中證協(xié)發(fā)〔2015〕8號 《證券公司網(wǎng)上證券信息系統技術(shù)指引》（2015年修訂版）

關(guān)于發(fā)布《證券公司網(wǎng)上證券信息系統技術(shù)指引》的通知

中證協(xié)發(fā)〔2015〕8號

各會(huì )員單位:

為保障網(wǎng)上證券信息系統的安全、可靠、高效運行,促進(jìn)證券公司網(wǎng)上開(kāi)展證券業(yè)務(wù)的健康有序發(fā)展,我會(huì )修訂了《證券公司網(wǎng)上證券信息系統技術(shù)指引》,現予以發(fā)布。本辦法自發(fā)布之日起施行。


附件:《證券公司網(wǎng)上證券信息系統技術(shù) 指引》

 

中國證券業(yè)協(xié)會(huì )

2015年3月13日

 

 

證券公司網(wǎng)上證券信息系統技術(shù)指引
 

第一章    總則
 

第一條 為保障網(wǎng)上證券信息系統的安全、可靠、高效運行，促進(jìn)證券公司網(wǎng)上開(kāi)展證券業(yè)務(wù)的健康有序發(fā)展，保護客戶(hù)的合法權益，依據《中華人民共和國證券法》、《中華人民共和國電子簽名法》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網(wǎng)絡(luò )國際聯(lián)網(wǎng)安全保護管理辦法》等國家相關(guān)法律法規，以及《證券期貨業(yè)信息安全保障管理辦法》等行業(yè)相關(guān)制度規范，制定本指引。

第二條 本指引所提出的各項要求，是證券公司網(wǎng)上證券信息系統應達到的基本要求。證券公司在開(kāi)展網(wǎng)上證券信息系統建設和運行過(guò)程中，應符合本指引規定的相關(guān)要求。

第三條 證券公司網(wǎng)上證券信息系統是證券公司通過(guò)互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)絡(luò )、其它開(kāi)放性公眾網(wǎng)絡(luò )或開(kāi)放性專(zhuān)用網(wǎng)絡(luò )基礎設施等開(kāi)放性網(wǎng)絡(luò )，向其客戶(hù)提供金融業(yè)務(wù)和服務(wù)的信息系統，包括證券公司的網(wǎng)絡(luò )設備、計算機設備、軟件、數據、專(zhuān)用通訊線(xiàn)路，以及客戶(hù)端軟件等。

第四條 證券公司利用網(wǎng)上證券信息系統開(kāi)展證券業(yè)務(wù)應當遵循如下基本原則：

（一）安全性原則：網(wǎng)上證券信息系統的建設應當建立風(fēng)險防范意識，保證在網(wǎng)上開(kāi)展證券業(yè)務(wù)的安全性。通過(guò)技術(shù)措施和管理手段，實(shí)現信息的保密性、完整性和服務(wù)可用性。

（二）系統性原則：網(wǎng)上證券信息系統的建設應當覆蓋安全保障體系的各個(gè)方面，包括但不限于：安全體系規劃和建設、證券業(yè)務(wù)安全運行、運維和安全保障、災難恢復和應急措施等。

（三）可用性原則：網(wǎng)上證券信息系統的建設應當在保障安全的原則下，確保在網(wǎng)上開(kāi)展證券業(yè)務(wù)的連續性和可靠性。

第五條 中國證券業(yè)協(xié)會(huì )對證券公司執行本指引的情況實(shí)施自律管理。
 

第二章    基本要求
 

第六條 證券公司對網(wǎng)上證券信息系統應當統一規劃、統一管理，保證在網(wǎng)上開(kāi)展證券業(yè)務(wù)安全、有序發(fā)展。

第七條 證券公司應當根據國家相關(guān)法律法規，信息系統安全等級保護要求、運維管理規范、信息系統備份能力標準、行業(yè)信息安全管理制度，以及監管機關(guān)的相關(guān)實(shí)施指導意見(jiàn)，做好網(wǎng)上證券信息系統的信息安全管理、運維管理和備份能力建設等工作。

第八條 證券公司應當將在網(wǎng)上開(kāi)展證券業(yè)務(wù)的風(fēng)險管理納入證券公司風(fēng)險控制工作范圍，建立健全網(wǎng)上證券風(fēng)險控制管理體系。

