上海、深圳證券交易所,上海期貨交易所���,大連���、鄭州商品交易所,中國(guó)證券登記結(jié)算公司�,中國(guó)證券業(yè)、期貨業(yè)協(xié)會(huì):
為規(guī)范行業(yè)網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)和安全保障工作���,中國(guó)證監(jiān)會(huì)制定了《證券期貨業(yè)信息安全保障管理暫行辦法》��,現(xiàn)印發(fā)給你們�����,請(qǐng)遵照?qǐng)?zhí)行����。
請(qǐng)中國(guó)證券業(yè)協(xié)會(huì)����、中國(guó)期貨業(yè)協(xié)會(huì)將本通知轉(zhuǎn)發(fā)至各會(huì)員單位�。
中國(guó)證券監(jiān)督管理委員會(huì)
二○○五年四月八日
證券期貨業(yè)信息安全保障管理暫行辦法
第一章 總 則
第一條 為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)���,建立��、健全信息安全管理制度和運(yùn)行機(jī)制��,提高行業(yè)信息安全保障工作水平��,切實(shí)保護(hù)投資者合法權(quán)益�����,根據(jù)國(guó)家有關(guān)法律�、法規(guī)和相關(guān)規(guī)定���,制定本辦法����。
第二條本辦法適用于證券期貨市場(chǎng)的監(jiān)管機(jī)構(gòu)����、行業(yè)自律組織及經(jīng)營(yíng)機(jī)構(gòu)�。監(jiān)管機(jī)構(gòu)為中國(guó)證券監(jiān)督管理委員會(huì)(以下簡(jiǎn)稱“中國(guó)證監(jiān)會(huì)”)����;行業(yè)自律組織包括證券����、期貨交易所及其通信公司,證券登記結(jié)算公司���、中國(guó)證券業(yè)協(xié)會(huì)和中國(guó)期貨業(yè)協(xié)會(huì)�;經(jīng)營(yíng)機(jī)構(gòu)包括證券�、期貨公司,基金管理公司及證券����、期貨投資咨詢公司。
第二章 安全職責(zé)劃分
第三條 中國(guó)證監(jiān)會(huì)負(fù)責(zé)證券期貨行業(yè)信息安全保障工作的監(jiān)督管理及組織協(xié)調(diào)����。
第四條 證券、期貨交易所及其通信公司�����,登記結(jié)算公司,證券��、期貨公司�,基金管理公司,證券����、期貨投資咨詢公司等是各自信息系統(tǒng)安全運(yùn)營(yíng)管理的責(zé)任主體單位(以下簡(jiǎn)稱“主體單位”)。
第五條證券交易所負(fù)責(zé)證券交易�、信息發(fā)布及市場(chǎng)監(jiān)管信息系統(tǒng)的安全運(yùn)營(yíng)。證券通信公司受證券交易所及證券登記結(jié)算公司��、經(jīng)營(yíng)機(jī)構(gòu)的委托�,負(fù)責(zé)通信系統(tǒng)的安全運(yùn)營(yíng),保障交易��、結(jié)算等業(yè)務(wù)數(shù)據(jù)的及時(shí)安全傳送�����。期貨交易所負(fù)責(zé)期貨交易和結(jié)算處理���、信息發(fā)布����、市場(chǎng)監(jiān)管信息系統(tǒng)及通信系統(tǒng)的安全運(yùn)營(yíng)��。
第六條 證券登記結(jié)算公司負(fù)責(zé)證券登記��、結(jié)算業(yè)務(wù)信息系統(tǒng)的安全運(yùn)營(yíng)�。
第七條 中國(guó)證券業(yè)協(xié)會(huì)負(fù)責(zé)證券公司、基金管理公司��、證券投資咨詢公司等會(huì)員單位信息安全保障的組織��、協(xié)調(diào)工作�����。
中國(guó)期貨業(yè)協(xié)會(huì)負(fù)責(zé)期貨公司�、期貨投資咨詢公司等會(huì)員單位信息安全保障的組織、協(xié)調(diào)工作����。
