為了保障證券期貨信息系統(tǒng)安全運(yùn)行���,加強(qiáng)證券期貨業(yè)信息安全管理工作���,促進(jìn)證券期貨市場(chǎng)穩(wěn)定健康發(fā)展,保護(hù)投資者合法權(quán)益���,我會(huì)根據(jù)《證券法》���、《證券投資基金法》、《期貨交易管理?xiàng)l例》及信息安全保障相關(guān)的法律���、行政法規(guī)���,制定了《證券期貨業(yè)信息安全保障管理辦法(征求意見(jiàn)稿)》?��,F(xiàn)向社會(huì)公開征求意見(jiàn)。
請(qǐng)將有關(guān)意見(jiàn)和建議以書面或電子郵件形式于2012年5月20日之前反饋至中國(guó)證監(jiān)會(huì)���。
傳真:010-88061401 88060574
電子郵箱:flbpulic@csrc.gov.cn
通訊地址:北京市西城區(qū)金融大街19號(hào)富凱大廈A座中國(guó)證監(jiān)會(huì)法律部 100033
中國(guó)證券監(jiān)督管理委員會(huì)
二○一二年四月二十日
證券期貨業(yè)信息安全保障管理辦法
(征求意見(jiàn)稿)
第一章 總則
第一條 為了保障證券期貨信息系統(tǒng)安全運(yùn)行���,加強(qiáng)證券期貨業(yè)信息安全管理工作,促進(jìn)證券期貨市場(chǎng)穩(wěn)定健康發(fā)展���,保護(hù)投資者合法權(quán)益���,根據(jù)《證券法》、《證券投資基金法》���、《期貨交易管理?xiàng)l例》及信息安全保障相關(guān)的法律、行政法規(guī)���,制定本辦法���。
第二條 證券期貨業(yè)信息安全保障、管理���、監(jiān)督等工作適用本辦法���。
第三條 證券期貨業(yè)信息安全保障工作實(shí)行“誰(shuí)運(yùn)行���、誰(shuí)負(fù)責(zé),誰(shuí)使用���、誰(shuí)負(fù)責(zé)”���、安全優(yōu)先、保障發(fā)展的原則���。
第四條 證券期貨業(yè)信息安全保障的責(zé)任主體應(yīng)當(dāng)執(zhí)行國(guó)家信息安全相關(guān)法律���、行政法規(guī)和行業(yè)相關(guān)技術(shù)管理規(guī)定、技術(shù)規(guī)則���、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)���,開展信息安全工作,保護(hù)投資者交易安全和數(shù)據(jù)安全,并對(duì)本機(jī)構(gòu)信息系統(tǒng)安全運(yùn)行承擔(dān)責(zé)任���。
前款所稱責(zé)任主體���,包括承擔(dān)證券期貨市場(chǎng)公共職能的機(jī)構(gòu)、承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營(yíng)的機(jī)構(gòu)等證券期貨市場(chǎng)核心機(jī)構(gòu)及其下屬機(jī)構(gòu)(以下簡(jiǎn)稱“核心機(jī)構(gòu)”)���,證券公司���、期貨公司、基金管理公司���、證券期貨服務(wù)機(jī)構(gòu)等證券期貨經(jīng)營(yíng)機(jī)構(gòu)(以下簡(jiǎn)稱“經(jīng)營(yíng)機(jī)構(gòu)”)���。
第五條 開展證券客戶交易結(jié)算資金第三方存管業(yè)務(wù),銀證���、銀期、銀基轉(zhuǎn)賬和結(jié)算業(yè)務(wù)���,基金托管和銷售業(yè)務(wù)的機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定保障相關(guān)業(yè)務(wù)系統(tǒng)的安全運(yùn)行���。
第六條 為證券期貨業(yè)提供軟硬件產(chǎn)品或者技術(shù)服務(wù)的供應(yīng)商(以下簡(jiǎn)稱“供應(yīng)商”)���,應(yīng)當(dāng)保證所提供的軟硬件產(chǎn)品或者技術(shù)服務(wù)符合國(guó)家及證券期貨業(yè)信息安全相關(guān)的技術(shù)管理規(guī)定、技術(shù)規(guī)則���、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)���。
第七條 中國(guó)證監(jiān)會(huì)支持、協(xié)助國(guó)家信息安全管理部門組織實(shí)施信息安全相關(guān)法律���、行政法規(guī)���,依法對(duì)證券期貨業(yè)信息安全保障工作實(shí)施監(jiān)督管理。
中國(guó)證監(jiān)會(huì)派出機(jī)構(gòu)按照授權(quán)履行監(jiān)督管理職責(zé)���。
