(2012年9月24日證監會令第82號)
第一章 總則
第一條 為了保障證券期貨信息系統安全運行,加強證券期貨業信息安全管理工作,促進證券期貨市場穩定健康發展,保護投資者合法權益,根據《證券法》、《證券投資基金法》、《期貨交易管理條例》及信息安全保障相關的法律、行政法規,制定本辦法。
第二條 證券期貨業信息安全保障、管理、監督等工作適用本辦法。
第三條 證券期貨業信息安全保障工作實行“誰運行、誰負責,誰使用、誰負責”、安全優先、保障發展的原則。
第四條 證券期貨業信息安全保障的責任主體應當執行國家信息安全相關法律、行政法規和行業相關技術管理規定、技術規則、技術指引和技術標準,開展信息安全工作,保護投資者交易安全和數據安全,并對本機構信息系統安全運行承擔責任。
前款所稱責任主體,包括承擔證券期貨市場公共職能的機構、承擔證券期貨行業信息技術公共基礎設施運營的機構等證券期貨市場核心機構及其下屬機構(以下簡稱核心機構),證券公司、期貨公司、基金管理公司、證券期貨服務機構等證券期貨經營機構(以下簡稱經營機構)。
第五條 開展證券客戶交易結算資金第三方存管業務,銀證、銀期、銀基轉賬和結算業務,基金托管和銷售業務的機構應當按照有關規定保障相關業務系統的安全運行。
第六條 為證券期貨業提供軟硬件產品或者技術服務的供應商(以下簡稱供應商),應當保證所提供的軟硬件產品或者技術服務符合國家及證券期貨業信息安全相關的技術管理規定、技術規則、技術指引和技術標準。
第七條 中國證監會支持、協助國家信息安全管理部門組織實施信息安全相關法律、行政法規,依法對證券期貨業信息安全保障工作實施監督管理。
中國證監會派出機構按照授權履行監督管理職責。
第八條 中國證監會及其派出機構與國家信息安全管理部門、相關行業管理部門建立信息安全協調機制,與國家有關專業安全機構和標準化組織建立信息安全合作機制。
第九條 證券、期貨、證券投資基金等行業協會(以下簡稱證券期貨行業協會)依照本辦法的規定,對會員的信息安全工作實行自律管理。
第十條 核心機構依照本辦法的規定,對市場相關主體關聯信息系統的安全保障工作進行督促、指導。
第二章 基本要求
第十一條 核心機構和經營機構應當具有合格的基礎設施。機房、電力、空調、消防、通信等基礎設施的建設符合行業信息安全管理的有關規定。
第十二條 核心機構和經營機構應當設置合理的網絡結構,劃分安全區域,各安全區域之間應當進行有效隔離,并具有防范、監控和阻斷來自內外部網絡攻擊破壞的能力。
第十三條 核心機構和經營機構應當建立符合業務要求的信息系統。信息系統應當具有合理的架構,足夠的性能、容量、可靠性、擴展性和安全性,能夠支持業務的運行和發展。
第十四條 核心機構應當對交易、行情、開戶、結算、風控、通信等重要信息系統具有自主開發能力,擁有執行程序和源代碼并安全可靠存放,在重要信息系統上線前對執行程序和源代碼進行嚴格的審查和測試。
第十五條 核心機構和經營機構應當具有防范木馬、病毒等惡意代碼的能力,防止惡意代碼對信息系統造成破壞,防止信息泄露或者被篡改。
第十六條 核心機構和經營機構應當建立完善的信息技術治理架構,明確信息技術決策、管理、執行和內部監督的權責機制。
第十七條 核心機構和經營機構應當建立完善的信息技術管理制度和操作規程,并嚴格執行。
第十八條 核心機構應當制定本機構與市場相關主體信息系統安全互聯的技術規則,并報中國證監會備案。
核心機構依法督促市場相關主體執行技術規則。
第十九條 核心機構應當提供多種互為備份的遠程接入方式,保證市場相關主體安全接入,并對市場相關主體的遠程接入進行監控與管理。
第三章 持續保障要求
第二十條 核心機構和經營機構應當保障充足、穩定的信息技術經費投入,配備足夠的信息技術人員。
第二十一條 核心機構和經營機構應當根據行業規劃和本機構發展戰略,制定信息化與信息安全發展規劃,滿足業務發展和信息安全管理的需要。
第二十二條 核心機構和經營機構開展信息系統新建、升級、變更、換代等建設項目,應當進行充分論證和測試。
第二十三條 核心機構交易、行情、開戶、結算、通信等重要信息系統上線或者進行重大升級變更時,應當組織市場相關主體進行聯網測試,并按規定進行報告。
第二十四條 核心機構和經營機構應當規范開展信息技術基礎設施和重要信息系統的運行維護,保障系統安全穩定運行。
第二十五條 核心機構應當指導市場相關主體正確運行維護與本機構互聯的系統和通信設施。
第二十六條 核心機構和經營機構應當建立數據備份設施,并按照規定在同城和異地保存備份數據。
第二十七條 核心機構和經營機構應當建立重要信息系統的故障備份設施和災難備份設施,保證業務活動連續。