第九條 證券公司應當將網(wǎng)上開(kāi)展證券業(yè)務(wù)的審計納入公司的審計工作范圍。

第十條 證券公司應當按照國家主管部門(mén)的有關(guān)規定辦理網(wǎng)上證券相關(guān)信息系統的備案，并提供備案信息的查詢(xún)途徑。

第十一條 證券公司通過(guò)網(wǎng)上證券信息系統向客戶(hù)提供證券交易的行情信息，應當提示行情來(lái)源、行情站點(diǎn)名稱(chēng)等信息；向客戶(hù)提供資訊信息的，應當說(shuō)明信息來(lái)源。

第十二條 證券公司網(wǎng)上證券信息系統分為網(wǎng)上證券客戶(hù)端和服務(wù)端。

網(wǎng)上證券客戶(hù)端是指證券公司為客戶(hù)提供人機交互功能的應用程序，以及提供必需功能的組件，包括但不限于：可執行文件、控件、靜態(tài)鏈接庫、動(dòng)態(tài)鏈接庫等。除通用瀏覽器外，其它網(wǎng)上證券客戶(hù)端稱(chēng)為網(wǎng)上證券專(zhuān)用客戶(hù)端。

網(wǎng)上證券服務(wù)端是指網(wǎng)上證券信息系統中提供客戶(hù)接入和接入后業(yè)務(wù)和服務(wù)處理的證券公司信息系統，包括但不限于：開(kāi)放性網(wǎng)絡(luò )的接入以及接入后的網(wǎng)絡(luò )通信、身份認證、應用服務(wù)、安全防護與監控、網(wǎng)絡(luò )隔離等系統。網(wǎng)上證券服務(wù)端網(wǎng)絡(luò )區域劃分為隔離區（DMZ）、后臺區。

第十三條 證券公司應當采用多種技術(shù)手段加強網(wǎng)上證券信息系統敏感數據的保護，技術(shù)手段包括但不限于：敏感數據在開(kāi)放性網(wǎng)絡(luò )加密傳輸，加解密在客戶(hù)與證券公司實(shí)際控制的系統中進(jìn)行，不得在任何中間環(huán)節對數據進(jìn)行解密；口令和密鑰全程加密傳輸，且加密存儲于后臺區；嚴格授權訪(fǎng)問(wèn)存儲敏感數據的數據庫。

敏感數據指影響網(wǎng)上證券信息系統安全和客戶(hù)信息安全的數據，包括但不限于：口令、密鑰，以及客戶(hù)賬號、身份信息、聯(lián)系方式、交易數據、資產(chǎn)數據、支付或轉賬數據、包含以上數據的客戶(hù)日志，以及其它若發(fā)生泄露可能損害客戶(hù)合法權益的數據。

第十四條 證券公司應當保證網(wǎng)上證券敏感數據傳輸的可用性、保密性、完整性、真實(shí)性和可稽核性。網(wǎng)上證券信息系統未經(jīng)證券公司授權不得與第三方進(jìn)行任何形式的敏感數據交換，并具備經(jīng)過(guò)認證后僅向授權的第三方指定地址發(fā)送信息的功能，數據交換應當加密傳輸或使用專(zhuān)線(xiàn)、VPN等可靠通道，并確保數據在傳輸過(guò)程中不在所經(jīng)過(guò)的設備或系統上被復制或保存。

第十五條 證券公司應當根據國家相關(guān)法律法規以及行業(yè)制度和規范要求、結合自身實(shí)際情況制定網(wǎng)上證券信息系統的數據備份計劃并落實(shí)執行。備份的數據包括但不限于：系統程序、配置參數、系統日志、安全審計數據、門(mén)戶(hù)網(wǎng)站信息（資訊類(lèi)數據除外）、客戶(hù)數據等。
第十六條 證券公司網(wǎng)上證券信息系統敏感數據復用時(shí)應當遵循最小化原則。
 

第三章    網(wǎng)上證券客戶(hù)端
 

第十七條 證券公司發(fā)布網(wǎng)上證券客戶(hù)端應當通過(guò)公司網(wǎng)站或授權的第三方渠道進(jìn)行。證券公司在客戶(hù)端軟件程序編譯封裝、形成下載文件后，應當安排專(zhuān)人對其進(jìn)行嚴格的病毒掃描和木馬檢查，對計算機類(lèi)專(zhuān)用客戶(hù)端的發(fā)布應當提供MD5等方式的校驗。

