国务院法制办公室网站
《证券期货业信息安全保障管理办法》起草说明
一、起草背景
证券期货行业高度依赖信息技术,证券期货信息技术系统是资本市场关键的基础设施,证券期货业信息安全保障关系到证券期货市场的稳定运行和健康发展,关系到国家金融安全和社会稳定,对保护投资者交易安全和财产安全具有十分重要的意义。为了加强对信息安全的监管,督促市场主体切实保障信息安全,中国证监会于2005年制定了《证券期货业信息安全保障管理暂行办法》(证监信息字[2005]5号)。但是,目前行业信息安全的管理体制和监管要求已经发生较大变化,该办法已经不能适应新的变化。近几年,中国证监会从行业实际出发,重点加强了信息安全工作,成立了证券期货业信息化工作领导小组,逐步形成了职责清晰、合理高效的行业信息安全管理体制和工作机制,因此,在充分总结经验的基础上,中国证监会研究制定了《证券期货业信息安全保障管理办法》(以下简称《管理办法》),以规章形式固化已经形成的、行之有效的体制机制和监管要求,确立行业信息安全保障的长效机制。
二、立法的依据
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)中明确要求“重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全”。国家有关文件中提出“银行、电力、民航、铁路、证券、海关、税务、保险等信息系统的安全直接关系到国民经济的正常运行、群众生活、社会稳定和国家安全”、“要重点保障基础信息网络和重要信息系统安全”。《证券法》、《证券投资基金法》和《期货交易管理条例》等法律法规明确要求证券公司、基金管理公司和期货公司等证券期货经营机构“有合格的经营场所和业务设施”,要求证券期货交易所等市场核心机构“提供交易的场所和设施”,要求证监会“维护证券市场秩序,保障其合法运行”。
为了贯彻落实国家以及证券期货行业法律、法规的要求,完善行业信息安全管理机制,防范信息安全风险,中国证监会依法制定《管理办法》,确立行业信息安全监管的体制,明确市场主体的信息安全保障责任,提出信息安全工作的要求。
三、《管理办法》的主要内容
《管理办法》包括总则、基本要求、持续保障要求、产品及服务要求、行业自律、监督管理和附则,共七章五十一条。
(一)办法的适用范围
证券期货业信息安全保障、管理、监督等相关活动均适用本办法。适用主体包括:1、承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称“核心机构”),如,证券交易所、期货交易所、中国证券登记结算公司、中国证券投资者保护基金公司、中国期货保证金监控中心公司等机构及其下属机构等;2、证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称“经营机构”);3、开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构等。
《管理办法》明确规定核心机构和经营机构应当依法开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。
(二)基本要求
《管理办法》第二章从基础设施、网络隔离、信息系统、安全防护能力和管理制度等方面对核心机构和经营机构应当具有的基础设施和基本制度作出规定,并从信息系统的自主研发能力、市场安全互联和业务规则等方面对核心机构提出特别要求,作为中国证监会作出行政许可或者验收准入的基本标准。
(三)持续保障要求
证券期货业务的特殊性要求核心机构和经营机构持续保障信息系统的安全稳定运行,保障业务活动的连续进行和数据的安全。《管理办法》第三章从人员和经费保障、系统的升级变更、设施和系统的运行维护、数据备份和集中保存、风险控制和应急处置、信息保密、内部审计等方面对核心机构和经营机构的信息安全保障工作作出规定,并从重要信息系统上线或者变更、组织行业应急演练、建设和运营行业信息技术公共基础设施、指导市场主体正确运行维护互联设施等方面对核心机构提出了特别要求。
考虑到证券、基金、期货等行业特征不同,体现在信息技术的要求上也会不同,《管理办法》对相关基本要求和持续保障要求仅作原则性规定,中国证监会和自律组织可以根据《管理办法》,制定规范性文件、技术指引和技术标准等进一步细化相关技术指标。
(四)产品和服务采购管理
目前,行业的重要信息系统大型设备、基础软件大部分来自于采购。计算机软硬件供应商和技术服务提供商(以下简称供应商)的基础条件对证券期货业的信息安全影响重大。因此,《管理办法》第四章对产品和服务采购的管理单独设置章节予以规范。
《管理办法》要求核心机构和经营机构建立完善的供应商管理机制,通过对供应商进行资质审查、签订完备的合同和保密协议等保障产品和服务质量;并通过合同约定,要求供应商接受中国证监会及其派出机构的信息安全延伸检查。同时,探索通过证券期货行业协会引导和规范供应商行为。对于软硬件产品或者技术服务不符合要求,影响核心机构和经营机构持续经营的,中国证监会有权要求核心机构和经营机构予以改进或者更换。
