《證券期貨業(yè)信息安全保障管理辦法》已經(jīng)2012年8月23日中國證券監(jiān)督管理委員會(huì)第22次主席辦公會(huì)議審議通過，現(xiàn)予公布，自2012年11月1日起施行。

　　中國證券監(jiān)督管理委員會(huì)主席：郭樹清

　　2012年9月24日

證券期貨業(yè)信息安全保障管理辦法

第一章 總則

　　第一條 為了保障證券期貨信息系統(tǒng)安全運(yùn)行，加強(qiáng)證券期貨業(yè)信息安全管理工作，促進(jìn)證券期貨市場穩(wěn)定健康發(fā)展，保護(hù)投資者合法權(quán)益，根據(jù)《證券法》、《證券投資基金法》、《期貨交易管理?xiàng)l例》及信息安全保障相關(guān)的法律、行政法規(guī)，制定本辦法。

　　第二條 證券期貨業(yè)信息安全保障、管理、監(jiān)督等工作適用本辦法。

　　第三條 證券期貨業(yè)信息安全保障工作實(shí)行“誰運(yùn)行、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”、安全優(yōu)先、保障發(fā)展的原則。

　　第四條 證券期貨業(yè)信息安全保障的責(zé)任主體應(yīng)當(dāng)執(zhí)行國家信息安全相關(guān)法律、行政法規(guī)和行業(yè)相關(guān)技術(shù)管理規(guī)定、技術(shù)規(guī)則、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)，開展信息安全工作，保護(hù)投資者交易安全和數(shù)據(jù)安全，并對本機(jī)構(gòu)信息系統(tǒng)安全運(yùn)行承擔(dān)責(zé)任。

　　前款所稱責(zé)任主體，包括承擔(dān)證券期貨市場公共職能的機(jī)構(gòu)、承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營的機(jī)構(gòu)等證券期貨市場核心機(jī)構(gòu)及其下屬機(jī)構(gòu)(以下簡稱核心機(jī)構(gòu))，證券公司、期貨公司、基金管理公司、證券期貨服務(wù)機(jī)構(gòu)等證券期貨經(jīng)營機(jī)構(gòu)(以下簡稱經(jīng)營機(jī)構(gòu))。

　　第五條 開展證券客戶交易結(jié)算資金第三方存管業(yè)務(wù)，銀證、銀期、銀基轉(zhuǎn)賬和結(jié)算業(yè)務(wù)，基金托管和銷售業(yè)務(wù)的機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定保障相關(guān)業(yè)務(wù)系統(tǒng)的安全運(yùn)行。

　　第六條 為證券期貨業(yè)提供軟硬件產(chǎn)品或者技術(shù)服務(wù)的供應(yīng)商(以下簡稱供應(yīng)商)，應(yīng)當(dāng)保證所提供的軟硬件產(chǎn)品或者技術(shù)服務(wù)符合國家及證券期貨業(yè)信息安全相關(guān)的技術(shù)管理規(guī)定、技術(shù)規(guī)則、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)。

　　第七條 中國證監(jiān)會(huì)支持、協(xié)助國家信息安全管理部門組織實(shí)施信息安全相關(guān)法律、行政法規(guī)，依法對證券期貨業(yè)信息安全保障工作實(shí)施監(jiān)督管理。

　　中國證監(jiān)會(huì)派出機(jī)構(gòu)按照授權(quán)履行監(jiān)督管理職責(zé)。

　　第八條 中國證監(jiān)會(huì)及其派出機(jī)構(gòu)與國家信息安全管理部門、相關(guān)行業(yè)管理部門建立信息安全協(xié)調(diào)機(jī)制，與國家有關(guān)專業(yè)安全機(jī)構(gòu)和標(biāo)準(zhǔn)化組織建立信息安全合作機(jī)制。

　　第九條 證券、期貨、證券投資基金等行業(yè)協(xié)會(huì)(以下簡稱證券期貨行業(yè)協(xié)會(huì))依照本辦法的規(guī)定，對會(huì)員的信息安全工作實(shí)行自律管理。

　　第十條 核心機(jī)構(gòu)依照本辦法的規(guī)定，對市場相關(guān)主體關(guān)聯(lián)信息系統(tǒng)的安全保障工作進(jìn)行督促、指導(dǎo)。

