证券期货业信息安全保障管理办法.docx

证券期货业信息安全保障管理办法第一章总则第一条为了保障证券期货信息系统安全运行加强证券期货业信息安全管理工作促进证券期货市场稳定健康发展保护投资者合法权益根据证券法证券投资基金法期货交易管理条例及信息安全保障相关的法律行政法规制定本办法第二条证券期货业信息安全保障管理监督等工作适用本办法第三条证券期货业信息安全保障工作实行谁运行谁负责谁使用谁负责安全优先保障发展的原则第四条证券期货业信息安全保障的责任主体应当执行国家信息安全相关法律行政法规和行业相关技术管理规定技术规则技术指引和技术标准开展信息安全工作保护投资者交易安全和数据安全并对本机构信息系统安全运行承担责任前款所称责任主体包括承担证券期货市场公共职能的机构承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构以下简称核心机构证券公司期货公司基金管理公司证券期货服务机构等证券期货经营机构以下简称经营机构第五条开展证券客户交易结算资金第三方存管业务银证银期银基转账和结算业务基金托管和销售业务的机构应当按照有关规定保障相关业务系统的安全运行第六条为证券期货业提供软硬件产品或者技术服务的供应商以下简称供应商应当保证所提供的软硬件产品或者技术服务符合国家及证券期货业信息安全相关的技术管理规定技术规则技术指引和技术标准第七条中国证监会支持协助国家信息安全管理部门组织实施信息安全相关法律行政法规依法对证券期货业信息安全保障工作实施监督管理中国证监会派出机构按照授权履行监督管理职责第八条中国证监会及其派出机构与国家信息安全管理部门相关行业管理部门建立信息安全协调机制与国家有关专业安全机构和标准化组织建立信息安全合作机制第九条证券期货证券投资基金等行业协会以下简称证券期货行业协会依照本办法的规定对会员的信息安全工作实行自律管理第十条核心机构依照本办法的规定对市场相关主体关联信息系统的安全保障工作进行督促指导第二章基本要求第十一条核心机构和经营机构应当具有合格的基础设施机房电力空调消防通信等基础设施的建设符合行业信息安全管理的有关规定第十二条核心机构和经营机构应当设置合理的网络结构划分安全区域各安全区域之间应当进行有效隔离并具有防范监控和阻断来自内外部网络攻击破坏的能力第十三条核心机构和经营机构应当建立符合业务要求的信息系统信息系统应当具有合理的架构足够的性能容量可靠性扩展性和安全性能够支持业务的运行和发展第十四条核心机构应当对交易行情开户结算风控通信等重要信息系统具有自主开发能力拥有执行程序和源代码并安全可靠存放在重要信息系统上线前对执行程序和源代码进行严格的审查和测试第十五条核心机构和经营机构应当具有防范木马病毒等恶意代码的能力防止恶意代码对信息系统造成破坏防止信息泄露或者被篡改第十六条核心机构和经营机构应当建立完善的信息技术治理架构明确信息技术决策管理执行和内部监督的权责机制第十七条核心机构和经营机构应当建立完善的信息技术管理制度和操作规程并严格执行第十八条核心机构应当制定本机构与市场相关主体信息系统安全互联的技术规则并报中国证监会备案核心机构依法督促市场相关主体执行技术规则第十九条核心机构应当提供多种互为备份的远程接入方式保证市场相关主体安全接入并对市场相关主体的远程接入进行监控与管理第三章持续保障要求第二十条核心机构和经营机构应当保障充足稳定的信息技术经费投入配备足够的信息技术人员第二十一条核心机构和经营机构应当根据行业规划和本机构发展战略制定信息化与信息安全发展规划满足业务发展和信息安全管理的需要第二十二条核心机构和经营机构开展信息系统新建升级变更换代等建设项目应当进行充分论证和测试第二十三条核心机构交易行情开户结算通信等重要信息系统上线或者进行重大升级变更时应当组织市场相关主体进行联网测试并按规定进行报告第二十四条核心机构和经营机构应当规范开展信息技术基础设施和重要信息系统的运行维护保障系统安全稳定运行第二十五条核心机构应当指导市场相关主体正确运行维护与本机构互联的系统和通信设施第二十六条核心机构和经营机构应当建立数据备份设施并按照规定在同城和异地保存备份数据第二十七条核心机构和经营机构应当建立重要信息系统的故障备份设施和灾难备份设施保证业务活动连续第二十八