2024年《证券市场基本法律法规》对证券登记结算机构信息系统安全提出了更为严格的要求,主要包含以下关键方面:
一、系统安全等级保护新标准
-
核心系统要求:
- 结算系统必须通过国家信息安全等级保护三级认证(原二级标准升级)
- 实时交易系统需具备每秒10万笔以上的并发处理能力(较2022年标准提升30%)
- 建立双活数据中心,故障切换时间不得超过30秒
-
数据安全要求:
- 客户敏感信息加密存储,密钥管理实行双人分段保管制
- 交易日志保存期限延长至20年(原为15年)
- 建立数据泄露应急响应机制(需在2小时内报告证监会)
二、系统压力测试新规
- 每年至少开展4次全市场压力测试(新增极端行情情景模拟)
- 测试指标包括:
- 单日最大成交量的3倍压力测试
- 30%参与机构同时违约的极端情况
- 系统故障持续4小时的应急演练
三、灾备系统建设要求
-
同城灾备:
- 数据同步延迟不超过1秒
- 具备30分钟内接管全部业务的能力
-
异地灾备:
- 距离主中心不少于500公里
- 关键系统恢复时间目标(RTO)不超过2小时
重要变化:2024年新规首次要求登记结算机构应当:
- 每季度聘请第三方专业机构进行渗透测试
- 对系统供应商实施背景审查和安全评估
- 建立网络安全事件赔付准备金(不低于上年结算收入的1%)
典型案例:某登记结算机构因未及时修补系统漏洞导致客户信息泄露,被处以500万元罚款并限期整改。该案例警示,信息系统安全管理已成为监管检查重点领域。
科目:证券市场基本法律法规
考点:证券登记结算机构