第十八條 證券公司授權第三方發(fā)布網(wǎng)上證券敏感數據信息系統的專(zhuān)用客戶(hù)端時(shí)，應當對其發(fā)布的客戶(hù)端軟件進(jìn)行確認。

第十九條 網(wǎng)上證券客戶(hù)端用戶(hù)登錄功能應當至少提供一種安全方式，包括但不限于：圖形驗證碼、強制隨機排序圖形鍵盤(pán)、口令輸入安全控件等，防范不法分子利用木馬等黑客程序竊取客戶(hù)賬號和口令信息。

第二十條 網(wǎng)上證券客戶(hù)端的客戶(hù)身份認證信息和交易、支付數據等數據傳輸應當采用國家信息安全機構認可的加密技術(shù)和加密強度，并最低達到等同SSL協(xié)議128位的加密強度。

第二十一條 網(wǎng)上證券客戶(hù)端在本地終端存儲客戶(hù)賬戶(hù)、交易數據、支付數據等數據時(shí)，應當提示客戶(hù)，經(jīng)客戶(hù)確認后以加密方式存儲。

第二十二條 當客戶(hù)訪(fǎng)問(wèn)網(wǎng)上證券服務(wù)端時(shí)，未經(jīng)客戶(hù)許可不得以任何方式在客戶(hù)端系統中安裝插件，安裝后應當允許客戶(hù)卸載。

第二十三條 證券公司應當采取服務(wù)端身份或證書(shū)驗證等手段校驗網(wǎng)上證券專(zhuān)用客戶(hù)端。網(wǎng)上證券專(zhuān)用客戶(hù)端具有唯一連接到證券公司網(wǎng)上證券服務(wù)端的保障機制。網(wǎng)上證券專(zhuān)用客戶(hù)端應當提供足夠的識別信息，以使網(wǎng)上證券服務(wù)端能夠對發(fā)出連接請求的客戶(hù)端與證券公司所提供的程序進(jìn)行一致性驗證。

第二十四條 網(wǎng)上證券專(zhuān)用客戶(hù)端應用程序的新版本升級策略應當具備提醒升級、強制升級等功能，并由證券公司在服務(wù)端進(jìn)行升級策略的控制。

第二十五條 網(wǎng)上證券敏感數據信息系統客戶(hù)端應當向客戶(hù)提示最近一次登錄的日期、時(shí)間、地址等信息，并對異常登錄及時(shí)提醒。

網(wǎng)上證券敏感數據信息系統指在信息交互或信息存儲中涉及敏感數據的網(wǎng)上證券信息系統。

第二十六條 網(wǎng)上證券敏感數據信息系統客戶(hù)端應當提供在指定的閑置時(shí)間間隔到期后，自動(dòng)鎖定或退出客戶(hù)端的功能使用。

第二十七條 網(wǎng)上證券敏感數據信息系統以及實(shí)時(shí)行情系統的專(zhuān)用客戶(hù)端應當具備反調試和反逆向機制。
 

第四章 網(wǎng)上證券服務(wù)端
 

第二十八條 證券公司應當對網(wǎng)上證券服務(wù)端的各個(gè)子系統合理劃分安全域，不同安全域之間應當有效隔離，包括但不限于：網(wǎng)上證券信息系統隔離區（DMZ）系統與后臺區系統隔離；后臺區系統與行情資訊處理系統隔離。后臺區系統應當部署在證券公司可控的物理安全域內。

第二十九條 證券公司應當提供可靠的客戶(hù)身份認證機制，支持網(wǎng)上證券客戶(hù)端采用多種認證方式與服務(wù)端進(jìn)行身份認證。對于提供證券交易、第三方支付、敏感數據修改等服務(wù)功能的網(wǎng)上證券信息系統，除輸入賬戶(hù)名、口令、圖形驗證碼外，還應當向客戶(hù)提供一種或一種以上強度更高的身份認證方式，包括但不限于：客戶(hù)端設備特征碼綁定、軟硬件證書(shū)、動(dòng)態(tài)口令等認證方式，確?？蛻?hù)身份認證的合法性，防止非法接入。

