第一篇:【第82号令】《证券期货业信息安全保障管理办法》
证券期货业信息安全保障管理办法
第一章
总则
第一条
为了保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《期货交易管理条例》及信息安全保障相关的法律、行政法规,制定本办法。
第二条
证券期货业信息安全保障、管理、监督等工作适用本办法。
第三条
证券期货业信息安全保障工作实行“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。
第四条
证券期货业信息安全保障的责任主体应当执行国家信息安全相关法律、行政法规和行业相关技术管理规定、技术规则、技术指引和技术标准,开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。
前款所称责任主体,包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。
第五条
开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构应当按照有关规定保障相关业务系统的安全运行。
第六条
为证券期货业提供软硬件产品或者技术服务的供应商(以下简称供应商),应当保证所提供的软硬件产品或者技术服务符合国家及证券期货业信息安全相关的技术管理规定、技术规则、技术指引和技术标准。
第七条
中国证监会支持、协助国家信息安全管理部门组织实施信息安全相关法律、行政法规,依法对证券期货业信息安全保障工作实施监督管理。
中国证监会派出机构按照授权履行监督管理职责。
第八条
中国证监会及其派出机构与国家信息安全管理部门、相关行业管理部门建立信息安全协调机制,与国家有关专业安全机构和标准化组织建立信息安全合作机制。
第九条
证券、期货、证券投资基金等行业协会(以下简称证券期货行业协会)依照本办法的规定,对会员的信息安全工作实行自律管理。
第十条
核心机构依照本办法的规定,对市场相关主体关联信息系统的安全保障工作进行督促、指导。
第二章
基本要求
第十一条
核心机构和经营机构应当具有合格的基础设施。机房、电力、空调、消防、通信等基础设施的建设符合行业信息安全管理的有关规定。
第十二条
核心机构和经营机构应当设置合理的网络结构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力。
第十三条
核心机构和经营机构应当建立符合业务要求的信息系统。信息系统应当具有合理的架构,足够的性能、容量、可靠性、扩展性和安全性,能够支持业务的运行和发展。
第十四条
核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,拥有执行程序和源代码并安全可靠存放,在重要信息系统上线前对执行程序和源代码进行严格的审查和测试。
第十五条
核心机构和经营机构应当具有防范木马、病毒等恶意代码的能力,防止恶意代码对信息系统造成破坏,防止信息泄露或者被篡改。
第十六条
核心机构和经营机构应当建立完善的信息技术治理架构,明确信息技术决策、管理、执行和内部监督的权责机制。
第十七条
核心机构和经营机构应当建立完善的信息技术管理制度和操作规程,并严格执行。
第十八条
核心机构应当制定本机构与市场相关主体信息系 统安全互联的技术规则,并报中国证监会备案。
核心机构依法督促市场相关主体执行技术规则。
第十九条
核心机构应当提供多种互为备份的远程接入方式,保证市场相关主体安全接入,并对市场相关主体的远程接入进行监控与管理。
第三章
持续保障要求
第二十条
核心机构和经营机构应当保障充足、稳定的信息技术经费投入,配备足够的信息技术人员。
第二十一条
核心机构和经营机构应当根据行业规划和本机构发展战略,制定信息化与信息安全发展规划,满足业务发展和信息安全管理的需要。
第二十二条
核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。
第二十三条
