中国证券监督管理委员会科技监管司司长 姚前

  党的十八大以来，我国对网络和信息安全的重视程度不断提高。近年来，随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》以及“信息安全等级保护2.0”等法律法规和标准的颁布及落地实施，对于重要信息系统运营者在系统安全稳定运行、数据安全及个人信息保护等方面的制度要求进一步明确。面对复杂的网络安全态势，信息安全运营已成为各部门、各机构的核心工作。证券期货行业是国家重要行业，重要信息系统的安全运营尤为重要。

  证监会高度重视网络与信息安全标准制定工作，在深度调研和广泛征集意见的基础上，历时数年完成了信息安全运营管理指南行业标准的制定，于2023年10月发布了《证券期货业信息安全运营管理指南》(JR/T0295—2023)(以下简称《指南》)。《指南》从信息安全运营管理基本原则、组织架构、制度、技术等方面为证券期货业信息安全运营管理工作提供规范指引，对提升证券期货机构的信息安全运营管理水平具有重要意义。

一、《指南》制定的相关背景

  在数字化时代，网络与信息安全的重要性日益凸显，它不仅关乎机构的生存，更关乎国家安全和社会稳定。在国家相关主管部门对网络与信息安全工作的大力推动下，证券期货业各机构已按照“同步规划、同步建设、同步运营”的原则完成了基本的网络及信息安全体系建设。随着这一工作的深入推进，证券期货业进入深耕细作、建设与运营并重的新阶段。

  由于缺乏规范性指导文件，部分机构在信息安全运营方面存在管理不到位的情况，导致信息安全事件时有发生，这不仅给企业带来重大经济损失，也严重影响了行业的声誉和客户的信任。为了解决这些问题，帮助各机构持续提升安全运营能力和水平，有效防范相关安全风险，制定信息安全运营管理的相关标准显得尤为重要。

二、《指南》编写思路与方法

  《证券期货业网络安全等级保护基本要求》(JR/T0060—2021)规定了证券期货业网络安全等级保护的总体要求，以及第一级到第四级等级保护对象的安全通用要求和安全扩展要求，适用于证券期货业分等级的非涉密对象的安全建设和监督管理，在规范和指导证券期货业等级保护工作方面发挥了重要的作用，为《指南》的制定提供了制度依据。

  为确保《指南》在行业内具有广泛的适用性和可操作性，证监会以实现机构安全目标为核心，从组织架构、流程设计、制度建设等多个方面进行了深入的研究和探讨。同时，证监会充分考虑了不同机构的需求和实际情况，提供了行业内的最佳实践经验，整理了一系列信息安全运营管理指标。我们希望《指南》能够为各机构在安全运营领域提供有效指导，帮助各机构更好地评估安全运营效果，及时发现和解决潜在的安全风险问题，提高安全运营水平，促进共同发展。

三、《指南》的主要内容

  信息安全运营管理是信息安全管理的重要组成部分。《指南》阐述了证券期货机构开展信息安全运营管理应遵循的思路和方法，规范了证券期货机构的信息安全运营管理过程，通过整合安全管理制度、安全技术和安全组织，形成一种全局性的安全能力，帮助各机构解决当前存在的信息安全运营管理问题，使各机构能够更加主动、快速地应对各种安全威胁。

  《指南》主要内容包括安全管理、基础安全管理、信息资产管理、漏洞管理、开发安全管理、数据安全管理、集中监控与响应管理、持续改进管理等方面。

  安全管理：通过设置合理的组织架构、有机的制度体系、符合实际情况的人员编制和有针对性的人员培养机制，使安全管理实现制度化、流程化、规范化，并在日常的安全工作中不断实践、检验和优化完善，提升组织的安全管理水平，确保组织的信息资产得到安全保护，保障投资人的合法权益，为总体安全目标的实现赋能。

  基础安全管理：通过一系列通用的安全措施，达到基本的安全水平，防御大部分的安全攻击，降低系统性安全风险。

  信息资产管理：通过发现、识别、梳理互联网和内网信息资产，形成完备的信息资产数据;周期性地执行信息资产威胁检测任务，结合漏洞威胁情报，发现、识别、定位及验证网络区域内资产的漏洞情况，及时进行风险处置，提升组织对信息资产的安全运营管理能力。

  漏洞管理：通过对漏洞的及时发现、有效验证、准确评价、高效修复/加固和复测，控制漏洞暴露所形成的安全风险，尽可能地避免攻击者利用漏洞开展网络攻击，保障组织业务系统及业务数据的安全性。

  开发安全管理：在系统开发环节引入系统性的安全控制流程，实现安全前移，以最低的成本降低安全漏洞的发生概率，收敛安全风险。

  数据安全管理：通过管理和技术手段，保障组织数据的安全采集、安全使用、安全传输、安全存储、安全共享或披露、安全流转，对数据流转进行跟踪，防止敏感数据泄露，保障客户权益，满足合规要求。

  集中监控与响应管理：通过一系列的技术、工具、流程，对已部署的安全设备、网络系统、主机应用等的运行状态及安全状态进行统一监控管理，并基于已知的告警策略，对触发的告警按照标准化处置流程进行快速应急响应，最大程度降低系统运行风险，持续保障运营管理的有效性。

  持续改进管理：在现有安全建设运营的基础上，通过信息安全度量指标、安全检测措施、有效性验证机制等，衡量安全工作的整体效果是否符合预期，对于不符合预期的安全工作进行改进优化，提升安全运营水平，不断提升组织的安全能力。

  保障行业网络与信息安全至关重要，对网络与信息安全的持续强化管理是一项长期且不能松懈的任务。为了有效应对这些挑战，《指南》为证券期货业信息安全工作提供了明确的指引和规范，有助于提升行业的安全防护能力，为投资者和市场参与者创造一个更安全、更可靠的市场环境。同时，我们也期待《指南》能为其他行业提供有益借鉴，共同推动国家信息安全战略深入实施。