条核心机构和经营机构应当按照规定向中国证监会指定的证券期货业数据中心报送数据报送的数据必须真实完整准确及时证券期货业数据中心应当按照中国证监会的有关规定开展行业数据的集中保存工作确保数据的安全完整可靠第二十九条核心机构负责建设和运营行业信息技术公共基础设施第三十条核心机构和经营机构应当加强信息安全保密管理保障投资者信息安全第三十一条核心机构和经营机构应当建立网络与信息安全风险检测监测评估和预警机制发现风险隐患应当及时处置并按照规定进行报告第三十二条核心机构和经营机构应当建立信息安全应急处置机制及时处置突发信息安全事件尽快恢复信息系统的正常运行并按照规定进行报告不得迟报漏报瞒报核心机构和经营机构应当对信息安全事件进行内部调查责任追究和采取整改措施并配合中国证监会及其派出机构对事件进行调查处理与核心机构和经营机构发生信息安全事件相关的软硬件产品或者技术服务供应商应当配合相关调查工作第三十三条核心机构应当每年组织市场相关主体进行一次信息安全应急演练并于实施前15个工作日向中国证监会报告第三十四条核心机构和经营机构应当对信息技术人员进行培训确保其具有履行岗位职责的能力第三十五条核心机构和经营机构应当建立信息安全内部审计制度定期开展内部审计对发现的问题进行整改第四章产品及服务采购要求第三十六条核心机构和经营机构应当建立供应商管理制度定期对供应商的资质专业经验产品和服务的质量进行了解和评估第三十七条核心机构和经营机构在采购软硬件产品或者技术服务时应当与供应商签订合同和保密协议并在合同和保密协议中明确约定信息安全和保密的权利和义务涉及证券期货交易行情开户结算等软件产品或者技术服务的采购合同应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查第三十八条核心机构和经营机构采购的软硬件产品或者技术服务应当满足审慎经营和风险管理的要求软硬件产品或者技术服务不符合要求影响核心机构和经营机构持续经营的中国证监会有权要求核心机构和经营机构予以改进或者更换第五章行业自律第三十九条证券期货行业协会应当制定信息技术指引督促引导会员执行国家和行业信息安全相关规定和技术标准第四十条证券期货行业协会应当引导行业加强信息技术人才队伍建设定期组织信息技术培训和交流提高信息技术人员执业素质第四十一条证券期货行业协会应当引导鼓励行业信息技术研究与创新增强自主可控能力组织开展科技奖励促进行业科技进步第四十二条证券期货行业协会应当引导供应商规范参与行业信息化与信息安全工作促进市场公平竞争促进供应商与市场相关主体共同发展第六章监督管理第四十三条中国证监会建立统一组织分级负责的信息安全监督管理体制中国证监会信息安全管理部门负责证券期货业信息安全工作的组织协调和指导相关业务监管部门依照职责范围对核心机构和经营机构的信息安全进行监督检查派出机构根据授权对辖区内经营机构的信息安全进行监督检查第四十四条中国证监会依法组织制定证券期货业信息安全管理规定和技术标准第四十五条中国证监会及其派出机构依照职责范围对核心机构和经营机构进行信息安全检查或者委托国家行业有关专业安全机构进行安全检查核心机构和经营机构应当配合检查核心机构和经营机构的信息安全管理不能达到规定要求的中国证监会及其派出机构责令其限期改正改正前可以暂停或者限制其部分或者全部证券期货经营业务活动第四十六条中国证监会及其派出机构可以要求核心机构和经营机构提供信息安全相关资料核心机构和经营机构应当及时准确完整地提供相关资料第四十七条中国证监会组织制定证券期货业信息安全应急预案督促指导行业开展信息安全应急工作第四十八条中国证监会有权对核心机构经营机构的信息安全事件进行调查处理对于损害投资者合法权益或者影响证券期货市场安全稳定运行的信息安全事件中国证监会依法对相关单位采取监督管理措施或者行政处罚第四十九条中国证监会对发现的系统漏洞安全隐患产品缺陷进行全行业通报第五十条核心机构和经营机构违反本办法规定中国证监会可以视情节依法对其采取责令改正监管谈话出具警示函公开谴责责令定期报告责令处分有关人员撤销任职资格暂停或者限制证券期货经营业务活动等措施情节严重的给予警告罚款第七章附则第五十一条本办法自xx年11月1日起施行证券期货业信息安全保障管理暂行办法证监信息字x号同时废止