第二章 基本要求

　　第十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)具有合格的基礎(chǔ)設(shè)施。機(jī)房、電力、空調(diào)、消防、通信等基礎(chǔ)設(shè)施的建設(shè)符合行業(yè)信息安全管理的有關(guān)規(guī)定。

　　第十二條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)設(shè)置合理的網(wǎng)絡(luò)結(jié)構(gòu)，劃分安全區(qū)域，各安全區(qū)域之間應(yīng)當(dāng)進(jìn)行有效隔離，并具有防范、監(jiān)控和阻斷來自內(nèi)外部網(wǎng)絡(luò)攻擊破壞的能力。

　　第十三條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立符合業(yè)務(wù)要求的信息系統(tǒng)。信息系統(tǒng)應(yīng)當(dāng)具有合理的架構(gòu)，足夠的性能、容量、可靠性、擴(kuò)展性和安全性，能夠支持業(yè)務(wù)的運(yùn)行和發(fā)展。

　　第十四條 核心機(jī)構(gòu)應(yīng)當(dāng)對交易、行情、開戶、結(jié)算、風(fēng)控、通信等重要信息系統(tǒng)具有自主開發(fā)能力，擁有執(zhí)行程序和源代碼并安全可靠存放，在重要信息系統(tǒng)上線前對執(zhí)行程序和源代碼進(jìn)行嚴(yán)格的審查和測試。

　　第十五條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)具有防范木馬、病毒等惡意代碼的能力，防止惡意代碼對信息系統(tǒng)造成破壞，防止信息泄露或者被篡改。

　　第十六條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息技術(shù)治理架構(gòu)，明確信息技術(shù)決策、管理、執(zhí)行和內(nèi)部監(jiān)督的權(quán)責(zé)機(jī)制。

　　第十七條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息技術(shù)管理制度和操作規(guī)程，并嚴(yán)格執(zhí)行。

　　第十八條 核心機(jī)構(gòu)應(yīng)當(dāng)制定本機(jī)構(gòu)與市場相關(guān)主體信息系統(tǒng)安全互聯(lián)的技術(shù)規(guī)則，并報(bào)中國證監(jiān)會(huì)備案。

　　核心機(jī)構(gòu)依法督促市場相關(guān)主體執(zhí)行技術(shù)規(guī)則。

　　第十九條 核心機(jī)構(gòu)應(yīng)當(dāng)提供多種互為備份的遠(yuǎn)程接入方式，保證市場相關(guān)主體安全接入，并對市場相關(guān)主體的遠(yuǎn)程接入進(jìn)行監(jiān)控與管理。

第三章 持續(xù)保障要求

　　第二十條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)保障充足、穩(wěn)定的信息技術(shù)經(jīng)費(fèi)投入，配備足夠的信息技術(shù)人員。

　　第二十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)根據(jù)行業(yè)規(guī)劃和本機(jī)構(gòu)發(fā)展戰(zhàn)略，制定信息化與信息安全發(fā)展規(guī)劃，滿足業(yè)務(wù)發(fā)展和信息安全管理的需要。

　　第二十二條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)開展信息系統(tǒng)新建、升級、變更、換代等建設(shè)項(xiàng)目，應(yīng)當(dāng)進(jìn)行充分論證和測試。

　　第二十三條 核心機(jī)構(gòu)交易、行情、開戶、結(jié)算、通信等重要信息系統(tǒng)上線或者進(jìn)行重大升級變更時(shí)，應(yīng)當(dāng)組織市場相關(guān)主體進(jìn)行聯(lián)網(wǎng)測試，并按規(guī)定進(jìn)行報(bào)告。

　　第二十四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)規(guī)范開展信息技術(shù)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的運(yùn)行維護(hù)，保障系統(tǒng)安全穩(wěn)定運(yùn)行。

　　第二十五條 核心機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)市場相關(guān)主體正確運(yùn)行維護(hù)與本機(jī)構(gòu)互聯(lián)的系統(tǒng)和通信設(shè)施。

