《證券期貨業(yè)信息安全保障管理辦法》中國證券監督管理委員會(huì )令第82號

中國證券監督管理委員會(huì )令第82號

《證券期貨業(yè)信息安全保障管理辦法》已經(jīng)2012年8月23日中國證券監督管理委員會(huì )第22次主席辦公會(huì )議審議通過(guò)，現予公布，自2012年11月1日起施行。

 

附件：《證券期貨業(yè)信息安全保障管理 辦法》.doc

中國證券監督管理委員會(huì )主席：郭樹(shù)清

2012年9月24日

 

 

證券期貨業(yè)信息安全保障管理辦法
 

第一章  總則
 

第一條  為了保障證券期貨信息系統安全運行，加強證券期貨業(yè)信息安全管理工作，促進(jìn)證券期貨市場(chǎng)穩定健康發(fā)展，保護投資者合法權益，根據《中華人民共和國證券法》、《中華人民共和國證券投資基金法》、《期貨交易管理條例》及信息安全保障相關(guān)的法律、行政法規，制定本辦法。

第二條  證券期貨業(yè)信息安全保障、管理、監督等工作適用本辦法。

第三條  證券期貨業(yè)信息安全保障工作實(shí)行“誰(shuí)運行、誰(shuí)負責，誰(shuí)使用、誰(shuí)負責”、安全優(yōu)先、保障發(fā)展的原則。

第四條  證券期貨業(yè)信息安全保障的責任主體應當執行國家信息安全相關(guān)法律、行政法規和行業(yè)相關(guān)技術(shù)管理規定、技術(shù)規則、技術(shù)指引和技術(shù)標準，開(kāi)展信息安全工作，保護投資者交易安全和數據安全，并對本機構信息系統安全運行承擔責任。

前款所稱(chēng)責任主體，包括承擔證券期貨市場(chǎng)公共職能的機構、承擔證券期貨行業(yè)信息技術(shù)公共基礎設施運營(yíng)的機構等證券期貨市場(chǎng)核心機構及其下屬機構（以下簡(jiǎn)稱(chēng)核心機構），證券公司、期貨公司、基金管理公司、證券期貨服務(wù)機構等證券期貨經(jīng)營(yíng)機構（以下簡(jiǎn)稱(chēng)經(jīng)營(yíng)機構）。

第五條  開(kāi)展證券客戶(hù)交易結算資金第三方存管業(yè)務(wù)，銀證、銀期、銀基轉賬和結算業(yè)務(wù)，基金托管和銷(xiāo)售業(yè)務(wù)的機構應當按照有關(guān)規定保障相關(guān)業(yè)務(wù)系統的安全運行。

第六條  為證券期貨業(yè)提供軟硬件產(chǎn)品或者技術(shù)服務(wù)的供應商（以下簡(jiǎn)稱(chēng)供應商），應當保證所提供的軟硬件產(chǎn)品或者技術(shù)服務(wù)符合國家及證券期貨業(yè)信息安全相關(guān)的技術(shù)管理規定、技術(shù)規則、技術(shù)指引和技術(shù)標準。

第七條  中國證監會(huì )支持、協(xié)助國家信息安全管理部門(mén)組織實(shí)施信息安全相關(guān)法律、行政法規，依法對證券期貨業(yè)信息安全保障工作實(shí)施監督管理。

中國證監會(huì )派出機構按照授權履行監督管理職責。

第八條  中國證監會(huì )及其派出機構與國家信息安全管理部門(mén)、相關(guān)行業(yè)管理部門(mén)建立信息安全協(xié)調機制，與國家有關(guān)專(zhuān)業(yè)安全機構和標準化組織建立信息安全合作機制。

第九條  證券、期貨、證券投資基金等行業(yè)協(xié)會(huì )（以下簡(jiǎn)稱(chēng)證券期貨行業(yè)協(xié)會(huì )）依照本辦法的規定，對會(huì )員的信息安全工作實(shí)行自律管理。

