上海、深圳證券交易所，上海期貨交易所，大連、鄭州商品交易所，中國證券登記結(jié)算公司，中國證券業(yè)、期貨業(yè)協(xié)會：

為規(guī)范行業(yè)網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)和安全保障工作，中國證監(jiān)會制定了《證券期貨業(yè)信息安全保障管理暫行辦法》，現(xiàn)印發(fā)給你們，請遵照執(zhí)行。

請中國證券業(yè)協(xié)會、中國期貨業(yè)協(xié)會將本通知轉(zhuǎn)發(fā)至各會員單位。

　　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　中國證券監(jiān)督管理委員會

　　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　  二○○五年四月八日

證券期貨業(yè)信息安全保障管理暫行辦法

第一章 總 則

第一條 為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立、健全信息安全管理制度和運行機(jī)制，提高行業(yè)信息安全保障工作水平，切實保護(hù)投資者合法權(quán)益，根據(jù)國家有關(guān)法律、法規(guī)和相關(guān)規(guī)定，制定本辦法。

第二條 本辦法適用于證券期貨市場的監(jiān)管機(jī)構(gòu)、行業(yè)自律組織及經(jīng)營機(jī)構(gòu)。監(jiān)管機(jī)構(gòu)為中國證券監(jiān)督管理委員會（以下簡稱“中國證監(jiān)會”）；行業(yè)自律組織包括證券、期貨交易所及其通信公司，證券登記結(jié)算公司、中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會；經(jīng)營機(jī)構(gòu)包括證券、期貨公司，基金管理公司及證券、期貨投資咨詢公司。

第二章 安全職責(zé)劃分

第三條 中國證監(jiān)會負(fù)責(zé)證券期貨行業(yè)信息安全保障工作的監(jiān)督管理及組織協(xié)調(diào)。

第四條 證券、期貨交易所及其通信公司，登記結(jié)算公司，證券、期貨公司，基金管理公司，證券、期貨投資咨詢公司等是各自信息系統(tǒng)安全運營管理的責(zé)任主體單位（以下簡稱“主體單位”）。

第五條 證券交易所負(fù)責(zé)證券交易、信息發(fā)布及市場監(jiān)管信息系統(tǒng)的安全運營。證券通信公司受證券交易所及證券登記結(jié)算公司、經(jīng)營機(jī)構(gòu)的委托，負(fù)責(zé)通信系統(tǒng)的安全運營，保障交易、結(jié)算等業(yè)務(wù)數(shù)據(jù)的及時安全傳送。期貨交易所負(fù)責(zé)期貨交易和結(jié)算處理、信息發(fā)布、市場監(jiān)管信息系統(tǒng)及通信系統(tǒng)的安全運營。

第六條 證券登記結(jié)算公司負(fù)責(zé)證券登記、結(jié)算業(yè)務(wù)信息系統(tǒng)的安全運營。

第七條 中國證券業(yè)協(xié)會負(fù)責(zé)證券公司、基金管理公司、證券投資咨詢公司等會員單位信息安全保障的組織、協(xié)調(diào)工作。

中國期貨業(yè)協(xié)會負(fù)責(zé)期貨公司、期貨投資咨詢公司等會員單位信息安全保障的組織、協(xié)調(diào)工作。

第八條 證券、期貨公司，基金管理公司及證券、期貨投資咨詢公司負(fù)責(zé)總部及下屬經(jīng)營機(jī)構(gòu)信息系統(tǒng)的安全運營。

第三章 安全目標(biāo)與基本原則

第九條 信息安全保障工作的總體目標(biāo)是確保信息和信息系統(tǒng)的完整性、保密性、可用性、時效性、可審查性和可控性，切實保護(hù)市場參與各方的合法權(quán)益，促進(jìn)證券期貨市場的持續(xù)、穩(wěn)定、健康發(fā)展。

第十條 信息安全保障工作的具體目標(biāo)是：

（一） 保護(hù)證券期貨業(yè)信息系統(tǒng)的物理環(huán)境、設(shè)備設(shè)施和運行環(huán)境，保證信息系統(tǒng)的環(huán)境安全；

（二） 確保信息內(nèi)容的合法性，保護(hù)信息在采集、傳輸、使用和存儲過程中的保密性、完整性、可用性、時效性、可審查性和可控性，保證信息的安全；

（三） 提高證券期貨業(yè)人員的信息安全意識、安全專業(yè)素質(zhì)以及安全管理與服務(wù)水平；

（四） 提高信息系統(tǒng)的可用率和災(zāi)難恢復(fù)能力，為業(yè)務(wù)的可持續(xù)性運行提供保障。

第十一條 信息安全保障工作應(yīng)遵循以下基本原則：

（一） 責(zé)任制原則：安全管理應(yīng)做到“誰主管，誰負(fù)責(zé)”、“誰運營，誰負(fù)責(zé)”，注重以法律手段明確與他方的責(zé)任關(guān)系，通過契約、協(xié)調(diào)等方式與他方進(jìn)行責(zé)任劃分，明確進(jìn)行風(fēng)險轉(zhuǎn)移，通過責(zé)任主體制約他方。