　　第二十六條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)備份設(shè)施，并按照規(guī)定在同城和異地保存?zhèn)浞輸?shù)據(jù)。

　　第二十七條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立重要信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施，保證業(yè)務(wù)活動(dòng)連續(xù)。

　　第二十八條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照規(guī)定向中國證監(jiān)會(huì)指定的證券期貨業(yè)數(shù)據(jù)中心報(bào)送數(shù)據(jù)。報(bào)送的數(shù)據(jù)必須真實(shí)、完整、準(zhǔn)確、及時(shí)。

　　證券期貨業(yè)數(shù)據(jù)中心應(yīng)當(dāng)按照中國證監(jiān)會(huì)的有關(guān)規(guī)定開展行業(yè)數(shù)據(jù)的集中保存工作，確保數(shù)據(jù)的安全、完整、可靠。

　　第二十九條 核心機(jī)構(gòu)負(fù)責(zé)建設(shè)和運(yùn)營行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施。

　　第三十條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)信息安全保密管理，保障投資者信息安全。

　　第三十一條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)檢測、監(jiān)測、評估和預(yù)警機(jī)制，發(fā)現(xiàn)風(fēng)險(xiǎn)隱患應(yīng)當(dāng)及時(shí)處置，并按照規(guī)定進(jìn)行報(bào)告。

　　第三十二條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立信息安全應(yīng)急處置機(jī)制，及時(shí)處置突發(fā)信息安全事件，盡快恢復(fù)信息系統(tǒng)的正常運(yùn)行，并按照規(guī)定進(jìn)行報(bào)告，不得遲報(bào)、漏報(bào)、瞞報(bào)。

　　核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)對信息安全事件進(jìn)行內(nèi)部調(diào)查、責(zé)任追究和采取整改措施，并配合中國證監(jiān)會(huì)及其派出機(jī)構(gòu)對事件進(jìn)行調(diào)查處理。

　　與核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)發(fā)生信息安全事件相關(guān)的軟硬件產(chǎn)品或者技術(shù)服務(wù)供應(yīng)商，應(yīng)當(dāng)配合相關(guān)調(diào)查工作。

　　第三十三條 核心機(jī)構(gòu)應(yīng)當(dāng)每年組織市場相關(guān)主體進(jìn)行一次信息安全應(yīng)急演練，并于實(shí)施前15個(gè)工作日向中國證監(jiān)會(huì)報(bào)告。

　　第三十四條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)對信息技術(shù)人員進(jìn)行培訓(xùn)，確保其具有履行崗位職責(zé)的能力。

　　第三十五條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立信息安全內(nèi)部審計(jì)制度，定期開展內(nèi)部審計(jì)，對發(fā)現(xiàn)的問題進(jìn)行整改。

第四章 產(chǎn)品及服務(wù)采購要求

　　第三十六條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立供應(yīng)商管理制度，定期對供應(yīng)商的資質(zhì)、專業(yè)經(jīng)驗(yàn)、產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行了解和評估。

　　第三十七條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)在采購軟硬件產(chǎn)品或者技術(shù)服務(wù)時(shí)，應(yīng)當(dāng)與供應(yīng)商簽訂合同和保密協(xié)議，并在合同和保密協(xié)議中明確約定信息安全和保密的權(quán)利和義務(wù)。

　　涉及證券期貨交易、行情、開戶、結(jié)算等軟件產(chǎn)品或者技術(shù)服務(wù)的采購合同，應(yīng)當(dāng)約定供應(yīng)商須接受中國證監(jiān)會(huì)及其派出機(jī)構(gòu)的信息安全延伸檢查。

　　第三十八條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)采購的軟硬件產(chǎn)品或者技術(shù)服務(wù)應(yīng)當(dāng)滿足審慎經(jīng)營和風(fēng)險(xiǎn)管理的要求。軟硬件產(chǎn)品或者技術(shù)服務(wù)不符合要求，影響核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)持續(xù)經(jīng)營的，中國證監(jiān)會(huì)有權(quán)要求核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)予以改進(jìn)或者更換。

第五章 行業(yè)自律

　　第三十九條 證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)制定信息技術(shù)指引，督促、引導(dǎo)會(huì)員執(zhí)行國家和行業(yè)信息安全相關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)。

