為了保障證券期貨信息系統(tǒng)安全運行��,加強證券期貨業(yè)信息安全管理工作�,促進證券期貨市場穩(wěn)定健康發(fā)展�����,保護投資者合法權(quán)益��,我會根據(jù)《證券法》��、《證券投資基金法》�、《期貨交易管理條例》及信息安全保障相關(guān)的法律���、行政法規(guī),制定了《證券期貨業(yè)信息安全保障管理辦法(征求意見稿)》?,F(xiàn)向社會公開征求意見。
請將有關(guān)意見和建議以書面或電子郵件形式于2012年5月20日之前反饋至中國證監(jiān)會����。
傳真:010-88061401 88060574
電子郵箱:flbpulic@csrc.gov.cn
通訊地址:北京市西城區(qū)金融大街19號富凱大廈A座中國證監(jiān)會法律部 100033
中國證券監(jiān)督管理委員會
二○一二年四月二十日
證券期貨業(yè)信息安全保障管理辦法
(征求意見稿)
第一章 總則
第一條 為了保障證券期貨信息系統(tǒng)安全運行,加強證券期貨業(yè)信息安全管理工作��,促進證券期貨市場穩(wěn)定健康發(fā)展��,保護投資者合法權(quán)益,根據(jù)《證券法》�、《證券投資基金法》、《期貨交易管理條例》及信息安全保障相關(guān)的法律����、行政法規(guī)�����,制定本辦法�。
第二條 證券期貨業(yè)信息安全保障、管理��、監(jiān)督等工作適用本辦法。
第三條 證券期貨業(yè)信息安全保障工作實行“誰運行��、誰負責(zé)��,誰使用��、誰負責(zé)”��、安全優(yōu)先��、保障發(fā)展的原則�����。
第四條 證券期貨業(yè)信息安全保障的責(zé)任主體應(yīng)當(dāng)執(zhí)行國家信息安全相關(guān)法律��、行政法規(guī)和行業(yè)相關(guān)技術(shù)管理規(guī)定�、技術(shù)規(guī)則、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)���,開展信息安全工作���,保護投資者交易安全和數(shù)據(jù)安全,并對本機構(gòu)信息系統(tǒng)安全運行承擔(dān)責(zé)任�。
前款所稱責(zé)任主體�,包括承擔(dān)證券期貨市場公共職能的機構(gòu)�����、承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運營的機構(gòu)等證券期貨市場核心機構(gòu)及其下屬機構(gòu)(以下簡稱“核心機構(gòu)”)��,證券公司����、期貨公司、基金管理公司���、證券期貨服務(wù)機構(gòu)等證券期貨經(jīng)營機構(gòu)(以下簡稱“經(jīng)營機構(gòu)”)�。
第五條 開展證券客戶交易結(jié)算資金第三方存管業(yè)務(wù)�����,銀證�����、銀期����、銀基轉(zhuǎn)賬和結(jié)算業(yè)務(wù),基金托管和銷售業(yè)務(wù)的機構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定保障相關(guān)業(yè)務(wù)系統(tǒng)的安全運行��。
第六條 為證券期貨業(yè)提供軟硬件產(chǎn)品或者技術(shù)服務(wù)的供應(yīng)商(以下簡稱“供應(yīng)商”)��,應(yīng)當(dāng)保證所提供的軟硬件產(chǎn)品或者技術(shù)服務(wù)符合國家及證券期貨業(yè)信息安全相關(guān)的技術(shù)管理規(guī)定�����、技術(shù)規(guī)則�����、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)�。
第七條 中國證監(jiān)會支持、協(xié)助國家信息安全管理部門組織實施信息安全相關(guān)法律�����、行政法規(guī)���,依法對證券期貨業(yè)信息安全保障工作實施監(jiān)督管理���。
中國證監(jiān)會派出機構(gòu)按照授權(quán)履行監(jiān)督管理職責(zé)。
第八條 中國證監(jiān)會及其派出機構(gòu)與國家信息安全管理部門、相關(guān)行業(yè)管理部門建立信息安全協(xié)調(diào)機制����,與國家有關(guān)專業(yè)安全機構(gòu)和標(biāo)準(zhǔn)化組織建立信息安全合作機制。
第九條 證券��、期貨����、基金等行業(yè)協(xié)會(以下簡稱“證券期貨行業(yè)協(xié)會”)依照本辦法的規(guī)定,對會員的信息安全工作實行自律管理��。
第十條 核心機構(gòu)依照本辦法的規(guī)定����,對市場相關(guān)主體關(guān)聯(lián)信息系統(tǒng)的安全保障工作進行督促、指導(dǎo)��。
