第一篇：80分C14013《證券期貨業(yè)信息安全保障管理辦法》解讀

一、單項選擇題

1.下列各項中屬于證券期貨行業(yè)信息技術法規(guī)體系中技術標準特點的是（）。

A.行業(yè)協(xié)會組織制定并發(fā)布，引導性強

B.監(jiān)管部門制定并發(fā)布，政策性強

C.交易所組織制定并發(fā)布，專業(yè)性強

D.監(jiān)管部門組織制定并發(fā)布，技術性強

2.下列各項中，屬于行業(yè)信息技術法規(guī)體系中基金管理公司類別的是（）。

A.《關于進一步加強期貨公司信息技術管理工作的指導意見》

B.《關于證券公司為期貨公司提供中間介紹業(yè)務信息技術有關問題的通知》

C.《期貨公司信息技術管理指引（修訂）》

D.《證券投資基金銷售業(yè)務信息管理平臺管理規(guī)定》

二、多項選擇題

3.下列選項中屬于證券期貨市場經(jīng)營機構的是（）。

A.期貨公司

B.證券期貨服務機構

C.證券公司

D.基金管理公司

4.國家信息安全管理的主要規(guī)定包括（）等。

A.《計算機病毒防治管信理辦法》

B.《通信網(wǎng)絡安全防護管理辦法》

C.《軟件產(chǎn)品管理辦法》

D.《信息安全等級保護管理辦法》

5.根據(jù)《證券期貨業(yè)信息安全保障管理辦法》的相關規(guī)定，下列有關行業(yè)自律的描述中正確的有（）。

A.應當制定信息技術指引，督促、引導會員執(zhí)行國家和行業(yè)信息安全相關規(guī)定和技術標準

B.應當引導鼓勵行業(yè)信息技術研究與創(chuàng)新，增強自主可控能力，組織開展科技獎勵，促進行業(yè)科技進步

C.應當引導行業(yè)加強信息技術人才隊伍建設，定期組織信息技術培訓和交流，提高信息技術人員執(zhí)業(yè)素

質(zhì)

D.應當引導供應商規(guī)范參與行業(yè)信息化與信息安全工作，促進市場公平競爭，促進供應商與市場相關主

體共同發(fā)展

6.《證券期貨業(yè)信息安全保障管理辦法》規(guī)定的責任主體包括（）。

A.證券公司、期貨公司、基金管理公司、證券期貨服務機構等證券期貨經(jīng)營機構

B.承擔證券期貨市場公共職能的機構

C.承擔證券期貨行業(yè)信息技術公共基礎設施運營的機構等證券期貨市場核心機構及其下屬機構

D.開展證券客戶交易結(jié)算資金第三方存管業(yè)務，銀證、銀期、銀基轉(zhuǎn)賬和結(jié)算業(yè)務，基金托管和銷售業(yè)務的機構

三、判斷題

7.《證券期貨業(yè)信息安全保障管理辦法》是證券期貨行業(yè)信息化與信息安全領域?qū)哟巫罡摺⒆钪匾囊?guī)定。（）

正確

錯誤

8.根據(jù)《證券期貨業(yè)信息安全保障管理辦法》的相關規(guī)定，涉及證券期貨交易、行情、開戶、結(jié)算等軟件產(chǎn)品或者技術服務的采購合同，應當約定供應商須接受中國證監(jiān)會及其派出機構的信息安全延伸檢查。（）

正確

錯誤

9.證券期貨交易所、登記結(jié)算機構等核心機構和證券期貨基金公司等經(jīng)營機構與證券期貨業(yè)務直接相關的信息系統(tǒng)安全（建設、互聯(lián)、運行、維護等）應納入證券期貨監(jiān)管范圍，由行業(yè)協(xié)會負責制定規(guī)范予以規(guī)范。（）

正確

錯誤 10.根據(jù)《證券期貨業(yè)信息安全保障管理辦法》的相關規(guī)定，核心機構應當指導市場相關主體正確運行維護與本機構互聯(lián)的系統(tǒng)和通信設施。（）

正確

錯誤

第二篇：【第82號令】《證券期貨業(yè)信息安全保障管理辦法》

證券期貨業(yè)信息安全保障管理辦法

第一章

總則

第一條

為了保障證券期貨信息系統(tǒng)安全運行，加強證券期貨業(yè)信息安全管理工作，促進證券期貨市場穩(wěn)定健康發(fā)展，保護投資者合法權益，根據(jù)《證券法》、《證券投資基金法》、《期貨交易管理條例》及信息安全保障相關的法律、行政法規(guī)，制定本辦法。

第二條

證券期貨業(yè)信息安全保障、管理、監(jiān)督等工作適用本辦法。

第三條

證券期貨業(yè)信息安全保障工作實行“誰運行、誰負責，誰使用、誰負責”、安全優(yōu)先、保障發(fā)展的原則。

第四條

證券期貨業(yè)信息安全保障的責任主體應當執(zhí)行國家信息安全相關法律、行政法規(guī)和行業(yè)相關技術管理規(guī)定、技術規(guī)則、技術指引和技術標準，開展信息安全工作，保護投資者交易安全和數(shù)據(jù)安全，并對本機構信息系統(tǒng)安全運行承擔責任。

前款所稱責任主體，包括承擔證券期貨市場公共職能的機構、承擔證券期貨行業(yè)信息技術公共基礎設施運營的機構等證券期貨市場核心機構及其下屬機構（以下簡稱核心機構），證券公司、期貨公司、基金管理公司、證券期貨服務機構等證券期貨經(jīng)營機構（以下簡稱經(jīng)營機構）。