第十條  核心機構依照本辦法的規定，對市場(chǎng)相關(guān)主體關(guān)聯(lián)信息系統的安全保障工作進(jìn)行督促、指導。
 

第二章  基本要求
 

第十一條  核心機構和經(jīng)營(yíng)機構應當具有合格的基礎設施。機房、電力、空調、消防、通信等基礎設施的建設符合行業(yè)信息安全管理的有關(guān)規定。

第十二條  核心機構和經(jīng)營(yíng)機構應當設置合理的網(wǎng)絡(luò )結構，劃分安全區域，各安全區域之間應當進(jìn)行有效隔離，并具有防范、監控和阻斷來(lái)自?xún)韧獠烤W(wǎng)絡(luò )攻擊破壞的能力。

第十三條  核心機構和經(jīng)營(yíng)機構應當建立符合業(yè)務(wù)要求的信息系統。信息系統應當具有合理的架構，足夠的性能、容量、可靠性、擴展性和安全性，能夠支持業(yè)務(wù)的運行和發(fā)展。

第十四條  核心機構應當對交易、行情、開(kāi)戶(hù)、結算、風(fēng)控、通信等重要信息系統具有自主開(kāi)發(fā)能力，擁有執行程序和源代碼并安全可靠存放，在重要信息系統上線(xiàn)前對執行程序和源代碼進(jìn)行嚴格的審查和測試。

第十五條  核心機構和經(jīng)營(yíng)機構應當具有防范木馬、病毒等惡意代碼的能力，防止惡意代碼對信息系統造成破壞，防止信息泄露或者被篡改。

第十六條  核心機構和經(jīng)營(yíng)機構應當建立完善的信息技術(shù)治理架構，明確信息技術(shù)決策、管理、執行和內部監督的權責機制。

第十七條  核心機構和經(jīng)營(yíng)機構應當建立完善的信息技術(shù)管理制度和操作規程，并嚴格執行。

第十八條  核心機構應當制定本機構與市場(chǎng)相關(guān)主體信息系統安全互聯(lián)的技術(shù)規則，并報中國證監會(huì )備案。

核心機構依法督促市場(chǎng)相關(guān)主體執行技術(shù)規則。

第十九條  核心機構應當提供多種互為備份的遠程接入方式，保證市場(chǎng)相關(guān)主體安全接入，并對市場(chǎng)相關(guān)主體的遠程接入進(jìn)行監控與管理。
 

第三章  持續保障要求
 

第二十條  核心機構和經(jīng)營(yíng)機構應當保障充足、穩定的信息技術(shù)經(jīng)費投入，配備足夠的信息技術(shù)人員。

第二十一條  核心機構和經(jīng)營(yíng)機構應當根據行業(yè)規劃和本機構發(fā)展戰略，制定信息化與信息安全發(fā)展規劃，滿(mǎn)足業(yè)務(wù)發(fā)展和信息安全管理的需要。

第二十二條  核心機構和經(jīng)營(yíng)機構開(kāi)展信息系統新建、升級、變更、換代等建設項目，應當進(jìn)行充分論證和測試。

第二十三條  核心機構交易、行情、開(kāi)戶(hù)、結算、通信等重要信息系統上線(xiàn)或者進(jìn)行重大升級變更時(shí)，應當組織市場(chǎng)相關(guān)主體進(jìn)行聯(lián)網(wǎng)測試，并按規定進(jìn)行報告。

第二十四條  核心機構和經(jīng)營(yíng)機構應當規范開(kāi)展信息技術(shù)基礎設施和重要信息系統的運行維護，保障系統安全穩定運行。

第二十五條  核心機構應當指導市場(chǎng)相關(guān)主體正確運行維護與本機構互聯(lián)的系統和通信設施。

第二十六條  核心機構和經(jīng)營(yíng)機構應當建立數據備份設施，并按照規定在同城和異地保存備份數據。

第二十七條  核心機構和經(jīng)營(yíng)機構應當建立重要信息系統的故障備份設施和災難備份設施，保證業(yè)務(wù)活動(dòng)連續。

第二十八條  核心機構和經(jīng)營(yíng)機構應當按照規定向中國證監會(huì )指定的證券期貨業(yè)數據中心報送數據。報送的數據必須真實(shí)、完整、準確、及時(shí)。