第二章 基本要求
第十一條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)具有必備的基礎(chǔ)設(shè)施���。機房�����、電力、空調(diào)、消防���、通信等基礎(chǔ)設(shè)施的建設(shè)符合國家及證券期貨業(yè)信息安全相關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)�����。
第十二條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)設(shè)置合理的網(wǎng)絡(luò)結(jié)構(gòu)��,劃分安全區(qū)域��,各安全區(qū)域之間應(yīng)當(dāng)進行有效隔離�����,并具有防范�、監(jiān)控和阻斷來自內(nèi)外部網(wǎng)絡(luò)攻擊破壞的能力�����。
第十三條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立符合業(yè)務(wù)要求的信息系統(tǒng)���。信息系統(tǒng)應(yīng)當(dāng)具有合理的架構(gòu)�����,足夠的性能�����、容量��、可靠性�、擴展性和安全性,能夠支持業(yè)務(wù)的運行和發(fā)展�����。
第十四條 核心機構(gòu)應(yīng)當(dāng)對交易��、行情�����、開戶�、結(jié)算、風(fēng)控���、通信等重要信息系統(tǒng)具有自主開發(fā)能力���,擁有執(zhí)行程序和源代碼并安全可靠存放��,對執(zhí)行程序和源代碼進行嚴(yán)格的審查和測試。
第十五條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)具有防范木馬��、病毒等惡意代碼的能力��,防止惡意代碼對信息系統(tǒng)造成破壞���,防止信息泄露或被篡改�����。
第十六條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立完善的信息技術(shù)治理架構(gòu)���,明確信息技術(shù)決策、管理�����、執(zhí)行和內(nèi)部監(jiān)督的權(quán)責(zé)機制�����。
第十七條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立完善的信息技術(shù)管理制度和操作規(guī)程��,并嚴(yán)格執(zhí)行。
第十八條 核心機構(gòu)應(yīng)當(dāng)制定本機構(gòu)與市場相關(guān)主體信息系統(tǒng)安全互聯(lián)的技術(shù)規(guī)則�,并報中國證監(jiān)會備案。
核心機構(gòu)依法督促市場相關(guān)主體執(zhí)行技術(shù)規(guī)則���。
第十九條 核心機構(gòu)應(yīng)當(dāng)提供多種互為備份的遠程接入方式���,保證市場相關(guān)主體安全接入,并對市場相關(guān)主體的遠程接入進行監(jiān)控與管理����。
第三章 持續(xù)保障要求
第二十條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)保障充足、穩(wěn)定的信息技術(shù)經(jīng)費投入����,配備足夠的信息技術(shù)人員。
第二十一條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)根據(jù)行業(yè)規(guī)劃和本機構(gòu)發(fā)展戰(zhàn)略����,制定信息化與信息安全發(fā)展規(guī)劃,滿足信息技術(shù)和業(yè)務(wù)發(fā)展的需要�。
第二十二條 核心機構(gòu)和經(jīng)營機構(gòu)開展信息系統(tǒng)新建、升級��、變更���、換代等建設(shè)項目��,應(yīng)當(dāng)進行充分論證和測試����。
第二十三條 核心機構(gòu)交易����、結(jié)算、通信等重要信息系統(tǒng)上線或者進行重大升級變更時����,應(yīng)當(dāng)組織市場相關(guān)主體進行聯(lián)網(wǎng)測試,并按規(guī)定進行報告�。
第二十四條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)規(guī)范開展信息技術(shù)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的運行維護,確保系統(tǒng)安全穩(wěn)定運行���。
