證券期貨業資訊保安保障管理辦法

證券期貨業資訊保安保障管理辦法

《證券期貨業資訊保安保障管理辦法》已經2012年8月23日中國證券監督管理委員會第22次主席辦公會議審議通過，現予公佈，自2012年11月1日起施行。

頒佈單位：中國證券監督管理委員會

文       號：中國證券監督管理委員會令第82號

頒佈時間：2012-09-24

實施時間：2012-11-01

時 效  性：現行有效

效力級別：部門規章

第一章 總則

第一條 為了保障證券期貨資訊系統安全執行，加強證券期貨業資訊保安管理工作，促進證券期貨市場穩定健康發展，保護投資者合法權益，根據《證券法》、《證券投資基金法》、《期貨交易管理條例》及資訊保安保障相關的法律、行政法規，制定本辦法。

第二條 證券期貨業資訊保安保障、管理、監督等工作適用本辦法。

第三條 證券期貨業資訊保安保障工作實行“誰執行、誰負責，誰使用、誰負責”、安全優先、保障發展的原則。

第四條 證券期貨業資訊保安保障的責任主體應當執行國家資訊保安相關法律、行政法規和行業相關技術管理規定、技術規則、技術指引和技術標準，開展資訊保安工作，保護投資者交易安全和資料安全，並對本機構資訊系統安全執行承擔責任。

前款所稱責任主體，包括承擔證券期貨市場公共職能的機構、承擔證券期貨行業資訊科技公共基礎設施運營的機構等證券期貨市場核心機構及其下屬機構(以下簡稱核心機構)，證券公司、期貨公司、基金管理公司、證券期貨服務機構等證券期貨經營機構(以下簡稱經營機構)。

第五條 開展證券客戶交易結算資金第三方存管業務，銀證、銀期、銀基轉賬和結算業務，基金託管和銷售業務的機構應當按照有關規定保障相關業務系統的安全執行。

第六條 為證券期貨業提供軟硬體產品或者技術服務的供應商(以下簡稱供應商)，應當保證所提供的軟硬體產品或者技術服務符合國家及證券期貨業資訊保安相關的技術管理規定、技術規則、技術指引和技術標準。

第七條 中國證監會支援、協助國家資訊保安管理部門組織實施資訊保安相關法律、行政法規，依法對證券期貨業資訊保安保障工作實施監督管理。

中國證監會派出機構按照授權履行監督管理職責。

第八條 中國證監會及其派出機構與國家資訊保安管理部門、相關行業管理部門建立資訊保安協調機制，與國家有關專業安全機構和標準化組織建立資訊保安合作機制。

第九條 證券、期貨、證券投資基金等行業協會(以下簡稱證券期貨行業協會)依照本辦法的規定，對會員的資訊保安工作實行自律管理。

第十條 核心機構依照本辦法的規定，對市場相關主體關聯資訊系統的安全保障工作進行督促、指導。

第二章 基本要求

第十一條 核心機構和經營機構應當具有合格的基礎設施。機房、電力、空調、消防、通訊等基礎設施的建設符合行業資訊保安管理的有關規定。

第十二條 核心機構和經營機構應當設定合理的網路結構，劃分安全區域，各安全區域之間應當進行有效隔離，並具有防範、監控和阻斷來自內外部網路攻擊破壞的能力。

第十三條 核心機構和經營機構應當建立符合業務要求的資訊系統。資訊系統應當具有合理的架構，足夠的效能、容量、可靠性、擴充套件性和安全性，能夠支援業務的執行和發展。

第十四條 核心機構應當對交易、行情、開戶、結算、風控、通訊等重要資訊系統具有自主開發能力，擁有執行程式和原始碼並安全可靠存放，在重要資訊系統上線前對執行程式和原始碼進行嚴格的審查和測試。

