第一篇：【第82號(hào)令】《證券期貨業(yè)信息安全保障管理辦法》

證券期貨業(yè)信息安全保障管理辦法

第一章

總則

第一條

為了保障證券期貨信息系統(tǒng)安全運(yùn)行，加強(qiáng)證券期貨業(yè)信息安全管理工作，促進(jìn)證券期貨市場(chǎng)穩(wěn)定健康發(fā)展，保護(hù)投資者合法權(quán)益，根據(jù)《證券法》、《證券投資基金法》、《期貨交易管理?xiàng)l例》及信息安全保障相關(guān)的法律、行政法規(guī)，制定本辦法。

第二條

證券期貨業(yè)信息安全保障、管理、監(jiān)督等工作適用本辦法。

第三條

證券期貨業(yè)信息安全保障工作實(shí)行“誰(shuí)運(yùn)行、誰(shuí)負(fù)責(zé)，誰(shuí)使用、誰(shuí)負(fù)責(zé)”、安全優(yōu)先、保障發(fā)展的原則。

第四條

證券期貨業(yè)信息安全保障的責(zé)任主體應(yīng)當(dāng)執(zhí)行國(guó)家信息安全相關(guān)法律、行政法規(guī)和行業(yè)相關(guān)技術(shù)管理規(guī)定、技術(shù)規(guī)則、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)，開(kāi)展信息安全工作，保護(hù)投資者交易安全和數(shù)據(jù)安全，并對(duì)本機(jī)構(gòu)信息系統(tǒng)安全運(yùn)行承擔(dān)責(zé)任。

前款所稱責(zé)任主體，包括承擔(dān)證券期貨市場(chǎng)公共職能的機(jī)構(gòu)、承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營(yíng)的機(jī)構(gòu)等證券期貨市場(chǎng)核心機(jī)構(gòu)及其下屬機(jī)構(gòu)（以下簡(jiǎn)稱核心機(jī)構(gòu)），證券公司、期貨公司、基金管理公司、證券期貨服務(wù)機(jī)構(gòu)等證券期貨經(jīng)營(yíng)機(jī)構(gòu)（以下簡(jiǎn)稱經(jīng)營(yíng)機(jī)構(gòu)）。

第五條

開(kāi)展證券客戶交易結(jié)算資金第三方存管業(yè)務(wù)，銀證、銀期、銀基轉(zhuǎn)賬和結(jié)算業(yè)務(wù)，基金托管和銷售業(yè)務(wù)的機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定保障相關(guān)業(yè)務(wù)系統(tǒng)的安全運(yùn)行。

第六條

為證券期貨業(yè)提供軟硬件產(chǎn)品或者技術(shù)服務(wù)的供應(yīng)商（以下簡(jiǎn)稱供應(yīng)商），應(yīng)當(dāng)保證所提供的軟硬件產(chǎn)品或者技術(shù)服務(wù)符合國(guó)家及證券期貨業(yè)信息安全相關(guān)的技術(shù)管理規(guī)定、技術(shù)規(guī)則、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)。

第七條

中國(guó)證監(jiān)會(huì)支持、協(xié)助國(guó)家信息安全管理部門組織實(shí)施信息安全相關(guān)法律、行政法規(guī)，依法對(duì)證券期貨業(yè)信息安全保障工作實(shí)施監(jiān)督管理。

中國(guó)證監(jiān)會(huì)派出機(jī)構(gòu)按照授權(quán)履行監(jiān)督管理職責(zé)。

第八條

中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)與國(guó)家信息安全管理部門、相關(guān)行業(yè)管理部門建立信息安全協(xié)調(diào)機(jī)制，與國(guó)家有關(guān)專業(yè)安全機(jī)構(gòu)和標(biāo)準(zhǔn)化組織建立信息安全合作機(jī)制。

第九條

證券、期貨、證券投資基金等行業(yè)協(xié)會(huì)（以下簡(jiǎn)稱證券期貨行業(yè)協(xié)會(huì)）依照本辦法的規(guī)定，對(duì)會(huì)員的信息安全工作實(shí)行自律管理。

第十條

核心機(jī)構(gòu)依照本辦法的規(guī)定，對(duì)市場(chǎng)相關(guān)主體關(guān)聯(lián)信息系統(tǒng)的安全保障工作進(jìn)行督促、指導(dǎo)。

第二章

基本要求

第十一條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有合格的基礎(chǔ)設(shè)施。機(jī)房、電力、空調(diào)、消防、通信等基礎(chǔ)設(shè)施的建設(shè)符合行業(yè)信息安全管理的有關(guān)規(guī)定。

第十二條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)設(shè)置合理的網(wǎng)絡(luò)結(jié)構(gòu)，劃分安全區(qū)域，各安全區(qū)域之間應(yīng)當(dāng)進(jìn)行有效隔離，并具有防范、監(jiān)控和阻斷來(lái)自內(nèi)外部網(wǎng)絡(luò)攻擊破壞的能力。

第十三條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立符合業(yè)務(wù)要求的信息系統(tǒng)。信息系統(tǒng)應(yīng)當(dāng)具有合理的架構(gòu)，足夠的性能、容量、可靠性、擴(kuò)展性和安全性，能夠支持業(yè)務(wù)的運(yùn)行和發(fā)展。

第十四條

核心機(jī)構(gòu)應(yīng)當(dāng)對(duì)交易、行情、開(kāi)戶、結(jié)算、風(fēng)控、通信等重要信息系統(tǒng)具有自主開(kāi)發(fā)能力，擁有執(zhí)行程序和源代碼并安全可靠存放，在重要信息系統(tǒng)上線前對(duì)執(zhí)行程序和源代碼進(jìn)行嚴(yán)格的審查和測(cè)試。

第十五條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有防范木馬、病毒等惡意代碼的能力，防止惡意代碼對(duì)信息系統(tǒng)造成破壞，防止信息泄露或者被篡改。

第十六條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息技術(shù)治理架構(gòu)，明確信息技術(shù)決策、管理、執(zhí)行和內(nèi)部監(jiān)督的權(quán)責(zé)機(jī)制。

第十七條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息技術(shù)管理制度和操作規(guī)程，并嚴(yán)格執(zhí)行。

第十八條

核心機(jī)構(gòu)應(yīng)當(dāng)制定本機(jī)構(gòu)與市場(chǎng)相關(guān)主體信息系 統(tǒng)安全互聯(lián)的技術(shù)規(guī)則，并報(bào)中國(guó)證監(jiān)會(huì)備案。

核心機(jī)構(gòu)依法督促市場(chǎng)相關(guān)主體執(zhí)行技術(shù)規(guī)則。

第十九條

核心機(jī)構(gòu)應(yīng)當(dāng)提供多種互為備份的遠(yuǎn)程接入方式，保證市場(chǎng)相關(guān)主體安全接入，并對(duì)市場(chǎng)相關(guān)主體的遠(yuǎn)程接入進(jìn)行監(jiān)控與管理。

第三章

持續(xù)保障要求

第二十條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)保障充足、穩(wěn)定的信息技術(shù)經(jīng)費(fèi)投入，配備足夠的信息技術(shù)人員。

第二十一條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)行業(yè)規(guī)劃和本機(jī)構(gòu)發(fā)展戰(zhàn)略，制定信息化與信息安全發(fā)展規(guī)劃，滿足業(yè)務(wù)發(fā)展和信息安全管理的需要。

