证券期货业信息安全保障管理办法

证券期货业信息安全保障管理办法

日期:2016-07-04   点击次数:   来源:

  证券期货业信息安全保障管理办法
  中国证券监督管理委员会令   第 82 号

  《证券期货业信息安全保障管理办法》已经 2012 年 8 月 23 日中国证券监督管理委员会第 22 次主席办公会议审议通过,现予公布,自 2012 年 11 月 1 日起施行。
  中国证券监督管理委员会主席:郭树清
  2012 年 9 月 24 日
  第一章    总则
  第一条    为了保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《期货交易管理条例 》 及信息安全保障相关的 法律、行政法规,制定本办法。
  第二条    证券期货业信息安全保障、管理、监督等工作适用本办法。
  第三条    证券期货业信息安全 保障 工作实行 “ 谁运行、谁负责,谁 使用 、谁负责 ” 、安全优先、保障发展的原则。
  第四条    证券期货业信息安全保障的责任主体应当执行国家信息安全相关法律、行政法规和行业相关技术管理规定、技术规则、技术指引和技术标准,开展信息安全工作,保护投资者交易安全和 数据 安全 , 并对本机构信息系统安全运行承担责任。
  前款所称责任主体,包括 承担证券期货市场公共职能的机构、承担 证券期货行业信息技术公共基础设施运营 的机构 等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司 、证券期货服务机构 等证券期货经营机构(以下简称经营机构)。
  第五条    开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构应当按照有关规定保障相关业务系统的安全运行。
  第六条    为证券期货业提供软硬件产品或者技术服务的供应商(以下简称供应商),应当保证所提供的软硬件产品或者技术服务符合国家及证券期货业信息安全相关的技术管理规定、技术规则、技术指引和技术标准。
  第七条    中国证监 会 支持、协助 国家信息安全管理部门组织实施信息安全相关法律、行政法规,依法对证券期货业信息安全 保障 工作 实施 监督管理。
  中国证监会派出机构按照授权履行监督管理职责。
  第八条    中国证监会及其派出机构与国家信息安全管理部门、相关行业管理部门建立信息安全协调机制,与国家有关专业安全机构和标准化组织建立信息安全合作机制。
  第九条    证券 、期货 、证券投资基金 等行业协会(以下简称 证券期货 行业协会)依照本办法的规定,对会员的信息安全工作实行自律管理。
  第十条    核心机构依照本办法的规定,对市场相关主体关联信息系统的安全保障工作进行督促、指导。
  第二章    基本要求
  第十一条    核心机 构和经营机构应当具有 合格 的基础设施 。 机房、电力、空调、消防、通信等基础设施的建设符合 行业信息安全管理的有关 规定。
  第十 二 条     核心机构和经营机构应当设置合理的网络结构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力。
  第十 三 条    核心机构和经营机构应当建立符合业务要求的信息系统 。 信息系统应当具有合理的架构,足够的性能、容量、可靠性、扩展性和安全性,能够支持业务的运行和发展。
  第十 四 条    核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,拥有执行程序和源代码并安全可靠存放,在重要信息系统上线前对执行程序和源代码进行严格的审查和测试。
  第十 五 条     核心机构和经营机构应当具有防范木马、病毒等恶意代码的能力,防止恶意代码对信息系统造成破坏,防止信 息泄露或 者 被篡改。
  第十 六 条    核心机构和经营机构应当建立完善的信息技术治理架构,明确信息技术决策、管理、执行和内部监督的权责机制。
  第 十七 条    核心机构和经营机构应当建立完善的信息技术管理制度和操作规程,并严格执行。
  第 十八 条    核心机构应当制定本机构与市场相关主体信息系统安全互联的技术规则,并报中国证监会备案。
  核心机构依 法 督促 市场相关主体执行技术规则。
  第 十九 条    核心机构应当提供多种互为备份的远程接入方式,保证市场相关主体安全接入,并对市场相关主体的远程接入进行监控与管理。
  第三章    持续保障要求
  第 二 十条    核心机构和经营机构应当保障充足、稳定的信息技术经费投入,配备足够的信息技术人员。
  第二十 一 条     核心机构和经营机构应当根据行业规划和本机构发展战略,制定信息化与信息安全发展规划,满足 业务发展 和信息安全管理 的需要。
  第二十 二 条    核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。
  第 二十三 条    核心机 构 交易、行情、开户、结算、通信等重要 信息系统上线或者进行重大升级变更时,应当组织市场相关主体进行联网测试 ,并按规定进行报告 。
  第二十 四 条    核心机构和经营机构应当规范开展信息技术基础设施和重要信息系统的运行维护, 保障 系统安全稳定运行。
  第 二十五 条     核心机构应当指导市 场相关主体正确 运行维护与本机构互联的 系统和通信设施。
  第 二 十 六 条    核心机构和经营机构应当建立数据备份 设施,并按照规定在 同城和 异地 保存 备份数据。
  第 二 十 七 条    核心机构和经营机构 应当建立重要信息系统的故障备份设施和灾难备份设施, 保证 业务活动连续。
