關於印發《證券期貨業信息安全保障管理暫行辦法》的通知在2005.04.08由中國證券監督管理委員會頒布。
基本介紹
- 中文名:關於印發《證券期貨業信息安全保障管理暫行辦法》的通知
- 頒布單位:中國證券監督管理委員會
- 頒布時間:2005.04.08
- 實施時間:2005.04.08
第一章 總則,第二章 安全職責劃分,第三章 安全目標與基本原則,第四章 安全保障要求,第五章 附則,
第一章 總則
第一條 為加強證券期貨業信息安全保障工作的組織協調,建立、健全信息安全管理制度和運行機制,提高行業信息安全保障工作水平,切實保護投資者合法權益,根據國家有關法律、法規和相關規定,制定本辦法。
第二條 本辦法適用於證券期貨市場的監管機構、行業自律組織及經營機構。監管機構為中國證券監督管理委員會(以下簡稱“中國證監會”);行業自律組織包括證券、期貨交易所及其通信公司,證券登記結算公司、中國證券業協會和中國期貨業協會;經營機構包括證券、期貨公司,基金管理公司及證券、期貨投資諮詢公司。
第二章 安全職責劃分
第三條 中國證監會負責證券期貨行業信息安全保障工作的監督管理及組織協調。
第四條 證券、期貨交易所及其通信公司,登記結算公司,證券、期貨公司,基金管理公司,證券、期貨投資諮詢公司等是各自信息系統安全運營管理的責任主體單位(以下簡稱“主體單位”)。
第五條 證券交易所負責證券交易、信息發布及市場監管信息系統的安全運營。證券通信公司受證券交易所及證券登記結算公司、經營機構的委託,負責通信系統的安全運營,保障交易、結算等業務數據的及時安全傳送。期貨交易所負責期貨交易和結算處理、信息發布、市場監管信息系統及通信系統的安全運營。
第六條 證券登記結算公司負責證券登記、結算業務信息系統的安全運營。
第七條 中國證券業協會負責證券公司、基金管理公司、證券投資諮詢公司等會員單位信息安全保障的組織、協調工作。
中國期貨業協會負責期貨公司、期貨投資諮詢公司等會員單位信息安全保障的組織、協調工作。
第八條 證券、期貨公司,基金管理公司及證券、期貨投資諮詢公司負責總部及下屬經營機構信息系統的安全運營。
第三章 安全目標與基本原則
第九條 信息安全保障工作的總體目標是確保信息和信息系統的完整性、保密性、可用性、時效性、可審查性和可控性,切實保護市場參與各方的合法權益,促進證券期貨市場的持續、穩定、健康發展。
第十條 信息安全保障工作的具體目標是:
(一)保護證券期貨業信息系統的物理環境、設備設施和運行環境,保證信息系統的環境安全;
(二)確保信息內容的合法性,保護信息在採集、傳輸、使用和存儲過程中的保密性、完整性、可用性、時效性、可審查性和可控性,保證信息的安全;
(三)提高證券期貨業人員的信息安全意識、安全專業素質以及安全管理與服務水平;
(四)提高信息系統的可用率和災難恢復能力,為業務的可持續性運行提供保障。
第十一條 信息安全保障工作應遵循以下基本原則:
(一)責任制原則:安全管理應做到“誰主管,誰負責”、“誰運營,誰負責”,注重以法律手段明確與他方的責任關係,通過契約、協調等方式與他方進行責任劃分,明確進行風險轉移,通過責任主體制約他方。
(二)規範化原則:遵循國內、國際的信息安全標準及行業規範,對信息系統實行等級保護。
(三)全面統籌原則:信息安全保障工作應貫穿於信息化全過程,堅持統籌規劃、突出重點,安全與發展並進,管理與技術並重,應急防禦與長效機制相結合。
(四)實用性原則:在確保信息系統性能和安全的前提下,充分利用資源,講究實效,避免重複和盲目投資,積極採用國家法律法規允許的、成熟的先進技術和專業安全服務,運用科學的經營管理方法,降低成本,保障安全運行。
第四章 安全保障要求
第十二條 主體單位應建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系,保持三個體系穩定、均衡發展。
第十三條 主體單位應建立明確的信息安全組織體系:
(一)建立決策層、管理層和執行層三層工作關係,明確信息安全主管領導,落實信息安全管理部門,指定信息安全執行崗位;
(二)設立專職的安全管理員和安全審計員崗位,分別負責信息安全工作的實施和審計;
(三)通過多種安全培訓方式加強信息安全人才隊伍的建設,提高信息安全工作人員的技能水平,提高員工安全意識。
第十四條 主體單位應建立全面的信息安全管理體系:
(一)制定統一的信息安全策略和全面、可操作的信息安全管理制度,指導和規範信息系統的安全規劃與建設,確保策略和制度得到恰當的理解並得到有效的遵循和執行;
(二)加強信息系統資產安全管理,保護信息系統設備、軟體、數據和技術文檔的安全,實行信息系統資產管理責任制,實現等級管理、密級管理,重點保護核心信息系統資產的安全;
(三)強化信息系統的物理安全保護,執行嚴格的機房安全管理、環境安全管理和有效的物理控制措施;
(四)建立信息系統網路、系統、套用等各層面的安全管理流程,實現對信息系統規劃、建設、運行、維護各個階段的安全管理,開發與運營獨立管理,嚴格執行日常的實時管理和定期管理工作;
(五)實現對信息系統的安全風險管理,對信息資產、威脅和脆弱性的狀況進行定期評估,及時發現安全隱患並進行預防性的保護,選擇適用、有效的安全措施。
第十五條 主體單位應建立有效的信息安全技術體系:
(一)建立完善的安全預警體系,及時發現安全隱患;
(二)強化現有的安全防護體系,實現對核心業務系統的重點保護;
(三)建立有效的安全監控體系,監控核心業務系統,為進一步完善信息安全體系提供決策依據;
(四)建立全面的應急回響體系,制定規範、完整的應急處理和回響流程,定期進行應急恢復的演練和測試,完善信息安全通報機制;
(五)按照不同的安全保護等級建立相應的災難恢復體系,定期進行災難恢復的演練和測試,確保災難發生後能夠充分發揮備份的效能,降低造成的影響和損失。
第五章 附則
第十六條 中國證監會對證券期貨業信息系統安全保障情況組織安全檢查,檢查方式包括自檢查、委託檢查等方式。
第十七條 本辦法由中國證監會負責解釋。
第十八條 本辦法自印發之日起執行。