（二） 規(guī)范化原則：遵循國內(nèi)、國際的信息安全標(biāo)準(zhǔn)及行業(yè)規(guī)范，對信息系統(tǒng)實行等級保護(hù)。

（三） 全面統(tǒng)籌原則：信息安全保障工作應(yīng)貫穿于信息化全過程，堅持統(tǒng)籌規(guī)劃、突出重點，安全與發(fā)展并進(jìn)，管理與技術(shù)并重，應(yīng)急防御與長效機(jī)制相結(jié)合。

（四） 實用性原則：在確保信息系統(tǒng)性能和安全的前提下，充分利用資源，講究實效，避免重復(fù)和盲目投資，積極采用國家法律法規(guī)允許的、成熟的先進(jìn)技術(shù)和專業(yè)安全服務(wù)，運用科學(xué)的經(jīng)營管理方法，降低成本，保障安全運行。

第四章 安全保障要求

第十二條 主體單位應(yīng)建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系，保持三個體系穩(wěn)定、均衡發(fā)展。

第十三條 主體單位應(yīng)建立明確的信息安全組織體系：

（一） 建立決策層、管理層和執(zhí)行層三層工作關(guān)系，明確信息安全主管領(lǐng)導(dǎo)，落實信息安全管理部門，指定信息安全執(zhí)行崗位；

（二） 設(shè)立專職的安全管理員和安全審計員崗位，分別負(fù)責(zé)信息安全工作的實施和審計；

（三） 通過多種安全培訓(xùn)方式加強(qiáng)信息安全人才隊伍的建設(shè)，提高信息安全工作人員的技能水平，提高員工安全意識。

第十四條 主體單位應(yīng)建立全面的信息安全管理體系：

（一） 制定統(tǒng)一的信息安全策略和全面、可操作的信息安全管理制度，指導(dǎo)和規(guī)范信息系統(tǒng)的安全規(guī)劃與建設(shè)，確保策略和制度得到恰當(dāng)?shù)睦斫獠⒌玫接行У淖裱蛨?zhí)行；

（二） 加強(qiáng)信息系統(tǒng)資產(chǎn)安全管理，保護(hù)信息系統(tǒng)設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全，實行信息系統(tǒng)資產(chǎn)管理責(zé)任制，實現(xiàn)等級管理、密級管理，重點保護(hù)核心信息系統(tǒng)資產(chǎn)的安全；

（三） 強(qiáng)化信息系統(tǒng)的物理安全保護(hù)，執(zhí)行嚴(yán)格的機(jī)房安全管理、環(huán)境安全管理和有效的物理控制措施；

（四） 建立信息系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等各層面的安全管理流程，實現(xiàn)對信息系統(tǒng)規(guī)劃、建設(shè)、運行、維護(hù)各個階段的安全管理，開發(fā)與運營獨立管理，嚴(yán)格執(zhí)行日常的實時管理和定期管理工作；

（五） 實現(xiàn)對信息系統(tǒng)的安全風(fēng)險管理，對信息資產(chǎn)、威脅和脆弱性的狀況進(jìn)行定期評估，及時發(fā)現(xiàn)安全隱患并進(jìn)行預(yù)防性的保護(hù)，選擇適用、有效的安全措施。

第十五條 主體單位應(yīng)建立有效的信息安全技術(shù)體系：

（一） 建立完善的安全預(yù)警體系，及時發(fā)現(xiàn)安全隱患；

（二） 強(qiáng)化現(xiàn)有的安全防護(hù)體系，實現(xiàn)對核心業(yè)務(wù)系統(tǒng)的重點保護(hù)；

（三） 建立有效的安全監(jiān)控體系，監(jiān)控核心業(yè)務(wù)系統(tǒng)，為進(jìn)一步完善信息安全體系提供決策依據(jù)；

（四） 建立全面的應(yīng)急響應(yīng)體系，制定規(guī)范、完整的應(yīng)急處理和響應(yīng)流程，定期進(jìn)行應(yīng)急恢復(fù)的演練和測試，完善信息安全通報機(jī)制；

（五） 按照不同的安全保護(hù)等級建立相應(yīng)的災(zāi)難恢復(fù)體系，定期進(jìn)行災(zāi)難恢復(fù)的演練和測試，確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。

第五章 附 則

第十六條 中國證監(jiān)會對證券期貨業(yè)信息系統(tǒng)安全保障情況組織安全檢查，檢查方式包括自檢查、委托檢查等方式。

第十七條 本辦法由中國證監(jiān)會負(fù)責(zé)解釋。

第十八條 本辦法自印發(fā)之日起執(zhí)行。