:
第二章 网!络和信息安全运行】
,
,
第九条 —核心机构和》经营:机构应当《具有完善的信息【技,。术,。治理:架构健全网络和信息!安全:管,理制度体系》建立内部决策、【管理、执行和监督】机制确保《网络:和信息安全》。。管理能力与业务活】动规模、复杂—。程,度相匹配
】 信?息技术?系统服务机构应当建!立网络和信》息,安全管理制》。度配备?相应的安全、—。合规管理人员建立与!提供产品或者服务】相适应的网络—和信息安全管理【机,制
第十条 核心!机构:。。和经:营机:构应当明确》主,要负责人为》本机构网络和信【息安全工作的第【一责:任,。人分管网络和信息】安全工作的领导班子!成,员或者?高级管理人员为直】接责任人
】 核心机构—和经:营机构应当》。建立网?络,和信息安全工作【协调和决策机制保障!第一责任人和—直接责任人履行职】责
第十一—条 核心机》构和经营机构应【当指定或者设立网】络,和信息安全工—作牵头部门或—。者机构负责管理重】要信息系统和—相关基础设施、制】定网:络安全?应急预案、组织【应急演练《等工:作
第十二条 核!心机构?和经营机构应当【保,障人员和资金投【入与业务《活动规模、复杂【程度相适应确保网络!和信息安《全人员具备与—履行职责相匹—配的专业知识和职业!技能
第十—三,条 核心《机构和经营》机构应当确》保信息系统和—相,关,基础设施具》备合:理的架构足够的性】能、:容量:、,可靠性、《扩展:性和安全性并保证相!关安全技《术措施与信息化工】作同步规划、同【步建设、同步—使,用
:
第十四《条, 核心机构》和,经,营机构应当落实网】络安全等级保护【制度依?法履行网络》安全等级保护义务按!照国家和证券期【货业网络《安全等级保护相【关,要求:开展网络和信—息系统定级备案【、等级测评和—安全:建设等工作
—
核心【机构和经《营机构应当》按照相关要求将网】络安全等级保—护工作开展情况报送!中国证监《。。会及其派出机构【
第十五条 核心!机构和?经营机构《新建上线、运行变】更、下线移除重要信!息系统的《应当充分评估技术和!业务风险制》定风险防控措施、应!急处置?和回退方案并对【相关结果进行复核】验证;?可能对?证券期货市》场安全平稳运行【产生较大影响的【应,当提前向中国—证监会及其派出【机,构,报告
?
《 核心机构》。和经营机构》不得在交易时段【对重要信息》系,统进行?变更重要信息系【统存在?故障、缺陷经评【。估须进?行紧急修复的情形除!外
第十六条 】核,心机构和经营机构】在重要信息系统【上线:、变更前应当制【定全面的测试方案持!续完善测试用例和】测试数据并保障测】试,的,有效:执行
】除必:须使用?敏感数据《的情形?外核心机构和—经营机构应当对【。。测试环?境涉及的敏感数据进!行脱敏对未脱敏数】据,。须采取与生产环【境同等的安全控制措!。施
》 核心机构—交易、?行情:、开户、结算、【通信等重要信息系统!上线或者进行重大升!级变更时应当组织】市场相关主体进行联!网测试
第十七条! 核心?机构和?经营机构暂》停或者终止借—助网络向投资者提供!服务前应《当履行告《知义务合理选—取公告、定向通知等!方式告知投资者相关!业务:影响情况、替代方式!。及应:对措施?