  第 二十八 条    核心机构和经营 机构应当按照规定向 中国证监会指定的 证券期货业 数据中心 报送数据。报送 的 数据必须真实、完整、准确、及时。
  证券期货业数据中心 应当按照 中国证监会 的有关规定开展 行业数据的集中保存工作 ,确保数据的安全、完整、可靠。
  第 二十九 条    核心机构 负责 建设和运营行业信息技术公共基础设施。
  第 三十 条    核心机构和经营机构应当加强信息安全保密管理, 保障 投资者信息安全。
  第 三十一 条    核心机构和经营机构应当建立网络与信息安全风险检测、监测、评估和预警机制,发现风险隐患应当及时处置,并按照规定进行报告。
  第 三十二 条     核心机构和经营机构 应当建立信息安全 应急 处置机制,及时处置突发信息安全事件,尽快恢复信息系统的正常运行,并按照规定进行报告,不得迟报、漏报、瞒报。
  核心机构和经营机构应当对信息安全事件进行内部调查、责任追究和采取整改措施,并配合中国证监会及其派出机构对事件进行调查处理。
  与 核心机构和经营机构 发生信息安全事件相关的软硬件产品或者技术服务供应商,应当配合相关调查工作。
  第 三十三 条    核心机构应当每年组织市场相关主体进行一次信息安全应急演练,并于实施前 15 个工作日向中国证监会报告。
  第 三 十 四 条    核心机构和经营机构应当对信息技术人员进行培训,确保其具有履行岗位职责的能力。
  第 三十五 条    核心机构和经营机构应当建立信息安全内部审计制度,定期开展内部审计,对发现的问题进行整改。
  第四章  产品及服务采购要求
  第三十六条    核心机构和经营机构应当建立供应商管理制度,定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。
  第三十七条    核心机构和经营机构在采购软硬件产品或者技术服务时,应当与供应商签订合同和保密协议,并在合同和保密协议中明确约定信息安全和保密的权利和义务。
  涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同,应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。
  第三十八条    核心机构和经营机构采购的软硬件产品或者技术服务应当满足审慎经营和风险管理的要求。软硬件产品或者技术服务不符合要求,影响核心机构和经营机构持续经营的,中国证监会有权要求核心机构和经营机构予以改进或者更换。
  第五章   行业自律
  第 三十九 条    证券期货 行业协会应当制定信息技术指引,督促、引导会员执行国家和行业信息安全相关规定和技术标准。
  第四十条     证券期货 行业协会应当引导行业加强信息技术人才队伍建设, 定期 组织信息技术培训和交流,提高信息技术人员执业素质。
  第 四十一 条    证券期货 行业协会应当引导鼓励行业信息技术研究与创新,增强自主可控能力,组织开展科技奖励,促进行业科技进步。
  第 四十二 条    证券期货 行业协会应当引导供应商规范参与行业 信息化与 信息安全 工作 ,促进市场公平竞争,促进供应商与市场相关主体共同发展。
  第六章   监督管理
  第 四十三 条     中国证监会建立统一组织、分级负责的信息安全监督管理体制。
  中国证监会信息安全管理部门负责证券期货业信息安全工作的组织、协调和指导;相关业务监管部门依照职责范围对核心机构和经营机构的信息安全进行监督、检查;派出机构根据授权对辖区内经营机构的信息安全进行监督、检查。
  第 四十四 条    中国证监会依法 组织 制定证券期货业信息安全管理规定和技术标准。
  第 四十五 条    中国证监会及其派出机构依照职责范围,对核心机构和经营机构进行信息安全检查或者委托国家、行业有关专业安全机构进行安全检查。核心机构和经营机构应当配合检查 。
  核心机构和经营机构 的信息安全管理不能达到规定要求的, 中国证监会及其派出机构 责令其限期改正,改正前可以暂停或者限制其部分或者全部证券期货经营业务活动。
  第 四十六 条    中国证监会及其派出机构可以要求核心机构和经营机构提供信息安全相关资料。
  核心机构和经营机构应当及时、准确、完整地提供相关资料。
  第 四十七 条    中国证监会 组织 制定 证券期货业 信息安全应急预案, 督促、指导行 业 开展 信息安全应急 工作 。
  第 四十八 条    中国证监会有权对核心机构、经营机构 的 信息安全事件进行调查处理。
  对于损害投资者合法权益或者影响证券期货市场安全稳定运行的信息安全事件,中国证监会依法对相关单位采取监督管理措施或者行政处罚。
  第 四十九 条    中国证监会对发现的系统漏洞、安全隐患、产品缺陷进行全行业通报。
  第五十条   核心机构和经营机构违反本办法规定,中国证监会可以视情节, 依法 对其采取责令改正、监管谈话、出具警示函、公开谴责、责令定期报告、责令处分有关人员、撤销任职资格、暂停或者限制证券期货经营业务活动等措施;情节严重的,给予警告、罚款。
  第七章  附  则
  第 五十一 条    本办法自 2012 年 11 月 1 日起施行。《证券期货业信息安全保障管理暂行办法》(证监信息字〔 2005 〕 5 号)同时废止。

Copyright © 上海市期货同业公会 电话:021-68401088、68401590、68400885
未经授权,禁止复制、镜像以及链接      沪ICP备10932457号-1     沪公网安备 31011502015366号       联系邮箱:shfa@shanghaifa.org.cn