第二十五條 核心機構(gòu)應(yīng)當(dāng)指導(dǎo)市場相關(guān)主體正確運行維護與本機構(gòu)互聯(lián)的系統(tǒng)和通信設(shè)施�����。
第二十六條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)備份設(shè)施�,并按照規(guī)定在同城和異地保存數(shù)據(jù)的備份介質(zhì)���。
第二十七條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立重要信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施���,確保業(yè)務(wù)活動連續(xù)����。
第二十八條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)按照規(guī)定向證券期貨業(yè)數(shù)據(jù)中心報送數(shù)據(jù)����。報送的數(shù)據(jù)必須真實、完整�、準(zhǔn)確、及時�����。
證券期貨業(yè)數(shù)據(jù)中心要按照中國證監(jiān)會的有關(guān)規(guī)定開展行業(yè)數(shù)據(jù)的集中保存工作�����,確保數(shù)據(jù)的安全�、完整、可靠����。
第二十九條 核心機構(gòu)負責(zé)建設(shè)和運營行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施�����。
第三十條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)加強信息安全保密管理���,確保投資者信息安全。
第三十一條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)與信息安全風(fēng)險檢測�、監(jiān)測、評估和預(yù)警機制��,發(fā)現(xiàn)風(fēng)險隱患應(yīng)當(dāng)及時處置����,并按照規(guī)定進行報告�。
第三十二條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立信息安全應(yīng)急處置機制,及時處置突發(fā)信息安全事件����,盡快恢復(fù)信息系統(tǒng)的正常運行,并按照規(guī)定進行報告���,不得遲報�、漏報�����、瞞報。
核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)對信息安全事件進行內(nèi)部調(diào)查����、責(zé)任追究和采取整改措施,并配合中國證監(jiān)會及其派出機構(gòu)對事件進行調(diào)查處理�。
第三十三條 核心機構(gòu)應(yīng)當(dāng)每年組織市場相關(guān)主體進行一次信息安全應(yīng)急演練,并于實施前十五個工作日向中國證監(jiān)會報告��。
第三十四條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)對信息技術(shù)人員進行培訓(xùn)�,確保其具有履行崗位職責(zé)的能力。
第三十五條 核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)建立信息安全內(nèi)部審計制度�����,定期開展內(nèi)部審計���,對發(fā)現(xiàn)的問題進行整改��。
第四章 產(chǎn)品及服務(wù)采購要求
第三十六條 核心機構(gòu)和經(jīng)營機構(gòu)在采購軟硬件產(chǎn)品或者技術(shù)服務(wù)時��,應(yīng)當(dāng)對供應(yīng)商的資質(zhì)��、財務(wù)穩(wěn)定性���、專業(yè)經(jīng)驗����、產(chǎn)品和服務(wù)的質(zhì)量進行調(diào)查���。
第三十七條 核心機構(gòu)和經(jīng)營機構(gòu)在采購軟硬件產(chǎn)品或者技術(shù)服務(wù)時����,應(yīng)當(dāng)與供應(yīng)商簽訂合同和保密協(xié)議���,并在合同和保密協(xié)議中明確約定信息安全和保密的權(quán)利和義務(wù)�����。
合同中應(yīng)當(dāng)約定供應(yīng)商須接受中國證監(jiān)會及其派出機構(gòu)的信息安全延伸檢查。
第三十八條 核心機構(gòu)和經(jīng)營機構(gòu)采購的軟硬件產(chǎn)品或者技術(shù)服務(wù)應(yīng)當(dāng)滿足審慎經(jīng)營和風(fēng)險管理的要求��。軟硬件產(chǎn)品或者技術(shù)服務(wù)不符合要求�����,影響核心機構(gòu)和經(jīng)營機構(gòu)持續(xù)經(jīng)營的,中國證監(jiān)會有權(quán)要求核心機構(gòu)和經(jīng)營機構(gòu)予以改進或者更換��。