第三十條 網(wǎng)上證券服務(wù)端應當防止客戶(hù)使用簡(jiǎn)單口令，應當能夠抵御連續猜測等惡意攻擊行為?？蛻?hù)遺忘網(wǎng)上證券信息系統登錄口令時(shí)，證券公司應當采用安全可靠的方式進(jìn)行口令重置，禁止將原口令發(fā)送給客戶(hù)。

第三十一條 網(wǎng)上證券服務(wù)端應當監控攻擊者通過(guò)群體大規模對合法證券賬戶(hù)進(jìn)行非法登錄的請求，建立相應的應急處理機制，防范大量客戶(hù)賬戶(hù)被異常鎖定、正?？蛻?hù)無(wú)法登錄。

第三十二條 網(wǎng)上證券服務(wù)端應當具備防范SQL注入式攻擊、跨站腳本攻擊、緩沖區溢出等攻擊的能力。

第三十三條 網(wǎng)上證券服務(wù)端應當向客戶(hù)提供可證明服務(wù)端合法性的信息，幫助客戶(hù)查驗所使用服務(wù)的真實(shí)性。查驗手段包括但不限于：提供預留信息服務(wù)并在客戶(hù)登錄時(shí)向客戶(hù)顯示預留信息等。

第三十四條 網(wǎng)上證券服務(wù)端應當向客戶(hù)有效屏蔽信息系統的異常信息，避免將信息系統的運行環(huán)境、開(kāi)發(fā)環(huán)境等信息反饋給客戶(hù)。

第三十五條 網(wǎng)上證券服務(wù)端應當向證券公司技術(shù)人員提供系統運行狀況信息(如活動(dòng)狀態(tài)、并發(fā)在線(xiàn)客戶(hù)數、并發(fā)會(huì )話(huà)數、線(xiàn)程數、隊列長(cháng)度等)、錯誤信息、安全警告等。

第三十六條 證券公司應當制定并及時(shí)更新網(wǎng)上證券服務(wù)端范圍內的服務(wù)器、中間件、操作系統、數據庫等安全配置基線(xiàn)。網(wǎng)上證券信息系統在符合安全基線(xiàn)后方可上線(xiàn)，運行過(guò)程中應當監控違反安全基線(xiàn)的異常情況，并及時(shí)處置。

第三十七條 證券公司應當對網(wǎng)上證券服務(wù)端的軟件資產(chǎn)進(jìn)行管理，并通過(guò)合法渠道及時(shí)獲知相關(guān)軟件的漏洞信息，采取措施加以改進(jìn)。軟件資產(chǎn)包括但不限于：商用或開(kāi)源的操作系統、中間件、數據庫、WEB框架等。

第三十八條 證券公司涉及交易服務(wù)、實(shí)時(shí)行情的網(wǎng)上證券服務(wù)端應當在兩個(gè)或兩個(gè)以上的物理地點(diǎn)部署，并具備兩個(gè)或兩個(gè)以上不同運營(yíng)商的網(wǎng)絡(luò )接入，互為備份，避免單點(diǎn)故障和性能瓶頸，確保網(wǎng)上證券信息系統的業(yè)務(wù)連續性。

第三十九條 網(wǎng)上證券敏感數據信息系統服務(wù)端應當部署在中華人民共和國境內，滿(mǎn)足技術(shù)審計、監管部門(mén)現場(chǎng)檢查及司法機構調查取證等要求。部署網(wǎng)上證券敏感數據信息系統服務(wù)端的有形場(chǎng)所，應當符合國家安全標準的有關(guān)要求。

第四十條 網(wǎng)上證券敏感數據信息系統服務(wù)端應當具備可靠的訪(fǎng)問(wèn)控制、會(huì )話(huà)管理和權限管理機制，防止客戶(hù)的授權被惡意提升或轉授，防止客戶(hù)使用未經(jīng)授權的功能、訪(fǎng)問(wèn)未經(jīng)授權的數據，確保數據交互的合法性。

第四十一條 網(wǎng)上證券敏感數據信息系統服務(wù)端應當采用通過(guò)國家信息安全機構安全測評的認證授權和加密體系，具備足夠的強度和抗攻擊能力，并根據在網(wǎng)上開(kāi)展證券業(yè)務(wù)的安全性需要和信息技術(shù)的發(fā)展，定期檢查、評估和及時(shí)調整。