證券期貨業(yè)數據中心應當按照中國證監會(huì )的有關(guān)規定開(kāi)展行業(yè)數據的集中保存工作，確保數據的安全、完整、可靠。

第二十九條  核心機構負責建設和運營(yíng)行業(yè)信息技術(shù)公共基礎設施。

第三十條  核心機構和經(jīng)營(yíng)機構應當加強信息安全保密管理，保障投資者信息安全。

第三十一條  核心機構和經(jīng)營(yíng)機構應當建立網(wǎng)絡(luò )與信息安全風(fēng)險檢測、監測、評估和預警機制，發(fā)現風(fēng)險隱患應當及時(shí)處置，并按照規定進(jìn)行報告。

第三十二條  核心機構和經(jīng)營(yíng)機構應當建立信息安全應急處置機制，及時(shí)處置突發(fā)信息安全事件，盡快恢復信息系統的正常運行，并按照規定進(jìn)行報告，不得遲報、漏報、瞞報。

核心機構和經(jīng)營(yíng)機構應當對信息安全事件進(jìn)行內部調查、責任追究和采取整改措施，并配合中國證監會(huì )及其派出機構對事件進(jìn)行調查處理。

與核心機構和經(jīng)營(yíng)機構發(fā)生信息安全事件相關(guān)的軟硬件產(chǎn)品或者技術(shù)服務(wù)供應商，應當配合相關(guān)調查工作。

第三十三條  核心機構應當每年組織市場(chǎng)相關(guān)主體進(jìn)行一次信息安全應急演練，并于實(shí)施前15個(gè)工作日向中國證監會(huì )報告。

第三十四條  核心機構和經(jīng)營(yíng)機構應當對信息技術(shù)人員進(jìn)行培訓，確保其具有履行崗位職責的能力。

第三十五條  核心機構和經(jīng)營(yíng)機構應當建立信息安全內部審計制度，定期開(kāi)展內部審計，對發(fā)現的問(wèn)題進(jìn)行整改。
 

第四章  產(chǎn)品及服務(wù)采購要求
 

第三十六條  核心機構和經(jīng)營(yíng)機構應當建立供應商管理制度，定期對供應商的資質(zhì)、專(zhuān)業(yè)經(jīng)驗、產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行了解和評估。

第三十七條  核心機構和經(jīng)營(yíng)機構在采購軟硬件產(chǎn)品或者技術(shù)服務(wù)時(shí)，應當與供應商簽訂合同和保密協(xié)議，并在合同和保密協(xié)議中明確約定信息安全和保密的權利和義務(wù)。

涉及證券期貨交易、行情、開(kāi)戶(hù)、結算等軟件產(chǎn)品或者技術(shù)服務(wù)的采購合同，應當約定供應商須接受中國證監會(huì )及其派出機構的信息安全延伸檢查。

第三十八條  核心機構和經(jīng)營(yíng)機構采購的軟硬件產(chǎn)品或者技術(shù)服務(wù)應當滿(mǎn)足審慎經(jīng)營(yíng)和風(fēng)險管理的要求。軟硬件產(chǎn)品或者技術(shù)服務(wù)不符合要求，影響核心機構和經(jīng)營(yíng)機構持續經(jīng)營(yíng)的，中國證監會(huì )有權要求核心機構和經(jīng)營(yíng)機構予以改進(jìn)或者更換。
 

第五章  行業(yè)自律
 

第三十九條  證券期貨行業(yè)協(xié)會(huì )應當制定信息技術(shù)指引，督促、引導會(huì )員執行國家和行業(yè)信息安全相關(guān)規定和技術(shù)標準。