第八條 中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)與國(guó)家信息安全管理部門���、相關(guān)行業(yè)管理部門建立信息安全協(xié)調(diào)機(jī)制,與國(guó)家有關(guān)專業(yè)安全機(jī)構(gòu)和標(biāo)準(zhǔn)化組織建立信息安全合作機(jī)制���。
第九條 證券���、期貨���、基金等行業(yè)協(xié)會(huì)(以下簡(jiǎn)稱“證券期貨行業(yè)協(xié)會(huì)”)依照本辦法的規(guī)定,對(duì)會(huì)員的信息安全工作實(shí)行自律管理���。
第十條 核心機(jī)構(gòu)依照本辦法的規(guī)定���,對(duì)市場(chǎng)相關(guān)主體關(guān)聯(lián)信息系統(tǒng)的安全保障工作進(jìn)行督促、指導(dǎo)���。
第二章 基本要求
第十一條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有必備的基礎(chǔ)設(shè)施���。機(jī)房、電力���、空調(diào)���、消防、通信等基礎(chǔ)設(shè)施的建設(shè)符合國(guó)家及證券期貨業(yè)信息安全相關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)���。
第十二條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)設(shè)置合理的網(wǎng)絡(luò)結(jié)構(gòu),劃分安全區(qū)域,各安全區(qū)域之間應(yīng)當(dāng)進(jìn)行有效隔離���,并具有防范���、監(jiān)控和阻斷來(lái)自內(nèi)外部網(wǎng)絡(luò)攻擊破壞的能力。
第十三條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立符合業(yè)務(wù)要求的信息系統(tǒng)���。信息系統(tǒng)應(yīng)當(dāng)具有合理的架構(gòu)���,足夠的性能、容量���、可靠性���、擴(kuò)展性和安全性,能夠支持業(yè)務(wù)的運(yùn)行和發(fā)展���。
第十四條 核心機(jī)構(gòu)應(yīng)當(dāng)對(duì)交易���、行情、開戶���、結(jié)算���、風(fēng)控���、通信等重要信息系統(tǒng)具有自主開發(fā)能力,擁有執(zhí)行程序和源代碼并安全可靠存放���,對(duì)執(zhí)行程序和源代碼進(jìn)行嚴(yán)格的審查和測(cè)試���。
第十五條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有防范木馬、病毒等惡意代碼的能力���,防止惡意代碼對(duì)信息系統(tǒng)造成破壞���,防止信息泄露或被篡改。
第十六條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息技術(shù)治理架構(gòu)���,明確信息技術(shù)決策���、管理、執(zhí)行和內(nèi)部監(jiān)督的權(quán)責(zé)機(jī)制���。
第十七條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息技術(shù)管理制度和操作規(guī)程���,并嚴(yán)格執(zhí)行。
第十八條 核心機(jī)構(gòu)應(yīng)當(dāng)制定本機(jī)構(gòu)與市場(chǎng)相關(guān)主體信息系統(tǒng)安全互聯(lián)的技術(shù)規(guī)則���,并報(bào)中國(guó)證監(jiān)會(huì)備案���。
核心機(jī)構(gòu)依法督促市場(chǎng)相關(guān)主體執(zhí)行技術(shù)規(guī)則。
第十九條 核心機(jī)構(gòu)應(yīng)當(dāng)提供多種互為備份的遠(yuǎn)程接入方式���,保證市場(chǎng)相關(guān)主體安全接入���,并對(duì)市場(chǎng)相關(guān)主體的遠(yuǎn)程接入進(jìn)行監(jiān)控與管理。
第三章 持續(xù)保障要求
第二十條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)保障充足���、穩(wěn)定的信息技術(shù)經(jīng)費(fèi)投入���,配備足夠的信息技術(shù)人員。
第二十一條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)行業(yè)規(guī)劃和本機(jī)構(gòu)發(fā)展戰(zhàn)略���,制定信息化與信息安全發(fā)展規(guī)劃���,滿足信息技術(shù)和業(yè)務(wù)發(fā)展的需要���。
