上海、深圳證券交易所,上海期貨交易所��,大連�����、鄭州商品交易所��,中國證券登記結算公司��,中國證券業(yè)��、期貨業(yè)協(xié)會:
為規(guī)范行業(yè)網絡與信息系統(tǒng)建設和安全保障工作��,中國證監(jiān)會制定了《證券期貨業(yè)信息安全保障管理暫行辦法》,現印發(fā)給你們,請遵照執(zhí)行�。
請中國證券業(yè)協(xié)會��、中國期貨業(yè)協(xié)會將本通知轉發(fā)至各會員單位�����。
中國證券監(jiān)督管理委員會
二○○五年四月八日
證券期貨業(yè)信息安全保障管理暫行辦法
第一章 總 則
第一條 為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調����,建立、健全信息安全管理制度和運行機制�����,提高行業(yè)信息安全保障工作水平���,切實保護投資者合法權益����,根據國家有關法律����、法規(guī)和相關規(guī)定,制定本辦法��。
第二條本辦法適用于證券期貨市場的監(jiān)管機構����、行業(yè)自律組織及經營機構。監(jiān)管機構為中國證券監(jiān)督管理委員會(以下簡稱“中國證監(jiān)會”)����;行業(yè)自律組織包括證券、期貨交易所及其通信公司�,證券登記結算公司、中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會��;經營機構包括證券�����、期貨公司�����,基金管理公司及證券�、期貨投資咨詢公司。
第二章 安全職責劃分
第三條 中國證監(jiān)會負責證券期貨行業(yè)信息安全保障工作的監(jiān)督管理及組織協(xié)調�。
第四條 證券、期貨交易所及其通信公司���,登記結算公司�����,證券�、期貨公司,基金管理公司���,證券����、期貨投資咨詢公司等是各自信息系統(tǒng)安全運營管理的責任主體單位(以下簡稱“主體單位”)��。
第五條證券交易所負責證券交易�����、信息發(fā)布及市場監(jiān)管信息系統(tǒng)的安全運營�。證券通信公司受證券交易所及證券登記結算公司、經營機構的委托����,負責通信系統(tǒng)的安全運營,保障交易���、結算等業(yè)務數據的及時安全傳送��。期貨交易所負責期貨交易和結算處理�、信息發(fā)布����、市場監(jiān)管信息系統(tǒng)及通信系統(tǒng)的安全運營。
第六條 證券登記結算公司負責證券登記����、結算業(yè)務信息系統(tǒng)的安全運營。
第七條 中國證券業(yè)協(xié)會負責證券公司��、基金管理公司�����、證券投資咨詢公司等會員單位信息安全保障的組織�����、協(xié)調工作�。
中國期貨業(yè)協(xié)會負責期貨公司、期貨投資咨詢公司等會員單位信息安全保障的組織���、協(xié)調工作���。
第八條 證券���、期貨公司,基金管理公司及證券����、期貨投資咨詢公司負責總部及下屬經營機構信息系統(tǒng)的安全運營。
第三章 安全目標與基本原則
第九條 信息安全保障工作的總體目標是確保信息和信息系統(tǒng)的完整性��、保密性�、可用性、時效性����、可審查性和可控性,切實保護市場參與各方的合法權益����,促進證券期貨市場的持續(xù)、穩(wěn)定���、健康發(fā)展�。
第十條 信息安全保障工作的具體目標是:
(一) 保護證券期貨業(yè)信息系統(tǒng)的物理環(huán)境、設備設施和運行環(huán)境���,保證信息系統(tǒng)的環(huán)境安全��;
(二) 確保信息內容的合法性�,保護信息在采集����、傳輸����、使用和存儲過程中的保密性、完整性����、可用性、時效性���、可審查性和可控性����,保證信息的安全��;
(三) 提高證券期貨業(yè)人員的信息安全意識、安全專業(yè)素質以及安全管理與服務水平���;
(四) 提高信息系統(tǒng)的可用率和災難恢復能力��,為業(yè)務的可持續(xù)性運行提供保障����。
第十一條 信息安全保障工作應遵循以下基本原則:
(一) 責任制原則:安全管理應做到“誰主管���,誰負責”����、“誰運營����,誰負責”,注重以法律手段明確與他方的責任關系��,通過契約��、協(xié)調等方式與他方進行責任劃分�����,明確進行風險轉移,通過責任主體制約他方����。
(二) 規(guī)范化原則:遵循國內、國際的信息安全標準及行業(yè)規(guī)范��,對信息系統(tǒng)實行等級保護�。
(三) 全面統(tǒng)籌原則:信息安全保障工作應貫穿于信息化全過程,堅持統(tǒng)籌規(guī)劃����、突出重點��,安全與發(fā)展并進���,管理與技術并重���,應急防御與長效機制相結合。
(四) 實用性原則:在確保信息系統(tǒng)性能和安全的前提下���,充分利用資源�����,講究實效��,避免重復和盲目投資�,積極采用國家法律法規(guī)允許的、成熟的先進技術和專業(yè)安全服務�����,運用科學的經營管理方法���,降低成本��,保障安全運行��。
第四章 安全保障要求
第十二條 主體單位應建立以安全組織體系為核心�����、安全管理體系為保障����、安全技術體系為支撐的全面信息安全體系���,保持三個體系穩(wěn)定���、均衡發(fā)展�。
第十三條 主體單位應建立明確的信息安全組織體系:
(一) 建立決策層���、管理層和執(zhí)行層三層工作關系���,明確信息安全主管領導,落實信息安全管理部門���,指定信息安全執(zhí)行崗位����;
(二) 設立專職的安全管理員和安全審計員崗位����,分別負責信息安全工作的實施和審計�;
(三) 通過多種安全培訓方式加強信息安全人才隊伍的建設,提高信息安全工作人員的技能水平��,提高員工安全意識�。
第十四條 主體單位應建立全面的信息安全管理體系:
(一) 制定統(tǒng)一的信息安全策略和全面、可操作的信息安全管理制度���,指導和規(guī)范信息系統(tǒng)的安全規(guī)劃與建設����,確保策略和制度得到恰當的理解并得到有效的遵循和執(zhí)行;
(二) 加強信息系統(tǒng)資產安全管理���,保護信息系統(tǒng)設備��、軟件���、數據和技術文檔的安全,實行信息系統(tǒng)資產管理責任制���,實現等級管理�����、密級管理����,重點保護核心信息系統(tǒng)資產的安全�����;
(三) 強化信息系統(tǒng)的物理安全保護,執(zhí)行嚴格的機房安全管理���、環(huán)境安全管理和有效的物理控制措施�����;
(四) 建立信息系統(tǒng)網絡���、系統(tǒng)、應用等各層面的安全管理流程���,實現對信息系統(tǒng)規(guī)劃�����、建設��、運行、維護各個階段的安全管理�����,開發(fā)與運營獨立管理���,嚴格執(zhí)行日常的實時管理和定期管理工作�����;
(五) 實現對信息系統(tǒng)的安全風險管理�����,對信息資產�、威脅和脆弱性的狀況進行定期評估,及時發(fā)現安全隱患并進行預防性的保護����,選擇適用、有效的安全措施�。
第十五條 主體單位應建立有效的信息安全技術體系:
(一) 建立完善的安全預警體系,及時發(fā)現安全隱患���;
(二) 強化現有的安全防護體系���,實現對核心業(yè)務系統(tǒng)的重點保護;
(三) 建立有效的安全監(jiān)控體系����,監(jiān)控核心業(yè)務系統(tǒng)���,為進一步完善信息安全體系提供決策依據;
(四) 建立全面的應急響應體系���,制定規(guī)范���、完整的應急處理和響應流程,定期進行應急恢復的演練和測試����,完善信息安全通報機制;
(五) 按照不同的安全保護等級建立相應的災難恢復體系��,定期進行災難恢復的演練和測試�,確保災難發(fā)生后能夠充分發(fā)揮備份的效能,降低造成的影響和損失��。
第五章 附 則
第十六條 中國證監(jiān)會對證券期貨業(yè)信息系統(tǒng)安全保障情況組織安全檢查���,檢查方式包括自檢查���、委托檢查等方式。
第十七條 本辦法由中國證監(jiān)會負責解釋�����。
第十八條 本辦法自印發(fā)之日起執(zhí)行��。
稅收法規(guī)
內控政策
津公網安備12010202000755號