第五條

開展證券客戶交易結(jié)算資金第三方存管業(yè)務，銀證、銀期、銀基轉(zhuǎn)賬和結(jié)算業(yè)務，基金托管和銷售業(yè)務的機構應當按照有關規(guī)定保障相關業(yè)務系統(tǒng)的安全運行。

第六條

為證券期貨業(yè)提供軟硬件產(chǎn)品或者技術服務的供應商（以下簡稱供應商），應當保證所提供的軟硬件產(chǎn)品或者技術服務符合國家及證券期貨業(yè)信息安全相關的技術管理規(guī)定、技術規(guī)則、技術指引和技術標準。

第七條

中國證監(jiān)會支持、協(xié)助國家信息安全管理部門組織實施信息安全相關法律、行政法規(guī)，依法對證券期貨業(yè)信息安全保障工作實施監(jiān)督管理。

中國證監(jiān)會派出機構按照授權履行監(jiān)督管理職責。

第八條

中國證監(jiān)會及其派出機構與國家信息安全管理部門、相關行業(yè)管理部門建立信息安全協(xié)調(diào)機制，與國家有關專業(yè)安全機構和標準化組織建立信息安全合作機制。

第九條

證券、期貨、證券投資基金等行業(yè)協(xié)會（以下簡稱證券期貨行業(yè)協(xié)會）依照本辦法的規(guī)定，對會員的信息安全工作實行自律管理。

第十條

核心機構依照本辦法的規(guī)定，對市場相關主體關聯(lián)信息系統(tǒng)的安全保障工作進行督促、指導。

第二章

基本要求

第十一條

核心機構和經(jīng)營機構應當具有合格的基礎設施。機房、電力、空調(diào)、消防、通信等基礎設施的建設符合行業(yè)信息安全管理的有關規(guī)定。

第十二條

核心機構和經(jīng)營機構應當設置合理的網(wǎng)絡結(jié)構，劃分安全區(qū)域，各安全區(qū)域之間應當進行有效隔離，并具有防范、監(jiān)控和阻斷來自內(nèi)外部網(wǎng)絡攻擊破壞的能力。

第十三條

核心機構和經(jīng)營機構應當建立符合業(yè)務要求的信息系統(tǒng)。信息系統(tǒng)應當具有合理的架構，足夠的性能、容量、可靠性、擴展性和安全性，能夠支持業(yè)務的運行和發(fā)展。

第十四條

核心機構應當對交易、行情、開戶、結(jié)算、風控、通信等重要信息系統(tǒng)具有自主開發(fā)能力，擁有執(zhí)行程序和源代碼并安全可靠存放，在重要信息系統(tǒng)上線前對執(zhí)行程序和源代碼進行嚴格的審查和測試。

第十五條

核心機構和經(jīng)營機構應當具有防范木馬、病毒等惡意代碼的能力，防止惡意代碼對信息系統(tǒng)造成破壞，防止信息泄露或者被篡改。

第十六條

核心機構和經(jīng)營機構應當建立完善的信息技術治理架構，明確信息技術決策、管理、執(zhí)行和內(nèi)部監(jiān)督的權責機制。

第十七條

核心機構和經(jīng)營機構應當建立完善的信息技術管理制度和操作規(guī)程，并嚴格執(zhí)行。

第十八條

核心機構應當制定本機構與市場相關主體信息系 統(tǒng)安全互聯(lián)的技術規(guī)則，并報中國證監(jiān)會備案。

核心機構依法督促市場相關主體執(zhí)行技術規(guī)則。

第十九條

核心機構應當提供多種互為備份的遠程接入方式，保證市場相關主體安全接入，并對市場相關主體的遠程接入進行監(jiān)控與管理。

第三章

持續(xù)保障要求

第二十條

核心機構和經(jīng)營機構應當保障充足、穩(wěn)定的信息技術經(jīng)費投入，配備足夠的信息技術人員。

第二十一條

核心機構和經(jīng)營機構應當根據(jù)行業(yè)規(guī)劃和本機構發(fā)展戰(zhàn)略，制定信息化與信息安全發(fā)展規(guī)劃，滿足業(yè)務發(fā)展和信息安全管理的需要。

第二十二條

核心機構和經(jīng)營機構開展信息系統(tǒng)新建、升級、變更、換代等建設項目，應當進行充分論證和測試。

第二十三條

核心機構交易、行情、開戶、結(jié)算、通信等重要信息系統(tǒng)上線或者進行重大升級變更時，應當組織市場相關主體進行聯(lián)網(wǎng)測試，并按規(guī)定進行報告。

第二十四條

核心機構和經(jīng)營機構應當規(guī)范開展信息技術基礎設施和重要信息系統(tǒng)的運行維護，保障系統(tǒng)安全穩(wěn)定運行。

第二十五條

核心機構應當指導市場相關主體正確運行維護與本機構互聯(lián)的系統(tǒng)和通信設施。

第二十六條

核心機構和經(jīng)營機構應當建立數(shù)據(jù)備份設施，并按照規(guī)定在同城和異地保存?zhèn)浞輸?shù)據(jù)。

第二十七條

核心機構和經(jīng)營機構應當建立重要信息系統(tǒng)的故障備份設施和災難備份設施，保證業(yè)務活動連續(xù)。

第二十八條

核心機構和經(jīng)營機構應當按照規(guī)定向中國證監(jiān)會指定的證券期貨業(yè)數(shù)據(jù)中心報送數(shù)據(jù)。報送的數(shù)據(jù)必須真實、完整、準確、及時。

證券期貨業(yè)數(shù)據(jù)中心應當按照中國證監(jiān)會的有關規(guī)定開展行業(yè)數(shù)據(jù)的集中保存工作，確保數(shù)據(jù)的安全、完整、可靠。