第十五條 核心機構和經營機構應當具有防範木馬、病毒等惡意程式碼的能力，防止惡意程式碼對資訊系統造成破壞，防止資訊洩露或者被篡改。

第十六條 核心機構和經營機構應當建立完善的資訊科技治理架構，明確資訊科技決策、管理、執行和內部監督的權責機制。

第十七條 核心機構和經營機構應當建立完善的資訊科技管理制度和操作規程，並嚴格執行。

第十八條 核心機構應當制定本機構與市場相關主體資訊系統安全互聯的技術規則，並報中國證監會備案。

核心機構依法督促市場相關主體執行技術規則。

第十九條 核心機構應當提供多種互為備份的遠端接入方式，保證市場相關主體安全接入，並對市場相關主體的遠端接入進行監控與管理。

第三章 持續保障要求

第二十條 核心機構和經營機構應當保障充足、穩定的資訊科技經費投入，配備足夠的資訊科技人員。

第二十一條 核心機構和經營機構應當根據行業規劃和本機構發展戰略，制定資訊化與資訊保安發展規劃，滿足業務發展和資訊保安管理的需要。

第二十二條 核心機構和經營機構開展資訊系統新建、升級、變更、換代等建設專案，應當進行充分論證和測試。

第二十三條 核心機構交易、行情、開戶、結算、通訊等重要資訊系統上線或者進行重大升級變更時，應當組織市場相關主體進行聯網測試，並按規定進行報告。

第二十四條 核心機構和經營機構應當規範開展資訊科技基礎設施和重要資訊系統的執行維護，保障系統安全穩定執行。

第二十五條 核心機構應當指導市場相關主體正確執行維護與本機構互聯的系統和通訊設施。

第二十六條 核心機構和經營機構應當建立資料備份設施，並按照規定在同城和異地儲存備份資料。

第二十七條 核心機構和經營機構應當建立重要資訊系統的故障備份設施和災難備份設施，保證業務活動連續。

第二十八條 核心機構和經營機構應當按照規定向中國證監會指定的證券期貨業資料中心報送資料。報送的資料必須真實、完整、準確、及時。

證券期貨業資料中心應當按照中國證監會的有關規定開展行業資料的集中儲存工作，確保資料的安全、完整、可靠。

第二十九條 核心機構負責建設和運營行業資訊科技公共基礎設施。

第三十條 核心機構和經營機構應當加強資訊保安保密管理，保障投資者資訊保安。

第三十一條 核心機構和經營機構應當建立網路與資訊保安風險檢測、監測、評估和預警機制，發現風險隱患應當及時處置，並按照規定進行報告。

第三十二條 核心機構和經營機構應當建立資訊保安應急處置機制，及時處置突發資訊保安事件，儘快恢復資訊系統的正常執行，並按照規定進行報告，不得遲報、漏報、瞞報。

核心機構和經營機構應當對資訊保安事件進行內部調查、責任追究和採取整改措施，並配合中國證監會及其派出機構對事件進行調查處理。

與核心機構和經營機構發生資訊保安事件相關的軟硬體產品或者技術服務供應商，應當配合相關調查工作。

第三十三條 核心機構應當每年組織市場相關主體進行一次資訊保安應急演練，並於實施前15個工作日向中國證監會報告。

第三十四條 核心機構和經營機構應當對資訊科技人員進行培訓，確保其具有履行崗位職責的能力。

第三十五條 核心機構和經營機構應當建立資訊保安內部審計制度，定期開展內部審計，對發現的問題進行整改。

第四章 產品及服務採購要求

第三十六條 核心機構和經營機構應當建立供應商管理制度，定期對供應商的資質、專業經驗、產品和服務的質量進行了解和評估。

第三十七條 核心機構和經營機構在採購軟硬體產品或者技術服務時，應當與供應商簽訂合同和保密協議，並在合同和保密協議中明確約定資訊保安和保密的權利和義務。

涉及證券期貨交易、行情、開戶、結算等軟體產品或者技術服務的採購合同，應當約定供應商須接受中國證監會及其派出機構的資訊保安延伸檢查。

第三十八條 核心機構和經營機構採購的軟硬體產品或者技術服務應當滿足審慎經營和風險管理的要求。軟硬體產品或者技術服務不符合要求，影響核心機構和經營機構持續經營的，中國證監會有權要求核心機構和經營機構予以改進或者更換。

第五章 行業自律

第三十九條 證券期貨行業協會應當制定資訊科技指引，督促、引導會員執行國家和行業資訊保安相關規定和技術標準。

第四十條 證券期貨行業協會應當引導行業加強資訊科技人才隊伍建設，定期組織資訊科技培訓和交流，提高資訊科技人員執業素質。

第四十一條 證券期貨行業協會應當引導鼓勵行業資訊科技研究與創新，增強自主可控能力，組織開展科技獎勵，促進行業科技進步。

第四十二條 證券期貨行業協會應當引導供應商規範參與行業資訊化與資訊保安工作，促進市場公平競爭，促進供應商與市場相關主體共同發展。

第六章 監督管理

第四十三條 中國證監會建立統一組織、分級負責的資訊保安監督管理體制。

中國證監會資訊保安管理部門負責證券期貨業資訊保安工作的組織、協調和指導;相關業務監管部門依照職責範圍對核心機構和經營機構的資訊保安進行監督、檢查;派出機構根據授權對轄區內經營機構的資訊保安進行監督、檢查。

第四十四條 中國證監會依法組織制定證券期貨業資訊保安管理規定和技術標準。

第四十五條 中國證監會及其派出機構依照職責範圍，對核心機構和經營機構進行資訊保安檢查或者委託國家、行業有關專業安全機構進行安全檢查。核心機構和經營機構應當配合檢查。

核心機構和經營機構的資訊保安管理不能達到規定要求的，中國證監會及其派出機構責令其限期改正，改正前可以暫停或者限制其部分或者全部證券期貨經營業務活動。

第四十六條 中國證監會及其派出機構可以要求核心機構和經營機構提供資訊保安相關資料。

核心機構和經營機構應當及時、準確、完整地提供相關資料。

第四十七條 中國證監會組織制定證券期貨業資訊保安應急預案，督促、指導行業開展資訊保安應急工作。

第四十八條 中國證監會有權對核心機構、經營機構的資訊保安事件進行調查處理。

對於損害投資者合法權益或者影響證券期貨市場安全穩定執行的資訊保安事件，中國證監會依法對相關單位採取監督管理措施或者行政處罰。

第四十九條 中國證監會對發現的系統漏洞、安全隱患、產品缺陷進行全行業通報。

第五十條 核心機構和經營機構違反本辦法規定，中國證監會可以視情節，依法對其採取責令改正、監管談話、出具警示函、公開譴責、責令定期報告、責令處分有關人員、撤銷任職資格、暫停或者限制證券期貨經營業務活動等措施;情節嚴重的，給予警告、罰款。

第七章 附 則

第五十一條 本辦法自2012年11月1日起施行。《證券期貨業資訊保安保障管理暫行辦法》(證監資訊字〔2005〕5號)同時廢止。