第二十二條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)開(kāi)展信息系統(tǒng)新建、升級(jí)、變更、換代等建設(shè)項(xiàng)目，應(yīng)當(dāng)進(jìn)行充分論證和測(cè)試。

第二十三條

核心機(jī)構(gòu)交易、行情、開(kāi)戶、結(jié)算、通信等重要信息系統(tǒng)上線或者進(jìn)行重大升級(jí)變更時(shí)，應(yīng)當(dāng)組織市場(chǎng)相關(guān)主體進(jìn)行聯(lián)網(wǎng)測(cè)試，并按規(guī)定進(jìn)行報(bào)告。

第二十四條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)規(guī)范開(kāi)展信息技術(shù)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的運(yùn)行維護(hù)，保障系統(tǒng)安全穩(wěn)定運(yùn)行。

第二十五條

核心機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)市場(chǎng)相關(guān)主體正確運(yùn)行維護(hù)與本機(jī)構(gòu)互聯(lián)的系統(tǒng)和通信設(shè)施。

第二十六條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)備份設(shè)施，并按照規(guī)定在同城和異地保存?zhèn)浞輸?shù)據(jù)。

第二十七條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立重要信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施，保證業(yè)務(wù)活動(dòng)連續(xù)。

第二十八條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照規(guī)定向中國(guó)證監(jiān)會(huì)指定的證券期貨業(yè)數(shù)據(jù)中心報(bào)送數(shù)據(jù)。報(bào)送的數(shù)據(jù)必須真實(shí)、完整、準(zhǔn)確、及時(shí)。

證券期貨業(yè)數(shù)據(jù)中心應(yīng)當(dāng)按照中國(guó)證監(jiān)會(huì)的有關(guān)規(guī)定開(kāi)展行業(yè)數(shù)據(jù)的集中保存工作，確保數(shù)據(jù)的安全、完整、可靠。

第二十九條

核心機(jī)構(gòu)負(fù)責(zé)建設(shè)和運(yùn)營(yíng)行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施。

第三十條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)信息安全保密管理，保障投資者信息安全。

第三十一條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)檢測(cè)、監(jiān)測(cè)、評(píng)估和預(yù)警機(jī)制，發(fā)現(xiàn)風(fēng)險(xiǎn)隱患應(yīng)當(dāng)及時(shí)處置，并按照規(guī)定進(jìn)行報(bào)告。

第三十二條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立信息安全應(yīng)急處置機(jī)制，及時(shí)處置突發(fā)信息安全事件，盡快恢復(fù)信息系統(tǒng)的正常運(yùn)行，并按照規(guī)定進(jìn)行報(bào)告，不得遲報(bào)、漏報(bào)、瞞報(bào)。

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)對(duì)信息安全事件進(jìn)行內(nèi)部調(diào)查、責(zé)任追究和采取整改措施，并配合中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)對(duì)事件進(jìn)行調(diào)查處理。

與核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)發(fā)生信息安全事件相關(guān)的軟硬件產(chǎn)品或者技術(shù)服務(wù)供應(yīng)商，應(yīng)當(dāng)配合相關(guān)調(diào)查工作。

第三十三條

核心機(jī)構(gòu)應(yīng)當(dāng)每年組織市場(chǎng)相關(guān)主體進(jìn)行一次信息安全應(yīng)急演練，并于實(shí)施前15個(gè)工作日向中國(guó)證監(jiān)會(huì)報(bào)告。

第三十四條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)對(duì)信息技術(shù)人員進(jìn)行培訓(xùn)，確保其具有履行崗位職責(zé)的能力。

第三十五條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立信息安全內(nèi)部審計(jì)制度，定期開(kāi)展內(nèi)部審計(jì)，對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行整改。

第四章

產(chǎn)品及服務(wù)采購(gòu)要求

第三十六條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立供應(yīng)商管理制度，定期對(duì)供應(yīng)商的資質(zhì)、專業(yè)經(jīng)驗(yàn)、產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行了解和評(píng)估。

第三十七條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在采購(gòu)軟硬件產(chǎn)品或者技術(shù)服務(wù)時(shí)，應(yīng)當(dāng)與供應(yīng)商簽訂合同和保密協(xié)議，并在合同和保密協(xié)議中明確約定信息安全和保密的權(quán)利和義務(wù)。

涉及證券期貨交易、行情、開(kāi)戶、結(jié)算等軟件產(chǎn)品或者技術(shù)服務(wù)的采購(gòu)合同，應(yīng)當(dāng)約定供應(yīng)商須接受中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)的信息安全延伸檢查。

第三十八條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)采購(gòu)的軟硬件產(chǎn)品或者技術(shù)服務(wù)應(yīng)當(dāng)滿足審慎經(jīng)營(yíng)和風(fēng)險(xiǎn)管理的要求。軟硬件產(chǎn)品或者技 術(shù)服務(wù)不符合要求，影響核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)持續(xù)經(jīng)營(yíng)的，中國(guó)證監(jiān)會(huì)有權(quán)要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)予以改進(jìn)或者更換。

第五章

行業(yè)自律

第三十九條

證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)制定信息技術(shù)指引，督促、引導(dǎo)會(huì)員執(zhí)行國(guó)家和行業(yè)信息安全相關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)。

第四十條

證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)行業(yè)加強(qiáng)信息技術(shù)人才隊(duì)伍建設(shè)，定期組織信息技術(shù)培訓(xùn)和交流，提高信息技術(shù)人員執(zhí)業(yè)素質(zhì)。

第四十一條

證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)鼓勵(lì)行業(yè)信息技術(shù)研究與創(chuàng)新，增強(qiáng)自主可控能力，組織開(kāi)展科技獎(jiǎng)勵(lì)，促進(jìn)行業(yè)科技進(jìn)步。

第四十二條

證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)供應(yīng)商規(guī)范參與行業(yè)信息化與信息安全工作，促進(jìn)市場(chǎng)公平競(jìng)爭(zhēng)，促進(jìn)供應(yīng)商與市場(chǎng)相關(guān)主體共同發(fā)展。

第六章

監(jiān)督管理

第四十三條

中國(guó)證監(jiān)會(huì)建立統(tǒng)一組織、分級(jí)負(fù)責(zé)的信息安全監(jiān)督管理體制。

中國(guó)證監(jiān)會(huì)信息安全管理部門負(fù)責(zé)證券期貨業(yè)信息安全工作 的組織、協(xié)調(diào)和指導(dǎo)；相關(guān)業(yè)務(wù)監(jiān)管部門依照職責(zé)范圍對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的信息安全進(jìn)行監(jiān)督、檢查；派出機(jī)構(gòu)根據(jù)授權(quán)對(duì)轄區(qū)內(nèi)經(jīng)營(yíng)機(jī)構(gòu)的信息安全進(jìn)行監(jiān)督、檢查。

第四十四條

中國(guó)證監(jiān)會(huì)依法組織制定證券期貨業(yè)信息安全管理規(guī)定和技術(shù)標(biāo)準(zhǔn)。

第四十五條

中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)依照職責(zé)范圍，對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)進(jìn)行信息安全檢查或者委托國(guó)家、行業(yè)有關(guān)專業(yè)安全機(jī)構(gòu)進(jìn)行安全檢查。核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)配合檢查。