第二十九條

核心機構負責建設和運營行業(yè)信息技術公共基礎設施。

第三十條

核心機構和經(jīng)營機構應當加強信息安全保密管理，保障投資者信息安全。

第三十一條

核心機構和經(jīng)營機構應當建立網(wǎng)絡與信息安全風險檢測、監(jiān)測、評估和預警機制，發(fā)現(xiàn)風險隱患應當及時處置，并按照規(guī)定進行報告。

第三十二條

核心機構和經(jīng)營機構應當建立信息安全應急處置機制，及時處置突發(fā)信息安全事件，盡快恢復信息系統(tǒng)的正常運行，并按照規(guī)定進行報告，不得遲報、漏報、瞞報。

核心機構和經(jīng)營機構應當對信息安全事件進行內(nèi)部調(diào)查、責任追究和采取整改措施，并配合中國證監(jiān)會及其派出機構對事件進行調(diào)查處理。

與核心機構和經(jīng)營機構發(fā)生信息安全事件相關的軟硬件產(chǎn)品或者技術服務供應商，應當配合相關調(diào)查工作。

第三十三條

核心機構應當每年組織市場相關主體進行一次信息安全應急演練，并于實施前15個工作日向中國證監(jiān)會報告。

第三十四條

核心機構和經(jīng)營機構應當對信息技術人員進行培訓，確保其具有履行崗位職責的能力。

第三十五條

核心機構和經(jīng)營機構應當建立信息安全內(nèi)部審計制度，定期開展內(nèi)部審計，對發(fā)現(xiàn)的問題進行整改。

第四章

產(chǎn)品及服務采購要求

第三十六條

核心機構和經(jīng)營機構應當建立供應商管理制度，定期對供應商的資質(zhì)、專業(yè)經(jīng)驗、產(chǎn)品和服務的質(zhì)量進行了解和評估。

第三十七條

核心機構和經(jīng)營機構在采購軟硬件產(chǎn)品或者技術服務時，應當與供應商簽訂合同和保密協(xié)議，并在合同和保密協(xié)議中明確約定信息安全和保密的權利和義務。

涉及證券期貨交易、行情、開戶、結(jié)算等軟件產(chǎn)品或者技術服務的采購合同，應當約定供應商須接受中國證監(jiān)會及其派出機構的信息安全延伸檢查。

第三十八條

核心機構和經(jīng)營機構采購的軟硬件產(chǎn)品或者技術服務應當滿足審慎經(jīng)營和風險管理的要求。軟硬件產(chǎn)品或者技 術服務不符合要求，影響核心機構和經(jīng)營機構持續(xù)經(jīng)營的，中國證監(jiān)會有權要求核心機構和經(jīng)營機構予以改進或者更換。

第五章

行業(yè)自律

第三十九條

證券期貨行業(yè)協(xié)會應當制定信息技術指引，督促、引導會員執(zhí)行國家和行業(yè)信息安全相關規(guī)定和技術標準。

第四十條

證券期貨行業(yè)協(xié)會應當引導行業(yè)加強信息技術人才隊伍建設，定期組織信息技術培訓和交流，提高信息技術人員執(zhí)業(yè)素質(zhì)。

第四十一條

證券期貨行業(yè)協(xié)會應當引導鼓勵行業(yè)信息技術研究與創(chuàng)新，增強自主可控能力，組織開展科技獎勵，促進行業(yè)科技進步。

第四十二條

證券期貨行業(yè)協(xié)會應當引導供應商規(guī)范參與行業(yè)信息化與信息安全工作，促進市場公平競爭，促進供應商與市場相關主體共同發(fā)展。

第六章

監(jiān)督管理

第四十三條

中國證監(jiān)會建立統(tǒng)一組織、分級負責的信息安全監(jiān)督管理體制。

中國證監(jiān)會信息安全管理部門負責證券期貨業(yè)信息安全工作 的組織、協(xié)調(diào)和指導；相關業(yè)務監(jiān)管部門依照職責范圍對核心機構和經(jīng)營機構的信息安全進行監(jiān)督、檢查；派出機構根據(jù)授權對轄區(qū)內(nèi)經(jīng)營機構的信息安全進行監(jiān)督、檢查。

第四十四條

中國證監(jiān)會依法組織制定證券期貨業(yè)信息安全管理規(guī)定和技術標準。

第四十五條

中國證監(jiān)會及其派出機構依照職責范圍，對核心機構和經(jīng)營機構進行信息安全檢查或者委托國家、行業(yè)有關專業(yè)安全機構進行安全檢查。核心機構和經(jīng)營機構應當配合檢查。

核心機構和經(jīng)營機構的信息安全管理不能達到規(guī)定要求的，中國證監(jiān)會及其派出機構責令其限期改正，改正前可以暫停或者限制其部分或者全部證券期貨經(jīng)營業(yè)務活動。

第四十六條

中國證監(jiān)會及其派出機構可以要求核心機構和經(jīng)營機構提供信息安全相關資料。

核心機構和經(jīng)營機構應當及時、準確、完整地提供相關資料。第四十七條

中國證監(jiān)會組織制定證券期貨業(yè)信息安全應急預案，督促、指導行業(yè)開展信息安全應急工作。

第四十八條

中國證監(jiān)會有權對核心機構、經(jīng)營機構的信息安全事件進行調(diào)查處理。

對于損害投資者合法權益或者影響證券期貨市場安全穩(wěn)定運行的信息安全事件，中國證監(jiān)會依法對相關單位采取監(jiān)督管理措施或者行政處罰。

第四十九條

中國證監(jiān)會對發(fā)現(xiàn)的系統(tǒng)漏洞、安全隱患、產(chǎn) 品缺陷進行全行業(yè)通報。

第五十條

核心機構和經(jīng)營機構違反本辦法規(guī)定，中國證監(jiān)會可以視情節(jié)，依法對其采取責令改正、監(jiān)管談話、出具警示函、公開譴責、責令定期報告、責令處分有關人員、撤銷任職資格、暫停或者限制證券期貨經(jīng)營業(yè)務活動等措施；情節(jié)嚴重的，給予警告、罰款。

