安全验证
more
《 :第二章 网》络和信息安全—运行 ? ?第九条 核》心机构和经营机构】应当具有完善的【信,息技术治理架构健】全网络?和信息安全管理【制度体系《建立内部决策—。、管理、执行—和监督机制确保网】络和信息安全管理】能力与业《务活动?规模、复杂程—度相匹配 —    信息技术】系统服务机》构应当建立网—络,和,信息:。。安全管理制》度配备?相应的?安全、合《规管理人员》。建立与提《供产品?或者:服,务相:适应的网络和信【息,。安全管理《机制 ? 第十条 核心【机构和经《。营机构应当》明,确主要负责人为本机!构,网络和信息安全工作!的第一责任人分管】网络和信息》安全工作的领—导,班子成员或者—高级:管理人?员为直接责》任人    【。 核:。心机构和《。。经营机构应当建立网!络,和信息安《全工作协调和—决策机?。制保障第一责任人和!直接责任《人履行职责 第】。十一条? 核心机《构和经营机构应【当,指定或者《设立网络和信息安】全工作牵头》部,门或者机《构负责管理》。重要信息《系统和?相关基础设施、【制定网络安全应急预!案、组织应急演【练等工作 第【。。十二条 核心机【构和经?营机构应当保障人员!和资金投入与业【务活动规《模,、复杂程《度相适应确保—网络和?信息安全人员具备】与履行职责相匹配】的专业知识和职业技!能, 第十三条 核】。心机:构和经营机构应当】确保信息系统—和相关基《础设:施,具备合理的架构【足够的性能、容量】。、可靠性、》。扩展性和安》全性并保证相关安】全技术措施与信【息化工作同步—规划、同步建—设、同?步使用 第十四】条 核?。心机构和经营机【构应当落《实网络安全等—级保:。。护制:度依:法履行?网络安全等》级保护义务》按照国家和证券期货!业网络安全》等级保?护相关要《求,。开展:网络和信息系统【定级备案、等级测评!。和安全建《设等工作   】  :核心机构《和经营机构》应当按照相》关要求将网络安全等!级保护工作开—展情:况报送中国》。证监会及其派出【机构 第十五【条 核?心机构和经营机构】新,建上线、《运行变?更,、下线移除重要信息!系统的应当》充分评估技》术和业务《风险制定风险防控措!。施、应急处置和回退!方案并对相》关结:果进行复《核验证;可》。。能对证券《。期货:市场安全平》稳运行产《生较大影响的应【当提前向《中国证监《会及:其派出机构》报,。告  《 ,  核心机构和经】营机构不得在交易时!段对重要信》。息系统进行变—更重要信息系统存在!故障、缺陷经—评估须进行紧急修复!的情形除《外 第十六条 核!心机构和《经营:机构在?重要信息系统—。上线、变更前—应,当制定全面的测【试方案持《续完善测试用例和测!试数:据并保障测试—的,有效执?行    — 除必须使用—敏感数据的情形外核!心机构和经营—机构应当对测—试环境涉及的敏感数!据进行脱《敏对未?脱敏数据《须采取与生产环境】同,等的安全控》制措施   【  核心《机构交易、行情、】开,户、结算《、通信等重》要信息系统》上线或?。者进:行重大?升级变更时应当组】织市场相《关主体进行联—网测试? 第?十七条 核心—机构和经《营机构暂停或者终止!借,助网络向投资者提】供服:务前应?当履行告知义务合理!选取公告、定向通知!等方式告知投资者相!关业:务影响情况》、替代方《式,及应对措施 第】十八条 《核心机构和》经营机构应》当建立健全网络和信!息安全监测预警【机制设定监测指标】持续监?测信息系统》和相关基础设—施,的运行状况及时【处置:异常情形《对监:测,机制:。执行效果进行—。定期评估并持续【优化     核!心机构和经营机构应!当全面、准确记录并!妥善保存生产—运营过程《。中的业务日志和系】统,日志确保《满足:。故障分析、内部控】制、调查取证等工作!的需要?重要信息系统业务日!志应当?保存五年以上系统】日志应当保存六【个月以上 —第十九条 》核心机?构和经营机构应当构!建网:。。络和信息安全防护体!系综合采取网络隔离!、用户认证、访【问控制、策略管理】、数据加密、网【站防:篡改、病毒木马防范!、非法?入侵检测《和网络安全态势感】知等安全保》障措施提升》网络和信息安全防】护能力及《时识别、阻断—相关网络攻击保护重!