第二十二條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)開展信息系統(tǒng)新建、升級(jí)���、變更���、換代等建設(shè)項(xiàng)目,應(yīng)當(dāng)進(jìn)行充分論證和測(cè)試���。
第二十三條 核心機(jī)構(gòu)交易���、結(jié)算、通信等重要信息系統(tǒng)上線或者進(jìn)行重大升級(jí)變更時(shí)���,應(yīng)當(dāng)組織市場(chǎng)相關(guān)主體進(jìn)行聯(lián)網(wǎng)測(cè)試���,并按規(guī)定進(jìn)行報(bào)告。
第二十四條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)規(guī)范開展信息技術(shù)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的運(yùn)行維護(hù)���,確保系統(tǒng)安全穩(wěn)定運(yùn)行���。
第二十五條 核心機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)市場(chǎng)相關(guān)主體正確運(yùn)行維護(hù)與本機(jī)構(gòu)互聯(lián)的系統(tǒng)和通信設(shè)施���。
第二十六條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)備份設(shè)施,并按照規(guī)定在同城和異地保存數(shù)據(jù)的備份介質(zhì)���。
第二十七條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立重要信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施,確保業(yè)務(wù)活動(dòng)連續(xù)���。
第二十八條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照規(guī)定向證券期貨業(yè)數(shù)據(jù)中心報(bào)送數(shù)據(jù)���。報(bào)送的數(shù)據(jù)必須真實(shí)、完整���、準(zhǔn)確���、及時(shí)。
證券期貨業(yè)數(shù)據(jù)中心要按照中國(guó)證監(jiān)會(huì)的有關(guān)規(guī)定開展行業(yè)數(shù)據(jù)的集中保存工作���,確保數(shù)據(jù)的安全���、完整���、可靠。
第二十九條 核心機(jī)構(gòu)負(fù)責(zé)建設(shè)和運(yùn)營(yíng)行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施���。
第三十條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)信息安全保密管理���,確保投資者信息安全。
第三十一條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)檢測(cè)���、監(jiān)測(cè)���、評(píng)估和預(yù)警機(jī)制,發(fā)現(xiàn)風(fēng)險(xiǎn)隱患應(yīng)當(dāng)及時(shí)處置���,并按照規(guī)定進(jìn)行報(bào)告���。
第三十二條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立信息安全應(yīng)急處置機(jī)制,及時(shí)處置突發(fā)信息安全事件���,盡快恢復(fù)信息系統(tǒng)的正常運(yùn)行���,并按照規(guī)定進(jìn)行報(bào)告���,不得遲報(bào)、漏報(bào)���、瞞報(bào)���。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)對(duì)信息安全事件進(jìn)行內(nèi)部調(diào)查、責(zé)任追究和采取整改措施���,并配合中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)對(duì)事件進(jìn)行調(diào)查處理。
第三十三條 核心機(jī)構(gòu)應(yīng)當(dāng)每年組織市場(chǎng)相關(guān)主體進(jìn)行一次信息安全應(yīng)急演練���,并于實(shí)施前十五個(gè)工作日向中國(guó)證監(jiān)會(huì)報(bào)告���。
第三十四條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)對(duì)信息技術(shù)人員進(jìn)行培訓(xùn),確保其具有履行崗位職責(zé)的能力���。
第三十五條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立信息安全內(nèi)部審計(jì)制度���,定期開展內(nèi)部審計(jì),對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行整改。