第三十九條 供應(yīng)商可以加入證券期貨行業(yè)協(xié)會�,接受行業(yè)協(xié)會的自律管理。
第五章 行業(yè)自律
第四十條 證券期貨行業(yè)協(xié)會應(yīng)當(dāng)制定信息技術(shù)指引���,督促����、引導(dǎo)會員執(zhí)行國家和行業(yè)信息安全相關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)��。
第四十一條 證券期貨行業(yè)協(xié)會應(yīng)當(dāng)引導(dǎo)行業(yè)加強信息技術(shù)人才隊伍建設(shè)����,組織信息技術(shù)培訓(xùn)和交流,提高信息技術(shù)人員執(zhí)業(yè)素質(zhì)����。
第四十二條 證券期貨行業(yè)協(xié)會應(yīng)當(dāng)引導(dǎo)鼓勵行業(yè)信息技術(shù)研究與創(chuàng)新,增強自主可控能力�,組織開展科技獎勵,促進行業(yè)科技進步�。
第四十三條 證券期貨行業(yè)協(xié)會應(yīng)當(dāng)引導(dǎo)供應(yīng)商規(guī)范參與行業(yè)信息化與信息安全工作,促進市場公平競爭�,促進供應(yīng)商與市場相關(guān)主體共同發(fā)展���。
第六章 監(jiān)督管理
第四十四條 中國證監(jiān)會建立統(tǒng)一組織、分級負責(zé)的信息安全監(jiān)督管理體制����。
中國證監(jiān)會信息安全管理部門負責(zé)證券期貨業(yè)信息安全工作的組織、協(xié)調(diào)和指導(dǎo)�;相關(guān)業(yè)務(wù)監(jiān)管部門依照職責(zé)范圍對核心機構(gòu)和經(jīng)營機構(gòu)的信息安全進行監(jiān)督、檢查�;派出機構(gòu)根據(jù)授權(quán)對轄區(qū)內(nèi)經(jīng)營機構(gòu)的信息安全進行監(jiān)督、檢查����。
第四十五條 中國證監(jiān)會依法組織制定證券期貨業(yè)信息安全管理規(guī)定和技術(shù)標(biāo)準(zhǔn)。
第四十六條 中國證監(jiān)會及其派出機構(gòu)依照職責(zé)范圍����,對核心機構(gòu)和經(jīng)營機構(gòu)進行信息安全檢查或者委托國家、行業(yè)有關(guān)專業(yè)安全機構(gòu)進行安全檢查�����。核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)配合檢查�����。
核心機構(gòu)和經(jīng)營機構(gòu)的信息安全管理不能達到規(guī)定要求的���,中國證監(jiān)會及其派出機構(gòu)責(zé)令其限期改正�����,改正前可以暫?��;蛘呦拗破洳糠只蛘呷孔C券期貨經(jīng)營業(yè)務(wù)活動。
第四十七條 中國證監(jiān)會及其派出機構(gòu)可以要求核心機構(gòu)和經(jīng)營機構(gòu)提供信息安全相關(guān)資料�。
核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)及時、準(zhǔn)確��、完整地提供相關(guān)資料�����。
第四十八條 中國證監(jiān)會組織制定證券期貨業(yè)信息安全應(yīng)急預(yù)案����,督促、指導(dǎo)行業(yè)開展信息安全應(yīng)急工作�����。
第四十九條 中國證監(jiān)會有權(quán)對核心機構(gòu)、經(jīng)營機構(gòu)的信息安全事件進行調(diào)查處理�。
對于損害投資者合法權(quán)益或者是影響證券期貨市場安全穩(wěn)定運行的信息安全事件,中國證監(jiān)會依法對相關(guān)單位采取監(jiān)督管理措施或者行政處罰����。
第五十條 核心機構(gòu)和經(jīng)營機構(gòu)違反本辦法規(guī)定,中國證監(jiān)會可以視情節(jié)��,依法對其采取責(zé)令改正�����、監(jiān)管談話��、出具警示函�����、公開譴責(zé)�、責(zé)令定期報告、責(zé)令處分有關(guān)人員��、撤銷任職資格�����、暫?;蛘呦拗谱C券期貨經(jīng)營業(yè)務(wù)活動等措施;情節(jié)嚴(yán)重的����,給予警告、罰款���。
第七章 附則
第五十一條 本辦法自xxxx年xx月xx日起施行�?!蹲C券期貨業(yè)信息安全保障管理暫行辦法》(證監(jiān)信息字[2005]5號)同時廢止。