核心机构交易、行情、开户、结算、通信等重要信息系统上线或者进行重大升级变更时,应当组织市场相关主体进行联网测试,并按规定进行报告。
第二十四条
核心机构和经营机构应当规范开展信息技术基础设施和重要信息系统的运行维护,保障系统安全稳定运行。
第二十五条
核心机构应当指导市场相关主体正确运行维护与本机构互联的系统和通信设施。
第二十六条
核心机构和经营机构应当建立数据备份设施,并按照规定在同城和异地保存备份数据。
第二十七条
核心机构和经营机构应当建立重要信息系统的故障备份设施和灾难备份设施,保证业务活动连续。
第二十八条
核心机构和经营机构应当按照规定向中国证监会指定的证券期货业数据中心报送数据。报送的数据必须真实、完整、准确、及时。
证券期货业数据中心应当按照中国证监会的有关规定开展行业数据的集中保存工作,确保数据的安全、完整、可靠。
第二十九条
核心机构负责建设和运营行业信息技术公共基础设施。
第三十条
核心机构和经营机构应当加强信息安全保密管理,保障投资者信息安全。
第三十一条
核心机构和经营机构应当建立网络与信息安全风险检测、监测、评估和预警机制,发现风险隐患应当及时处置,并按照规定进行报告。
第三十二条
核心机构和经营机构应当建立信息安全应急处置机制,及时处置突发信息安全事件,尽快恢复信息系统的正常运行,并按照规定进行报告,不得迟报、漏报、瞒报。
核心机构和经营机构应当对信息安全事件进行内部调查、责任追究和采取整改措施,并配合中国证监会及其派出机构对事件进行调查处理。
与核心机构和经营机构发生信息安全事件相关的软硬件产品或者技术服务供应商,应当配合相关调查工作。
第三十三条
核心机构应当每年组织市场相关主体进行一次信息安全应急演练,并于实施前15个工作日向中国证监会报告。
第三十四条
核心机构和经营机构应当对信息技术人员进行培训,确保其具有履行岗位职责的能力。
第三十五条
核心机构和经营机构应当建立信息安全内部审计制度,定期开展内部审计,对发现的问题进行整改。
第四章
产品及服务采购要求
第三十六条
核心机构和经营机构应当建立供应商管理制度,定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。
第三十七条
核心机构和经营机构在采购软硬件产品或者技术服务时,应当与供应商签订合同和保密协议,并在合同和保密协议中明确约定信息安全和保密的权利和义务。
涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同,应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。
第三十八条
核心机构和经营机构采购的软硬件产品或者技术服务应当满足审慎经营和风险管理的要求。软硬件产品或者技 术服务不符合要求,影响核心机构和经营机构持续经营的,中国证监会有权要求核心机构和经营机构予以改进或者更换。
第五章
行业自律
第三十九条
证券期货行业协会应当制定信息技术指引,督促、引导会员执行国家和行业信息安全相关规定和技术标准。
第四十条
证券期货行业协会应当引导行业加强信息技术人才队伍建设,定期组织信息技术培训和交流,提高信息技术人员执业素质。
第四十一条
证券期货行业协会应当引导鼓励行业信息技术研究与创新,增强自主可控能力,组织开展科技奖励,促进行业科技进步。
第四十二条
证券期货行业协会应当引导供应商规范参与行业信息化与信息安全工作,促进市场公平竞争,促进供应商与市场相关主体共同发展。
第六章
监督管理
第四十三条
中国证监会建立统一组织、分级负责的信息安全监督管理体制。
中国证监会信息安全管理部门负责证券期货业信息安全工作 的组织、协调和指导;相关业务监管部门依照职责范围对核心机构和经营机构的信息安全进行监督、检查;派出机构根据授权对辖区内经营机构的信息安全进行监督、检查。
第四十四条
中国证监会依法组织制定证券期货业信息安全管理规定和技术标准。
第四十五条