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的信息安全管理不能達(dá)到規(guī)定要求的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)責(zé)令其限期改正，改正前可以暫?；蛘呦拗破洳糠只蛘呷孔C券期貨經(jīng)營(yíng)業(yè)務(wù)活動(dòng)。

第四十六條

中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)提供信息安全相關(guān)資料。

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)及時(shí)、準(zhǔn)確、完整地提供相關(guān)資料。第四十七條

中國(guó)證監(jiān)會(huì)組織制定證券期貨業(yè)信息安全應(yīng)急預(yù)案，督促、指導(dǎo)行業(yè)開(kāi)展信息安全應(yīng)急工作。

第四十八條

中國(guó)證監(jiān)會(huì)有權(quán)對(duì)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)的信息安全事件進(jìn)行調(diào)查處理。

對(duì)于損害投資者合法權(quán)益或者影響證券期貨市場(chǎng)安全穩(wěn)定運(yùn)行的信息安全事件，中國(guó)證監(jiān)會(huì)依法對(duì)相關(guān)單位采取監(jiān)督管理措施或者行政處罰。

第四十九條

中國(guó)證監(jiān)會(huì)對(duì)發(fā)現(xiàn)的系統(tǒng)漏洞、安全隱患、產(chǎn) 品缺陷進(jìn)行全行業(yè)通報(bào)。

第五十條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)違反本辦法規(guī)定，中國(guó)證監(jiān)會(huì)可以視情節(jié)，依法對(duì)其采取責(zé)令改正、監(jiān)管談話、出具警示函、公開(kāi)譴責(zé)、責(zé)令定期報(bào)告、責(zé)令處分有關(guān)人員、撤銷任職資格、暫?；蛘呦拗谱C券期貨經(jīng)營(yíng)業(yè)務(wù)活動(dòng)等措施；情節(jié)嚴(yán)重的，給予警告、罰款。

第七章

附

則

第五十一條 本辦法自2012年11月1日起施行?！蹲C券期貨業(yè)信息安全保障管理暫行辦法》（證監(jiān)信息字〔2005〕5號(hào)）同時(shí)廢止。

第二篇：證券期貨業(yè)信息安全保障管理暫行辦法

中國(guó)證券監(jiān)督管理委員會(huì)關(guān)于印發(fā)《證券期貨業(yè)信息安全保障管理暫行辦法》的通知

（證監(jiān)信息字[2005]5號(hào)）

上海、深圳證券交易所，上海期貨交易所，大連、鄭州商品交易所，中國(guó)證券登記結(jié)算公司，中國(guó)證券業(yè)、期貨業(yè)協(xié)會(huì)：

為規(guī)范行業(yè)網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)和安全保障工作，中國(guó)證監(jiān)會(huì)制定了《證券期貨業(yè)信息

安全保障管理暫行辦法》，現(xiàn)印發(fā)給你們，請(qǐng)遵照?qǐng)?zhí)行。

請(qǐng)中國(guó)證券業(yè)協(xié)會(huì)、中國(guó)期貨業(yè)協(xié)會(huì)將本通知轉(zhuǎn)發(fā)至各會(huì)員單位。

中國(guó)證券監(jiān)督管理委員會(huì)

二00五年四月八日

證券期貨業(yè)信息安全保障管理暫行辦法

第一章 總則

第一條 為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立、健全信息安全管理制

度和運(yùn)行機(jī)制，提高行業(yè)信息安全保障工作水平，切實(shí)保護(hù)投資者合法權(quán)益，根據(jù)國(guó)家有關(guān)

法律、法規(guī)和相關(guān)規(guī)定，制定本辦法。

第二條 本辦法適用于證券期貨市場(chǎng)的監(jiān)管機(jī)構(gòu)、行業(yè)自律組織及經(jīng)營(yíng)機(jī)構(gòu)。監(jiān)管機(jī)構(gòu)

為中國(guó)證券監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱“中國(guó)證監(jiān)會(huì)”）；行業(yè)自律組織包括證券、期貨交易

所及其通信公司，證券登記結(jié)算公司、中國(guó)證券業(yè)協(xié)會(huì)和中國(guó)期貨業(yè)協(xié)會(huì)；經(jīng)營(yíng)機(jī)構(gòu)包括證

券、期貨公司，基金管理公司及證券、期貨投資咨詢公司。

第二章 安全職責(zé)劃分

第三條 中國(guó)證監(jiān)會(huì)負(fù)責(zé)證券期貨行業(yè)信息安全保障工作的監(jiān)督管理及組織協(xié)調(diào)。

第四條 證券、期貨交易所及其通信公司，登記結(jié)算公司，證券、期貨公司，基金管理

公司，證券、期貨投資咨詢公司等是各自信息系統(tǒng)安全運(yùn)營(yíng)管理的責(zé)任主體單位（以下簡(jiǎn)稱

“主體單位”）。

第五條 證券交易所負(fù)責(zé)證券交易、信息發(fā)布及市場(chǎng)監(jiān)管信息系統(tǒng)的安全運(yùn)營(yíng)。證券通

信公司受證券交易所及證券登記結(jié)算公司、經(jīng)營(yíng)機(jī)構(gòu)的委托，負(fù)責(zé)通信系統(tǒng)的安全運(yùn)營(yíng)，保

障交易、結(jié)算等業(yè)務(wù)數(shù)據(jù)的及時(shí)安全傳送。期貨交易所負(fù)責(zé)期貨交易和結(jié)算處理、信息發(fā)布、市場(chǎng)監(jiān)管信息系統(tǒng)及通信系統(tǒng)的安全運(yùn)營(yíng)。

第六條 證券登記結(jié)算公司負(fù)責(zé)證券登記、結(jié)算業(yè)務(wù)信息系統(tǒng)的安全運(yùn)營(yíng)。

第七條 中國(guó)證券業(yè)協(xié)會(huì)負(fù)責(zé)證券公司、基金管理公司、證券投資咨詢公司等會(huì)員單位

信息安全保障的組織、協(xié)調(diào)工作。

中國(guó)期貨業(yè)協(xié)會(huì)負(fù)責(zé)期貨公司、期貨投資咨詢公司等會(huì)員單位信息安全保障的組織、協(xié)

調(diào)工作。

第八條 證券、期貨公司，基金管理公司及證券、期貨投資咨詢公司負(fù)責(zé)總部及下屬經(jīng)

營(yíng)機(jī)構(gòu)信息系統(tǒng)的安全運(yùn)營(yíng)。

第三章 安全目標(biāo)與基本原則

第九條 信息安全保障工作的總體目標(biāo)是確保信息和信息系統(tǒng)的完整性、保密性、可用性、時(shí)效性、可審查性和可控性，切實(shí)保護(hù)市場(chǎng)參與各方的合法權(quán)益，促進(jìn)證券期貨市場(chǎng)的持續(xù)、穩(wěn)定、健康發(fā)展。

第十條 信息安全保障工作的具體目標(biāo)是：

（一）保護(hù)證券期貨業(yè)信息系統(tǒng)的物理環(huán)境、設(shè)備設(shè)施和運(yùn)行環(huán)境，保證信息系統(tǒng)的環(huán)境安全；