第四十二條 網(wǎng)上證券敏感數據信息系統服務(wù)端應當對不完整、被篡改、重發(fā)的數據包進(jìn)行監控，對暴力破解、異常登錄等異常行為進(jìn)行跟蹤、監控，記錄其賬號、IP地址等相關(guān)信息，并通過(guò)有效的即時(shí)通信方式及時(shí)提示客戶(hù)，必要時(shí)對異常接入進(jìn)行限制或對客戶(hù)賬戶(hù)進(jìn)行臨時(shí)鎖定。監控和處置情況應當形成記錄備查。

第四十三條 網(wǎng)上證券敏感數據信息系統服務(wù)端應當在指定的閑置時(shí)間間隔到期后，自動(dòng)中止客戶(hù)對系統的訪(fǎng)問(wèn)權。

第四十四條 網(wǎng)上證券敏感數據信息系統服務(wù)端應當產(chǎn)生、記錄并集中存儲必要的日志信息，滿(mǎn)足信息技術(shù)審計、監管部門(mén)現場(chǎng)檢查及司法機構調查取證的要求。

日志信息包括但不限于：網(wǎng)上證券應用軟件信息，及服務(wù)請求方的身份信息。

在可行的技術(shù)條件下，服務(wù)請求方的身份信息包括但不限于：登錄終端的IP地址、計算機終端信息（如MAC地址、硬盤(pán)序列號、CPU序列號等）、手機號碼、移動(dòng)終端信息（如手機IMEI碼、平板電腦序列號等）等。

第四十五條 證券公司應當在門(mén)戶(hù)網(wǎng)站及其它涉及敏感數據的頁(yè)面部署防篡改系統。相關(guān)頁(yè)面內容、提供下載的客戶(hù)端軟件被異常修改時(shí)，防篡改系統應當自動(dòng)告警或自動(dòng)恢復、并記錄日志。

第四十六條 證券公司應當建立對通過(guò)開(kāi)放性網(wǎng)絡(luò )向客戶(hù)發(fā)布信息的審核、管理和監控機制，并對公司網(wǎng)站等平臺的內容進(jìn)行監控，對有害信息進(jìn)行過(guò)濾，防止出現不良信息。
 

第五章 開(kāi)發(fā)和實(shí)施管理
 

第四十七條 證券公司網(wǎng)上證券信息系統的應用開(kāi)發(fā)，應當從需求分析、設計、代碼編寫(xiě)、測試、上線(xiàn)運行等全生命周期角度開(kāi)展應用安全設計和實(shí)施。

第四十八條 證券公司在需求分析與設計階段，應當充分分析相關(guān)業(yè)務(wù)功能所面臨的安全威脅和必需的安全功能，使安全功能設計成為整體功能設計的組成部分。

第四十九條 證券公司應當制定應用開(kāi)發(fā)安全規范，開(kāi)發(fā)人員在開(kāi)發(fā)過(guò)程中應當嚴格遵循應用開(kāi)發(fā)安全規范。

第五十條 證券公司應當在網(wǎng)上證券信息系統上線(xiàn)或重大變更前進(jìn)行安全測試和檢查。測試和檢查手段包括但不限于：滲透測試、模糊測試和代碼審計等。安全測試和檢查團隊應當獨立于開(kāi)發(fā)團隊和實(shí)施團隊。
 

第六章 第三方服務(wù)管理
 

第五十一條 網(wǎng)上證券信息系統開(kāi)發(fā)商、服務(wù)商等第三方機構提供技術(shù)產(chǎn)品和技術(shù)服務(wù)時(shí)，證券公司應當對其提供的技術(shù)產(chǎn)品和技術(shù)服務(wù)進(jìn)行評估，并約束其符合本指引規定的相關(guān)要求。

第五十二條 網(wǎng)上證券信息系統采用外包方式建設時(shí)，證券公司應當與第三方機構簽署服務(wù)協(xié)議和保密協(xié)議，協(xié)議內容包括但不限于：接受證券監管部門(mén)的延伸檢查，明確客戶(hù)端、服務(wù)端以及數據傳輸過(guò)程中均無(wú)后門(mén)，明確軟件開(kāi)發(fā)商應用軟件中使用的插件具備合法版權，保證客戶(hù)數據、交易資料不被泄漏等相關(guān)內容。