(五)行业自律和监督管理
《管理办法》明确了中国证监会和自律组织在信息安全管理方面的职责分工,明确了中国证监会在监督检查和信息技术事故调查中可以采取的措施,对核心机构和经营机构的备案、报告义务等作出了规定,列举了核心机构和经营机构信息安全保障不符合要求的法律责任。
此外,由于《证券期货业信息安全保障管理暂行办法》的相关规定已经被本办法覆盖,因此,《管理办法》第七章规定,本办法发布实施后,将同时废止《证券期货业信息安全保障管理暂行办法》。
证券期货业信息安全保障管理办法(草案)
第一章 总 则 第一条 为了保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《期货交易管理条例》及信息安全保障相关的法律、行政法规,制定本办法。 第二条 证券期货业信息安全保障、管理、监督等工作适用本办法。 第三条 证券期货业信息安全保障工作实行“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。 第四条 证券期货业信息安全保障的责任主体应当执行国家信息安全相关法律、行政法规和行业相关技术管理规定、技术规则、技术指引和技术标准,开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。 前款所称责任主体,包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称“核心机构”),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称“经营机构”)。 第五条 开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构应当按照有关规定保障相关业务系统的安全运行。 第六条 为证券期货业提供软硬件产品或者技术服务的供应商(以下简称“供应商”),应当保证所提供的软硬件产品或者技术服务符合国家及证券期货业信息安全相关的技术管理规定、技术规则、技术指引和技术标准。 第七条 中国证监会支持、协助国家信息安全管理部门组织实施信息安全相关法律、行政法规,依法对证券期货业信息安全保障工作实施监督管理。 中国证监会派出机构按照授权履行监督管理职责。 第八条 中国证监会及其派出机构与国家信息安全管理部门、相关行业管理部门建立信息安全协调机制,与国家有关专业安全机构和标准化组织建立信息安全合作机制。 第九条 证券、期货、基金等行业协会(以下简称“证券期货行业协会”)依照本办法的规定,对会员的信息安全工作实行自律管理。 第十条 核心机构依照本办法的规定,对市场相关主体关联信息系统的安全保障工作进行督促、指导。 第二章 基本要求 第十一条 核心机构和经营机构应当具有必备的基础设施。机房、电力、空调、消防、通信等基础设施的建设符合国家及证券期货业信息安全相关规定和技术标准。 第十二条 核心机构和经营机构应当设置合理的网络结构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力。 第十三条 核心机构和经营机构应当建立符合业务要求的信息系统。信息系统应当具有合理的架构,足够的性能、容量、可靠性、扩展性和安全性,能够支持业务的运行和发展。 第十四条 核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,拥有执行程序和源代码并安全可靠存放,对执行程序和源代码进行严格的审查和测试。 第十五条 核心机构和经营机构应当具有防范木马、病毒等恶意代码的能力,防止恶意代码对信息系统造成破坏,防止信息泄露或被篡改。 第十六条 核心机构和经营机构应当建立完善的信息技术治理架构,明确信息技术决策、管理、执行和内部监督的权责机制。 第十七条 核心机构和经营机构应当建立完善的信息技术管理制度和操作规程,并严格执行。 第十八条 核心机构应当制定本机构与市场相关主体信息系统安全互联的技术规则,并报中国证监会备案。 核心机构依法督促市场相关主体执行技术规则。 第十九条 核心机构应当提供多种互为备份的远程接入方式,保证市场相关主体安全接入,并对市场相关主体的远程接入进行监控与管理。