（二）確保信息內(nèi)容的合法性，保護(hù)信息在采集、傳輸、使用和存儲(chǔ)過(guò)程中的保密性、完整性、可用性、時(shí)效性、可審查性和可控性，保證信息的安全；

（三）提高證券期貨業(yè)人員的信息安全意識(shí)、安全專業(yè)素質(zhì)以及安全管理與服務(wù)水平；

（四）提高信息系統(tǒng)的可用率和災(zāi)難恢復(fù)能力，為業(yè)務(wù)的可持續(xù)性運(yùn)行提供保障。第十一條 信息安全保障工作應(yīng)遵循以下基本原則：

（一）責(zé)任制原則：安全管理應(yīng)做到“誰(shuí)主管，誰(shuí)負(fù)責(zé)”、“誰(shuí)運(yùn)營(yíng)，誰(shuí)負(fù)責(zé)”，注重以法律手段明確與他方的責(zé)任關(guān)系，通過(guò)契約、協(xié)調(diào)等方式與他方進(jìn)行責(zé)任劃分，明確進(jìn)行風(fēng)險(xiǎn)轉(zhuǎn)移，通過(guò)責(zé)任主體制約他方。

（二）規(guī)范化原則：遵循國(guó)內(nèi)、國(guó)際的信息安全標(biāo)準(zhǔn)及行業(yè)規(guī)范，對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)。

（三）全面統(tǒng)籌原則：信息安全保障工作應(yīng)貫穿于信息化全過(guò)程，堅(jiān)持統(tǒng)籌規(guī)劃、突出重點(diǎn)，安全與發(fā)展并進(jìn)，管理與技術(shù)并重，應(yīng)急防御與長(zhǎng)效機(jī)制相結(jié)合。

（四）實(shí)用性原則：在確保信息系統(tǒng)性能和安全的前提下，充分利用資源，講究實(shí)效，避免重復(fù)和盲目投資，積極采用國(guó)家法律法規(guī)允許的、成熟的先進(jìn)技術(shù)和專業(yè)安全服務(wù)，運(yùn)用科學(xué)的經(jīng)營(yíng)管理方法，降低成本，保障安全運(yùn)行。

第四章 安全保障要求

第十二條 主體單位應(yīng)建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系，保持三個(gè)體系穩(wěn)定、均衡發(fā)展。

第十三條 主體單位應(yīng)建立明確的信息安全組織體系：

（一）建立決策層、管理層和執(zhí)行層三層工作關(guān)系，明確信息安全主管領(lǐng)導(dǎo)，落實(shí)信息安全管理部門，指定信息安全執(zhí)行崗位；

（二）設(shè)立專職的安全管理員和安全審計(jì)員崗位，分別負(fù)責(zé)信息安全工作的實(shí)施和審計(jì)；

（三）通過(guò)多種安全培訓(xùn)方式加強(qiáng)信息安全人才隊(duì)伍的建設(shè)，提高信息安全工作人員的技能水平，提高員工安全意識(shí)。

第十四條 主體單位應(yīng)建立全面的信息安全管理體系：

（一）制定統(tǒng)一的信息安全策略和全面、可操作的信息安全管理制度，指導(dǎo)和規(guī)范信息系統(tǒng)的安全規(guī)劃與建設(shè)，確保策略和制度得到恰當(dāng)?shù)睦斫獠⒌玫接行У淖裱蛨?zhí)行；

（二）加強(qiáng)信息系統(tǒng)資產(chǎn)安全管理，保護(hù)信息系統(tǒng)設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全，實(shí)行信息系統(tǒng)資產(chǎn)管理責(zé)任制，實(shí)現(xiàn)等級(jí)管理、密級(jí)管理，重點(diǎn)保護(hù)核心信息系統(tǒng)資產(chǎn)的安全；

（三）強(qiáng)化信息系統(tǒng)的物理安全保護(hù)，執(zhí)行嚴(yán)格的機(jī)房安全管理、環(huán)境安全管理和有效的物理控制措施；

（四）建立信息系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等各層面的安全管理流程，實(shí)現(xiàn)對(duì)信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行、維護(hù)各個(gè)階段的安全管理，開(kāi)發(fā)與運(yùn)營(yíng)獨(dú)立管理，嚴(yán)格執(zhí)行日常的實(shí)時(shí)管理和定期管理工作；

（五）實(shí)現(xiàn)對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理，對(duì)信息資產(chǎn)、威脅和脆弱性的狀況進(jìn)行定期評(píng)估，及時(shí)發(fā)現(xiàn)安全隱患并進(jìn)行預(yù)防性的保護(hù)，選擇適用、有效的安全措施。

第十五條 主體單位應(yīng)建立有效的信息安全技術(shù)體系：

（一）建立完善的安全預(yù)警體系，及時(shí)發(fā)現(xiàn)安全隱患；

（二）強(qiáng)化現(xiàn)有的安全防護(hù)體系，實(shí)現(xiàn)對(duì)核心業(yè)務(wù)系統(tǒng)的重點(diǎn)保護(hù)；

（三）建立有效的安全監(jiān)控體系，監(jiān)控核心業(yè)務(wù)系統(tǒng)，為進(jìn)一步完善信息安全體系提供決策依據(jù)；

（四）建立全面的應(yīng)急響應(yīng)體系，制定規(guī)范、完整的應(yīng)急處理和響應(yīng)流程，定期進(jìn)行應(yīng)急恢復(fù)的演練和測(cè)試，完善信息安全通報(bào)機(jī)制；

（五）按照不同的安全保護(hù)等級(jí)建立相應(yīng)的災(zāi)難恢復(fù)體系，定期進(jìn)行災(zāi)難恢復(fù)的演練和測(cè)試，確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。

第五章 附則

第十六條 中國(guó)證監(jiān)會(huì)對(duì)證券期貨業(yè)信息系統(tǒng)安全保障情況組織安全檢查，檢查方式包括自檢查、委托檢查等方式。

第十七條 本辦法由中國(guó)證監(jiān)會(huì)負(fù)責(zé)解釋。

第十八條 本辦法自印發(fā)之日起執(zhí)行。

發(fā)布部門：中國(guó)證券監(jiān)督管理委員會(huì) 發(fā)布日期：2005年04月08日 實(shí)施日期：2005年04月08日(中央法規(guī))

第三篇：80分C14013《證券期貨業(yè)信息安全保障管理辦法》解讀

一、單項(xiàng)選擇題

1.下列各項(xiàng)中屬于證券期貨行業(yè)信息技術(shù)法規(guī)體系中技術(shù)標(biāo)準(zhǔn)特點(diǎn)的是（）。

A.行業(yè)協(xié)會(huì)組織制定并發(fā)布，引導(dǎo)性強(qiáng)

B.監(jiān)管部門制定并發(fā)布，政策性強(qiáng)

C.交易所組織制定并發(fā)布，專業(yè)性強(qiáng)

D.監(jiān)管部門組織制定并發(fā)布，技術(shù)性強(qiáng)

