(2012年9月24日證監(jiān)會令第82號)
第一章 總則
第一條 為了保障證券期貨信息系統(tǒng)安全運行,加強證券期貨業(yè)信息安全管理工作�,促進證券期貨市場穩(wěn)定健康發(fā)展,保護投資者合法權(quán)益��,根據(jù)《證券法》���、《證券投資基金法》、《期貨交易管理條例》及信息安全保障相關(guān)的法律�����、行政法規(guī)����,制定本辦法����。
第二條 證券期貨業(yè)信息安全保障����、管理、監(jiān)督等工作適用本辦法���。
第三條 證券期貨業(yè)信息安全保障工作實行“誰運行�、誰負責�,誰使用、誰負責”�����、安全優(yōu)先��、保障發(fā)展的原則����。
第四條 證券期貨業(yè)信息安全保障的責任主體應(yīng)當執(zhí)行國家信息安全相關(guān)法律、行政法規(guī)和行業(yè)相關(guān)技術(shù)管理規(guī)定、技術(shù)規(guī)則�、技術(shù)指引和技術(shù)標準,開展信息安全工作����,保護投資者交易安全和數(shù)據(jù)安全,并對本機構(gòu)信息系統(tǒng)安全運行承擔責任����。
前款所稱責任主體,包括承擔證券期貨市場公共職能的機構(gòu)�����、承擔證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運營的機構(gòu)等證券期貨市場核心機構(gòu)及其下屬機構(gòu)(以下簡稱核心機構(gòu))���,證券公司��、期貨公司�����、基金管理公司��、證券期貨服務(wù)機構(gòu)等證券期貨經(jīng)營機構(gòu)(以下簡稱經(jīng)營機構(gòu))���。
第五條 開展證券客戶交易結(jié)算資金第三方存管業(yè)務(wù),銀證�、銀期、銀基轉(zhuǎn)賬和結(jié)算業(yè)務(wù)�,基金托管和銷售業(yè)務(wù)的機構(gòu)應(yīng)當按照有關(guān)規(guī)定保障相關(guān)業(yè)務(wù)系統(tǒng)的安全運行。
第六條 為證券期貨業(yè)提供軟硬件產(chǎn)品或者技術(shù)服務(wù)的供應(yīng)商(以下簡稱供應(yīng)商)��,應(yīng)當保證所提供的軟硬件產(chǎn)品或者技術(shù)服務(wù)符合國家及證券期貨業(yè)信息安全相關(guān)的技術(shù)管理規(guī)定���、技術(shù)規(guī)則�、技術(shù)指引和技術(shù)標準���。
第七條 中國證監(jiān)會支持��、協(xié)助國家信息安全管理部門組織實施信息安全相關(guān)法律��、行政法規(guī)����,依法對證券期貨業(yè)信息安全保障工作實施監(jiān)督管理�。
中國證監(jiān)會派出機構(gòu)按照授權(quán)履行監(jiān)督管理職責。
第八條 中國證監(jiān)會及其派出機構(gòu)與國家信息安全管理部門��、相關(guān)行業(yè)管理部門建立信息安全協(xié)調(diào)機制,與國家有關(guān)專業(yè)安全機構(gòu)和標準化組織建立信息安全合作機制���。
第九條 證券�、期貨��、證券投資基金等行業(yè)協(xié)會(以下簡稱證券期貨行業(yè)協(xié)會)依照本辦法的規(guī)定���,對會員的信息安全工作實行自律管理�。
第十條 核心機構(gòu)依照本辦法的規(guī)定��,對市場相關(guān)主體關(guān)聯(lián)信息系統(tǒng)的安全保障工作進行督促�、指導。
第二章 基本要求
第十一條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當具有合格的基礎(chǔ)設(shè)施����。機房、電力���、空調(diào)�����、消防����、通信等基礎(chǔ)設(shè)施的建設(shè)符合行業(yè)信息安全管理的有關(guān)規(guī)定。
第十二條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當設(shè)置合理的網(wǎng)絡(luò)結(jié)構(gòu)����,劃分安全區(qū)域����,各安全區(qū)域之間應(yīng)當進行有效隔離,并具有防范���、監(jiān)控和阻斷來自內(nèi)外部網(wǎng)絡(luò)攻擊破壞的能力�。
第十三條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立符合業(yè)務(wù)要求的信息系統(tǒng)�。信息系統(tǒng)應(yīng)當具有合理的架構(gòu),足夠的性能����、容量、可靠性���、擴展性和安全性�����,能夠支持業(yè)務(wù)的運行和發(fā)展���。
第十四條 核心機構(gòu)應(yīng)當對交易��、行情��、開戶����、結(jié)算��、風控���、通信等重要信息系統(tǒng)具有自主開發(fā)能力��,擁有執(zhí)行程序和源代碼并安全可靠存放���,在重要信息系統(tǒng)上線前對執(zhí)行程序和源代碼進行嚴格的審查和測試。
第十五條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當具有防范木馬�、病毒等惡意代碼的能力,防止惡意代碼對信息系統(tǒng)造成破壞�,防止信息泄露或者被篡改。
第十六條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立完善的信息技術(shù)治理架構(gòu)�,明確信息技術(shù)決策��、管理���、執(zhí)行和內(nèi)部監(jiān)督的權(quán)責機制。
第十七條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立完善的信息技術(shù)管理制度和操作規(guī)程��,并嚴格執(zhí)行�。