第七章

附

則

第五十一條 本辦法自2012年11月1日起施行。《證券期貨業(yè)信息安全保障管理暫行辦法》（證監(jiān)信息字〔2005〕5號）同時廢止。

第三篇：證券期貨業(yè)信息安全保障管理暫行辦法

中國證券監(jiān)督管理委員會關于印發(fā)《證券期貨業(yè)信息安全保障管理暫行辦法》的通知

（證監(jiān)信息字[2005]5號）

上海、深圳證券交易所，上海期貨交易所，大連、鄭州商品交易所，中國證券登記結(jié)算公司，中國證券業(yè)、期貨業(yè)協(xié)會：

為規(guī)范行業(yè)網(wǎng)絡與信息系統(tǒng)建設和安全保障工作，中國證監(jiān)會制定了《證券期貨業(yè)信息

安全保障管理暫行辦法》，現(xiàn)印發(fā)給你們，請遵照執(zhí)行。

請中國證券業(yè)協(xié)會、中國期貨業(yè)協(xié)會將本通知轉(zhuǎn)發(fā)至各會員單位。

中國證券監(jiān)督管理委員會

二00五年四月八日

證券期貨業(yè)信息安全保障管理暫行辦法

第一章 總則

第一條 為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立、健全信息安全管理制

度和運行機制，提高行業(yè)信息安全保障工作水平，切實保護投資者合法權益，根據(jù)國家有關

法律、法規(guī)和相關規(guī)定，制定本辦法。

第二條 本辦法適用于證券期貨市場的監(jiān)管機構、行業(yè)自律組織及經(jīng)營機構。監(jiān)管機構

為中國證券監(jiān)督管理委員會（以下簡稱“中國證監(jiān)會”）；行業(yè)自律組織包括證券、期貨交易

所及其通信公司，證券登記結(jié)算公司、中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會；經(jīng)營機構包括證

券、期貨公司，基金管理公司及證券、期貨投資咨詢公司。

第二章 安全職責劃分

第三條 中國證監(jiān)會負責證券期貨行業(yè)信息安全保障工作的監(jiān)督管理及組織協(xié)調(diào)。

第四條 證券、期貨交易所及其通信公司，登記結(jié)算公司，證券、期貨公司，基金管理

公司，證券、期貨投資咨詢公司等是各自信息系統(tǒng)安全運營管理的責任主體單位（以下簡稱

“主體單位”）。

第五條 證券交易所負責證券交易、信息發(fā)布及市場監(jiān)管信息系統(tǒng)的安全運營。證券通

信公司受證券交易所及證券登記結(jié)算公司、經(jīng)營機構的委托，負責通信系統(tǒng)的安全運營，保

障交易、結(jié)算等業(yè)務數(shù)據(jù)的及時安全傳送。期貨交易所負責期貨交易和結(jié)算處理、信息發(fā)布、市場監(jiān)管信息系統(tǒng)及通信系統(tǒng)的安全運營。

第六條 證券登記結(jié)算公司負責證券登記、結(jié)算業(yè)務信息系統(tǒng)的安全運營。

第七條 中國證券業(yè)協(xié)會負責證券公司、基金管理公司、證券投資咨詢公司等會員單位

信息安全保障的組織、協(xié)調(diào)工作。

中國期貨業(yè)協(xié)會負責期貨公司、期貨投資咨詢公司等會員單位信息安全保障的組織、協(xié)

調(diào)工作。

第八條 證券、期貨公司，基金管理公司及證券、期貨投資咨詢公司負責總部及下屬經(jīng)

營機構信息系統(tǒng)的安全運營。

第三章 安全目標與基本原則

第九條 信息安全保障工作的總體目標是確保信息和信息系統(tǒng)的完整性、保密性、可用性、時效性、可審查性和可控性，切實保護市場參與各方的合法權益，促進證券期貨市場的持續(xù)、穩(wěn)定、健康發(fā)展。

第十條 信息安全保障工作的具體目標是：

（一）保護證券期貨業(yè)信息系統(tǒng)的物理環(huán)境、設備設施和運行環(huán)境，保證信息系統(tǒng)的環(huán)境安全；

（二）確保信息內(nèi)容的合法性，保護信息在采集、傳輸、使用和存儲過程中的保密性、完整性、可用性、時效性、可審查性和可控性，保證信息的安全；

（三）提高證券期貨業(yè)人員的信息安全意識、安全專業(yè)素質(zhì)以及安全管理與服務水平；

（四）提高信息系統(tǒng)的可用率和災難恢復能力，為業(yè)務的可持續(xù)性運行提供保障。第十一條 信息安全保障工作應遵循以下基本原則：

（一）責任制原則：安全管理應做到“誰主管，誰負責”、“誰運營，誰負責”，注重以法律手段明確與他方的責任關系，通過契約、協(xié)調(diào)等方式與他方進行責任劃分，明確進行風險轉(zhuǎn)移，通過責任主體制約他方。