第五十三條 證券公司應當建立第三方服務(wù)質(zhì)量的評估機制，不得選擇在證券監管部門(mén)誠信檔案中存在不良記錄的第三方機構。

第五十四條 證券公司不得向第三方運營(yíng)的客戶(hù)端提供網(wǎng)上證券服務(wù)端與證券交易相關(guān)的接口。證券交易指令必須在證券公司自主控制的系統內全程處理。
 

第七章 安全和運維管理
 

第五十五條 證券公司應當按以下標準確定網(wǎng)上證券信息系統的安全等級，并根據行業(yè)信息安全等級保護要求和規定，開(kāi)展相應的信息安全等級保護工作：

（一）具有證券交易、第三方支付、或對敏感數據進(jìn)行修改等業(yè)務(wù)功能，且用戶(hù)規模在50萬(wàn)或50萬(wàn)以上的信息系統定為三級；用戶(hù)規模在50萬(wàn)以下的定為二級；

（二）其它網(wǎng)上證券敏感數據信息系統，以及實(shí)時(shí)行情系統、門(mén)戶(hù)網(wǎng)站系統定為二級。

第五十六條 證券公司應當制定網(wǎng)上證券信息系統的安全措施，定期檢查和測試，并根據實(shí)際情況及時(shí)調整，保證安全措施的持續有效。

第五十七條 證券公司應當建立網(wǎng)上證券信息系統定期安全風(fēng)險評估機制和整改工作制度，及時(shí)發(fā)現SQL注入漏洞、弱口令賬戶(hù)、繞過(guò)驗證、目錄遍歷、文件上傳、跨站腳本等系統存在的安全隱患和漏洞，并進(jìn)行改進(jìn)和完善。風(fēng)險評估應當通過(guò)內部評估與外部評估相結合的方式進(jìn)行。

第五十八條 安全風(fēng)險評估方式包括但不限于：漏洞掃描、攻擊測試、病毒掃描、木馬檢測等，并針對不同的威脅設置相應的檢查頻率。

第五十九條 證券公司應當嚴格限制人工對數據庫操作的賬戶(hù)權限，并分別使用不同權限的賬戶(hù)執行查詢(xún)和修改等操作，記錄操作日志，并納入信息安全審計范圍。

第六十條 證券公司應當保障網(wǎng)上證券信息系統運營(yíng)設施、設備以及安全控制設施、設備的安全。對重要設施、設備的接觸、檢查、維修和應急處理，應當有明確的權限規定、責任劃分和操作流程，并建立日志文件管理制度，如實(shí)記錄并妥善保管相關(guān)記錄。

第六十一條 證券公司應當定期評估可供客戶(hù)使用的網(wǎng)上證券信息系統的資源狀況，并根據實(shí)時(shí)監控信息、可預見(jiàn)的業(yè)務(wù)發(fā)展需求進(jìn)行容量的需求預測，確保有充足的處理能力、存儲容量和通訊帶寬，滿(mǎn)足業(yè)務(wù)增長(cháng)的需要，保證網(wǎng)上證券服務(wù)的可用性，并能抵御一定程度的拒絕服務(wù)攻擊和緩沖區溢出攻擊。

第六十二條 網(wǎng)上證券信息系統的網(wǎng)絡(luò )系統、安全系統、應用系統等重要系統應當具備足夠的冗余，以應對網(wǎng)站及網(wǎng)上交易可能出現的突發(fā)峰值。網(wǎng)上證券信息系統的網(wǎng)絡(luò )系統、安全系統、應用系統等重要系統應當具備良好的可擴充性，以應對業(yè)務(wù)增長(cháng)和市場(chǎng)的變化。

第六十三條 證券公司應當根據行業(yè)運維管理規范、信息安全等級保護、證券期貨業(yè)信息安全保障管理辦法等相關(guān)要求，開(kāi)展網(wǎng)上證券信息系統應急預案建立、修訂、演練、培訓等工作。網(wǎng)上證券信息系統應急預案應當納入證券公司和行業(yè)的應急預案體系內。

