（2005年2月1日 證監(jiān)信息字〔2005〕1號(hào)）
　　 
　　第一條　為規(guī)范證券期貨行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作，切實(shí)保護(hù)投資者合法權(quán)益，依據(jù)國家有關(guān)規(guī)定，制定本辦法。
　　第二條　證券期貨行業(yè)信息安全保障協(xié)調(diào)小組（以下簡稱協(xié)調(diào)小組）負(fù)責(zé)行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作的決策、組織、協(xié)調(diào)工作，協(xié)調(diào)小組成員單位包括中國證監(jiān)會(huì)、上海證券交易所、深圳證券交易所、上海期貨交易所、大連商品交易所、鄭州商品交易所、中國證券登記結(jié)算公司、中國證券業(yè)協(xié)會(huì)和中國期貨業(yè)協(xié)會(huì)。信息通報(bào)單位包括證券、期貨交易所，中國證券登記結(jié)算公司，各證券公司、基金管理公司、期貨公司，證券、期貨投資咨詢公司以及其他由證監(jiān)會(huì)核準(zhǔn)注冊成立的機(jī)構(gòu)（以下簡稱通報(bào)單位）.
　　第三條　中國證監(jiān)會(huì)信息中心是協(xié)調(diào)小組的執(zhí)行部門，負(fù)責(zé)向國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心報(bào)告證券期貨行業(yè)的網(wǎng)絡(luò)信息安全信息;負(fù)責(zé)將國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)布的信息報(bào)告、病毒與網(wǎng)絡(luò)攻擊預(yù)警等按要求向協(xié)調(diào)小組單位成員傳達(dá)，并通過中國證券業(yè)協(xié)會(huì)和中國期貨業(yè)協(xié)會(huì)向各自歸口的通報(bào)單位傳達(dá)。
　　中國證監(jiān)會(huì)信息中心作為協(xié)調(diào)小組中各通報(bào)單位的歸口單位，負(fù)責(zé)這些單位網(wǎng)絡(luò)與信息安全信息的匯總、整理。
　　中國證券業(yè)協(xié)會(huì)負(fù)責(zé)證券公司、基金管理公司、證券投資咨詢公司等單位的網(wǎng)絡(luò)與信息安全信息匯總和反饋工作，并作為上述機(jī)構(gòu)的歸口單位向中國證監(jiān)會(huì)信息中心報(bào)告。
　　中國期貨業(yè)協(xié)會(huì)負(fù)責(zé)期貨公司、期貨投資咨詢公司等單位的網(wǎng)絡(luò)與信息安全信息匯總和反饋工作，并作為上述機(jī)構(gòu)的歸口單位向中國證監(jiān)會(huì)信息中心報(bào)告。
　　第四條　各通報(bào)單位按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營、誰負(fù)責(zé)”的原則，做好各自單位的信息安全通報(bào)工作。各單位信息安全工作的責(zé)任人（主管領(lǐng)導(dǎo)）為本單位信息安全通報(bào)工作的責(zé)任人。
　　各通報(bào)單位應(yīng)落實(shí)承擔(dān)網(wǎng)絡(luò)與信息安全信息通報(bào)工作的職能部門、負(fù)責(zé)人和聯(lián)絡(luò)員，制定本單位內(nèi)部的信息報(bào)告流程和相應(yīng)的責(zé)任制，并填寫信息安全報(bào)告基本情況備案表（見附件一）報(bào)歸口單位備案。
　　各通報(bào)單位要及時(shí)將本單位網(wǎng)絡(luò)與信息系統(tǒng)出現(xiàn)的安全事故上報(bào)歸口單位，并負(fù)責(zé)將來自歸口單位的信息安全通告以及其他通知、要求及時(shí)傳達(dá)到有關(guān)責(zé)任人。
　　第五條　各通報(bào)單位實(shí)行7×24小時(shí)聯(lián)絡(luò)制度，指定一名聯(lián)絡(luò)員，一名后備聯(lián)絡(luò)員。聯(lián)絡(luò)員和后備聯(lián)絡(luò)員應(yīng)有及時(shí)準(zhǔn)確的通訊聯(lián)絡(luò)方式；聯(lián)絡(luò)方式如有變動(dòng)，應(yīng)填寫基本情況變動(dòng)更新表（見附件一）及時(shí)報(bào)告歸口單位。歸口單位要及時(shí)維護(hù)和更新聯(lián)絡(luò)通信錄，并在通報(bào)體系中公告。
　　第六條　事故報(bào)告。通報(bào)單位的重要網(wǎng)絡(luò)與信息系統(tǒng)在運(yùn)行中出現(xiàn)異常情況，造成不良影響或損失的，應(yīng)按照應(yīng)急預(yù)案及時(shí)處置，同時(shí)應(yīng)將事故發(fā)生的情況、危害程度、處置措施、分析研判等內(nèi)容編寫成事故報(bào)告，及時(shí)上報(bào)歸口單位（事故分級(jí)、報(bào)告要素及要求見附件二及編制說明）.