（二）規(guī)范化原則：遵循國內(nèi)、國際的信息安全標準及行業(yè)規(guī)范，對信息系統(tǒng)實行等級保護。

（三）全面統(tǒng)籌原則：信息安全保障工作應貫穿于信息化全過程，堅持統(tǒng)籌規(guī)劃、突出重點，安全與發(fā)展并進，管理與技術并重，應急防御與長效機制相結(jié)合。

（四）實用性原則：在確保信息系統(tǒng)性能和安全的前提下，充分利用資源，講究實效，避免重復和盲目投資，積極采用國家法律法規(guī)允許的、成熟的先進技術和專業(yè)安全服務，運用科學的經(jīng)營管理方法，降低成本，保障安全運行。

第四章 安全保障要求

第十二條 主體單位應建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系，保持三個體系穩(wěn)定、均衡發(fā)展。

第十三條 主體單位應建立明確的信息安全組織體系：

（一）建立決策層、管理層和執(zhí)行層三層工作關系，明確信息安全主管領導，落實信息安全管理部門，指定信息安全執(zhí)行崗位；

（二）設立專職的安全管理員和安全審計員崗位，分別負責信息安全工作的實施和審計；

（三）通過多種安全培訓方式加強信息安全人才隊伍的建設，提高信息安全工作人員的技能水平，提高員工安全意識。

第十四條 主體單位應建立全面的信息安全管理體系：

（一）制定統(tǒng)一的信息安全策略和全面、可操作的信息安全管理制度，指導和規(guī)范信息系統(tǒng)的安全規(guī)劃與建設，確保策略和制度得到恰當?shù)睦斫獠⒌玫接行У淖裱蛨?zhí)行；

（二）加強信息系統(tǒng)資產(chǎn)安全管理，保護信息系統(tǒng)設備、軟件、數(shù)據(jù)和技術文檔的安全，實行信息系統(tǒng)資產(chǎn)管理責任制，實現(xiàn)等級管理、密級管理，重點保護核心信息系統(tǒng)資產(chǎn)的安全；

（三）強化信息系統(tǒng)的物理安全保護，執(zhí)行嚴格的機房安全管理、環(huán)境安全管理和有效的物理控制措施；

（四）建立信息系統(tǒng)網(wǎng)絡、系統(tǒng)、應用等各層面的安全管理流程，實現(xiàn)對信息系統(tǒng)規(guī)劃、建設、運行、維護各個階段的安全管理，開發(fā)與運營獨立管理，嚴格執(zhí)行日常的實時管理和定期管理工作；

（五）實現(xiàn)對信息系統(tǒng)的安全風險管理，對信息資產(chǎn)、威脅和脆弱性的狀況進行定期評估，及時發(fā)現(xiàn)安全隱患并進行預防性的保護，選擇適用、有效的安全措施。

第十五條 主體單位應建立有效的信息安全技術體系：

（一）建立完善的安全預警體系，及時發(fā)現(xiàn)安全隱患；

（二）強化現(xiàn)有的安全防護體系，實現(xiàn)對核心業(yè)務系統(tǒng)的重點保護；

（三）建立有效的安全監(jiān)控體系，監(jiān)控核心業(yè)務系統(tǒng)，為進一步完善信息安全體系提供決策依據(jù)；

（四）建立全面的應急響應體系，制定規(guī)范、完整的應急處理和響應流程，定期進行應急恢復的演練和測試，完善信息安全通報機制；

（五）按照不同的安全保護等級建立相應的災難恢復體系，定期進行災難恢復的演練和測試，確保災難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。

第五章 附則

第十六條 中國證監(jiān)會對證券期貨業(yè)信息系統(tǒng)安全保障情況組織安全檢查，檢查方式包括自檢查、委托檢查等方式。

第十七條 本辦法由中國證監(jiān)會負責解釋。

第十八條 本辦法自印發(fā)之日起執(zhí)行。

發(fā)布部門：中國證券監(jiān)督管理委員會 發(fā)布日期：2005年04月08日 實施日期：2005年04月08日(中央法規(guī))

第四篇：關于《證券期貨業(yè)信息安全保障管理辦法(征求意見稿)》的起草說明

關于《證券期貨業(yè)信息安全保障管理辦法

(征求意見稿）》的起草說明

一、起草背景

證券期貨行業(yè)高度依賴信息技術，證券期貨信息技術系統(tǒng)是資本市場關鍵的基礎設施，證券期貨業(yè)信息安全保障關系到證券期貨市場的穩(wěn)定運行和健康發(fā)展，關系到國家金融安全和社會穩(wěn)定，對保護投資者交易安全和財產(chǎn)安全具有十分重要的意義。為了加強對信息安全的監(jiān)管，督促市場主體切實保障信息安全，中國證監(jiān)會于2005年制定了《證券期貨業(yè)信息安全保障管理暫行辦法》（證監(jiān)信息字[2005]5號）。但是，目前行業(yè)信息安全的管理體制和監(jiān)管要求已經(jīng)發(fā)生較大變化，該辦法已經(jīng)不能適應新的變化。近幾年，中國證監(jiān)會從行業(yè)實際出發(fā)，重點加強了信息安全工作，成立了證券期貨業(yè)信息化工作領導小組，逐步形成了職責清晰、合理高效的行業(yè)信息安全管理體制和工作機制，因此，在充分總結(jié)經(jīng)驗的基礎上，中國證監(jiān)會研究制定了《證券期貨業(yè)信息安全保障管理辦法》（以下簡稱《管理辦法》），以規(guī)章形式固化已經(jīng)形成的、行之有效的體制機制和監(jiān)管要求，確立行業(yè)信息安全保障的長效機制。

二、立法的依據(jù)