第八條 證券、期貨公司����,基金管理公司及證券、期貨投資咨詢公司負(fù)責(zé)總部及下屬經(jīng)營(yíng)機(jī)構(gòu)信息系統(tǒng)的安全運(yùn)營(yíng)�。
第三章 安全目標(biāo)與基本原則
第九條 信息安全保障工作的總體目標(biāo)是確保信息和信息系統(tǒng)的完整性、保密性、可用性�����、時(shí)效性�、可審查性和可控性,切實(shí)保護(hù)市場(chǎng)參與各方的合法權(quán)益���,促進(jìn)證券期貨市場(chǎng)的持續(xù)���、穩(wěn)定、健康發(fā)展��。
第十條 信息安全保障工作的具體目標(biāo)是:
?��。ㄒ唬?保護(hù)證券期貨業(yè)信息系統(tǒng)的物理環(huán)境�����、設(shè)備設(shè)施和運(yùn)行環(huán)境�����,保證信息系統(tǒng)的環(huán)境安全�����;
?。ǘ?確保信息內(nèi)容的合法性��,保護(hù)信息在采集��、傳輸���、使用和存儲(chǔ)過(guò)程中的保密性�����、完整性�、可用性��、時(shí)效性�����、可審查性和可控性����,保證信息的安全���;
(三) 提高證券期貨業(yè)人員的信息安全意識(shí)���、安全專業(yè)素質(zhì)以及安全管理與服務(wù)水平���;
(四) 提高信息系統(tǒng)的可用率和災(zāi)難恢復(fù)能力�,為業(yè)務(wù)的可持續(xù)性運(yùn)行提供保障。
第十一條 信息安全保障工作應(yīng)遵循以下基本原則:
?����。ㄒ唬?責(zé)任制原則:安全管理應(yīng)做到“誰(shuí)主管��,誰(shuí)負(fù)責(zé)”��、“誰(shuí)運(yùn)營(yíng)�����,誰(shuí)負(fù)責(zé)”��,注重以法律手段明確與他方的責(zé)任關(guān)系�,通過(guò)契約�����、協(xié)調(diào)等方式與他方進(jìn)行責(zé)任劃分��,明確進(jìn)行風(fēng)險(xiǎn)轉(zhuǎn)移��,通過(guò)責(zé)任主體制約他方�。
?�。ǘ?規(guī)范化原則:遵循國(guó)內(nèi)�����、國(guó)際的信息安全標(biāo)準(zhǔn)及行業(yè)規(guī)范����,對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)����。
(三) 全面統(tǒng)籌原則:信息安全保障工作應(yīng)貫穿于信息化全過(guò)程����,堅(jiān)持統(tǒng)籌規(guī)劃�����、突出重點(diǎn)���,安全與發(fā)展并進(jìn),管理與技術(shù)并重����,應(yīng)急防御與長(zhǎng)效機(jī)制相結(jié)合。
?��。ㄋ模?實(shí)用性原則:在確保信息系統(tǒng)性能和安全的前提下���,充分利用資源,講究實(shí)效��,避免重復(fù)和盲目投資���,積極采用國(guó)家法律法規(guī)允許的���、成熟的先進(jìn)技術(shù)和專業(yè)安全服務(wù),運(yùn)用科學(xué)的經(jīng)營(yíng)管理方法�����,降低成本,保障安全運(yùn)行����。
第四章 安全保障要求
第十二條 主體單位應(yīng)建立以安全組織體系為核心、安全管理體系為保障�、安全技術(shù)體系為支撐的全面信息安全體系,保持三個(gè)體系穩(wěn)定�、均衡發(fā)展。
第十三條 主體單位應(yīng)建立明確的信息安全組織體系:
?��。ㄒ唬?建立決策層、管理層和執(zhí)行層三層工作關(guān)系����,明確信息安全主管領(lǐng)導(dǎo),落實(shí)信息安全管理部門�,指定信息安全執(zhí)行崗位;
?����。ǘ?設(shè)立專職的安全管理員和安全審計(jì)員崗位�����,分別負(fù)責(zé)信息安全工作的實(shí)施和審計(jì);