2.下列各項(xiàng)中，屬于行業(yè)信息技術(shù)法規(guī)體系中基金管理公司類別的是（）。

A.《關(guān)于進(jìn)一步加強(qiáng)期貨公司信息技術(shù)管理工作的指導(dǎo)意見(jiàn)》

B.《關(guān)于證券公司為期貨公司提供中間介紹業(yè)務(wù)信息技術(shù)有關(guān)問(wèn)題的通知》

C.《期貨公司信息技術(shù)管理指引（修訂）》

D.《證券投資基金銷售業(yè)務(wù)信息管理平臺(tái)管理規(guī)定》

二、多項(xiàng)選擇題

3.下列選項(xiàng)中屬于證券期貨市場(chǎng)經(jīng)營(yíng)機(jī)構(gòu)的是（）。

A.期貨公司

B.證券期貨服務(wù)機(jī)構(gòu)

C.證券公司

D.基金管理公司

4.國(guó)家信息安全管理的主要規(guī)定包括（）等。

A.《計(jì)算機(jī)病毒防治管信理辦法》

B.《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》

C.《軟件產(chǎn)品管理辦法》

D.《信息安全等級(jí)保護(hù)管理辦法》

5.根據(jù)《證券期貨業(yè)信息安全保障管理辦法》的相關(guān)規(guī)定，下列有關(guān)行業(yè)自律的描述中正確的有（）。

A.應(yīng)當(dāng)制定信息技術(shù)指引，督促、引導(dǎo)會(huì)員執(zhí)行國(guó)家和行業(yè)信息安全相關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)

B.應(yīng)當(dāng)引導(dǎo)鼓勵(lì)行業(yè)信息技術(shù)研究與創(chuàng)新，增強(qiáng)自主可控能力，組織開(kāi)展科技獎(jiǎng)勵(lì)，促進(jìn)行業(yè)科技進(jìn)步

C.應(yīng)當(dāng)引導(dǎo)行業(yè)加強(qiáng)信息技術(shù)人才隊(duì)伍建設(shè)，定期組織信息技術(shù)培訓(xùn)和交流，提高信息技術(shù)人員執(zhí)業(yè)素

質(zhì)

D.應(yīng)當(dāng)引導(dǎo)供應(yīng)商規(guī)范參與行業(yè)信息化與信息安全工作，促進(jìn)市場(chǎng)公平競(jìng)爭(zhēng)，促進(jìn)供應(yīng)商與市場(chǎng)相關(guān)主

體共同發(fā)展

6.《證券期貨業(yè)信息安全保障管理辦法》規(guī)定的責(zé)任主體包括（）。

A.證券公司、期貨公司、基金管理公司、證券期貨服務(wù)機(jī)構(gòu)等證券期貨經(jīng)營(yíng)機(jī)構(gòu)

B.承擔(dān)證券期貨市場(chǎng)公共職能的機(jī)構(gòu)

C.承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營(yíng)的機(jī)構(gòu)等證券期貨市場(chǎng)核心機(jī)構(gòu)及其下屬機(jī)構(gòu)

D.開(kāi)展證券客戶交易結(jié)算資金第三方存管業(yè)務(wù)，銀證、銀期、銀基轉(zhuǎn)賬和結(jié)算業(yè)務(wù)，基金托管和銷售業(yè)務(wù)的機(jī)構(gòu)

三、判斷題

7.《證券期貨業(yè)信息安全保障管理辦法》是證券期貨行業(yè)信息化與信息安全領(lǐng)域?qū)哟巫罡摺⒆钪匾囊?guī)定。（）

正確

錯(cuò)誤

8.根據(jù)《證券期貨業(yè)信息安全保障管理辦法》的相關(guān)規(guī)定，涉及證券期貨交易、行情、開(kāi)戶、結(jié)算等軟件產(chǎn)品或者技術(shù)服務(wù)的采購(gòu)合同，應(yīng)當(dāng)約定供應(yīng)商須接受中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)的信息安全延伸檢查。（）

正確

錯(cuò)誤

9.證券期貨交易所、登記結(jié)算機(jī)構(gòu)等核心機(jī)構(gòu)和證券期貨基金公司等經(jīng)營(yíng)機(jī)構(gòu)與證券期貨業(yè)務(wù)直接相關(guān)的信息系統(tǒng)安全（建設(shè)、互聯(lián)、運(yùn)行、維護(hù)等）應(yīng)納入證券期貨監(jiān)管范圍，由行業(yè)協(xié)會(huì)負(fù)責(zé)制定規(guī)范予以規(guī)范。（）

正確

錯(cuò)誤 10.根據(jù)《證券期貨業(yè)信息安全保障管理辦法》的相關(guān)規(guī)定，核心機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)市場(chǎng)相關(guān)主體正確運(yùn)行維護(hù)與本機(jī)構(gòu)互聯(lián)的系統(tǒng)和通信設(shè)施。（）

正確

錯(cuò)誤

第四篇：關(guān)于《證券期貨業(yè)信息安全保障管理辦法(征求意見(jiàn)稿)》的起草說(shuō)明

關(guān)于《證券期貨業(yè)信息安全保障管理辦法

(征求意見(jiàn)稿）》的起草說(shuō)明

一、起草背景

證券期貨行業(yè)高度依賴信息技術(shù)，證券期貨信息技術(shù)系統(tǒng)是資本市場(chǎng)關(guān)鍵的基礎(chǔ)設(shè)施，證券期貨業(yè)信息安全保障關(guān)系到證券期貨市場(chǎng)的穩(wěn)定運(yùn)行和健康發(fā)展，關(guān)系到國(guó)家金融安全和社會(huì)穩(wěn)定，對(duì)保護(hù)投資者交易安全和財(cái)產(chǎn)安全具有十分重要的意義。為了加強(qiáng)對(duì)信息安全的監(jiān)管，督促市場(chǎng)主體切實(shí)保障信息安全，中國(guó)證監(jiān)會(huì)于2005年制定了《證券期貨業(yè)信息安全保障管理暫行辦法》（證監(jiān)信息字[2005]5號(hào)）。但是，目前行業(yè)信息安全的管理體制和監(jiān)管要求已經(jīng)發(fā)生較大變化，該辦法已經(jīng)不能適應(yīng)新的變化。近幾年，中國(guó)證監(jiān)會(huì)從行業(yè)實(shí)際出發(fā)，重點(diǎn)加強(qiáng)了信息安全工作，成立了證券期貨業(yè)信息化工作領(lǐng)導(dǎo)小組，逐步形成了職責(zé)清晰、合理高效的行業(yè)信息安全管理體制和工作機(jī)制，因此，在充分總結(jié)經(jīng)驗(yàn)的基礎(chǔ)上，中國(guó)證監(jiān)會(huì)研究制定了《證券期貨業(yè)信息安全保障管理辦法》（以下簡(jiǎn)稱《管理辦法》），以規(guī)章形式固化已經(jīng)形成的、行之有效的體制機(jī)制和監(jiān)管要求，確立行業(yè)信息安全保障的長(zhǎng)效機(jī)制。

二、立法的依據(jù)

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）中明確要求“重點(diǎn)維護(hù)國(guó)家事務(wù)、經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的安全”。國(guó)家有關(guān)文件中提出“銀行、電力、民航、鐵路、證券、海關(guān)、稅務(wù)、保險(xiǎn)等信息系統(tǒng)的安全直接關(guān)系到國(guó)民經(jīng)濟(jì)的正常運(yùn)行、群眾生活、社會(huì)穩(wěn)定和國(guó)家安全”、“要重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全”?！蹲C券法》、《證券投資基金法》和《期貨交易管理?xiàng)l例》等法律法規(guī)明確要求證券公司、基金管理公司和期貨公司等證券期貨經(jīng)營(yíng)機(jī)構(gòu)“有合格的經(jīng)營(yíng)場(chǎng)所和業(yè)務(wù)設(shè)施”，要求證券期貨交易所等市場(chǎng)核心機(jī)構(gòu)“提供交易的場(chǎng)所和設(shè)施”，要求證監(jiān)會(huì)“維護(hù)證券市場(chǎng)秩序，保障其合法運(yùn)行”。