要,。信息系统《。和相关基础设施防范!信息泄?。露与损?毁 第二十条【 核心?机构:和经营机构应当建立!本地、同城》和异地?。数据备份设施—重要信息系统应当每!天至少备份》数据一次每》季,度,至少对?数据备份进行一【。次,有效性验《证  《   核心》机构和?经营机构应当建【立重要信息系统的故!障备份?。设施和灾难》备份:设施根据信息系统】的重要程度和业务】影响情况确定恢复目!标,保证业务连》续运行灾难备份设】施应当?。通过同?城或者异地灾难备份!中心的形式体现 !    核心机构】。和经营机构采取双】活或者多活架构部】署重要信息系—统的在?确保业务连续运行的!前提下任《一数据中心可视为】其他数据中心的【灾难备?份设施? 第二十一条 核!心机构和《经营机构应当每年】至少开展一》次重要信息系统压力!测试;发现市场较大!波动重?要信息系统的性能容!量可能无法保障安】全平稳运行的应当及!时,对,相关信息系统开【展压力测试   !  核心《机构和经营机构应当!依照:有关行业标准根【据系:统技术?。特,点和承载业务—类型制定《压力测试方案设【定测试场《景,从系统性能、—网络负?载、灾备建》设等方面设置测【试指标有《序组织测试》工作测试完》。成后形成压力—测试报告存档备【查并保?存五年以《。上     核心!机构和经营机构重要!。信息系统的性能容】量应当在历史峰值】的两倍以上核—心,机构交易时段—相关网络近一年使用!峰值应当在当前带宽!的,。百分之五十》以下经营机构交易时!段相:关网络近一年使【用峰值应当在当前】带宽的百《分之八十以下 【 第二十《二条 核心机构和】经营机构应当建【立健全供应》商管理?机制:明确信息技术产【品和服务准入—标准:审慎采购并持续评估!相关产品和服务【的质:量及时改进风险管理!措施健?全,应急处?置,。机制确保重要信【息系统运行》安,全可控?    》 核心机构和经【营机构应《当与供应《商签订合同及—保密协议明确约定】各方保障网》络和:信息安?全的权利和义务【;在:使用供应商》提供产品或者服务时!引发:网络:安全事?件的相关供应商【有义务配合中—国,证监会及其派出机构!查明网络安全事件】原因认定网络安【全,事件责任 第【二十:三条 供应商为【核心机?构和经营机》构,提供重要信息—系,统相关产品或者服】务的应当依法—作,为信:息技术系统服务机构!向,中国证监会备案 !    核》心机构和经营机构】。。应当督促相》关信息技术系统服务!机构依法履行备案义!务 第《二十四条《 任何机构和个人】不,得违规开展证券【期货业?。信息系统《认,证、检测《、风险评估等活动】不得违规发》布证券期货业—信息:安全漏洞、计算机病!毒、网络攻》击、网络侵入等信息!。 第二十五—条 核心机构—和经营机《构应当建立信息发】布审核机制加强【。对本:机构:和本机构运营平台】发,布信息?的管理发现违反法律!法规和有关监管规】定,的应:当立即停止发布传】输采取必要的处置】措施防?止信息扩散》积极消除《负面影响《并及时?向,中国证监《会及其派出》机构报告 —第二十六《条 核心《机构应当《对交易、行情、【开户、结算、—风控、?通,信等重要信息系统具!有自主开发能力掌】握执行?程序和源代》码并安全可》靠存放  —   经营机构应】当根据自身发展需】要加强自《主研发能《力建设持续提升自主!。可控:能力   —  核心机构和【经营机?构应当按照国家及】中国证监《会有关要求开—。展信息技术》应用创新以及—商用密?码应用相关》工作 第二十七条! 中国?证,监会可以委托—相关机构建设证券】期货业备份数据【中,心开展行业》。数据的集中备份【和管理工作并采取】有效:安全防护手段防范】数据:损毁:泄露风险持续—提升证券期货—业重大灾难》应对能力    ! 鼓励证券期货业】关键:信息基?础设施?运营者及时向证券期!货业备份数据—。中心备份数据—其他核?心机构和经营机构可!以结:合经营需要》自主:选择证券《期货业备份数据中】心开展数据》级灾:难备份工作》 ,。 第二十八条 【核心机?构和经营《。机构应当《按照知识产权相【关法律法《规制定知《识产权保护》策,略和制度不侵犯他人!的知识?产权并采取有效措施!保护本机构自—主知识产权》 :