　　第四十條 證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)行業(yè)加強(qiáng)信息技術(shù)人才隊(duì)伍建設(shè)，定期組織信息技術(shù)培訓(xùn)和交流，提高信息技術(shù)人員執(zhí)業(yè)素質(zhì)。

　　第四十一條 證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)鼓勵(lì)行業(yè)信息技術(shù)研究與創(chuàng)新，增強(qiáng)自主可控能力，組織開展科技獎(jiǎng)勵(lì)，促進(jìn)行業(yè)科技進(jìn)步。

　　第四十二條 證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)供應(yīng)商規(guī)范參與行業(yè)信息化與信息安全工作，促進(jìn)市場公平競爭，促進(jìn)供應(yīng)商與市場相關(guān)主體共同發(fā)展。

第六章 監(jiān)督管理

　　第四十三條 中國證監(jiān)會(huì)建立統(tǒng)一組織、分級負(fù)責(zé)的信息安全監(jiān)督管理體制。

　　中國證監(jiān)會(huì)信息安全管理部門負(fù)責(zé)證券期貨業(yè)信息安全工作的組織、協(xié)調(diào)和指導(dǎo);相關(guān)業(yè)務(wù)監(jiān)管部門依照職責(zé)范圍對核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)的信息安全進(jìn)行監(jiān)督、檢查;派出機(jī)構(gòu)根據(jù)授權(quán)對轄區(qū)內(nèi)經(jīng)營機(jī)構(gòu)的信息安全進(jìn)行監(jiān)督、檢查。

　　第四十四條 中國證監(jiān)會(huì)依法組織制定證券期貨業(yè)信息安全管理規(guī)定和技術(shù)標(biāo)準(zhǔn)。

　　第四十五條 中國證監(jiān)會(huì)及其派出機(jī)構(gòu)依照職責(zé)范圍，對核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)進(jìn)行信息安全檢查或者委托國家、行業(yè)有關(guān)專業(yè)安全機(jī)構(gòu)進(jìn)行安全檢查。核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)配合檢查。

　　核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)的信息安全管理不能達(dá)到規(guī)定要求的，中國證監(jiān)會(huì)及其派出機(jī)構(gòu)責(zé)令其限期改正，改正前可以暫?；蛘呦拗破洳糠只蛘呷孔C券期貨經(jīng)營業(yè)務(wù)活動(dòng)。

　　第四十六條 中國證監(jiān)會(huì)及其派出機(jī)構(gòu)可以要求核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)提供信息安全相關(guān)資料。

　　核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)及時(shí)、準(zhǔn)確、完整地提供相關(guān)資料。

　　第四十七條 中國證監(jiān)會(huì)組織制定證券期貨業(yè)信息安全應(yīng)急預(yù)案，督促、指導(dǎo)行業(yè)開展信息安全應(yīng)急工作。

　　第四十八條 中國證監(jiān)會(huì)有權(quán)對核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)的信息安全事件進(jìn)行調(diào)查處理。

　　對于損害投資者合法權(quán)益或者影響證券期貨市場安全穩(wěn)定運(yùn)行的信息安全事件，中國證監(jiān)會(huì)依法對相關(guān)單位采取監(jiān)督管理措施或者行政處罰。

　　第四十九條 中國證監(jiān)會(huì)對發(fā)現(xiàn)的系統(tǒng)漏洞、安全隱患、產(chǎn)品缺陷進(jìn)行全行業(yè)通報(bào)。

　　第五十條 核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)違反本辦法規(guī)定，中國證監(jiān)會(huì)可以視情節(jié)，依法對其采取責(zé)令改正、監(jiān)管談話、出具警示函、公開譴責(zé)、責(zé)令定期報(bào)告、責(zé)令處分有關(guān)人員、撤銷任職資格、暫停或者限制證券期貨經(jīng)營業(yè)務(wù)活動(dòng)等措施;情節(jié)嚴(yán)重的，給予警告、罰款。

第七章 附 則

　　第五十一條 本辦法自2012年11月1日起施行。《證券期貨業(yè)信息安全保障管理暫行辦法》(證監(jiān)信息字〔2005〕5號)同時(shí)廢止。