《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）中明確要求“重點維護國家事務、經(jīng)濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統(tǒng)的安全”。國家有關文件中提出“銀行、電力、民航、鐵路、證券、海關、稅務、保險等信息系統(tǒng)的安全直接關系到國民經(jīng)濟的正常運行、群眾生活、社會穩(wěn)定和國家安全”、“要重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全”。《證券法》、《證券投資基金法》和《期貨交易管理條例》等法律法規(guī)明確要求證券公司、基金管理公司和期貨公司等證券期貨經(jīng)營機構“有合格的經(jīng)營場所和業(yè)務設施”，要求證券期貨交易所等市場核心機構“提供交易的場所和設施”，要求證監(jiān)會“維護證券市場秩序，保障其合法運行”。

為了貫徹落實國家以及證券期貨行業(yè)法律、法規(guī)的要求，完善行業(yè)信息安全管理機制，防范信息安全風險，中國證監(jiān)會依法制定《管理辦法》，確立行業(yè)信息安全監(jiān)管的體制，明確市場主體的信息安全保障責任，提出信息安全工作的要求。

三、《管理辦法》的主要內(nèi)容

《管理辦法》包括總則、基本要求、持續(xù)保障要求、產(chǎn)品及服務要求、行業(yè)自律、監(jiān)督管理和附則，共七章五十一條。

（一）辦法的適用范圍

證券期貨業(yè)信息安全保障、管理、監(jiān)督等相關活動均適用本辦法。適用主體包括：

1、承擔證券期貨市場公共職能的機構、承擔證券期貨行業(yè)信息技術公共基礎設施運營的機構等證券期貨市場核心機構及其下屬機構（以下簡稱“核心機構”），如，證券交易所、期貨交易所、中國證券登記結(jié)算公司、中國證券投資者保護基金公司、中國期貨保證金監(jiān)控中心公司等機構及其下屬機構等；

2、證券公司、期貨公司、基金管理公司、證券期貨服務機構等證券期貨經(jīng)營機構（以下簡稱“經(jīng)營機構”）；

3、開展證券客戶交易結(jié)算資金第三方存管業(yè)務，銀證、銀期、銀基轉(zhuǎn)賬和結(jié)算業(yè)務，基金托管和銷售業(yè)務的機構等。

《管理辦法》明確規(guī)定核心機構和經(jīng)營機構應當依法開展信息安全工作，保護投資者交易安全和數(shù)據(jù)安全，并對本機構信息系統(tǒng)安全運行承擔責任。

（二）基本要求

《管理辦法》第二章從基礎設施、網(wǎng)絡隔離、信息系統(tǒng)、安全防護能力和管理制度等方面對核心機構和經(jīng)營機構應當具有的基礎設施和基本制度作出規(guī)定，并從信息系統(tǒng)的自主研發(fā)能力、市場安全互聯(lián)和業(yè)務規(guī)則等方面對核心機構提出特別要求，作為中國證監(jiān)會作出行政許可或者驗收準入的基本標準。

（三）持續(xù)保障要求

證券期貨業(yè)務的特殊性要求核心機構和經(jīng)營機構持續(xù)保障信息系統(tǒng)的安全穩(wěn)定運行，保障業(yè)務活動的連續(xù)進行和數(shù)據(jù)的安全。《管理辦法》第三章從人員和經(jīng)費保障、系統(tǒng)的升級變更、設施和系統(tǒng)的運行維護、數(shù)據(jù)備份和集中保存、風險控制和應急處置、信息保密、內(nèi)部審計等方面對核心機構和經(jīng)營機構的信息安全保障工作作出規(guī)定，并從重要信息系統(tǒng)上線或者變更、組織行業(yè)應急演練、建設和運營行業(yè)信息技術公共基礎設施、指導市場主體正確運行維護互聯(lián)設施等方面對核心機構提出了特別要求。

考慮到證券、基金、期貨等行業(yè)特征不同，體現(xiàn)在信息技術的要求上也會不同，《管理辦法》對相關基本要求和持續(xù)保障要求僅作原則性規(guī)定，中國證監(jiān)會和自律組織可以根據(jù)《管理辦法》，制定規(guī)范性文件、技術指引和技術標準等進一步細化相關技術指標。

（四）產(chǎn)品和服務采購管理

目前，行業(yè)的重要信息系統(tǒng)大型設備、基礎軟件大部分來自于采購。計算機軟硬件供應商和技術服務提供商（以下簡稱供應商）的基礎條件對證券期貨業(yè)的信息安全影響重大。因此，《管理辦法》第四章對產(chǎn)品和服務采購的管理單獨設置章節(jié)予以規(guī)范。

《管理辦法》要求核心機構和經(jīng)營機構建立完善的供應商管理機制，通過對供應商進行資質(zhì)審查、簽訂完備的合同

和保密協(xié)議等保障產(chǎn)品和服務質(zhì)量；并通過合同約定，要求供應商接受中國證監(jiān)會及其派出機構的信息安全延伸檢查。同時，探索通過證券期貨行業(yè)協(xié)會引導和規(guī)范供應商行為。對于軟硬件產(chǎn)品或者技術服務不符合要求，影響核心機構和經(jīng)營機構持續(xù)經(jīng)營的，中國證監(jiān)會有權要求核心機構和經(jīng)營機構予以改進或者更換。

（五）行業(yè)自律和監(jiān)督管理

《管理辦法》明確了中國證監(jiān)會和自律組織在信息安全管理方面的職責分工，明確了中國證監(jiān)會在監(jiān)督檢查和信息技術事故調(diào)查中可以采取的措施，對核心機構和經(jīng)營機構的備案、報告義務等作出了規(guī)定，列舉了核心機構和經(jīng)營機構信息安全保障不符合要求的法律責任。

