从人员配备角度，基金管理公司应明确公司主要负责人为公司网络与信息安全工作第一责任人，分管网络与信息安全工作的高级管理人员为直接责任人，并成立网络与信息安全工作协调小组。同时，我们还建议基金管理公司成立专门的信息安全工作小组，其成员应具备与职责相匹配的专业知识和专业技能，负责评估和审查相关信息安全策略，明确信息安全权责，协调公司内部安全管理措施的落实。督察长可根据公司具体情况，定期检查公司内部网络与信息安全措施的落实情况，并出具信息安全检查专项报告。

一般而言，基金管理公司应当确保投入的人力资源和资源与其业务活动的规模和复杂程度相适应，确保信息系统和相关基础设施具有合理的架构和足够的性能、容量、可靠性、可扩展性和安全性。

2.履行等级保护和告知义务

1）保护义务的程度

《管理办法》重申了《网络安全法》中提到的等级保护要求，要求基金管理公司完成分类对象梳理、分级备案、网络安全建设、等级保护评估、安全运行维护六个阶段的工作。具体来说，基金管理公司首先需要梳理公司现有的网络系统，确定分类对象及其网络安全等级。根据《网络安全等级保护规定（征求意见稿）》的规定，拟定为二级及以上。基金管理公司应组织专家评审完成分类工作，经中国证监会及其派出机构核准网络安全保护等级后，向县级以上公安机关备案。投资者应当每年按照《证券期货业网络安全等级保护基本要求》和《证券期货业网络安全等级保护评估要求》进行网络安全等级评估，发现、整改安全风险和隐患，并向有关部门报告网络安全等级评估进展情况。评估结果应当报公安机关备案，并在取得公安机关出具的备案证明后20个工作日内向所在地中国证监会派出机构提交备案证明复印件或电子副本。

2）告知义务

按照《管理办法》的要求，基金管理公司暂停或者终止通过互联网向投资者提供服务前，应当通过合理选择公告、定向通知等方式，履行向投资者告知对相关业务影响的义务。

3.建立网络安全保护体系

完善的网络安全保护制度应涵盖风险识别、风险评估、风险防控、风险处置、风险报告等各个环节。

1）识别风险

基金管理公司在日常业务过程中，应当完善网络与信息安全监测预警机制，设定监测指标网络信息管理岗位职责，定期评估并持续优化监测机制实施效果，对重要信息系统至少每年进行一次压力测试；在进行任何变更前，基金管理公司应当制定完善的测试计划，不断完善测试用例和测试数据，确保测试有效执行。除必须使用敏感数据的情形外，对测试环境涉及敏感数据应当进行脱敏处理，对非海量数据必须采取与生产环境相同的安全控制措施；当发生市场大幅波动等外部环境重大变化时，重要信息系统的性能能力可能无法保证安全稳定运行，基金管理公司应当及时对相关信息系统进行压力测试。

2）评估风险

基金管理公司新建、上线、变更运营或者停止使用重要信息系统时，应当充分评估技术和业务风险，制定风险防控措施、应急处置和恢复预案，并审查、验证相关结果。

3）风险防控

基金管理公司应当确保网络隔离、用户身份验证、访问控制、策略管理、数据加密、网站防篡改、防病毒木马、非法入侵检测、网络安全态势感知等相关安全技术措施与信息技术工作同步规划、同步建设、同步使用，及时识别、阻断相关网络攻击，保护重要信息系统和相关基础设施，防止信息泄露和破坏。

4）应对风险

在备份方面，基金管理公司可利用行业数据备份中心建立本地、同城、异地的数据备份设施。重要信息系统应至少每日备份一次数据，每季度至少验证一次数据备份的有效性。重要信息系统的故障备份设施和灾难备份设施应根据信息系统的重要性和业务影响程度确定恢复目标，保障业务的持续运行。灾难备份设施应以同城或异地灾难备份中心的形式体现。

在应急预案方面，基金管理公司应当基于业务影响分析，建立完善网络安全应急预案，明确应急目标、应急组织机构和处置流程，应急场景应当涵盖网络安全事件、自然灾害与公共卫生事件、公司网络信息安全相关的重大人员变动、重要信息技术系统服务机构的撤离等。

一旦真正发生网络安全事件，基金管理公司能够根据事先制定的应急预案和应急演练经验，高效、及时地做出响应和处置。

5）报告风险

基金管理公司向中国证监会及其派出机构履行风险报告义务的情形包括：（一）重要信息系统上线、运行变更或者退出运行，可能对证券期货市场的安全稳定运行造成较大影响；（二）网络与信息安全产品或服务被发现存在安全缺陷、安全漏洞或者其他风险，可能对证券期货行业网络与信息安全平稳运行造成较大影响；（三）发生网络安全事件。

4. 管理日志保留

《管理办法》对重要信息系统日志提出了明确要求，一是核心机构和运营机构应当全面准确记录并妥善保管生产运行过程中的业务日志和系统日志，确保满足故障分析、内控及其他相关事项的记录要求、调查取证等。重要信息系统业务日志保存期限应当为五年以上，系统日志保存期限应当为六个月以上。其中，业务日志可参考《证券期货业业务组织内部应用系统日志规范》（JR/T 20951-2017）。值得注意的是，《网络数据安全管理规定（征求意见稿）》第十二条规定，数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当遵守以下规定：……（三）保留个人信息提供个人同意记录及日志，以及重要数据共享、交易、委托处理同意记录及日志至少五年。《业务日志中个人信息管理征求意见稿》进行了更新，同时淡化了业务日志的个人信息属性，若业务日志包含个人信息，仍需按照业务数据的标准保存20年以上。

五、加强信息技术服务机构管理

基金管理公司应当建立完善供应商管理机制，明确信息技术产品和服务的准入标准，审慎采购并持续评估相关产品和服务的质量。同时，《管理办法》还建议基金管理公司签订合同和保密协议，明确约定各方的权利和义务，保障网络与信息安全。

6. 保护投资者个人信息

就基金管理公司业务而言，账户开立、产品销售、登记结算等典型业务场景均涉及投资者个人信息的处理，因此基金管理公司应相应建立完善投资者个人信息保护制度，明确相关岗位职责，建立完善投资者个人信息处理、安全防护、应急处置、审计监督等管理机制，并在投资者首次使用APP时、隐私政策更新时、使用或关联第三方SDK时、取得投资者单独同意时等充分利用隐私政策工具保障投资者的知情同意权。除了保护投资者信息，公司员工及应聘者的个人信息保护也不容忽视，从招聘、面试、入职，到员工管理，再到离职、移交文件时，公司在日常管理中也应注重员工及应聘者个人信息的处理。

《管理办法》对基金管理公司在个人信息传输各环节提出了安全管理要求，呼应并细化了《个人信息保护法》这一上位法。具体要求如下：

《管理办法》发布后，我们建议基金管理公司认真研究完善公司网络与信息安全的制度建设和日常执行，履行数据与安全义务，及时化解安全风险。在“促进发展网络与信息安全”章节中提出，组织行业信息基础设施建设的基金管理公司应当在保障本公司网络与信息安全的前提下，为整个行业提供服务，增强信息技术资源。参与资本市场金融科技创新机制的基金管理公司应当遵守相关规定，在合法合规、风险可控的前提下，有序开展金融科技创新与应用，利用新型信息技术提高本机构证券期货业务活动的运行质量和效率。

在基金管理公司走向数字化、智能化的过程中，更应该以高标准对待网络与信息安全，这既是对投资者的责任，更是对行业健康有序发展的幸事，我们也将持续关注行业实践，帮助基金管理公司提升网络与信息安全保障能力。