为建立健全证券期货业网络和信息安全监管制度体系，防范化解行业网络和信息安全风险隐患，证监会于2023年2月27日正式发布《证券期货业网络和信息安全管理办法》（“《办法》”），并于2023年5月1日起正式施行。自《办法》施行以来，行业内已有多起因违反《办法》相关规定导致的违规处罚，大家一起随小编来看看吧。

案例一：

经查，H证券在2023年5月22日的网络安全事件中，存在以下问题：

（一）变更重要信息系统前未充分评估技术风险。该行为违反了《证券期货业网络和信息安全管理办法》（证监会令第218号，以下简称《办法》）第十五条第一款的规定。

（二）变更重要信息系统前未制定全面的测试方案。该行为违反了《办法》第十六条第一款的规定。

（三）生产运营过程中未全面记录业务日志和系统日志以确保满足故障分析需要。该行为违反了《办法》第十八条第二款的规定。

（四）事件调查过程中向中国证券监督管理委员会上海监管局报送的部分数据不准确不完整。该行为违反了《办法》第五十七条的规定。

依据《办法》第六十二条第二款、第七十条的规定，中国证券监督管理委员会上海监管局决定对H证券采取出具警示函的监督管理措施。

案例评析：

该案例涉及4项违规内容，一是变更重要信息系统前未充分评估技术风险；二是变更重要信息系统前未制定全面的测试方案；三是关于记录、保存生产运营过程中的业务日志和系统日志的问题；四是事件调查过程中向监管部门报送的部分数据不准确不完整。

根据《办法》，证券公司在重要信息系统上线、变更前，应当充分评估技术和业务风险，制定风险防控措施、应急处置、回退方案以及全面的测试方案。同时，证券公司还应全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志，确保满足故障分析、内部控制、调查取证等工作的需要。重要信息系统业务日志应当保存五年以上，系统日志应当保存六个月以上。证券公司向监管部门报送的证券期货业网络和信息安全管理相关信息和数据，应确保有关信息和数据的真实、准确、完整。

案例二：

经查，J证券存在以下问题：一是关于IT治理、网络安全管理的内部决策、执行机制不健全，违反了《证券期货业网络和信息安全管理办法》（证监会令第218号）第九条第一款规定；二是公司APP个人信息保护合规性检测不充分，存在APP强制、频繁、过度索取权限问题，违反了《证券期货业网络和信息安全管理办法》第三十条规定。

根据《证券期货业网络和信息安全管理办法》第六十二条第二款规定，中国证券监督管理委员会黑龙江监管局决定对J证券采取出具警示函的行政监管措施。

案例评析：

从该处罚案例可以看出，J证券存在IT治理、网络安全管理的内部决策、执行机制不健全，公司APP个人信息保护合规性检测不充分，存在APP强制、频繁、过度索取权限问题。根据《办法》，证券公司应当具有完善的信息技术治理架构，健全网络和信息安全管理制度体系，建立内部决策、管理、执行和监督机制，确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配。此外，证券公司应当建立健全投资者个人信息保护体系，明确相关岗位及职责要求，建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制，加强投资者个人信息保护。

关于APP强制、频繁、过度索取权限的问题，小编建议大家参考工信部发布的《移动互联网应用程序（APP）收集使用个人信息最小必要评估规范》，APP个人信息的处理应遵循最小必要原则，即处理个人信息应该具有明确、合理的目的，应与处理目的直接相关，采取对个人权益影响最小的方式。

案例三：

经查，D证券在2023年11月16日的网络安全事件中，存在以下问题：

（一）未确保核心交易区域的设备具备足够的可靠性。该行为违反了《证券期货业网络和信息安全管理办法》（证监会令第218号，以下简称《网络和信息安全管理办法》）第十三条的规定。

（二）D证券在事件报告中提供的信息不准确。该行为违反了《网络和信息安全管理办法》第五十七条的规定。

（三）未严格按照D证券应急预案处置流程，稳妥处置信息技术突发事件。该行为违反了《证券基金经营机构信息技术管理办法》（证监会令第179号，以下简称《信息技术管理办法》）第三十六条的规定。

依据《网络和信息安全管理办法》第六十二条第二款和《信息技术管理办法》第五十七条的规定，中国证券监督管理委员会上海监管局决定对D证券采取出具警示函的监督管理措施。

案例评析：

该违规案例涉及3个违规事项，一是未确保核心交易区域的设备具备足够的可靠性；二是在事件报告中提供的信息不准确；三是未严格按照应急预案处置流程，稳妥处置信息技术突发事件。《办法》规定，核心机构和经营机构应当确保信息系统和相关基础设施具备合理的架构，足够的性能、容量、可靠性、扩展性和安全性，并保证相关安全技术措施与信息化工作同步规划、同步建设、同步使用。在应急处置方面，《证券基金经营机构信息技术管理办法》规定，证券基金经营机构借助信息技术手段从事证券基金业务活动的，应当建立信息技术应急管理的组织架构，确定重要业务及其恢复目标，制定应急预案，配置充足资源，稳妥处置信息技术突发事件，并积极开展应急演练和信息技术应急管理的评估与改进。