此外，由于《證券期貨業(yè)信息安全保障管理暫行辦法》的相關規(guī)定已經(jīng)被本辦法覆蓋，因此，《管理辦法》第七章規(guī)定，本辦法發(fā)布實施后，將同時廢止《證券期貨業(yè)信息安全保障管理暫行辦法》。

第五篇：證券期貨業(yè)網(wǎng)絡與信息安全信息通報暫行辦法

證券期貨業(yè)網(wǎng)絡與信息安全信息通報暫行辦法

2009年07月20日 16:00 來源： 金融界網(wǎng)站 【字體：大 中 小】 網(wǎng)友評論

（2005年2月1日 證監(jiān)信息字〔2005〕1號）

第一條為規(guī)范證券期貨行業(yè)網(wǎng)絡與信息安全信息通報工作，切實保護投資者合法權益，依據(jù)國家有關規(guī)定，制定本辦法。

第二條證券期貨行業(yè)信息安全保障協(xié)調(diào)小組（以下簡稱協(xié)調(diào)小組）負責行業(yè)網(wǎng)絡與信息安全信息通報工作的決策、組織、協(xié)調(diào)工作，協(xié)調(diào)小組成員單位包括中國證監(jiān)會、上海證券交易所、深圳證券交易所、上海期貨交易所、大連商品交易所、鄭州商品交易所、中國證券登記結(jié)算公司、中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會。信息通報單位包括證券、期貨交易所，中國證券登記結(jié)算公司，各證券公司、基金管理公司、期貨公司，證券、期貨投資咨詢公司以及其他由證監(jiān)會核準注冊成立的機構（以下簡稱通報單位）.第三條中國證監(jiān)會信息中心是協(xié)調(diào)小組的執(zhí)行部門，負責向國家網(wǎng)絡與信息安全信息通報中心報告證券期貨行業(yè)的網(wǎng)絡信息安全信息;負責將國家網(wǎng)絡與信息安全信息通報中心發(fā)布的信息報告、病毒與網(wǎng)絡攻擊預警等按要求向協(xié)調(diào)小組單位成員傳達，并通過中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會向各自歸口的通報單位傳達。

中國證監(jiān)會信息中心作為協(xié)調(diào)小組中各通報單位的歸口單位，負責這些單位網(wǎng)絡與信息安全信息的匯總、整理。

中國證券業(yè)協(xié)會負責證券公司、基金管理公司、證券投資咨詢公司等單位的網(wǎng)絡與信息安全信息匯總和反饋工作，并作為上述機構的歸口單位向中國證監(jiān)會信息中心報告。

中國期貨業(yè)協(xié)會負責期貨公司、期貨投資咨詢公司等單位的網(wǎng)絡與信息安全信息匯總和反饋工作，并作為上述機構的歸口單位向中國證監(jiān)會信息中心報告。

第四條各通報單位按照“誰主管、誰負責，誰運營、誰負責”的原則，做好各自單位的信息安全通報工作。各單位信息安全工作的責任人（主管領導）為本單位信息安全通報工作的責任人。

各通報單位應落實承擔網(wǎng)絡與信息安全信息通報工作的職能部門、負責人和聯(lián)絡員，制定本單位內(nèi)部的信息報告流程和相應的責任制，并填寫信息安全報告基本情況備案表（見附件一）報歸口單位備案。

各通報單位要及時將本單位網(wǎng)絡與信息系統(tǒng)出現(xiàn)的安全事故上報歸口單位，并負責將來自歸口單位的信息安全通告以及其他通知、要求及時傳達到有關責任人。

第五條各通報單位實行7×24小時聯(lián)絡制度，指定一名聯(lián)絡員，一名后備聯(lián)絡員。聯(lián)絡員和后備聯(lián)絡員應有及時準確的通訊聯(lián)絡方式；聯(lián)絡方式如有變動，應填寫基本情況變動更新表（見附件一）及時報告歸口單位。歸口單位要及時維護和更新聯(lián)絡通信錄，并在通報體系中公告。

第六條事故報告。通報單位的重要網(wǎng)絡與信息系統(tǒng)在運行中出現(xiàn)異常情況，造成不良影響或損失的，應按照應急預案及時處置，同時應將事故發(fā)生的情況、危害程度、處置措施、分析研判等內(nèi)容編寫成事故報告，及時上報歸口單位（事故分級、報告要素及要求見附件二及編制說明）.第七條信息安全運行月報。為及時反映行業(yè)信息安全狀況，保持行業(yè)信息安全通報系統(tǒng)的暢通，各通報單位每月應以信息安全運行月報（格式見附件三）的形式向歸口單位報告信息系統(tǒng)運行情況。

信息安全運行月報的內(nèi)容為各通報單位信息系統(tǒng)運行中出現(xiàn)并得到及時處置的異常情況匯總和分析、研判，無異常情況的，要進行平安運行報告。對已按事故報告要求上報的情況，要在運行月報中說明。

各通報單位應在每個月前5個工作日內(nèi)將上個月的系統(tǒng)運行情況上報歸口單位。

第八條敏感時期報告。中國證監(jiān)會信息中心根據(jù)國家有關規(guī)定和需要啟動敏感時期報告制度，并規(guī)定行業(yè)內(nèi)敏感時期報告的啟動與截止日期、日報告的截止時間等要素。

各通報單位在收到啟動敏感時期報告的通知以后，根據(jù)要求每日以敏感時期信息安全報告（見附件四）的形式上報本單位信息系統(tǒng)運行狀況。報告內(nèi)容包括信息安全運行月報、事故報告應報的范圍。無異常情況的，要進行平安運行報告。