第三章 持续保障要求 第二十条 核心机构和经营机构应当保障充足、稳定的信息技术经费投入,配备足够的信息技术人员。 第二十一条 核心机构和经营机构应当根据行业规划和本机构发展战略,制定信息化与信息安全发展规划,满足信息技术和业务发展的需要。 第二十二条 核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。 第二十三条 核心机构交易、结算、通信等重要信息系统上线或者进行重大升级变更时,应当组织市场相关主体进行联网测试,并按规定进行报告。 第二十四条 核心机构和经营机构应当规范开展信息技术基础设施和重要信息系统的运行维护,确保系统安全稳定运行。 第二十五条 核心机构应当指导市场相关主体正确运行维护与本机构互联的系统和通信设施。 第二十六条 核心机构和经营机构应当建立数据备份设施,并按照规定在同城和异地保存数据的备份介质。 第二十七条 核心机构和经营机构应当建立重要信息系统的故障备份设施和灾难备份设施,确保业务活动连续。 第二十八条 核心机构和经营机构应当按照规定向证券期货业数据中心报送数据。报送的数据必须真实、完整、准确、及时。 证券期货业数据中心要按照中国证监会的有关规定开展行业数据的集中保存工作,确保数据的安全、完整、可靠。 第二十九条 核心机构负责建设和运营行业信息技术公共基础设施。 第三十条 核心机构和经营机构应当加强信息安全保密管理,确保投资者信息安全。 第三十一条 核心机构和经营机构应当建立网络与信息安全风险检测、监测、评估和预警机制,发现风险隐患应当及时处置,并按照规定进行报告。 第三十二条 核心机构和经营机构应当建立信息安全应急处置机制,及时处置突发信息安全事件,尽快恢复信息系统的正常运行,并按照规定进行报告,不得迟报、漏报、瞒报。 核心机构和经营机构应当对信息安全事件进行内部调查、责任追究和采取整改措施,并配合中国证监会及其派出机构对事件进行调查处理。 第三十三条 核心机构应当每年组织市场相关主体进行一次信息安全应急演练,并于实施前十五个工作日向中国证监会报告。 第三十四条 核心机构和经营机构应当对信息技术人员进行培训,确保其具有履行岗位职责的能力。 第三十五条 核心机构和经营机构应当建立信息安全内部审计制度,定期开展内部审计,对发现的问题进行整改。
第四章 产品及服务采购要求 第三十六条 核心机构和经营机构在采购软硬件产品或者技术服务时,应当对供应商的资质、财务稳定性、专业经验、产品和服务的质量进行调查。 第三十七条 核心机构和经营机构在采购软硬件产品或者技术服务时,应当与供应商签订合同和保密协议,并在合同和保密协议中明确约定信息安全和保密的权利和义务。 合同中应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。 第三十八条 核心机构和经营机构采购的软硬件产品或者技术服务应当满足审慎经营和风险管理的要求。软硬件产品或者技术服务不符合要求,影响核心机构和经营机构持续经营的,中国证监会有权要求核心机构和经营机构予以改进或者更换。 第三十九条 供应商可以加入证券期货行业协会,接受行业协会的自律管理。
第五章 行业自律 第四十条 证券期货行业协会应当制定信息技术指引,督促、引导会员执行国家和行业信息安全相关规定和技术标准。 第四十一条 证券期货行业协会应当引导行业加强信息技术人才队伍建设,组织信息技术培训和交流,提高信息技术人员执业素质。 第四十二条 证券期货行业协会应当引导鼓励行业信息技术研究与创新,增强自主可控能力,组织开展科技奖励,促进行业科技进步。 第四十三条 证券期货行业协会应当引导供应商规范参与行业信息化与信息安全工作,促进市场公平竞争,促进供应商与市场相关主体共同发展。
第六章 监督管理 第四十四条 中国证监会建立统一组织、分级负责的信息安全监督管理体制。 中国证监会信息安全管理部门负责证券期货业信息安全工作的组织、协调和指导;相关业务监管部门依照职责范围对核心机构和经营机构的信息安全进行监督、检查;派出机构根据授权对辖区内经营机构的信息安全进行监督、检查。 第四十五条 中国证监会依法组织制定证券期货业信息安全管理规定和技术标准。 第四十六条 中国证监会及其派出机构依照职责范围,对核心机构和经营机构进行信息安全检查或者委托国家、行业有关专业安全机构进行安全检查。核心机构和经营机构应当配合检查。 核心机构和经营机构的信息安全管理不能达到规定要求的,中国证监会及其派出机构责令其限期改正,改正前可以暂停或者限制其部分或者全部证券期货经营业务活动。 第四十七条 中国证监会及其派出机构可以要求核心机构和经营机构提供信息安全相关资料。 核心机构和经营机构应当及时、准确、完整地提供相关资料。 第四十八条 中国证监会组织制定证券期货业信息安全应急预案,督促、指导行业开展信息安全应急工作。 第四十九条 中国证监会有权对核心机构、经营机构的信息安全事件进行调查处理。 对于损害投资者合法权益或者是影响证券期货市场安全稳定运行的信息安全事件,中国证监会依法对相关单位采取监督管理措施或者行政处罚。 第五十条 核心机构和经营机构违反本办法规定,中国证监会可以视情节,依法对其采取责令改正、监管谈话、出具警示函、公开谴责、责令定期报告、责令处分有关人员、撤销任职资格、暂停或者限制证券期货经营业务活动等措施;情节严重的,给予警告、罚款。
第七章 附 则 第五十一条 本办法自xxxx年xx月xx日起施行。《证券期货业信息安全保障管理暂行办法》(证监信息字[2005]5号)同时废止。
|