?����。ㄈ?通過(guò)多種安全培訓(xùn)方式加強(qiáng)信息安全人才隊(duì)伍的建設(shè)��,提高信息安全工作人員的技能水平����,提高員工安全意識(shí)。
第十四條 主體單位應(yīng)建立全面的信息安全管理體系:
?���。ㄒ唬?制定統(tǒng)一的信息安全策略和全面、可操作的信息安全管理制度�����,指導(dǎo)和規(guī)范信息系統(tǒng)的安全規(guī)劃與建設(shè)����,確保策略和制度得到恰當(dāng)?shù)睦斫獠⒌玫接行У淖裱蛨?zhí)行;
(二) 加強(qiáng)信息系統(tǒng)資產(chǎn)安全管理�,保護(hù)信息系統(tǒng)設(shè)備、軟件����、數(shù)據(jù)和技術(shù)文檔的安全,實(shí)行信息系統(tǒng)資產(chǎn)管理責(zé)任制���,實(shí)現(xiàn)等級(jí)管理�����、密級(jí)管理�,重點(diǎn)保護(hù)核心信息系統(tǒng)資產(chǎn)的安全����;
(三) 強(qiáng)化信息系統(tǒng)的物理安全保護(hù)�����,執(zhí)行嚴(yán)格的機(jī)房安全管理����、環(huán)境安全管理和有效的物理控制措施;
?。ㄋ模?建立信息系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)����、應(yīng)用等各層面的安全管理流程,實(shí)現(xiàn)對(duì)信息系統(tǒng)規(guī)劃��、建設(shè)����、運(yùn)行、維護(hù)各個(gè)階段的安全管理���,開發(fā)與運(yùn)營(yíng)獨(dú)立管理��,嚴(yán)格執(zhí)行日常的實(shí)時(shí)管理和定期管理工作�;
?��。ㄎ澹?實(shí)現(xiàn)對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理�����,對(duì)信息資產(chǎn)�����、威脅和脆弱性的狀況進(jìn)行定期評(píng)估�����,及時(shí)發(fā)現(xiàn)安全隱患并進(jìn)行預(yù)防性的保護(hù)����,選擇適用、有效的安全措施����。
第十五條 主體單位應(yīng)建立有效的信息安全技術(shù)體系:
(一) 建立完善的安全預(yù)警體系���,及時(shí)發(fā)現(xiàn)安全隱患�����;
?�。ǘ?強(qiáng)化現(xiàn)有的安全防護(hù)體系,實(shí)現(xiàn)對(duì)核心業(yè)務(wù)系統(tǒng)的重點(diǎn)保護(hù)��;
(三) 建立有效的安全監(jiān)控體系���,監(jiān)控核心業(yè)務(wù)系統(tǒng)����,為進(jìn)一步完善信息安全體系提供決策依據(jù)���;
?��。ㄋ模?建立全面的應(yīng)急響應(yīng)體系,制定規(guī)范����、完整的應(yīng)急處理和響應(yīng)流程,定期進(jìn)行應(yīng)急恢復(fù)的演練和測(cè)試�����,完善信息安全通報(bào)機(jī)制����;
(五) 按照不同的安全保護(hù)等級(jí)建立相應(yīng)的災(zāi)難恢復(fù)體系��,定期進(jìn)行災(zāi)難恢復(fù)的演練和測(cè)試,確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能�����,降低造成的影響和損失����。
第五章 附 則
第十六條 中國(guó)證監(jiān)會(huì)對(duì)證券期貨業(yè)信息系統(tǒng)安全保障情況組織安全檢查,檢查方式包括自檢查����、委托檢查等方式。
第十七條 本辦法由中國(guó)證監(jiān)會(huì)負(fù)責(zé)解釋����。
第十八條 本辦法自印發(fā)之日起執(zhí)行。
京公網(wǎng)安備 11010802044457號(hào)
新用戶掃碼下載