中国证监会及其派出机构依照职责范围,对核心机构和经营机构进行信息安全检查或者委托国家、行业有关专业安全机构进行安全检查。核心机构和经营机构应当配合检查。
核心机构和经营机构的信息安全管理不能达到规定要求的,中国证监会及其派出机构责令其限期改正,改正前可以暂停或者限制其部分或者全部证券期货经营业务活动。
第四十六条
中国证监会及其派出机构可以要求核心机构和经营机构提供信息安全相关资料。
核心机构和经营机构应当及时、准确、完整地提供相关资料。第四十七条
中国证监会组织制定证券期货业信息安全应急预案,督促、指导行业开展信息安全应急工作。
第四十八条
中国证监会有权对核心机构、经营机构的信息安全事件进行调查处理。
对于损害投资者合法权益或者影响证券期货市场安全稳定运行的信息安全事件,中国证监会依法对相关单位采取监督管理措施或者行政处罚。
第四十九条
中国证监会对发现的系统漏洞、安全隐患、产 品缺陷进行全行业通报。
第五十条
核心机构和经营机构违反本办法规定,中国证监会可以视情节,依法对其采取责令改正、监管谈话、出具警示函、公开谴责、责令定期报告、责令处分有关人员、撤销任职资格、暂停或者限制证券期货经营业务活动等措施;情节严重的,给予警告、罚款。
第七章
附
则
第五十一条 本办法自2012年11月1日起施行。《证券期货业信息安全保障管理暂行办法》(证监信息字〔2005〕5号)同时废止。
第二篇:证券期货业信息安全保障管理暂行办法
中国证券监督管理委员会关于印发《证券期货业信息安全保障管理暂行办法》的通知
(证监信息字[2005]5号)
上海、深圳证券交易所,上海期货交易所,大连、郑州商品交易所,中国证券登记结算公司,中国证券业、期货业协会:
为规范行业网络与信息系统建设和安全保障工作,中国证监会制定了《证券期货业信息
安全保障管理暂行办法》,现印发给你们,请遵照执行。
请中国证券业协会、中国期货业协会将本通知转发至各会员单位。
中国证券监督管理委员会
二00五年四月八日
证券期货业信息安全保障管理暂行办法
第一章 总则
第一条 为加强证券期货业信息安全保障工作的组织协调,建立、健全信息安全管理制
度和运行机制,提高行业信息安全保障工作水平,切实保护投资者合法权益,根据国家有关
法律、法规和相关规定,制定本办法。
第二条 本办法适用于证券期货市场的监管机构、行业自律组织及经营机构。监管机构
为中国证券监督管理委员会(以下简称“中国证监会”);行业自律组织包括证券、期货交易
所及其通信公司,证券登记结算公司、中国证券业协会和中国期货业协会;经营机构包括证
券、期货公司,基金管理公司及证券、期货投资咨询公司。
第二章 安全职责划分
第三条 中国证监会负责证券期货行业信息安全保障工作的监督管理及组织协调。
第四条 证券、期货交易所及其通信公司,登记结算公司,证券、期货公司,基金管理
公司,证券、期货投资咨询公司等是各自信息系统安全运营管理的责任主体单位(以下简称
“主体单位”)。
第五条 证券交易所负责证券交易、信息发布及市场监管信息系统的安全运营。证券通
信公司受证券交易所及证券登记结算公司、经营机构的委托,负责通信系统的安全运营,保
障交易、结算等业务数据的及时安全传送。期货交易所负责期货交易和结算处理、信息发布、市场监管信息系统及通信系统的安全运营。
第六条 证券登记结算公司负责证券登记、结算业务信息系统的安全运营。
第七条 中国证券业协会负责证券公司、基金管理公司、证券投资咨询公司等会员单位
信息安全保障的组织、协调工作。
中国期货业协会负责期货公司、期货投资咨询公司等会员单位信息安全保障的组织、协
调工作。
第八条 证券、期货公司,基金管理公司及证券、期货投资咨询公司负责总部及下属经
营机构信息系统的安全运营。
第三章 安全目标与基本原则
第九条 信息安全保障工作的总体目标是确保信息和信息系统的完整性、保密性、可用性、时效性、可审查性和可控性,切实保护市场参与各方的合法权益,促进证券期货市场的持续、稳定、健康发展。
第十条 信息安全保障工作的具体目标是:
(一)保护证券期货业信息系统的物理环境、设备设施和运行环境,保证信息系统的环境安全;