為了貫徹落實(shí)國(guó)家以及證券期貨行業(yè)法律、法規(guī)的要求，完善行業(yè)信息安全管理機(jī)制，防范信息安全風(fēng)險(xiǎn)，中國(guó)證監(jiān)會(huì)依法制定《管理辦法》，確立行業(yè)信息安全監(jiān)管的體制，明確市場(chǎng)主體的信息安全保障責(zé)任，提出信息安全工作的要求。

三、《管理辦法》的主要內(nèi)容

《管理辦法》包括總則、基本要求、持續(xù)保障要求、產(chǎn)品及服務(wù)要求、行業(yè)自律、監(jiān)督管理和附則，共七章五十一條。

（一）辦法的適用范圍

證券期貨業(yè)信息安全保障、管理、監(jiān)督等相關(guān)活動(dòng)均適用本辦法。適用主體包括：

1、承擔(dān)證券期貨市場(chǎng)公共職能的機(jī)構(gòu)、承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營(yíng)的機(jī)構(gòu)等證券期貨市場(chǎng)核心機(jī)構(gòu)及其下屬機(jī)構(gòu)（以下簡(jiǎn)稱“核心機(jī)構(gòu)”），如，證券交易所、期貨交易所、中國(guó)證券登記結(jié)算公司、中國(guó)證券投資者保護(hù)基金公司、中國(guó)期貨保證金監(jiān)控中心公司等機(jī)構(gòu)及其下屬機(jī)構(gòu)等；

2、證券公司、期貨公司、基金管理公司、證券期貨服務(wù)機(jī)構(gòu)等證券期貨經(jīng)營(yíng)機(jī)構(gòu)（以下簡(jiǎn)稱“經(jīng)營(yíng)機(jī)構(gòu)”）；

3、開(kāi)展證券客戶交易結(jié)算資金第三方存管業(yè)務(wù)，銀證、銀期、銀基轉(zhuǎn)賬和結(jié)算業(yè)務(wù)，基金托管和銷售業(yè)務(wù)的機(jī)構(gòu)等。

《管理辦法》明確規(guī)定核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)依法開(kāi)展信息安全工作，保護(hù)投資者交易安全和數(shù)據(jù)安全，并對(duì)本機(jī)構(gòu)信息系統(tǒng)安全運(yùn)行承擔(dān)責(zé)任。

（二）基本要求

《管理辦法》第二章從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)隔離、信息系統(tǒng)、安全防護(hù)能力和管理制度等方面對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有的基礎(chǔ)設(shè)施和基本制度作出規(guī)定，并從信息系統(tǒng)的自主研發(fā)能力、市場(chǎng)安全互聯(lián)和業(yè)務(wù)規(guī)則等方面對(duì)核心機(jī)構(gòu)提出特別要求，作為中國(guó)證監(jiān)會(huì)作出行政許可或者驗(yàn)收準(zhǔn)入的基本標(biāo)準(zhǔn)。

（三）持續(xù)保障要求

證券期貨業(yè)務(wù)的特殊性要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)持續(xù)保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，保障業(yè)務(wù)活動(dòng)的連續(xù)進(jìn)行和數(shù)據(jù)的安全?！豆芾磙k法》第三章從人員和經(jīng)費(fèi)保障、系統(tǒng)的升級(jí)變更、設(shè)施和系統(tǒng)的運(yùn)行維護(hù)、數(shù)據(jù)備份和集中保存、風(fēng)險(xiǎn)控制和應(yīng)急處置、信息保密、內(nèi)部審計(jì)等方面對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的信息安全保障工作作出規(guī)定，并從重要信息系統(tǒng)上線或者變更、組織行業(yè)應(yīng)急演練、建設(shè)和運(yùn)營(yíng)行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施、指導(dǎo)市場(chǎng)主體正確運(yùn)行維護(hù)互聯(lián)設(shè)施等方面對(duì)核心機(jī)構(gòu)提出了特別要求。

考慮到證券、基金、期貨等行業(yè)特征不同，體現(xiàn)在信息技術(shù)的要求上也會(huì)不同，《管理辦法》對(duì)相關(guān)基本要求和持續(xù)保障要求僅作原則性規(guī)定，中國(guó)證監(jiān)會(huì)和自律組織可以根據(jù)《管理辦法》，制定規(guī)范性文件、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)等進(jìn)一步細(xì)化相關(guān)技術(shù)指標(biāo)。

（四）產(chǎn)品和服務(wù)采購(gòu)管理

目前，行業(yè)的重要信息系統(tǒng)大型設(shè)備、基礎(chǔ)軟件大部分來(lái)自于采購(gòu)。計(jì)算機(jī)軟硬件供應(yīng)商和技術(shù)服務(wù)提供商（以下簡(jiǎn)稱供應(yīng)商）的基礎(chǔ)條件對(duì)證券期貨業(yè)的信息安全影響重大。因此，《管理辦法》第四章對(duì)產(chǎn)品和服務(wù)采購(gòu)的管理單獨(dú)設(shè)置章節(jié)予以規(guī)范。

《管理辦法》要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)建立完善的供應(yīng)商管理機(jī)制，通過(guò)對(duì)供應(yīng)商進(jìn)行資質(zhì)審查、簽訂完備的合同

和保密協(xié)議等保障產(chǎn)品和服務(wù)質(zhì)量；并通過(guò)合同約定，要求供應(yīng)商接受中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)的信息安全延伸檢查。同時(shí)，探索通過(guò)證券期貨行業(yè)協(xié)會(huì)引導(dǎo)和規(guī)范供應(yīng)商行為。對(duì)于軟硬件產(chǎn)品或者技術(shù)服務(wù)不符合要求，影響核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)持續(xù)經(jīng)營(yíng)的，中國(guó)證監(jiān)會(huì)有權(quán)要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)予以改進(jìn)或者更換。

（五）行業(yè)自律和監(jiān)督管理

《管理辦法》明確了中國(guó)證監(jiān)會(huì)和自律組織在信息安全管理方面的職責(zé)分工，明確了中國(guó)證監(jiān)會(huì)在監(jiān)督檢查和信息技術(shù)事故調(diào)查中可以采取的措施，對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的備案、報(bào)告義務(wù)等作出了規(guī)定，列舉了核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)信息安全保障不符合要求的法律責(zé)任。

此外，由于《證券期貨業(yè)信息安全保障管理暫行辦法》的相關(guān)規(guī)定已經(jīng)被本辦法覆蓋，因此，《管理辦法》第七章規(guī)定，本辦法發(fā)布實(shí)施后，將同時(shí)廢止《證券期貨業(yè)信息安全保障管理暫行辦法》。