第四章 產(chǎn)品及服務(wù)采購(gòu)要求
第三十六條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在采購(gòu)軟硬件產(chǎn)品或者技術(shù)服務(wù)時(shí)���,應(yīng)當(dāng)對(duì)供應(yīng)商的資質(zhì)���、財(cái)務(wù)穩(wěn)定性、專業(yè)經(jīng)驗(yàn)���、產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行調(diào)查���。
第三十七條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在采購(gòu)軟硬件產(chǎn)品或者技術(shù)服務(wù)時(shí),應(yīng)當(dāng)與供應(yīng)商簽訂合同和保密協(xié)議���,并在合同和保密協(xié)議中明確約定信息安全和保密的權(quán)利和義務(wù)���。
合同中應(yīng)當(dāng)約定供應(yīng)商須接受中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)的信息安全延伸檢查。
第三十八條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)采購(gòu)的軟硬件產(chǎn)品或者技術(shù)服務(wù)應(yīng)當(dāng)滿足審慎經(jīng)營(yíng)和風(fēng)險(xiǎn)管理的要求���。軟硬件產(chǎn)品或者技術(shù)服務(wù)不符合要求���,影響核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)持續(xù)經(jīng)營(yíng)的,中國(guó)證監(jiān)會(huì)有權(quán)要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)予以改進(jìn)或者更換���。
第三十九條 供應(yīng)商可以加入證券期貨行業(yè)協(xié)會(huì)���,接受行業(yè)協(xié)會(huì)的自律管理���。
第五章 行業(yè)自律
第四十條 證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)制定信息技術(shù)指引,督促���、引導(dǎo)會(huì)員執(zhí)行國(guó)家和行業(yè)信息安全相關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)���。
第四十一條 證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)行業(yè)加強(qiáng)信息技術(shù)人才隊(duì)伍建設(shè),組織信息技術(shù)培訓(xùn)和交流���,提高信息技術(shù)人員執(zhí)業(yè)素質(zhì)���。
第四十二條 證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)鼓勵(lì)行業(yè)信息技術(shù)研究與創(chuàng)新���,增強(qiáng)自主可控能力���,組織開展科技獎(jiǎng)勵(lì),促進(jìn)行業(yè)科技進(jìn)步���。
第四十三條 證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)供應(yīng)商規(guī)范參與行業(yè)信息化與信息安全工作���,促進(jìn)市場(chǎng)公平競(jìng)爭(zhēng)���,促進(jìn)供應(yīng)商與市場(chǎng)相關(guān)主體共同發(fā)展。
第六章 監(jiān)督管理
第四十四條 中國(guó)證監(jiān)會(huì)建立統(tǒng)一組織���、分級(jí)負(fù)責(zé)的信息安全監(jiān)督管理體制���。
中國(guó)證監(jiān)會(huì)信息安全管理部門負(fù)責(zé)證券期貨業(yè)信息安全工作的組織、協(xié)調(diào)和指導(dǎo)���;相關(guān)業(yè)務(wù)監(jiān)管部門依照職責(zé)范圍對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的信息安全進(jìn)行監(jiān)督���、檢查;派出機(jī)構(gòu)根據(jù)授權(quán)對(duì)轄區(qū)內(nèi)經(jīng)營(yíng)機(jī)構(gòu)的信息安全進(jìn)行監(jiān)督���、檢查���。
第四十五條 中國(guó)證監(jiān)會(huì)依法組織制定證券期貨業(yè)信息安全管理規(guī)定和技術(shù)標(biāo)準(zhǔn)。