第二十八條 核心機構和經營機構應當按照規定向中國證監會指定的證券期貨業數據中心報送數據。報送的數據必須真實、完整、準確、及時。
證券期貨業數據中心應當按照中國證監會的有關規定開展行業數據的集中保存工作,確保數據的安全、完整、可靠。
第二十九條 核心機構負責建設和運營行業信息技術公共基礎設施。
第三十條 核心機構和經營機構應當加強信息安全保密管理,保障投資者信息安全。
第三十一條 核心機構和經營機構應當建立網絡與信息安全風險檢測、監測、評估和預警機制,發現風險隱患應當及時處置,并按照規定進行報告。
第三十二條 核心機構和經營機構應當建立信息安全應急處置機制,及時處置突發信息安全事件,盡快恢復信息系統的正常運行,并按照規定進行報告,不得遲報、漏報、瞞報。
核心機構和經營機構應當對信息安全事件進行內部調查、責任追究和采取整改措施,并配合中國證監會及其派出機構對事件進行調查處理。
與核心機構和經營機構發生信息安全事件相關的軟硬件產品或者技術服務供應商,應當配合相關調查工作。
第三十三條 核心機構應當每年組織市場相關主體進行一次信息安全應急演練,并于實施前15個工作日向中國證監會報告。
第三十四條 核心機構和經營機構應當對信息技術人員進行培訓,確保其具有履行崗位職責的能力。
第三十五條 核心機構和經營機構應當建立信息安全內部審計制度,定期開展內部審計,對發現的問題進行整改。
第四章 產品及服務采購要求
第三十六條 核心機構和經營機構應當建立供應商管理制度,定期對供應商的資質、專業經驗、產品和服務的質量進行了解和評估。
第三十七條 核心機構和經營機構在采購軟硬件產品或者技術服務時,應當與供應商簽訂合同和保密協議,并在合同和保密協議中明確約定信息安全和保密的權利和義務。
涉及證券期貨交易、行情、開戶、結算等軟件產品或者技術服務的采購合同,應當約定供應商須接受中國證監會及其派出機構的信息安全延伸檢查。
第三十八條 核心機構和經營機構采購的軟硬件產品或者技術服務應當滿足審慎經營和風險管理的要求。軟硬件產品或者技術服務不符合要求,影響核心機構和經營機構持續經營的,中國證監會有權要求核心機構和經營機構予以改進或者更換。
第五章 行業自律
第三十九條 證券期貨行業協會應當制定信息技術指引,督促、引導會員執行國家和行業信息安全相關規定和技術標準。
第四十條 證券期貨行業協會應當引導行業加強信息技術人才隊伍建設,定期組織信息技術培訓和交流,提高信息技術人員執業素質。
第四十一條 證券期貨行業協會應當引導鼓勵行業信息技術研究與創新,增強自主可控能力,組織開展科技獎勵,促進行業科技進步。
第四十二條 證券期貨行業協會應當引導供應商規范參與行業信息化與信息安全工作,促進市場公平競爭,促進供應商與市場相關主體共同發展。
第六章 監督管理
第四十三條 中國證監會建立統一組織、分級負責的信息安全監督管理體制。
中國證監會信息安全管理部門負責證券期貨業信息安全工作的組織、協調和指導;相關業務監管部門依照職責范圍對核心機構和經營機構的信息安全進行監督、檢查;派出機構根據授權對轄區內經營機構的信息安全進行監督、檢查。
第四十四條 中國證監會依法組織制定證券期貨業信息安全管理規定和技術標準。
第四十五條 中國證監會及其派出機構依照職責范圍,對核心機構和經營機構進行信息安全檢查或者委托國家、行業有關專業安全機構進行安全檢查。核心機構和經營機構應當配合檢查。
核心機構和經營機構的信息安全管理不能達到規定要求的,中國證監會及其派出機構責令其限期改正,改正前可以暫停或者限制其部分或者全部證券期貨經營業務活動。
第四十六條 中國證監會及其派出機構可以要求核心機構和經營機構提供信息安全相關資料。
核心機構和經營機構應當及時、準確、完整地提供相關資料。
第四十七條 中國證監會組織制定證券期貨業信息安全應急預案,督促、指導行業開展信息安全應急工作。
第四十八條 中國證監會有權對核心機構、經營機構的信息安全事件進行調查處理。
對于損害投資者合法權益或者影響證券期貨市場安全穩定運行的信息安全事件,中國證監會依法對相關單位采取監督管理措施或者行政處罰。
第四十九條 中國證監會對發現的系統漏洞、安全隱患、產品缺陷進行全行業通報。
第五十條 核心機構和經營機構違反本辦法規定,中國證監會可以視情節,依法對其采取責令改正、監管談話、出具警示函、公開譴責、責令定期報告、責令處分有關人員、撤銷任職資格、暫停或者限制證券期貨經營業務活動等措施;情節嚴重的,給予警告、罰款。
第七章 附則
第五十一條本辦法自2012年11月1日起施行。《證券期貨業信息安全保障管理暫行辦法》(證監信息字〔2005〕5號)同時廢止。