第五篇：證券期貨業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法

證券期貨業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法

2009年07月20日 16:00 來(lái)源： 金融界網(wǎng)站 【字體：大 中 小】 網(wǎng)友評(píng)論

（2005年2月1日 證監(jiān)信息字〔2005〕1號(hào)）

第一條為規(guī)范證券期貨行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作，切實(shí)保護(hù)投資者合法權(quán)益，依據(jù)國(guó)家有關(guān)規(guī)定，制定本辦法。

第二條證券期貨行業(yè)信息安全保障協(xié)調(diào)小組（以下簡(jiǎn)稱協(xié)調(diào)小組）負(fù)責(zé)行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作的決策、組織、協(xié)調(diào)工作，協(xié)調(diào)小組成員單位包括中國(guó)證監(jiān)會(huì)、上海證券交易所、深圳證券交易所、上海期貨交易所、大連商品交易所、鄭州商品交易所、中國(guó)證券登記結(jié)算公司、中國(guó)證券業(yè)協(xié)會(huì)和中國(guó)期貨業(yè)協(xié)會(huì)。信息通報(bào)單位包括證券、期貨交易所，中國(guó)證券登記結(jié)算公司，各證券公司、基金管理公司、期貨公司，證券、期貨投資咨詢公司以及其他由證監(jiān)會(huì)核準(zhǔn)注冊(cè)成立的機(jī)構(gòu)（以下簡(jiǎn)稱通報(bào)單位）.第三條中國(guó)證監(jiān)會(huì)信息中心是協(xié)調(diào)小組的執(zhí)行部門，負(fù)責(zé)向國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心報(bào)告證券期貨行業(yè)的網(wǎng)絡(luò)信息安全信息;負(fù)責(zé)將國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)布的信息報(bào)告、病毒與網(wǎng)絡(luò)攻擊預(yù)警等按要求向協(xié)調(diào)小組單位成員傳達(dá)，并通過(guò)中國(guó)證券業(yè)協(xié)會(huì)和中國(guó)期貨業(yè)協(xié)會(huì)向各自歸口的通報(bào)單位傳達(dá)。

中國(guó)證監(jiān)會(huì)信息中心作為協(xié)調(diào)小組中各通報(bào)單位的歸口單位，負(fù)責(zé)這些單位網(wǎng)絡(luò)與信息安全信息的匯總、整理。

中國(guó)證券業(yè)協(xié)會(huì)負(fù)責(zé)證券公司、基金管理公司、證券投資咨詢公司等單位的網(wǎng)絡(luò)與信息安全信息匯總和反饋工作，并作為上述機(jī)構(gòu)的歸口單位向中國(guó)證監(jiān)會(huì)信息中心報(bào)告。

中國(guó)期貨業(yè)協(xié)會(huì)負(fù)責(zé)期貨公司、期貨投資咨詢公司等單位的網(wǎng)絡(luò)與信息安全信息匯總和反饋工作，并作為上述機(jī)構(gòu)的歸口單位向中國(guó)證監(jiān)會(huì)信息中心報(bào)告。

第四條各通報(bào)單位按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則，做好各自單位的信息安全通報(bào)工作。各單位信息安全工作的責(zé)任人（主管領(lǐng)導(dǎo)）為本單位信息安全通報(bào)工作的責(zé)任人。

各通報(bào)單位應(yīng)落實(shí)承擔(dān)網(wǎng)絡(luò)與信息安全信息通報(bào)工作的職能部門、負(fù)責(zé)人和聯(lián)絡(luò)員，制定本單位內(nèi)部的信息報(bào)告流程和相應(yīng)的責(zé)任制，并填寫信息安全報(bào)告基本情況備案表（見(jiàn)附件一）報(bào)歸口單位備案。

各通報(bào)單位要及時(shí)將本單位網(wǎng)絡(luò)與信息系統(tǒng)出現(xiàn)的安全事故上報(bào)歸口單位，并負(fù)責(zé)將來(lái)自歸口單位的信息安全通告以及其他通知、要求及時(shí)傳達(dá)到有關(guān)責(zé)任人。

第五條各通報(bào)單位實(shí)行7×24小時(shí)聯(lián)絡(luò)制度，指定一名聯(lián)絡(luò)員，一名后備聯(lián)絡(luò)員。聯(lián)絡(luò)員和后備聯(lián)絡(luò)員應(yīng)有及時(shí)準(zhǔn)確的通訊聯(lián)絡(luò)方式；聯(lián)絡(luò)方式如有變動(dòng)，應(yīng)填寫基本情況變動(dòng)更新表（見(jiàn)附件一）及時(shí)報(bào)告歸口單位。歸口單位要及時(shí)維護(hù)和更新聯(lián)絡(luò)通信錄，并在通報(bào)體系中公告。

第六條事故報(bào)告。通報(bào)單位的重要網(wǎng)絡(luò)與信息系統(tǒng)在運(yùn)行中出現(xiàn)異常情況，造成不良影響或損失的，應(yīng)按照應(yīng)急預(yù)案及時(shí)處置，同時(shí)應(yīng)將事故發(fā)生的情況、危害程度、處置措施、分析研判等內(nèi)容編寫成事故報(bào)告，及時(shí)上報(bào)歸口單位（事故分級(jí)、報(bào)告要素及要求見(jiàn)附件二及編制說(shuō)明）.第七條信息安全運(yùn)行月報(bào)。為及時(shí)反映行業(yè)信息安全狀況，保持行業(yè)信息安全通報(bào)系統(tǒng)的暢通，各通報(bào)單位每月應(yīng)以信息安全運(yùn)行月報(bào)（格式見(jiàn)附件三）的形式向歸口單位報(bào)告信息系統(tǒng)運(yùn)行情況。

信息安全運(yùn)行月報(bào)的內(nèi)容為各通報(bào)單位信息系統(tǒng)運(yùn)行中出現(xiàn)并得到及時(shí)處置的異常情況匯總和分析、研判，無(wú)異常情況的，要進(jìn)行平安運(yùn)行報(bào)告。對(duì)已按事故報(bào)告要求上報(bào)的情況，要在運(yùn)行月報(bào)中說(shuō)明。

各通報(bào)單位應(yīng)在每個(gè)月前5個(gè)工作日內(nèi)將上個(gè)月的系統(tǒng)運(yùn)行情況上報(bào)歸口單位。

第八條敏感時(shí)期報(bào)告。中國(guó)證監(jiān)會(huì)信息中心根據(jù)國(guó)家有關(guān)規(guī)定和需要啟動(dòng)敏感時(shí)期報(bào)告制度，并規(guī)定行業(yè)內(nèi)敏感時(shí)期報(bào)告的啟動(dòng)與截止日期、日?qǐng)?bào)告的截止時(shí)間等要素。

各通報(bào)單位在收到啟動(dòng)敏感時(shí)期報(bào)告的通知以后，根據(jù)要求每日以敏感時(shí)期信息安全報(bào)告（見(jiàn)附件四）的形式上報(bào)本單位信息系統(tǒng)運(yùn)行狀況。報(bào)告內(nèi)容包括信息安全運(yùn)行月報(bào)、事故報(bào)告應(yīng)報(bào)的范圍。無(wú)異常情況的，要進(jìn)行平安運(yùn)行報(bào)告。