第四十六條 中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)依照職責(zé)范圍���,對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)進(jìn)行信息安全檢查或者委托國(guó)家���、行業(yè)有關(guān)專業(yè)安全機(jī)構(gòu)進(jìn)行安全檢查���。核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)配合檢查。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的信息安全管理不能達(dá)到規(guī)定要求的���,中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)責(zé)令其限期改正���,改正前可以暫停或者限制其部分或者全部證券期貨經(jīng)營(yíng)業(yè)務(wù)活動(dòng)���。
第四十七條 中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)提供信息安全相關(guān)資料���。
核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)及時(shí)、準(zhǔn)確���、完整地提供相關(guān)資料���。
第四十八條 中國(guó)證監(jiān)會(huì)組織制定證券期貨業(yè)信息安全應(yīng)急預(yù)案���,督促���、指導(dǎo)行業(yè)開展信息安全應(yīng)急工作���。
第四十九條 中國(guó)證監(jiān)會(huì)有權(quán)對(duì)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)的信息安全事件進(jìn)行調(diào)查處理���。
對(duì)于損害投資者合法權(quán)益或者是影響證券期貨市場(chǎng)安全穩(wěn)定運(yùn)行的信息安全事件���,中國(guó)證監(jiān)會(huì)依法對(duì)相關(guān)單位采取監(jiān)督管理措施或者行政處罰。
第五十條 核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)違反本辦法規(guī)定���,中國(guó)證監(jiān)會(huì)可以視情節(jié)���,依法對(duì)其采取責(zé)令改正、監(jiān)管談話���、出具警示函���、公開譴責(zé)、責(zé)令定期報(bào)告���、責(zé)令處分有關(guān)人員���、撤銷任職資格���、暫停或者限制證券期貨經(jīng)營(yíng)業(yè)務(wù)活動(dòng)等措施���;情節(jié)嚴(yán)重的���,給予警告、罰款���。
第七章 附則
第五十一條 本辦法自xxxx年xx月xx日起施行���。《證券期貨業(yè)信息安全保障管理暫行辦法》(證監(jiān)信息字[2005]5號(hào))同時(shí)廢止���。
關(guān)于《證券期貨業(yè)信息安全保障管理辦法(征求意見(jiàn)稿)》的起草說(shuō)明
一���、起草背景
證券期貨行業(yè)高度依賴信息技術(shù),證券期貨信息技術(shù)系統(tǒng)是資本市場(chǎng)關(guān)鍵的基礎(chǔ)設(shè)施,證券期貨業(yè)信息安全保障關(guān)系到證券期貨市場(chǎng)的穩(wěn)定運(yùn)行和健康發(fā)展���,關(guān)系到國(guó)家金融安全和社會(huì)穩(wěn)定,對(duì)保護(hù)投資者交易安全和財(cái)產(chǎn)安全具有十分重要的意義���。為了加強(qiáng)對(duì)信息安全的監(jiān)管���,督促市場(chǎng)主體切實(shí)保障信息安全,中國(guó)證監(jiān)會(huì)于2005年制定了《證券期貨業(yè)信息安全保障管理暫行辦法》(證監(jiān)信息字[2005]5號(hào))���。但是���,目前行業(yè)信息安全的管理體制和監(jiān)管要求已經(jīng)發(fā)生較大變化,該辦法已經(jīng)不能適應(yīng)新的變化���。近幾年���,中國(guó)證監(jiān)會(huì)從行業(yè)實(shí)際出發(fā),重點(diǎn)加強(qiáng)了信息安全工作���,成立了證券期貨業(yè)信息化工作領(lǐng)導(dǎo)小組���,逐步形成了職責(zé)清晰���、合理高效的行業(yè)信息安全管理體制和工作機(jī)制,因此���,在充分總結(jié)經(jīng)驗(yàn)的基礎(chǔ)上���,中國(guó)證監(jiān)會(huì)研究制定了《證券期貨業(yè)信息安全保障管理辦法》(以下簡(jiǎn)稱《管理辦法》),以規(guī)章形式固化已經(jīng)形成的���、行之有效的體制機(jī)制和監(jiān)管要求���,確立行業(yè)信息安全保障的長(zhǎng)效機(jī)制。