(二)确保信息内容的合法性,保护信息在采集、传输、使用和存储过程中的保密性、完整性、可用性、时效性、可审查性和可控性,保证信息的安全;
(三)提高证券期货业人员的信息安全意识、安全专业素质以及安全管理与服务水平;
(四)提高信息系统的可用率和灾难恢复能力,为业务的可持续性运行提供保障。第十一条 信息安全保障工作应遵循以下基本原则:
(一)责任制原则:安全管理应做到“谁主管,谁负责”、“谁运营,谁负责”,注重以法律手段明确与他方的责任关系,通过契约、协调等方式与他方进行责任划分,明确进行风险转移,通过责任主体制约他方。
(二)规范化原则:遵循国内、国际的信息安全标准及行业规范,对信息系统实行等级保护。
(三)全面统筹原则:信息安全保障工作应贯穿于信息化全过程,坚持统筹规划、突出重点,安全与发展并进,管理与技术并重,应急防御与长效机制相结合。
(四)实用性原则:在确保信息系统性能和安全的前提下,充分利用资源,讲究实效,避免重复和盲目投资,积极采用国家法律法规允许的、成熟的先进技术和专业安全服务,运用科学的经营管理方法,降低成本,保障安全运行。
第四章 安全保障要求
第十二条 主体单位应建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系,保持三个体系稳定、均衡发展。
第十三条 主体单位应建立明确的信息安全组织体系:
(一)建立决策层、管理层和执行层三层工作关系,明确信息安全主管领导,落实信息安全管理部门,指定信息安全执行岗位;
(二)设立专职的安全管理员和安全审计员岗位,分别负责信息安全工作的实施和审计;
(三)通过多种安全培训方式加强信息安全人才队伍的建设,提高信息安全工作人员的技能水平,提高员工安全意识。
第十四条 主体单位应建立全面的信息安全管理体系:
(一)制定统一的信息安全策略和全面、可操作的信息安全管理制度,指导和规范信息系统的安全规划与建设,确保策略和制度得到恰当的理解并得到有效的遵循和执行;
(二)加强信息系统资产安全管理,保护信息系统设备、软件、数据和技术文档的安全,实行信息系统资产管理责任制,实现等级管理、密级管理,重点保护核心信息系统资产的安全;
(三)强化信息系统的物理安全保护,执行严格的机房安全管理、环境安全管理和有效的物理控制措施;
(四)建立信息系统网络、系统、应用等各层面的安全管理流程,实现对信息系统规划、建设、运行、维护各个阶段的安全管理,开发与运营独立管理,严格执行日常的实时管理和定期管理工作;
(五)实现对信息系统的安全风险管理,对信息资产、威胁和脆弱性的状况进行定期评估,及时发现安全隐患并进行预防性的保护,选择适用、有效的安全措施。
第十五条 主体单位应建立有效的信息安全技术体系:
(一)建立完善的安全预警体系,及时发现安全隐患;
(二)强化现有的安全防护体系,实现对核心业务系统的重点保护;
(三)建立有效的安全监控体系,监控核心业务系统,为进一步完善信息安全体系提供决策依据;
(四)建立全面的应急响应体系,制定规范、完整的应急处理和响应流程,定期进行应急恢复的演练和测试,完善信息安全通报机制;
(五)按照不同的安全保护等级建立相应的灾难恢复体系,定期进行灾难恢复的演练和测试,确保灾难发生后能够充分发挥备份的效能,降低造成的影响和损失。
第五章 附则
第十六条 中国证监会对证券期货业信息系统安全保障情况组织安全检查,检查方式包括自检查、委托检查等方式。
第十七条 本办法由中国证监会负责解释。
第十八条 本办法自印发之日起执行。
发布部门:中国证券监督管理委员会 发布日期:2005年04月08日 实施日期:2005年04月08日(中央法规)
第三篇:80分C14013《证券期货业信息安全保障管理办法》解读
一、单项选择题
1.下列各项中属于证券期货行业信息技术法规体系中技术标准特点的是()。
A.行业协会组织制定并发布,引导性强
B.监管部门制定并发布,政策性强
C.交易所组织制定并发布,专业性强
D.监管部门组织制定并发布,技术性强
2.下列各项中,属于行业信息技术法规体系中基金管理公司类别的是()。