第六十四條 證券公司網(wǎng)上證券信息系統應急預案應當針對以下場(chǎng)景制定對應的應急操作流程或步驟：

（一）電力、通信等基礎設施故障；

（二）計算機硬件或網(wǎng)絡(luò )設備故障；

（三）操作系統或應用系統故障；

（四）操作系統或應用系統漏洞；

（五）病毒入侵、惡意攻擊、客戶(hù)賬戶(hù)遭受非法入侵和操作等計算機犯罪事件；

（六）假冒證券公司網(wǎng)上證券信息系統和服務(wù)平臺；

（七）誤操作、不可抗力等。

第六十五條 證券公司應當制定網(wǎng)上證券業(yè)務(wù)連續性計劃，保證網(wǎng)上證券業(yè)務(wù)的持續正常運營(yíng)。制定網(wǎng)上證券業(yè)務(wù)連續性計劃時(shí)，應當充分評估服務(wù)供應商對業(yè)務(wù)連續性的影響，并采取適當的預防措施。

第六十六條 證券公司應當根據行業(yè)信息安全事件報告與調查處理的有關(guān)規定，做好網(wǎng)上證券信息系統故障和信息安全事件的應急處置、事件報告、總結改進(jìn)等相關(guān)工作。
 

第八章    客戶(hù)服務(wù)和保護
 

第六十七條 證券公司向客戶(hù)發(fā)布公告、通知、風(fēng)險揭示等服務(wù)信息時(shí)，應當利用信息技術(shù)手段提高信息發(fā)布的及時(shí)性。

第六十八條 證券公司應當與客戶(hù)簽訂網(wǎng)上證券服務(wù)協(xié)議或合同、風(fēng)險揭示書(shū)，明確雙方的權利、義務(wù)和相關(guān)風(fēng)險的責任承擔，向客戶(hù)充分揭示使用網(wǎng)上證券信息系統可能面臨的風(fēng)險、證券公司已采取的風(fēng)險控制措施和客戶(hù)應當采取的風(fēng)險防范措施。揭示內容包括但不限于：建議客戶(hù)定期修改口令、增強口令強度，防止口令泄露、防止網(wǎng)上證券客戶(hù)端感染木馬、病毒等，并提醒客戶(hù)可根據需要開(kāi)啟或關(guān)閉網(wǎng)上證券交易方式。

第六十九條 當網(wǎng)上證券服務(wù)范圍、方式或內容發(fā)生變化時(shí)，證券公司應當評估原有協(xié)議、合同和風(fēng)險揭示書(shū)的適用性，并對內容的變更進(jìn)行公告，或與客戶(hù)簽署補充協(xié)議、風(fēng)險揭示書(shū)。

第七十條 證券公司應當在與客戶(hù)簽訂的協(xié)議或合同中明確告知客戶(hù)使用網(wǎng)上證券信息系統的合法途徑、意外事件的處理辦法，以及證券公司聯(lián)系方式等。

第七十一條 證券公司應當根據網(wǎng)上證券業(yè)務(wù)的網(wǎng)絡(luò )延遲時(shí)間、鏈路穩定狀況、信號衰減程度等風(fēng)險因素，對行情或交易數據可能出現明顯滯后或產(chǎn)生數據丟失的情況，事先對客戶(hù)進(jìn)行風(fēng)險提示。

第七十二條 證券公司應當對與網(wǎng)上證券業(yè)務(wù)服務(wù)相關(guān)的域名、服務(wù)電話(huà)、短信號碼、公共平臺賬號、客戶(hù)端發(fā)布渠道等進(jìn)行統一管理，并通過(guò)多種渠道正式向客戶(hù)發(fā)布。

第七十三條 證券公司應當對假冒證券公司網(wǎng)上證券信息系統的非法活動(dòng)及時(shí)處置，并通過(guò)證券公司網(wǎng)站、網(wǎng)上證券客戶(hù)端、電話(huà)語(yǔ)音系統、短信平臺、公眾平臺等提醒客戶(hù)注意。
 

第九章 附則
 

第七十四條 本指引由中國證券業(yè)協(xié)會(huì )負責解釋。

第七十五條 本指引自發(fā)布之日起施行。

本文鏈接：http://jumpstarthappiness.com/law/5661.html

本文關(guān)鍵詞： 中證協(xié)發(fā)〔2015〕8號, 證券公司, 網(wǎng)上證券信息系統, 技術(shù)指引