二���、立法的依據(jù)
《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)中明確要求“重點(diǎn)維護(hù)國(guó)家事務(wù)���、經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)���、尖端科學(xué)技術(shù)等重要領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的安全”���。國(guó)家有關(guān)文件中提出“銀行���、電力、民航���、鐵路、證券���、海關(guān)���、稅務(wù)、保險(xiǎn)等信息系統(tǒng)的安全直接關(guān)系到國(guó)民經(jīng)濟(jì)的正常運(yùn)行���、群眾生活���、社會(huì)穩(wěn)定和國(guó)家安全”、“要重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全”���?��!蹲C券法》、《證券投資基金法》和《期貨交易管理?xiàng)l例》等法律法規(guī)明確要求證券公司、基金管理公司和期貨公司等證券期貨經(jīng)營(yíng)機(jī)構(gòu)“有合格的經(jīng)營(yíng)場(chǎng)所和業(yè)務(wù)設(shè)施”���,要求證券期貨交易所等市場(chǎng)核心機(jī)構(gòu)“提供交易的場(chǎng)所和設(shè)施”���,要求證監(jiān)會(huì)“維護(hù)證券市場(chǎng)秩序,保障其合法運(yùn)行”���。
為了貫徹落實(shí)國(guó)家以及證券期貨行業(yè)法律���、法規(guī)的要求,完善行業(yè)信息安全管理機(jī)制���,防范信息安全風(fēng)險(xiǎn)���,中國(guó)證監(jiān)會(huì)依法制定《管理辦法》,確立行業(yè)信息安全監(jiān)管的體制���,明確市場(chǎng)主體的信息安全保障責(zé)任���,提出信息安全工作的要求。
三���、《管理辦法》的主要內(nèi)容
《管理辦法》包括總則���、基本要求���、持續(xù)保障要求、產(chǎn)品及服務(wù)要求���、行業(yè)自律���、監(jiān)督管理和附則���,共七章五十一條���。
(一)辦法的適用范圍
證券期貨業(yè)信息安全保障���、管理���、監(jiān)督等相關(guān)活動(dòng)均適用本辦法。適用主體包括:1���、承擔(dān)證券期貨市場(chǎng)公共職能的機(jī)構(gòu)���、承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營(yíng)的機(jī)構(gòu)等證券期貨市場(chǎng)核心機(jī)構(gòu)及其下屬機(jī)構(gòu)(以下簡(jiǎn)稱“核心機(jī)構(gòu)”)���,如,證券交易所���、期貨交易所���、中國(guó)證券登記結(jié)算公司、中國(guó)證券投資者保護(hù)基金公司���、中國(guó)期貨保證金監(jiān)控中心公司等機(jī)構(gòu)及其下屬機(jī)構(gòu)等���;2、證券公司���、期貨公司���、基金管理公司、證券期貨服務(wù)機(jī)構(gòu)等證券期貨經(jīng)營(yíng)機(jī)構(gòu)(以下簡(jiǎn)稱“經(jīng)營(yíng)機(jī)構(gòu)”)���;3���、開展證券客戶交易結(jié)算資金第三方存管業(yè)務(wù)���,銀證、銀期���、銀基轉(zhuǎn)賬和結(jié)算業(yè)務(wù)���,基金托管和銷售業(yè)務(wù)的機(jī)構(gòu)等。
《管理辦法》明確規(guī)定核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)依法開展信息安全工作���,保護(hù)投資者交易安全和數(shù)據(jù)安全,并對(duì)本機(jī)構(gòu)信息系統(tǒng)安全運(yùn)行承擔(dān)責(zé)任���。
(二)基本要求
《管理辦法》第二章從基礎(chǔ)設(shè)施���、網(wǎng)絡(luò)隔離���、信息系統(tǒng)���、安全防護(hù)能力和管理制度等方面對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有的基礎(chǔ)設(shè)施和基本制度作出規(guī)定,并從信息系統(tǒng)的自主研發(fā)能力���、市場(chǎng)安全互聯(lián)和業(yè)務(wù)規(guī)則等方面對(duì)核心機(jī)構(gòu)提出特別要求���,作為中國(guó)證監(jiān)會(huì)作出行政許可或者驗(yàn)收準(zhǔn)入的基本標(biāo)準(zhǔn)���。
(三)持續(xù)保障要求