A.《关于进一步加强期货公司信息技术管理工作的指导意见》
B.《关于证券公司为期货公司提供中间介绍业务信息技术有关问题的通知》
C.《期货公司信息技术管理指引(修订)》
D.《证券投资基金销售业务信息管理平台管理规定》
二、多项选择题
3.下列选项中属于证券期货市场经营机构的是()。
A.期货公司
B.证券期货服务机构
C.证券公司
D.基金管理公司
4.国家信息安全管理的主要规定包括()等。
A.《计算机病毒防治管信理办法》
B.《通信网络安全防护管理办法》
C.《软件产品管理办法》
D.《信息安全等级保护管理办法》
5.根据《证券期货业信息安全保障管理办法》的相关规定,下列有关行业自律的描述中正确的有()。
A.应当制定信息技术指引,督促、引导会员执行国家和行业信息安全相关规定和技术标准
B.应当引导鼓励行业信息技术研究与创新,增强自主可控能力,组织开展科技奖励,促进行业科技进步
C.应当引导行业加强信息技术人才队伍建设,定期组织信息技术培训和交流,提高信息技术人员执业素
质
D.应当引导供应商规范参与行业信息化与信息安全工作,促进市场公平竞争,促进供应商与市场相关主
体共同发展
6.《证券期货业信息安全保障管理办法》规定的责任主体包括()。
A.证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构
B.承担证券期货市场公共职能的机构
C.承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构
D.开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构
三、判断题
7.《证券期货业信息安全保障管理办法》是证券期货行业信息化与信息安全领域层次最高、最重要的规定。()
正确
错误
8.根据《证券期货业信息安全保障管理办法》的相关规定,涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同,应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。()
正确
错误
9.证券期货交易所、登记结算机构等核心机构和证券期货基金公司等经营机构与证券期货业务直接相关的信息系统安全(建设、互联、运行、维护等)应纳入证券期货监管范围,由行业协会负责制定规范予以规范。()
正确
错误 10.根据《证券期货业信息安全保障管理办法》的相关规定,核心机构应当指导市场相关主体正确运行维护与本机构互联的系统和通信设施。()
正确
错误
第四篇:关于《证券期货业信息安全保障管理办法(征求意见稿)》的起草说明
关于《证券期货业信息安全保障管理办法
(征求意见稿)》的起草说明
一、起草背景
证券期货行业高度依赖信息技术,证券期货信息技术系统是资本市场关键的基础设施,证券期货业信息安全保障关系到证券期货市场的稳定运行和健康发展,关系到国家金融安全和社会稳定,对保护投资者交易安全和财产安全具有十分重要的意义。为了加强对信息安全的监管,督促市场主体切实保障信息安全,中国证监会于2005年制定了《证券期货业信息安全保障管理暂行办法》(证监信息字[2005]5号)。但是,目前行业信息安全的管理体制和监管要求已经发生较大变化,该办法已经不能适应新的变化。近几年,中国证监会从行业实际出发,重点加强了信息安全工作,成立了证券期货业信息化工作领导小组,逐步形成了职责清晰、合理高效的行业信息安全管理体制和工作机制,因此,在充分总结经验的基础上,中国证监会研究制定了《证券期货业信息安全保障管理办法》(以下简称《管理办法》),以规章形式固化已经形成的、行之有效的体制机制和监管要求,确立行业信息安全保障的长效机制。
二、立法的依据