第十八条 核】心机构和《经营:机构应当建立健全网!络和信息安》全监:。测预警机制设定监测!指标持续监测信息】系统和?相关基础设》施的运行状况及时】。处,置异:常情形对《监测机制执》行效果?进行定期评估并【持续优化《
—核心机构和》经营机构应当—。全面、准《确记录并妥善保【存生产?运营过程中的业【。务日志和系统日志】确保满足故》障分析、内》部,控制、调查取证等】工作的需要重要信息!系统业务日》志应当保存五年【以上系统日志应当】保存六?个月以上
—第十九?条 核?心机构和经营机【构应当?构建网?络和信息安》全防护体《系综合采取》网络隔离、用户【认证、访问》控制、策略管—理、数据加密—、网站?防篡改、病毒木【马防范、非法—入侵检?测和网络安全态【势,感知等安《全保障措施提升网】络和信息安全防护】能力:及时识别、阻断相关!。网络攻击保护重要】信息系统和相关基础!设施防范信息泄【露与:损,毁
第二十条【 核心机构和经【营机构应当建立【本地、同城和异地数!。。据备:份设施重要信息【系统应?当每天至少备—份数据一次每季度至!少对:数据备份进行一次】有效性验证
! 核心《机,构和经营机构应当建!立,重要信?息,系统的故障》备份设施和灾难【备份设施根》据信息?系统的重要》程度和业务影响情】。况确定恢《复目标保证业务【连续运行《灾难备份《设施应当通过同【城或:者异地?。灾难备份中心的【形式体现
! 核心机构和—经营:机构采取双活或【者多活架《构部署重要》信息系统《的在确保《业务连续运》行的前提下》任一数据中心可视为!其他:数据中心《的灾难备份设施
】
第二十一条 核心!机构和经营机构【应当每年《。至少开展一》。次,重要信?息系统压《力,测试;发现市场较大!波动重要信息系统】。的性能容量可能无】法保:障,。安全平稳运》行的应当及时对相关!信息系统开展—压,力测:试
核】心机构和经》营机构应当依照【。有关:。行业标准根据系统】技术特点和承载业务!类型制定压力测试方!案设定测试场景从】系统性能、网络负载!、灾备建设等方面】设置测试指》标有序组织测—试工作?测,试完成后形成压【。力测试报告存—档备查并保存—五,年,以上
【 核心机构》和经营机《构重要信息》系统:的性能容《量应当在历》史峰值?的两倍?以上核心机构交【易时段相关网络【近一年使用峰—值应当在当前带宽的!百分之五十以下经】营机:构交易时段》相关网络近一年【使,用峰值应《当在当前带》宽的:百,分之八十以下
】第二:十二:条 核心机构—和经营机构应当【建立健全供应商管理!机制明确信息技术】产品和服务准入标准!。审慎采购《。并持续评估相关【产品和服务的质【量及:时改进风险》管理措施健全应【急处置机制确保重】要信息系《统运行安《全可控
》 《核,。心机构和经营机构应!当与供应商签订【合同及保《密协议明确约定各方!保,障网络?和信息安全》的,权利和义务;—在使用供应商提供】产品或者服务—时引发网络安—全事:件的:相关供应商》有义务配合中—国证监会及其—派出机构查》明网络?安全事件原因认【定网:络安全事件》责,。。任
第二十三条 !。供应:。商,为核心机构和—经营机构提供—重要信息系统相【关,产品或?者服务的应当依法作!为信息?技术系统服务机构向!中国证监会备—案
— 核心机构》和经:营机构应《当督促相关信息技术!系,统服务机构》依法履?行备案义《务
:
第二十四条 任】何机构和个人不得】。。违规开展《证券期货业信息【系统认?证、检测、》风险评?估等活动不得违规发!布,证券期?货业:信,息安全漏洞》、计:算机病毒、网络攻击!、网络侵入等信息
!
,第二十五条 核心】机构和经营机—构应:当建立信息发—布审核机制加强对】本机构和本机构【运,。营,平台:发布信息的管理发现!违反法律法》规和有关监管—规定的应当》。立即:停止发?布传输采取必—要的处置措施—防止:信息扩?。散积极?消除负面影响并及时!。向中国证《监会及?其派出?机,构报告
第二十六!条 核心机构应【当对:交易、行情》、,开户、结算》、风控、通》信等重要信》息,系,统具有?自主:开发能力掌握执【行,程序和?源代码并《安全可靠《存放
《 经营机【构应:当根据自身发展需要!加,强自主研发》能力建?设持续提升自—主可控能力
【 核心机构】和经营?机构应?当按照国家》及中国?证监会有《关要求开展信息技】术应用创新以及商】用密:码应用相关》工作
第二—十七条 中国证监会!可以委托相》。关机构建《设证券期货业备【份,数据中心开》展行业?数据的集中备份和管!理工作并采取—有效安全防护手段防!范数据损毁泄露风险!持续提升证》券期货业重大—。灾难应对能》力,
: 鼓励证【券,期货业关键信息基础!设施运营者及时向】证券期货《业备份数据中心【备份:数,据其他核心》机构和经营机构【可以结合经营需要】自主选择《证券期货业备份数】据中心开展数据级灾!难备份工作
第】二十八条 核心【机构和经《营机构应当按照知识!产权相关法律法【规制定知识产权【保,。。护策略和制度不侵犯!他人的知识产权【并,采取有效措施保护本!机构自?主知识产权
【