關(guān)于《證券期貨業(yè)信息安全保障管理辦法(征求意見稿)》的起草說明
一�、起草背景
證券期貨行業(yè)高度依賴信息技術(shù),證券期貨信息技術(shù)系統(tǒng)是資本市場關(guān)鍵的基礎(chǔ)設(shè)施�,證券期貨業(yè)信息安全保障關(guān)系到證券期貨市場的穩(wěn)定運行和健康發(fā)展,關(guān)系到國家金融安全和社會穩(wěn)定���,對保護投資者交易安全和財產(chǎn)安全具有十分重要的意義�����。為了加強對信息安全的監(jiān)管��,督促市場主體切實保障信息安全�,中國證監(jiān)會于2005年制定了《證券期貨業(yè)信息安全保障管理暫行辦法》(證監(jiān)信息字[2005]5號)。但是���,目前行業(yè)信息安全的管理體制和監(jiān)管要求已經(jīng)發(fā)生較大變化���,該辦法已經(jīng)不能適應(yīng)新的變化。近幾年�,中國證監(jiān)會從行業(yè)實際出發(fā),重點加強了信息安全工作�����,成立了證券期貨業(yè)信息化工作領(lǐng)導(dǎo)小組����,逐步形成了職責(zé)清晰、合理高效的行業(yè)信息安全管理體制和工作機制����,因此,在充分總結(jié)經(jīng)驗的基礎(chǔ)上�,中國證監(jiān)會研究制定了《證券期貨業(yè)信息安全保障管理辦法》(以下簡稱《管理辦法》),以規(guī)章形式固化已經(jīng)形成的����、行之有效的體制機制和監(jiān)管要求���,確立行業(yè)信息安全保障的長效機制�。
二、立法的依據(jù)
《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院147號令)中明確要求“重點維護國家事務(wù)�����、經(jīng)濟建設(shè)���、國防建設(shè)����、尖端科學(xué)技術(shù)等重要領(lǐng)域的計算機信息系統(tǒng)的安全”����。國家有關(guān)文件中提出“銀行、電力�����、民航���、鐵路�、證券、海關(guān)���、稅務(wù)����、保險等信息系統(tǒng)的安全直接關(guān)系到國民經(jīng)濟的正常運行����、群眾生活、社會穩(wěn)定和國家安全”�����、“要重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全”�����?!蹲C券法》、《證券投資基金法》和《期貨交易管理條例》等法律法規(guī)明確要求證券公司��、基金管理公司和期貨公司等證券期貨經(jīng)營機構(gòu)“有合格的經(jīng)營場所和業(yè)務(wù)設(shè)施”�,要求證券期貨交易所等市場核心機構(gòu)“提供交易的場所和設(shè)施”,要求證監(jiān)會“維護證券市場秩序,保障其合法運行”���。
為了貫徹落實國家以及證券期貨行業(yè)法律��、法規(guī)的要求�,完善行業(yè)信息安全管理機制�����,防范信息安全風(fēng)險��,中國證監(jiān)會依法制定《管理辦法》�,確立行業(yè)信息安全監(jiān)管的體制�����,明確市場主體的信息安全保障責(zé)任�,提出信息安全工作的要求。
三�、《管理辦法》的主要內(nèi)容
《管理辦法》包括總則、基本要求��、持續(xù)保障要求����、產(chǎn)品及服務(wù)要求����、行業(yè)自律����、監(jiān)督管理和附則,共七章五十一條��。
?���。ㄒ唬┺k法的適用范圍
證券期貨業(yè)信息安全保障、管理���、監(jiān)督等相關(guān)活動均適用本辦法�����。適用主體包括:1����、承擔(dān)證券期貨市場公共職能的機構(gòu)�、承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運營的機構(gòu)等證券期貨市場核心機構(gòu)及其下屬機構(gòu)(以下簡稱“核心機構(gòu)”)���,如,證券交易所�����、期貨交易所��、中國證券登記結(jié)算公司����、中國證券投資者保護基金公司、中國期貨保證金監(jiān)控中心公司等機構(gòu)及其下屬機構(gòu)等��;2�、證券公司�����、期貨公司�、基金管理公司、證券期貨服務(wù)機構(gòu)等證券期貨經(jīng)營機構(gòu)(以下簡稱“經(jīng)營機構(gòu)”)�;3、開展證券客戶交易結(jié)算資金第三方存管業(yè)務(wù)���,銀證���、銀期�、銀基轉(zhuǎn)賬和結(jié)算業(yè)務(wù)��,基金托管和銷售業(yè)務(wù)的機構(gòu)等�。