　　第七條　信息安全運(yùn)行月報(bào)。為及時(shí)反映行業(yè)信息安全狀況，保持行業(yè)信息安全通報(bào)系統(tǒng)的暢通，各通報(bào)單位每月應(yīng)以信息安全運(yùn)行月報(bào)（格式見附件三）的形式向歸口單位報(bào)告信息系統(tǒng)運(yùn)行情況。
　　信息安全運(yùn)行月報(bào)的內(nèi)容為各通報(bào)單位信息系統(tǒng)運(yùn)行中出現(xiàn)并得到及時(shí)處置的異常情況匯總和分析、研判，無異常情況的，要進(jìn)行平安運(yùn)行報(bào)告。對(duì)已按事故報(bào)告要求上報(bào)的情況，要在運(yùn)行月報(bào)中說明。
　　各通報(bào)單位應(yīng)在每個(gè)月前5個(gè)工作日內(nèi)將上個(gè)月的系統(tǒng)運(yùn)行情況上報(bào)歸口單位。
　　第八條　敏感時(shí)期報(bào)告。中國證監(jiān)會(huì)信息中心根據(jù)國家有關(guān)規(guī)定和需要啟動(dòng)敏感時(shí)期報(bào)告制度，并規(guī)定行業(yè)內(nèi)敏感時(shí)期報(bào)告的啟動(dòng)與截止日期、日?qǐng)?bào)告的截止時(shí)間等要素。
　　各通報(bào)單位在收到啟動(dòng)敏感時(shí)期報(bào)告的通知以后，根據(jù)要求每日以敏感時(shí)期信息安全報(bào)告（見附件四）的形式上報(bào)本單位信息系統(tǒng)運(yùn)行狀況。報(bào)告內(nèi)容包括信息安全運(yùn)行月報(bào)、事故報(bào)告應(yīng)報(bào)的范圍。無異常情況的，要進(jìn)行平安運(yùn)行報(bào)告。
　　各通報(bào)單位在敏感時(shí)期應(yīng)有專人值守。
　　第九條　信息安全通告。中國證監(jiān)會(huì)信息中心、中國證券業(yè)協(xié)會(huì)、中國期貨業(yè)協(xié)會(huì)等信息通報(bào)歸口單位，通過信息通報(bào)體系，向各通報(bào)單位定期或不定期地發(fā)布下列信息安全通告：
　　國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)布的報(bào)告和預(yù)警；
　　行業(yè)信息安全月報(bào)的匯總分析；
　　行業(yè)信息系統(tǒng)運(yùn)行中帶有普遍性的安全隱患或趨勢；
　　有關(guān)信息安全的通知、規(guī)定、技術(shù)標(biāo)準(zhǔn)、指引等；
　　其他需要及時(shí)向報(bào)告單位通報(bào)的信息。
　　各通報(bào)單位在收到歸口單位的信息安全通告后，應(yīng)及時(shí)傳達(dá)到相關(guān)責(zé)任人，采取相應(yīng)措施。
　　第十條　各通報(bào)單位應(yīng)切實(shí)保證信息通報(bào)和聯(lián)絡(luò)渠道的暢通。敏感時(shí)期報(bào)告和信息安全運(yùn)行月報(bào)可使用電子文件的形式報(bào)送。對(duì)于事故報(bào)告，應(yīng)同時(shí)使用書面和電子文件的形式進(jìn)行報(bào)送。對(duì)于有保密要求的，應(yīng)使用符合要求的加密設(shè)備進(jìn)行報(bào)送。
　　第十一條　各通報(bào)單位應(yīng)保證上報(bào)要素完備、及時(shí)、準(zhǔn)確，不得瞞報(bào)、緩報(bào)、謊報(bào)網(wǎng)絡(luò)與信息安全事件的情況。接報(bào)單位應(yīng)保證及時(shí)接收、準(zhǔn)確記錄上報(bào)信息。
　　第十二條　各單位應(yīng)制定相應(yīng)的保密和檔案管理措施，妥善管理上報(bào)材料，包括各單位進(jìn)行信息安全通報(bào)過程中往來電話記錄（手機(jī)或固定電話）、紙質(zhì)或電子文件、傳真件等，存檔備查。
　　第十三條　對(duì)于認(rèn)真履行本辦法，及時(shí)報(bào)告網(wǎng)絡(luò)與信息安全事故的單位及個(gè)人，予以通報(bào)表揚(yáng)。對(duì)違反本辦法及相關(guān)制度的單位及個(gè)人，予以通報(bào)批評(píng)；情節(jié)嚴(yán)重的，予以行政處分。
　　第十四條　本辦法自發(fā)布之日起實(shí)施。本辦法由中國證監(jiān)會(huì)負(fù)責(zé)解釋。
　　附件一：信息安全報(bào)告基本情況備案、變動(dòng)更新表
　　附件二：證券期貨業(yè)網(wǎng)絡(luò)與信息安全事故報(bào)告