第十八條 核心機構(gòu)應(yīng)當制定本機構(gòu)與市場相關(guān)主體信息系統(tǒng)安全互聯(lián)的技術(shù)規(guī)則����,并報中國證監(jiān)會備案。
核心機構(gòu)依法督促市場相關(guān)主體執(zhí)行技術(shù)規(guī)則���。
第十九條 核心機構(gòu)應(yīng)當提供多種互為備份的遠程接入方式����,保證市場相關(guān)主體安全接入�,并對市場相關(guān)主體的遠程接入進行監(jiān)控與管理。
第三章 持續(xù)保障要求
第二十條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當保障充足�����、穩(wěn)定的信息技術(shù)經(jīng)費投入�,配備足夠的信息技術(shù)人員�����。
第二十一條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當根據(jù)行業(yè)規(guī)劃和本機構(gòu)發(fā)展戰(zhàn)略���,制定信息化與信息安全發(fā)展規(guī)劃,滿足業(yè)務(wù)發(fā)展和信息安全管理的需要���。
第二十二條 核心機構(gòu)和經(jīng)營機構(gòu)開展信息系統(tǒng)新建�、升級�、變更、換代等建設(shè)項目�,應(yīng)當進行充分論證和測試。
第二十三條 核心機構(gòu)交易����、行情、開戶�����、結(jié)算���、通信等重要信息系統(tǒng)上線或者進行重大升級變更時����,應(yīng)當組織市場相關(guān)主體進行聯(lián)網(wǎng)測試,并按規(guī)定進行報告����。
第二十四條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當規(guī)范開展信息技術(shù)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的運行維護,保障系統(tǒng)安全穩(wěn)定運行�����。
第二十五條 核心機構(gòu)應(yīng)當指導市場相關(guān)主體正確運行維護與本機構(gòu)互聯(lián)的系統(tǒng)和通信設(shè)施���。
第二十六條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立數(shù)據(jù)備份設(shè)施,并按照規(guī)定在同城和異地保存?zhèn)浞輸?shù)據(jù)�。
第二十七條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立重要信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施,保證業(yè)務(wù)活動連續(xù)�。
第二十八條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當按照規(guī)定向中國證監(jiān)會指定的證券期貨業(yè)數(shù)據(jù)中心報送數(shù)據(jù)。報送的數(shù)據(jù)必須真實���、完整���、準確、及時。
證券期貨業(yè)數(shù)據(jù)中心應(yīng)當按照中國證監(jiān)會的有關(guān)規(guī)定開展行業(yè)數(shù)據(jù)的集中保存工作����,確保數(shù)據(jù)的安全、完整����、可靠。
第二十九條 核心機構(gòu)負責建設(shè)和運營行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施����。
第三十條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當加強信息安全保密管理,保障投資者信息安全����。
第三十一條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立網(wǎng)絡(luò)與信息安全風險檢測、監(jiān)測����、評估和預(yù)警機制,發(fā)現(xiàn)風險隱患應(yīng)當及時處置�,并按照規(guī)定進行報告。
第三十二條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立信息安全應(yīng)急處置機制�����,及時處置突發(fā)信息安全事件,盡快恢復(fù)信息系統(tǒng)的正常運行���,并按照規(guī)定進行報告���,不得遲報、漏報��、瞞報����。
核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當對信息安全事件進行內(nèi)部調(diào)查、責任追究和采取整改措施��,并配合中國證監(jiān)會及其派出機構(gòu)對事件進行調(diào)查處理��。
與核心機構(gòu)和經(jīng)營機構(gòu)發(fā)生信息安全事件相關(guān)的軟硬件產(chǎn)品或者技術(shù)服務(wù)供應(yīng)商���,應(yīng)當配合相關(guān)調(diào)查工作。
第三十三條 核心機構(gòu)應(yīng)當每年組織市場相關(guān)主體進行一次信息安全應(yīng)急演練��,并于實施前15個工作日向中國證監(jiān)會報告�。
第三十四條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當對信息技術(shù)人員進行培訓,確保其具有履行崗位職責的能力���。
第三十五條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立信息安全內(nèi)部審計制度���,定期開展內(nèi)部審計����,對發(fā)現(xiàn)的問題進行整改�。