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)中明确要求“重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全”。国家有关文件中提出“银行、电力、民航、铁路、证券、海关、税务、保险等信息系统的安全直接关系到国民经济的正常运行、群众生活、社会稳定和国家安全”、“要重点保障基础信息网络和重要信息系统安全”。《证券法》、《证券投资基金法》和《期货交易管理条例》等法律法规明确要求证券公司、基金管理公司和期货公司等证券期货经营机构“有合格的经营场所和业务设施”,要求证券期货交易所等市场核心机构“提供交易的场所和设施”,要求证监会“维护证券市场秩序,保障其合法运行”。
为了贯彻落实国家以及证券期货行业法律、法规的要求,完善行业信息安全管理机制,防范信息安全风险,中国证监会依法制定《管理办法》,确立行业信息安全监管的体制,明确市场主体的信息安全保障责任,提出信息安全工作的要求。
三、《管理办法》的主要内容
《管理办法》包括总则、基本要求、持续保障要求、产品及服务要求、行业自律、监督管理和附则,共七章五十一条。
(一)办法的适用范围
证券期货业信息安全保障、管理、监督等相关活动均适用本办法。适用主体包括:
1、承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称“核心机构”),如,证券交易所、期货交易所、中国证券登记结算公司、中国证券投资者保护基金公司、中国期货保证金监控中心公司等机构及其下属机构等;
2、证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称“经营机构”);
3、开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构等。
《管理办法》明确规定核心机构和经营机构应当依法开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。
(二)基本要求
《管理办法》第二章从基础设施、网络隔离、信息系统、安全防护能力和管理制度等方面对核心机构和经营机构应当具有的基础设施和基本制度作出规定,并从信息系统的自主研发能力、市场安全互联和业务规则等方面对核心机构提出特别要求,作为中国证监会作出行政许可或者验收准入的基本标准。
(三)持续保障要求
证券期货业务的特殊性要求核心机构和经营机构持续保障信息系统的安全稳定运行,保障业务活动的连续进行和数据的安全。《管理办法》第三章从人员和经费保障、系统的升级变更、设施和系统的运行维护、数据备份和集中保存、风险控制和应急处置、信息保密、内部审计等方面对核心机构和经营机构的信息安全保障工作作出规定,并从重要信息系统上线或者变更、组织行业应急演练、建设和运营行业信息技术公共基础设施、指导市场主体正确运行维护互联设施等方面对核心机构提出了特别要求。
考虑到证券、基金、期货等行业特征不同,体现在信息技术的要求上也会不同,《管理办法》对相关基本要求和持续保障要求仅作原则性规定,中国证监会和自律组织可以根据《管理办法》,制定规范性文件、技术指引和技术标准等进一步细化相关技术指标。
(四)产品和服务采购管理
目前,行业的重要信息系统大型设备、基础软件大部分来自于采购。计算机软硬件供应商和技术服务提供商(以下简称供应商)的基础条件对证券期货业的信息安全影响重大。因此,《管理办法》第四章对产品和服务采购的管理单独设置章节予以规范。
《管理办法》要求核心机构和经营机构建立完善的供应商管理机制,通过对供应商进行资质审查、签订完备的合同
和保密协议等保障产品和服务质量;并通过合同约定,要求供应商接受中国证监会及其派出机构的信息安全延伸检查。同时,探索通过证券期货行业协会引导和规范供应商行为。对于软硬件产品或者技术服务不符合要求,影响核心机构和经营机构持续经营的,中国证监会有权要求核心机构和经营机构予以改进或者更换。
(五)行业自律和监督管理
《管理办法》明确了中国证监会和自律组织在信息安全管理方面的职责分工,明确了中国证监会在监督检查和信息技术事故调查中可以采取的措施,对核心机构和经营机构的备案、报告义务等作出了规定,列举了核心机构和经营机构信息安全保障不符合要求的法律责任。