　　附件三：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(bào)
　　附件四：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)敏感時(shí)期安全情況日?qǐng)?bào)
　　附件一：信息安全報(bào)告基本情況備案、變動(dòng)更新表
　　
　　
　　附件二：證券期貨業(yè)網(wǎng)絡(luò)與信息安全事故報(bào)告
　　
　　附件二填制說明：
　　事故標(biāo)準(zhǔn)及報(bào)告要求
　　重要業(yè)務(wù)系統(tǒng)出現(xiàn)異常，系統(tǒng)恢復(fù)時(shí)間（RTO-Recovery Time Objective）在30分鐘以內(nèi)；
　　因病毒、攻擊、擁堵等使系統(tǒng)異常，給市場或客戶造成可感知的影響，但交易時(shí)段2個(gè)小時(shí)內(nèi)恢復(fù)的；
　　系統(tǒng)數(shù)據(jù)完整性被破壞，但在1個(gè)交易日內(nèi)能夠修復(fù)的；
　　災(zāi)害事故（停電、水災(zāi)、火災(zāi)等）發(fā)生后，重要業(yè)務(wù)系統(tǒng)能在1個(gè)交易日恢復(fù)正常；
　　網(wǎng)站上出現(xiàn)有害信息，但能及時(shí)刪除、屏蔽并保留審計(jì)線索的；
　　通信線路發(fā)生故障且對(duì)業(yè)務(wù)造成不良影響，1個(gè)交易日內(nèi)系統(tǒng)恢復(fù)正常；
　　敏感業(yè)務(wù)數(shù)據(jù)泄漏。
　　各通報(bào)單位的重要信息系統(tǒng)，凡是出現(xiàn)上述情況，都要在2天內(nèi)，將事故發(fā)生的情況、處置措施、影響分析，以事故報(bào)告的形式，及時(shí)上報(bào)歸口單位。
　　重大事故標(biāo)準(zhǔn)及報(bào)告要求
　　各信息報(bào)告單位重要信息系統(tǒng)出現(xiàn)重大故障，已經(jīng)（或預(yù)計(jì)將）造成重大損失（100萬元以上），或給客戶/市場帶來重大不良影響的。包括但不限于：
　　重要業(yè)務(wù)系統(tǒng)出現(xiàn)異常，系統(tǒng)恢復(fù)時(shí)間（RTO-Recovery Time Objective）在30分鐘以上；
　　因病毒、攻擊、擁堵等使系統(tǒng)異常，給市場或客戶造成可感知的影響，且交易時(shí)段2個(gè)小時(shí)內(nèi)沒有恢復(fù)；
　　業(yè)務(wù)數(shù)據(jù)完整性被破壞，且在1個(gè)交易日內(nèi)沒有修復(fù)；
　　通信線路發(fā)生故障，對(duì)業(yè)務(wù)造成嚴(yán)重影響，且在1個(gè)交易日系統(tǒng)沒有恢復(fù)正常；
　　災(zāi)害事故（停電、水災(zāi)、火災(zāi)等）發(fā)生后，重要業(yè)務(wù)系統(tǒng)在一個(gè)交易日系統(tǒng)沒有恢復(fù)正常；
　　網(wǎng)站上出現(xiàn)有害信息，且未能及時(shí)刪除、屏蔽或未能保留審計(jì)線索的。
　　各通報(bào)單位的重要信息系統(tǒng)，凡是出現(xiàn)上述情況，都要在事故確認(rèn)的當(dāng)日（或6小時(shí)之內(nèi)），將事故發(fā)生的情況、影響分析、目前的狀況、已經(jīng)采取的處置措施等，以重大事故報(bào)告的形式，上報(bào)歸口單位。
　　其中，交易、通信、清算等帶有全局性的重大系統(tǒng)故障，在及時(shí)啟動(dòng)應(yīng)急預(yù)案的同時(shí)，還要在2小時(shí)內(nèi)將事故情況上報(bào)中國證監(jiān)會(huì)信息中心。
　　災(zāi)難事故標(biāo)準(zhǔn)及報(bào)告要求
　　因自然災(zāi)難、人為故意破壞以及其他意外因素，使本單位重要業(yè)務(wù)系統(tǒng)不能正常運(yùn)行，并造成惡劣影響或嚴(yán)重?fù)p失的，預(yù)計(jì)有效處置或消除其不良影響需要?jiǎng)訂T大量社會(huì)資源的，應(yīng)在事故發(fā)生后，立即上報(bào)歸口單位。
　　附件三：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(bào)
　　附件四：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)敏感時(shí)期安全情況日?qǐng)?bào)

 

上一篇：中國期貨業(yè)協(xié)會(huì)會(huì)員自律公約 下一篇：期貨經(jīng)紀(jì)公司治理準(zhǔn)則（試行）全文

關(guān)閉本頁 打印本頁