各通報(bào)單位在敏感時(shí)期應(yīng)有專人值守。

第九條信息安全通告。中國(guó)證監(jiān)會(huì)信息中心、中國(guó)證券業(yè)協(xié)會(huì)、中國(guó)期貨業(yè)協(xié)會(huì)等信息通報(bào)歸口單位，通過(guò)信息通報(bào)體系，向各通報(bào)單位定期或不定期地發(fā)布下列信息安全通告：

國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)布的報(bào)告和預(yù)警；

行業(yè)信息安全月報(bào)的匯總分析；

行業(yè)信息系統(tǒng)運(yùn)行中帶有普遍性的安全隱患或趨勢(shì)；

有關(guān)信息安全的通知、規(guī)定、技術(shù)標(biāo)準(zhǔn)、指引等；

其他需要及時(shí)向報(bào)告單位通報(bào)的信息。

各通報(bào)單位在收到歸口單位的信息安全通告后，應(yīng)及時(shí)傳達(dá)到相關(guān)責(zé)任人，采取相應(yīng)措施。

第十條各通報(bào)單位應(yīng)切實(shí)保證信息通報(bào)和聯(lián)絡(luò)渠道的暢通。敏感時(shí)期報(bào)告和信息安全運(yùn)行月報(bào)可使用電子文件的形式報(bào)送。對(duì)于事故報(bào)告，應(yīng)同時(shí)使用書面和電子文件的形式進(jìn)行報(bào)送。對(duì)于有保密要求的，應(yīng)使用符合要求的加密設(shè)備進(jìn)行報(bào)送。

第十一條各通報(bào)單位應(yīng)保證上報(bào)要素完備、及時(shí)、準(zhǔn)確，不得瞞報(bào)、緩報(bào)、謊報(bào)網(wǎng)絡(luò)與信息安全事件的情況。接報(bào)單位應(yīng)保證及時(shí)接收、準(zhǔn)確記錄上報(bào)信息。

第十二條各單位應(yīng)制定相應(yīng)的保密和檔案管理措施，妥善管理上報(bào)材料，包括各單位進(jìn)行信息安全通報(bào)過(guò)程中往來(lái)電話記錄（手機(jī)或固定電話）、紙質(zhì)或電子文件、傳真件等，存檔備查。

第十三條對(duì)于認(rèn)真履行本辦法，及時(shí)報(bào)告網(wǎng)絡(luò)與信息安全事故的單位及個(gè)人，予以通報(bào)表?yè)P(yáng)。對(duì)違反本辦法及相關(guān)制度的單位及個(gè)人，予以通報(bào)批評(píng)；情節(jié)嚴(yán)重的，予以行政處分。

第十四條本辦法自發(fā)布之日起實(shí)施。本辦法由中國(guó)證監(jiān)會(huì)負(fù)責(zé)解釋。

附件一：信息安全報(bào)告基本情況備案、變動(dòng)更新表

附件二：證券期貨業(yè)網(wǎng)絡(luò)與信息安全事故報(bào)告

附件三：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(bào)

附件四：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)敏感時(shí)期安全情況日?qǐng)?bào)

附件一：信息安全報(bào)告基本情況備案、變動(dòng)更新表

附件二：證券期貨業(yè)網(wǎng)絡(luò)與信息安全事故報(bào)告

附件二填制說(shuō)明：

事故標(biāo)準(zhǔn)及報(bào)告要求

重要業(yè)務(wù)系統(tǒng)出現(xiàn)異常，系統(tǒng)恢復(fù)時(shí)間（RTO-Recovery Time Objective）在30分鐘以內(nèi)；

因病毒、攻擊、擁堵等使系統(tǒng)異常，給市場(chǎng)或客戶造成可感知的影響，但交易時(shí)段2個(gè)小時(shí)內(nèi)恢復(fù)的；

系統(tǒng)數(shù)據(jù)完整性被破壞，但在1個(gè)交易日內(nèi)能夠修復(fù)的；

災(zāi)害事故（停電、水災(zāi)、火災(zāi)等）發(fā)生后，重要業(yè)務(wù)系統(tǒng)能在1個(gè)交易日恢復(fù)正常；

網(wǎng)站上出現(xiàn)有害信息，但能及時(shí)刪除、屏蔽并保留審計(jì)線索的；

通信線路發(fā)生故障且對(duì)業(yè)務(wù)造成不良影響，1個(gè)交易日內(nèi)系統(tǒng)恢復(fù)正常；

敏感業(yè)務(wù)數(shù)據(jù)泄漏。

各通報(bào)單位的重要信息系統(tǒng)，凡是出現(xiàn)上述情況，都要在2天內(nèi)，將事故發(fā)生的情況、處置措施、影響分析，以事故報(bào)告的形式，及時(shí)上報(bào)歸口單位。

重大事故標(biāo)準(zhǔn)及報(bào)告要求

各信息報(bào)告單位重要信息系統(tǒng)出現(xiàn)重大故障，已經(jīng)（或預(yù)計(jì)將）造成重大損失（100萬(wàn)元以上），或給客戶/市場(chǎng)帶來(lái)重大不良影響的。包括但不限于：

重要業(yè)務(wù)系統(tǒng)出現(xiàn)異常，系統(tǒng)恢復(fù)時(shí)間（RTO-Recovery Time Objective）在30分鐘以上；

因病毒、攻擊、擁堵等使系統(tǒng)異常，給市場(chǎng)或客戶造成可感知的影響，且交易時(shí)段2個(gè)小時(shí)內(nèi)沒(méi)有恢復(fù)；

業(yè)務(wù)數(shù)據(jù)完整性被破壞，且在1個(gè)交易日內(nèi)沒(méi)有修復(fù)；

通信線路發(fā)生故障，對(duì)業(yè)務(wù)造成嚴(yán)重影響，且在1個(gè)交易日系統(tǒng)沒(méi)有恢復(fù)正常；

災(zāi)害事故（停電、水災(zāi)、火災(zāi)等）發(fā)生后，重要業(yè)務(wù)系統(tǒng)在一個(gè)交易日系統(tǒng)沒(méi)有恢復(fù)正常；

網(wǎng)站上出現(xiàn)有害信息，且未能及時(shí)刪除、屏蔽或未能保留審計(jì)線索的。

各通報(bào)單位的重要信息系統(tǒng)，凡是出現(xiàn)上述情況，都要在事故確認(rèn)的當(dāng)日（或6小時(shí)之內(nèi)），將事故發(fā)生的情況、影響分析、目前的狀況、已經(jīng)采取的處置措施等，以重大事故報(bào)告的形式，上報(bào)歸口單位。

其中，交易、通信、清算等帶有全局性的重大系統(tǒng)故障，在及時(shí)啟動(dòng)應(yīng)急預(yù)案的同時(shí)，還要在2小時(shí)內(nèi)將事故情況上報(bào)中國(guó)證監(jiān)會(huì)信息中心。

災(zāi)難事故標(biāo)準(zhǔn)及報(bào)告要求

因自然災(zāi)難、人為故意破壞以及其他意外因素，使本單位重要業(yè)務(wù)系統(tǒng)不能正常運(yùn)行，并造成惡劣影響或嚴(yán)重?fù)p失的，預(yù)計(jì)有效處置或消除其不良影響需要?jiǎng)訂T大量社會(huì)資源的，應(yīng)在事故發(fā)生后，立即上報(bào)歸口單位。

附件三：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(bào)

附件四：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)敏感時(shí)期安全情況日?qǐng)?bào)