證券期貨業(yè)務(wù)的特殊性要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)持續(xù)保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行���,保障業(yè)務(wù)活動(dòng)的連續(xù)進(jìn)行和數(shù)據(jù)的安全���。《管理辦法》第三章從人員和經(jīng)費(fèi)保障���、系統(tǒng)的升級(jí)變更、設(shè)施和系統(tǒng)的運(yùn)行維護(hù)���、數(shù)據(jù)備份和集中保存���、風(fēng)險(xiǎn)控制和應(yīng)急處置���、信息保密、內(nèi)部審計(jì)等方面對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的信息安全保障工作作出規(guī)定���,并從重要信息系統(tǒng)上線或者變更���、組織行業(yè)應(yīng)急演練���、建設(shè)和運(yùn)營(yíng)行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施���、指導(dǎo)市場(chǎng)主體正確運(yùn)行維護(hù)互聯(lián)設(shè)施等方面對(duì)核心機(jī)構(gòu)提出了特別要求���。
考慮到證券���、基金、期貨等行業(yè)特征不同���,體現(xiàn)在信息技術(shù)的要求上也會(huì)不同���,《管理辦法》對(duì)相關(guān)基本要求和持續(xù)保障要求僅作原則性規(guī)定���,中國(guó)證監(jiān)會(huì)和自律組織可以根據(jù)《管理辦法》,制定規(guī)范性文件���、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)等進(jìn)一步細(xì)化相關(guān)技術(shù)指標(biāo)���。
(四)產(chǎn)品和服務(wù)采購(gòu)管理
目前���,行業(yè)的重要信息系統(tǒng)大型設(shè)備���、基礎(chǔ)軟件大部分來(lái)自于采購(gòu)。計(jì)算機(jī)軟硬件供應(yīng)商和技術(shù)服務(wù)提供商(以下簡(jiǎn)稱供應(yīng)商)的基礎(chǔ)條件對(duì)證券期貨業(yè)的信息安全影響重大���。因此���,《管理辦法》第四章對(duì)產(chǎn)品和服務(wù)采購(gòu)的管理單獨(dú)設(shè)置章節(jié)予以規(guī)范。
《管理辦法》要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)建立完善的供應(yīng)商管理機(jī)制,通過(guò)對(duì)供應(yīng)商進(jìn)行資質(zhì)審查���、簽訂完備的合同和保密協(xié)議等保障產(chǎn)品和服務(wù)質(zhì)量���;并通過(guò)合同約定,要求供應(yīng)商接受中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)的信息安全延伸檢查���。同時(shí)���,探索通過(guò)證券期貨行業(yè)協(xié)會(huì)引導(dǎo)和規(guī)范供應(yīng)商行為。對(duì)于軟硬件產(chǎn)品或者技術(shù)服務(wù)不符合要求���,影響核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)持續(xù)經(jīng)營(yíng)的���,中國(guó)證監(jiān)會(huì)有權(quán)要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)予以改進(jìn)或者更換。
?��。ㄎ澹┬袠I(yè)自律和監(jiān)督管理
《管理辦法》明確了中國(guó)證監(jiān)會(huì)和自律組織在信息安全管理方面的職責(zé)分工���,明確了中國(guó)證監(jiān)會(huì)在監(jiān)督檢查和信息技術(shù)事故調(diào)查中可以采取的措施,對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的備案���、報(bào)告義務(wù)等作出了規(guī)定���,列舉了核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)信息安全保障不符合要求的法律責(zé)任。
此外���,由于《證券期貨業(yè)信息安全保障管理暫行辦法》的相關(guān)規(guī)定已經(jīng)被本辦法覆蓋���,因此,《管理辦法》第七章規(guī)定���,本辦法發(fā)布實(shí)施后���,將同時(shí)廢止《證券期貨業(yè)信息安全保障管理暫行辦法》。
京公網(wǎng)安備 11010802044457號(hào)
新用戶掃碼下載