《管理辦法》明確規(guī)定核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)依法開展信息安全工作,保護投資者交易安全和數(shù)據(jù)安全����,并對本機構(gòu)信息系統(tǒng)安全運行承擔(dān)責(zé)任。
?�。ǘ┗疽?/p>
《管理辦法》第二章從基礎(chǔ)設(shè)施�����、網(wǎng)絡(luò)隔離����、信息系統(tǒng)、安全防護能力和管理制度等方面對核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)具有的基礎(chǔ)設(shè)施和基本制度作出規(guī)定��,并從信息系統(tǒng)的自主研發(fā)能力�����、市場安全互聯(lián)和業(yè)務(wù)規(guī)則等方面對核心機構(gòu)提出特別要求,作為中國證監(jiān)會作出行政許可或者驗收準(zhǔn)入的基本標(biāo)準(zhǔn)���。
?。ㄈ┏掷m(xù)保障要求
證券期貨業(yè)務(wù)的特殊性要求核心機構(gòu)和經(jīng)營機構(gòu)持續(xù)保障信息系統(tǒng)的安全穩(wěn)定運行���,保障業(yè)務(wù)活動的連續(xù)進行和數(shù)據(jù)的安全��?���!豆芾磙k法》第三章從人員和經(jīng)費保障�����、系統(tǒng)的升級變更�����、設(shè)施和系統(tǒng)的運行維護��、數(shù)據(jù)備份和集中保存��、風(fēng)險控制和應(yīng)急處置����、信息保密、內(nèi)部審計等方面對核心機構(gòu)和經(jīng)營機構(gòu)的信息安全保障工作作出規(guī)定�����,并從重要信息系統(tǒng)上線或者變更�����、組織行業(yè)應(yīng)急演練�、建設(shè)和運營行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施、指導(dǎo)市場主體正確運行維護互聯(lián)設(shè)施等方面對核心機構(gòu)提出了特別要求����。
考慮到證券、基金���、期貨等行業(yè)特征不同�,體現(xiàn)在信息技術(shù)的要求上也會不同���,《管理辦法》對相關(guān)基本要求和持續(xù)保障要求僅作原則性規(guī)定����,中國證監(jiān)會和自律組織可以根據(jù)《管理辦法》,制定規(guī)范性文件��、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)等進一步細化相關(guān)技術(shù)指標(biāo)�。
(四)產(chǎn)品和服務(wù)采購管理
目前��,行業(yè)的重要信息系統(tǒng)大型設(shè)備���、基礎(chǔ)軟件大部分來自于采購��。計算機軟硬件供應(yīng)商和技術(shù)服務(wù)提供商(以下簡稱供應(yīng)商)的基礎(chǔ)條件對證券期貨業(yè)的信息安全影響重大��。因此��,《管理辦法》第四章對產(chǎn)品和服務(wù)采購的管理單獨設(shè)置章節(jié)予以規(guī)范�����。
《管理辦法》要求核心機構(gòu)和經(jīng)營機構(gòu)建立完善的供應(yīng)商管理機制,通過對供應(yīng)商進行資質(zhì)審查�����、簽訂完備的合同和保密協(xié)議等保障產(chǎn)品和服務(wù)質(zhì)量;并通過合同約定����,要求供應(yīng)商接受中國證監(jiān)會及其派出機構(gòu)的信息安全延伸檢查。同時�����,探索通過證券期貨行業(yè)協(xié)會引導(dǎo)和規(guī)范供應(yīng)商行為���。對于軟硬件產(chǎn)品或者技術(shù)服務(wù)不符合要求�,影響核心機構(gòu)和經(jīng)營機構(gòu)持續(xù)經(jīng)營的����,中國證監(jiān)會有權(quán)要求核心機構(gòu)和經(jīng)營機構(gòu)予以改進或者更換。
?。ㄎ澹┬袠I(yè)自律和監(jiān)督管理
《管理辦法》明確了中國證監(jiān)會和自律組織在信息安全管理方面的職責(zé)分工,明確了中國證監(jiān)會在監(jiān)督檢查和信息技術(shù)事故調(diào)查中可以采取的措施����,對核心機構(gòu)和經(jīng)營機構(gòu)的備案、報告義務(wù)等作出了規(guī)定�����,列舉了核心機構(gòu)和經(jīng)營機構(gòu)信息安全保障不符合要求的法律責(zé)任。
此外�����,由于《證券期貨業(yè)信息安全保障管理暫行辦法》的相關(guān)規(guī)定已經(jīng)被本辦法覆蓋��,因此����,《管理辦法》第七章規(guī)定,本辦法發(fā)布實施后�����,將同時廢止《證券期貨業(yè)信息安全保障管理暫行辦法》��。
京公網(wǎng)安備 11010802044457號
新用戶掃碼下載