第四十條  證券期貨行業(yè)協(xié)會(huì )應當引導行業(yè)加強信息技術(shù)人才隊伍建設，定期組織信息技術(shù)培訓和交流，提高信息技術(shù)人員執業(yè)素質(zhì)。

第四十一條  證券期貨行業(yè)協(xié)會(huì )應當引導鼓勵行業(yè)信息技術(shù)研究與創(chuàng )新，增強自主可控能力，組織開(kāi)展科技獎勵，促進(jìn)行業(yè)科技進(jìn)步。

第四十二條  證券期貨行業(yè)協(xié)會(huì )應當引導供應商規范參與行業(yè)信息化與信息安全工作，促進(jìn)市場(chǎng)公平競爭，促進(jìn)供應商與市場(chǎng)相關(guān)主體共同發(fā)展。
 

第六章  監督管理
 

第四十三條  中國證監會(huì )建立統一組織、分級負責的信息安全監督管理體制。

中國證監會(huì )信息安全管理部門(mén)負責證券期貨業(yè)信息安全工作的組織、協(xié)調和指導；相關(guān)業(yè)務(wù)監管部門(mén)依照職責范圍對核心機構和經(jīng)營(yíng)機構的信息安全進(jìn)行監督、檢查；派出機構根據授權對轄區內經(jīng)營(yíng)機構的信息安全進(jìn)行監督、檢查。

第四十四條  中國證監會(huì )依法組織制定證券期貨業(yè)信息安全管理規定和技術(shù)標準。

第四十五條  中國證監會(huì )及其派出機構依照職責范圍，對核心機構和經(jīng)營(yíng)機構進(jìn)行信息安全檢查或者委托國家、行業(yè)有關(guān)專(zhuān)業(yè)安全機構進(jìn)行安全檢查。核心機構和經(jīng)營(yíng)機構應當配合檢查。

核心機構和經(jīng)營(yíng)機構的信息安全管理不能達到規定要求的，中國證監會(huì )及其派出機構責令其限期改正，改正前可以暫?；蛘呦拗破洳糠只蛘呷孔C券期貨經(jīng)營(yíng)業(yè)務(wù)活動(dòng)。

第四十六條  中國證監會(huì )及其派出機構可以要求核心機構和經(jīng)營(yíng)機構提供信息安全相關(guān)資料。

核心機構和經(jīng)營(yíng)機構應當及時(shí)、準確、完整地提供相關(guān)資料。

第四十七條  中國證監會(huì )組織制定證券期貨業(yè)信息安全應急預案，督促、指導行業(yè)開(kāi)展信息安全應急工作。

第四十八條  中國證監會(huì )有權對核心機構、經(jīng)營(yíng)機構的信息安全事件進(jìn)行調查處理。

對于損害投資者合法權益或者影響證券期貨市場(chǎng)安全穩定運行的信息安全事件，中國證監會(huì )依法對相關(guān)單位采取監督管理措施或者行政處罰。

第四十九條  中國證監會(huì )對發(fā)現的系統漏洞、安全隱患、產(chǎn)品缺陷進(jìn)行全行業(yè)通報。

第五十條  核心機構和經(jīng)營(yíng)機構違反本辦法規定，中國證監會(huì )可以視情節，依法對其采取責令改正、監管談話(huà)、出具警示函、公開(kāi)譴責、責令定期報告、責令處分有關(guān)人員、撤銷(xiāo)任職資格、暫?；蛘呦拗谱C券期貨經(jīng)營(yíng)業(yè)務(wù)活動(dòng)等措施；情節嚴重的，給予警告、罰款。
 

第七章  附  則
 

第五十一條  本辦法自2012年11月1日起施行?！蹲C券期貨業(yè)信息安全保障管理暫行辦法》（證監信息字〔2005〕5號）同時(shí)廢止。

本文鏈接：http://jumpstarthappiness.com/law/5659.html

本文關(guān)鍵詞： 證券, 期貨, 信息安全, 保障, 管理辦法, 證監會(huì )令第82號