各通報單位在敏感時期應有專人值守。

第九條信息安全通告。中國證監(jiān)會信息中心、中國證券業(yè)協(xié)會、中國期貨業(yè)協(xié)會等信息通報歸口單位，通過信息通報體系，向各通報單位定期或不定期地發(fā)布下列信息安全通告：

國家網(wǎng)絡與信息安全信息通報中心發(fā)布的報告和預警；

行業(yè)信息安全月報的匯總分析；

行業(yè)信息系統(tǒng)運行中帶有普遍性的安全隱患或趨勢；

有關信息安全的通知、規(guī)定、技術標準、指引等；

其他需要及時向報告單位通報的信息。

各通報單位在收到歸口單位的信息安全通告后，應及時傳達到相關責任人，采取相應措施。

第十條各通報單位應切實保證信息通報和聯(lián)絡渠道的暢通。敏感時期報告和信息安全運行月報可使用電子文件的形式報送。對于事故報告，應同時使用書面和電子文件的形式進行報送。對于有保密要求的，應使用符合要求的加密設備進行報送。

第十一條各通報單位應保證上報要素完備、及時、準確，不得瞞報、緩報、謊報網(wǎng)絡與信息安全事件的情況。接報單位應保證及時接收、準確記錄上報信息。

第十二條各單位應制定相應的保密和檔案管理措施，妥善管理上報材料，包括各單位進行信息安全通報過程中往來電話記錄（手機或固定電話）、紙質(zhì)或電子文件、傳真件等，存檔備查。

第十三條對于認真履行本辦法，及時報告網(wǎng)絡與信息安全事故的單位及個人，予以通報表揚。對違反本辦法及相關制度的單位及個人，予以通報批評；情節(jié)嚴重的，予以行政處分。

第十四條本辦法自發(fā)布之日起實施。本辦法由中國證監(jiān)會負責解釋。

附件一：信息安全報告基本情況備案、變動更新表

附件二：證券期貨業(yè)網(wǎng)絡與信息安全事故報告

附件三：證券期貨業(yè)網(wǎng)絡與信息系統(tǒng)安全運行月報

附件四：證券期貨業(yè)網(wǎng)絡與信息系統(tǒng)敏感時期安全情況日報

附件一：信息安全報告基本情況備案、變動更新表

附件二：證券期貨業(yè)網(wǎng)絡與信息安全事故報告

附件二填制說明：

事故標準及報告要求

重要業(yè)務系統(tǒng)出現(xiàn)異常，系統(tǒng)恢復時間（RTO-Recovery Time Objective）在30分鐘以內(nèi)；

因病毒、攻擊、擁堵等使系統(tǒng)異常，給市場或客戶造成可感知的影響，但交易時段2個小時內(nèi)恢復的；

系統(tǒng)數(shù)據(jù)完整性被破壞，但在1個交易日內(nèi)能夠修復的；

災害事故（停電、水災、火災等）發(fā)生后，重要業(yè)務系統(tǒng)能在1個交易日恢復正常；

網(wǎng)站上出現(xiàn)有害信息，但能及時刪除、屏蔽并保留審計線索的；

通信線路發(fā)生故障且對業(yè)務造成不良影響，1個交易日內(nèi)系統(tǒng)恢復正常；

敏感業(yè)務數(shù)據(jù)泄漏。

各通報單位的重要信息系統(tǒng)，凡是出現(xiàn)上述情況，都要在2天內(nèi)，將事故發(fā)生的情況、處置措施、影響分析，以事故報告的形式，及時上報歸口單位。

重大事故標準及報告要求

各信息報告單位重要信息系統(tǒng)出現(xiàn)重大故障，已經(jīng)（或預計將）造成重大損失（100萬元以上），或給客戶/市場帶來重大不良影響的。包括但不限于：

重要業(yè)務系統(tǒng)出現(xiàn)異常，系統(tǒng)恢復時間（RTO-Recovery Time Objective）在30分鐘以上；

因病毒、攻擊、擁堵等使系統(tǒng)異常，給市場或客戶造成可感知的影響，且交易時段2個小時內(nèi)沒有恢復；

業(yè)務數(shù)據(jù)完整性被破壞，且在1個交易日內(nèi)沒有修復；

通信線路發(fā)生故障，對業(yè)務造成嚴重影響，且在1個交易日系統(tǒng)沒有恢復正常；

災害事故（停電、水災、火災等）發(fā)生后，重要業(yè)務系統(tǒng)在一個交易日系統(tǒng)沒有恢復正常；

網(wǎng)站上出現(xiàn)有害信息，且未能及時刪除、屏蔽或未能保留審計線索的。

各通報單位的重要信息系統(tǒng)，凡是出現(xiàn)上述情況，都要在事故確認的當日（或6小時之內(nèi)），將事故發(fā)生的情況、影響分析、目前的狀況、已經(jīng)采取的處置措施等，以重大事故報告的形式，上報歸口單位。

其中，交易、通信、清算等帶有全局性的重大系統(tǒng)故障，在及時啟動應急預案的同時，還要在2小時內(nèi)將事故情況上報中國證監(jiān)會信息中心。

災難事故標準及報告要求

因自然災難、人為故意破壞以及其他意外因素，使本單位重要業(yè)務系統(tǒng)不能正常運行，并造成惡劣影響或嚴重損失的，預計有效處置或消除其不良影響需要動員大量社會資源的，應在事故發(fā)生后，立即上報歸口單位。

附件三：證券期貨業(yè)網(wǎng)絡與信息系統(tǒng)安全運行月報

附件四：證券期貨業(yè)網(wǎng)絡與信息系統(tǒng)敏感時期安全情況日報