第四章 產(chǎn)品及服務(wù)采購要求
第三十六條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立供應(yīng)商管理制度,定期對供應(yīng)商的資質(zhì)�、專業(yè)經(jīng)驗、產(chǎn)品和服務(wù)的質(zhì)量進行了解和評估�����。
第三十七條 核心機構(gòu)和經(jīng)營機構(gòu)在采購軟硬件產(chǎn)品或者技術(shù)服務(wù)時���,應(yīng)當與供應(yīng)商簽訂合同和保密協(xié)議�,并在合同和保密協(xié)議中明確約定信息安全和保密的權(quán)利和義務(wù)����。
涉及證券期貨交易、行情�、開戶、結(jié)算等軟件產(chǎn)品或者技術(shù)服務(wù)的采購合同�,應(yīng)當約定供應(yīng)商須接受中國證監(jiān)會及其派出機構(gòu)的信息安全延伸檢查��。
第三十八條 核心機構(gòu)和經(jīng)營機構(gòu)采購的軟硬件產(chǎn)品或者技術(shù)服務(wù)應(yīng)當滿足審慎經(jīng)營和風險管理的要求����。軟硬件產(chǎn)品或者技術(shù)服務(wù)不符合要求����,影響核心機構(gòu)和經(jīng)營機構(gòu)持續(xù)經(jīng)營的,中國證監(jiān)會有權(quán)要求核心機構(gòu)和經(jīng)營機構(gòu)予以改進或者更換�����。
第五章 行業(yè)自律
第三十九條 證券期貨行業(yè)協(xié)會應(yīng)當制定信息技術(shù)指引���,督促���、引導會員執(zhí)行國家和行業(yè)信息安全相關(guān)規(guī)定和技術(shù)標準。
第四十條 證券期貨行業(yè)協(xié)會應(yīng)當引導行業(yè)加強信息技術(shù)人才隊伍建設(shè)�����,定期組織信息技術(shù)培訓和交流����,提高信息技術(shù)人員執(zhí)業(yè)素質(zhì)。
第四十一條 證券期貨行業(yè)協(xié)會應(yīng)當引導鼓勵行業(yè)信息技術(shù)研究與創(chuàng)新�����,增強自主可控能力���,組織開展科技獎勵�,促進行業(yè)科技進步�����。
第四十二條 證券期貨行業(yè)協(xié)會應(yīng)當引導供應(yīng)商規(guī)范參與行業(yè)信息化與信息安全工作��,促進市場公平競爭����,促進供應(yīng)商與市場相關(guān)主體共同發(fā)展。
第六章 監(jiān)督管理
第四十三條 中國證監(jiān)會建立統(tǒng)一組織��、分級負責的信息安全監(jiān)督管理體制�。
中國證監(jiān)會信息安全管理部門負責證券期貨業(yè)信息安全工作的組織、協(xié)調(diào)和指導��;相關(guān)業(yè)務(wù)監(jiān)管部門依照職責范圍對核心機構(gòu)和經(jīng)營機構(gòu)的信息安全進行監(jiān)督�����、檢查;派出機構(gòu)根據(jù)授權(quán)對轄區(qū)內(nèi)經(jīng)營機構(gòu)的信息安全進行監(jiān)督�����、檢查�。
第四十四條 中國證監(jiān)會依法組織制定證券期貨業(yè)信息安全管理規(guī)定和技術(shù)標準。
第四十五條 中國證監(jiān)會及其派出機構(gòu)依照職責范圍�����,對核心機構(gòu)和經(jīng)營機構(gòu)進行信息安全檢查或者委托國家�、行業(yè)有關(guān)專業(yè)安全機構(gòu)進行安全檢查。核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當配合檢查�。
核心機構(gòu)和經(jīng)營機構(gòu)的信息安全管理不能達到規(guī)定要求的,中國證監(jiān)會及其派出機構(gòu)責令其限期改正����,改正前可以暫停或者限制其部分或者全部證券期貨經(jīng)營業(yè)務(wù)活動��。
第四十六條 中國證監(jiān)會及其派出機構(gòu)可以要求核心機構(gòu)和經(jīng)營機構(gòu)提供信息安全相關(guān)資料���。
核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當及時���、準確、完整地提供相關(guān)資料����。
第四十七條 中國證監(jiān)會組織制定證券期貨業(yè)信息安全應(yīng)急預(yù)案,督促��、指導行業(yè)開展信息安全應(yīng)急工作�。
第四十八條 中國證監(jiān)會有權(quán)對核心機構(gòu)、經(jīng)營機構(gòu)的信息安全事件進行調(diào)查處理�。
對于損害投資者合法權(quán)益或者影響證券期貨市場安全穩(wěn)定運行的信息安全事件,中國證監(jiān)會依法對相關(guān)單位采取監(jiān)督管理措施或者行政處罰��。
第四十九條 中國證監(jiān)會對發(fā)現(xiàn)的系統(tǒng)漏洞���、安全隱患�、產(chǎn)品缺陷進行全行業(yè)通報�。
第五十條 核心機構(gòu)和經(jīng)營機構(gòu)違反本辦法規(guī)定,中國證監(jiān)會可以視情節(jié)���,依法對其采取責令改正��、監(jiān)管談話���、出具警示函��、公開譴責����、責令定期報告����、責令處分有關(guān)人員、撤銷任職資格��、暫?���;蛘呦拗谱C券期貨經(jīng)營業(yè)務(wù)活動等措施;情節(jié)嚴重的�,給予警告、罰款���。
第七章 附則
第五十一條本辦法自2012年11月1日起施行�����?���!蹲C券期貨業(yè)信息安全保障管理暫行辦法》(證監(jiān)信息字〔2005〕5號)同時廢止。
