深圳证券交易所创业板行业信息披露指引第15号——上市公司从事网络安全相关业务

第一条为了规范深圳证券交易所（以下简称本所）创业板从事网络安全相关业务上市公司（以下简称上市公司或者公司）的信息披露行为，保护投资者的合法权益，根据《中华人民共和国公司法》《中华人民共和国证券法》《上市公司信息披露管理办法》等法律、行政法规、部门规章、规范性文件和《深圳证券交易所创业板股票上市规则》等相关规定，制定本指引。

第二条本指引所称网络安全相关业务是指为客户提供的用于防范对客户所拥有、运营或使用网络的攻击、侵入、干扰、破坏、非法使用和意外事故，保障网络处于稳定、安全、可靠的运行状态，以及网络数据完整性、保密性和可用性的产品与服务。

第三条上市公司及其控股子公司从事网络安全相关业务营业收入占公司最近一个会计年度经审计的合并财务报表营业收入30%以上的，或者净利润占公司最近一个会计年度合并财务报表经审计的净利润30%以上的，或者该业务可能对公司业绩或股票及其衍生品种交易价格产生重大影响的，应当按照本指引规定履行信息披露义务。

上市公司及其控股子公司从事网络安全相关业务未达到前款标准的，本所鼓励公司参照执行本指引相关规定履行信息披露义务。

第四条上市公司披露年度报告、半年度报告时，应当在经营情况讨论与分析部分披露以下信息：

（一）截至报告期末公司所处行业适用的监管规定和行业政策，包括但不限于相关规定与政策的名称、发布部门、发布时间、政策简要内容，以及对公司业务活动的影响与意义等。

（二）报告期内网络安全行业的整体发展情况，并结合公司产品所处的细分领域披露市场需求特点及变化情况、行业技术研发趋势、行业整体规模情况、公司主要产品（服务）的市场占有分布情况，以及公司对于下一年度行业发展情况的展望等。

第五条上市公司从事网络安全相关业务，报告期内单一产品（服务）收入占公司最近一个会计年度经审计的合并财务报表营业收入10%以上的，在披露年度报告、半年度报告时，应当在经营情况讨论与分析部分披露以下产品（服务）与技术相关信息：

（一）以列表形式披露相关产品（服务）名称、主要型号、应用场景、主要功能、使用的技术及其特点，报告期内主要产品及收入较上年是否发生变化及变化的原因。

（二）相关产品（服务）所处产业链位置、营运及盈利模式，报告期内产业链上、下游环境是否发生重大变化。相关产品下游客户以B端为主的，应披露该产品主要客户所处的领域及各主要领域客户收入占比；相关产品下游客户以C端为主的，应披露报告期内产品用户数量、新增用户情况、付费用户数量（如有）及用户续费率等信息，C端产品为免费使用的，应结合盈利模式重点说明相关收入的来源及变化情况。

（三）相关产品属于安全软硬件产品（包括但不限于防火墙、虚拟专用网络、流量分析、防病毒、入侵检测、安全漏洞管理、加密设备、安全内容管理、统一威胁管理、终端安全软件、身份认证、日志审计、堡垒机、威胁情报、态势感知等）的，应结合产品的销售模式、渠道、产品客户所处领域披露报告期内产品销售情况；存在经销商代销的，应当披露单一销售占比达30%以上的经销商情况，报告期内与经销商合作是否稳定，是否存在依赖。

（四）结合相关软件及硬件产品特点，披露产品核心技术的变化、革新情况，包括但不限于算法、传输处理、漏洞库、数据库优势等。

（五）相关产品因升级迭代导致产品名称发生变化的，应说明该产品以前年度的名称，同一报告期单一产品存在不同销售版本的，应当合并为同一产品进行统计计算。

（六）主要从事网络安全系统集成业务的，应披露报告期内主要供应商名称及供应产品的主要情况，前述产品对应的客户、项目名称，是否存在重大变化及原因。

第六条上市公司披露年度报告、半年度报告时，应当在重要事项部分披露以下业务资质相关信息：

（一）披露报告期内新增的网络安全相关业务资质的情况，包括但不限于名称、颁发机构、有效期、取得主体和适用范围等，以及相关业务资质对公司业务活动的影响。

（二）公司产品（服务）列入《网络关键设备和网络安全专用产品目录》范围或属于其他按照监管要求需事先进行审查才可对外销售的，应披露相关产品（服务）报告期内接受认证、检测、审查的结果。

（三）报告期内公司相关资质证书因违反网络安全相关法律法规被吊销、收回或失去效力的情况，以及因公司产品（服务）不符合强制性标准或未通过相关认证、检测、审查导致无法对外销售的情况。

第七条上市公司披露年度报告、半年度报告时，应当在重要事项部分披露以下经营合规相关信息：

（一）报告期内公司网络安全相关业务经营遵守所适用监管规定的总体情况。

（二）报告期内公司因网络安全相关业务经营活动涉嫌违法违规行为被行业主管部门要求自查，或被行业主管部门采取立案调查等行政措施的情况及进展。

（三）报告期内公司被行业主管部门依据网络安全相关法律法规给予行政处罚的情况，以及公司的整改情况。

（四）报告期内保障产品（服务）质量与安全的有关情况，包括可控性相关的内部控制体系的建立、完善与运行情况；网络安全产品相关的运营设施、网络、数据安全保障情况及平台管理情况等。

第八条上市公司通过自有的云计算平台为客户提供网络安全产品或服务，且云安全收入占公司最近一个会计年度经审计的合并财务报表营业收入10%以上的，披露年度报告、半年度报告时，应当披露以下云平台业务相关信息：

（一）云计算平台的基本情况，包括但不限于名称、主要功能、运营模式、安全防护情况，以及截至报告期末的用户数量和报告期内的收入确认情况。

（二）报告期内接受云计算服务安全评估的情况（如有），包括但不限于安全评估的申请时间、评估进展、评估结果及有效期，以及接受主管部门持续监督的情况。

第九条上市公司网络安全相关业务发生以下风险事项，应当及时披露有关事件的详细情况及进展，并进行风险提示：

（一）相关法律法规与政策发生重大不利变化。

（二）主要经营许可被暂停或撤销、主要产品（服务）的资质认证被撤销或资质认证期限届满后相关部门不予续期。

（三）受到行业主管部门重大行政处罚、产品（服务）出现重大漏洞或隐患被行业主管部门或其他有权机构公开通报、客户出现重大网络安全风险事件导致公司可能承担法律责任，以及公司出现大规模数据泄露事件等。

第十条本所鼓励上市公司在年度报告、半年度报告的重要事项部分披露报告期内履行与网络安全业务相关的社会责任的情况，包括但不限于为国家重大项目或重要活动提供专项网络安全保障服务的情况，牵头或参与网络安全业务相关的国家与行业标准制订的情况，按照有关规定向国家有关部门报送和向社会发布网络安全漏洞信息的情况，以及在网络安全工作方面做出突出贡献等。

第十一条上市公司应使用简明清晰、通俗易懂的语言介绍产品与技术情况以及业务模式；涉及引用数据的，应当确保引用内容客观、权威，并注明详细来源；涉及专业术语的，应当对其含义作出详细解释。

第十二条因特殊原因无法按照本指引中个别条款的规定履行信息披露义务的，可以根据实际情况调整披露内容或者不披露相关内容，但应当说明原因并披露；如具体原因涉及国家秘密、公共利益或商业秘密不适宜披露的，可不予披露。

第十三条本指引所称“以上”含本数。

第十四条本指引由本所负责解释。

第十五条本指引自发布之日起施行。