此外,由于《证券期货业信息安全保障管理暂行办法》的相关规定已经被本办法覆盖,因此,《管理办法》第七章规定,本办法发布实施后,将同时废止《证券期货业信息安全保障管理暂行办法》。
第五篇:证券期货业网络与信息安全信息通报暂行办法
证券期货业网络与信息安全信息通报暂行办法
2009年07月20日 16:00 来源: 金融界网站 【字体:大 中 小】 网友评论
(2005年2月1日 证监信息字〔2005〕1号)
第一条为规范证券期货行业网络与信息安全信息通报工作,切实保护投资者合法权益,依据国家有关规定,制定本办法。
第二条证券期货行业信息安全保障协调小组(以下简称协调小组)负责行业网络与信息安全信息通报工作的决策、组织、协调工作,协调小组成员单位包括中国证监会、上海证券交易所、深圳证券交易所、上海期货交易所、大连商品交易所、郑州商品交易所、中国证券登记结算公司、中国证券业协会和中国期货业协会。信息通报单位包括证券、期货交易所,中国证券登记结算公司,各证券公司、基金管理公司、期货公司,证券、期货投资咨询公司以及其他由证监会核准注册成立的机构(以下简称通报单位).第三条中国证监会信息中心是协调小组的执行部门,负责向国家网络与信息安全信息通报中心报告证券期货行业的网络信息安全信息;负责将国家网络与信息安全信息通报中心发布的信息报告、病毒与网络攻击预警等按要求向协调小组单位成员传达,并通过中国证券业协会和中国期货业协会向各自归口的通报单位传达。
中国证监会信息中心作为协调小组中各通报单位的归口单位,负责这些单位网络与信息安全信息的汇总、整理。
中国证券业协会负责证券公司、基金管理公司、证券投资咨询公司等单位的网络与信息安全信息汇总和反馈工作,并作为上述机构的归口单位向中国证监会信息中心报告。
中国期货业协会负责期货公司、期货投资咨询公司等单位的网络与信息安全信息汇总和反馈工作,并作为上述机构的归口单位向中国证监会信息中心报告。
第四条各通报单位按照“谁主管、谁负责,谁运营、谁负责”的原则,做好各自单位的信息安全通报工作。各单位信息安全工作的责任人(主管领导)为本单位信息安全通报工作的责任人。
各通报单位应落实承担网络与信息安全信息通报工作的职能部门、负责人和联络员,制定本单位内部的信息报告流程和相应的责任制,并填写信息安全报告基本情况备案表(见附件一)报归口单位备案。
各通报单位要及时将本单位网络与信息系统出现的安全事故上报归口单位,并负责将来自归口单位的信息安全通告以及其他通知、要求及时传达到有关责任人。
第五条各通报单位实行7×24小时联络制度,指定一名联络员,一名后备联络员。联络员和后备联络员应有及时准确的通讯联络方式;联络方式如有变动,应填写基本情况变动更新表(见附件一)及时报告归口单位。归口单位要及时维护和更新联络通信录,并在通报体系中公告。
第六条事故报告。通报单位的重要网络与信息系统在运行中出现异常情况,造成不良影响或损失的,应按照应急预案及时处置,同时应将事故发生的情况、危害程度、处置措施、分析研判等内容编写成事故报告,及时上报归口单位(事故分级、报告要素及要求见附件二及编制说明).第七条信息安全运行月报。为及时反映行业信息安全状况,保持行业信息安全通报系统的畅通,各通报单位每月应以信息安全运行月报(格式见附件三)的形式向归口单位报告信息系统运行情况。
信息安全运行月报的内容为各通报单位信息系统运行中出现并得到及时处置的异常情况汇总和分析、研判,无异常情况的,要进行平安运行报告。对已按事故报告要求上报的情况,要在运行月报中说明。
各通报单位应在每个月前5个工作日内将上个月的系统运行情况上报归口单位。
第八条敏感时期报告。中国证监会信息中心根据国家有关规定和需要启动敏感时期报告制度,并规定行业内敏感时期报告的启动与截止日期、日报告的截止时间等要素。
各通报单位在收到启动敏感时期报告的通知以后,根据要求每日以敏感时期信息安全报告(见附件四)的形式上报本单位信息系统运行状况。报告内容包括信息安全运行月报、事故报告应报的范围。无异常情况的,要进行平安运行报告。
各通报单位在敏感时期应有专人值守。
第九条信息安全通告。中国证监会信息中心、中国证券业协会、中国期货业协会等信息通报归口单位,通过信息通报体系,向各通报单位定期或不定期地发布下列信息安全通告:
国家网络与信息安全信息通报中心发布的报告和预警;
行业信息安全月报的汇总分析;
行业信息系统运行中带有普遍性的安全隐患或趋势;
有关信息安全的通知、规定、技术标准、指引等;
其他需要及时向报告单位通报的信息。
各通报单位在收到归口单位的信息安全通告后,应及时传达到相关责任人,采取相应措施。
第十条各通报单位应切实保证信息通报和联络渠道的畅通。敏感时期报告和信息安全运行月报可使用电子文件的形式报送。对于事故报告,应同时使用书面和电子文件的形式进行报送。对于有保密要求的,应使用符合要求的加密设备进行报送。
第十一条各通报单位应保证上报要素完备、及时、准确,不得瞒报、缓报、谎报网络与信息安全事件的情况。接报单位应保证及时接收、准确记录上报信息。
第十二条各单位应制定相应的保密和档案管理措施,妥善管理上报材料,包括各单位进行信息安全通报过程中往来电话记录(手机或固定电话)、纸质或电子文件、传真件等,存档备查。
第十三条对于认真履行本办法,及时报告网络与信息安全事故的单位及个人,予以通报表扬。对违反本办法及相关制度的单位及个人,予以通报批评;情节严重的,予以行政处分。
第十四条本办法自发布之日起实施。本办法由中国证监会负责解释。
附件一:信息安全报告基本情况备案、变动更新表
附件二:证券期货业网络与信息安全事故报告
附件三:证券期货业网络与信息系统安全运行月报
附件四:证券期货业网络与信息系统敏感时期安全情况日报
附件一:信息安全报告基本情况备案、变动更新表
附件二:证券期货业网络与信息安全事故报告
附件二填制说明:
事故标准及报告要求
重要业务系统出现异常,系统恢复时间(RTO-Recovery Time Objective)在30分钟以内;
因病毒、攻击、拥堵等使系统异常,给市场或客户造成可感知的影响,但交易时段2个小时内恢复的;
系统数据完整性被破坏,但在1个交易日内能够修复的;
灾害事故(停电、水灾、火灾等)发生后,重要业务系统能在1个交易日恢复正常;
网站上出现有害信息,但能及时删除、屏蔽并保留审计线索的;
通信线路发生故障且对业务造成不良影响,1个交易日内系统恢复正常;
敏感业务数据泄漏。
各通报单位的重要信息系统,凡是出现上述情况,都要在2天内,将事故发生的情况、处置措施、影响分析,以事故报告的形式,及时上报归口单位。
重大事故标准及报告要求
各信息报告单位重要信息系统出现重大故障,已经(或预计将)造成重大损失(100万元以上),或给客户/市场带来重大不良影响的。包括但不限于:
重要业务系统出现异常,系统恢复时间(RTO-Recovery Time Objective)在30分钟以上;
因病毒、攻击、拥堵等使系统异常,给市场或客户造成可感知的影响,且交易时段2个小时内没有恢复;
业务数据完整性被破坏,且在1个交易日内没有修复;
通信线路发生故障,对业务造成严重影响,且在1个交易日系统没有恢复正常;
灾害事故(停电、水灾、火灾等)发生后,重要业务系统在一个交易日系统没有恢复正常;
网站上出现有害信息,且未能及时删除、屏蔽或未能保留审计线索的。
各通报单位的重要信息系统,凡是出现上述情况,都要在事故确认的当日(或6小时之内),将事故发生的情况、影响分析、目前的状况、已经采取的处置措施等,以重大事故报告的形式,上报归口单位。
其中,交易、通信、清算等带有全局性的重大系统故障,在及时启动应急预案的同时,还要在2小时内将事故情况上报中国证监会信息中心。
灾难事故标准及报告要求
因自然灾难、人为故意破坏以及其他意外因素,使本单位重要业务系统不能正常运行,并造成恶劣影响或严重损失的,预计有效处置或消除其不良影响需要动员大量社会资源的,应在事故发生后,立即上报归口单位。
附件三:证券期货业网络与信息系统安全运行月报
附件四:证券期货业网络与信息系统敏感时期安全情况日报
点击咨询 