。。
第二章!。 网络和信息安【全运行
《
第九条 核】心机构和经营机【构应:。当具有?完善的信息技—术治理架《构健全网络和—信息安全管理制度体!。系建:立内部决策、管理】、执行和监督—机制确保网络和信息!安全管理《能力与业务活动【规模、?。复,杂程:度相匹配
【 信息技术系】统服务机《构应当?建立网络和》信息安全管理制度】。配备相应《的,安全、合规管理人员!建立与?提供产品或》者服:务相适应的网络和信!息安全管理机制
!第十条 《核,心机构和经营机【构应当明确主要负】责人:为本机构网络和信息!安全工作的第一责】任人:分管网络《和信息安全工作的】领导班子成员或【者高级管理》人员为直接责任人
!
核—心机构?和经营机构应—当建立网络和信息】安全工作协调和决策!机制保障第》一责任人和直—。接责任?人履行职责
第十!一条 核心》机构和经《营机构应当》指定或者设立网络和!信息安全《。工作牵头部门—或者机构负责管【理重要信息系—统和相关基础—。设施、制定网络安全!应急预案、》组织应急演》练等:工作
第十二条 !核心机?构和经营机构应当】保障人员和》。资金投入与》业务活动规模、复】杂程度?。相适应确保网络【和信息安全人员【具备:与履行职责》相匹配的专业—知识和职业技能【
:第十三条 核心机构!和,经营:机构:应当确?保信息系统和—。相关基础《设施:具备合理的架构【。。足够的性能、容量】、可靠性、扩展性和!安全性并保证相【关安全技术措施与】。信息化工作同—步规划、同步建设、!同,步使用
第十四】条 核心《机构和?经营机?构应当落实网络【安,全等级保护》制,度依法履行网—络安全等级保护义】务,。按照国家和证券期货!业网络?安,全等级保护相关【要求开?展网络?和信息系统定级备】案、等?级测:评和安全《建设等?工作:
《 核心机构和【经营机构《应,。当按照相关要求将网!络,安全等级保护工作】开展情况报送—中国证监会》及其派出《机构
《第十五条 核心机】构和经营机构新建】上线、运行》变,更,、下线移除重要信】息系统的应当充【分评估技《术和业务风险—。制,定风险防《控措施、应急处【置和回退方案并对相!关结果进行》复核验证;可能【对证券期货市场安】全平稳运行产—生较大影响的应当】提前向?。。中国证监会及其派出!机构报告
! 核心机构和经【营机构?。不得在交易时段【对重要信息系—统进行?变更重?要信息?系统存在故障、缺陷!经评估须进行—紧急修复的情形除外!
第十《六条 核心机构和】经营机构在重—要信:息系统上《线、变更前应—当制定全面的测试方!案持续完善测—试用例和《测试数据并保—障测试的有效执行
!
《 ,除必须使《用敏感数《。。据的情形外核—。心机构?和经营机构应当【对测试环境涉及的敏!感数据进行脱—敏对未脱《敏数据须采取与【生产环境同等的【。安全控制措施
【
? 核心机构—交易、行情、开【户、结算、》。通信等重要信息系统!。上线或者进行重大升!级,变更时应《当组织市《场相关主体进—行,联网测试《
第十七》条 核?心机构和经营机【构暂停或者终止借助!网络向投资者提供服!务前:应当:履行:告知义?务合理选取公告【、定向通知等方式】告知投?资者:相关业务影》响情:况,、替代方《式及应对措施—
第十八条— ,核心机?构和经营机构应【当建立健全网络和】信息安全《监测预?警机:制设定监《测指标持续》监测信息系统和相】关基础设施的—运,行状况?及时:处置:异常情形《对监:测机制执行效果【进行定期评估并持】续优化
】 核心机构和经营】机构应当全》。面、:。准确记录并妥—善保存生产运营【过程中的业务—日志和系统》日志确保满足故【障分析、内部控制、!调查取证等工作的需!要重要信息系统【。业务日志应当保存五!年,以上系统日志应【当保存六《个月:以上
第》十九条 核心机【构和经营机构应当】构建网络和信息【安全防护《体系综合采取网【络隔离、用》户认证、《。访问控制、策略管理!、,数据加密、网站防篡!改、病毒《木马防范、》非法入侵检测和网】络安全态势感知等】安全保障措施—提升网?络和信息《安全防护能力及时】识别、阻断相关【网络攻击保》护重要信息》系统和相关基础设】施防范信息泄露【与损毁
第二十条! 核心机构和—经营机构《应当建?立本:地,、同城和异地—数据备份设施重要】信息系统应》当每:天,。至少备份数据一【次每季度至》少对数据备》份进行一《次,有效性验证
—
核—心机构和《经营机构应当建【立重要信息》系统的故《障备份设施和灾难备!份,设施根?据信息系统的重要】程度:和业务影响情—况确定恢《复目标保证业务连续!运,行灾难备份设施应当!通过同城或者异地灾!难备份中《心,的,形,式体现
】 核心机构和经营】机构采取《。双活或者多活架构】部署:重要信息系统的【在确保业务连续运】行的前提下任一数】据中心可视为其【他数据中心的灾难备!份设施?
第二十一—条 核心机构和经】营机构应当每年至】少开展一《。次重要?信息:系统压力《测,试;发现市场较大波!动重要?信息系?统的:。性能:容量可能无法保障安!。全平稳运行的应当】及,时对相?关信息?。系统开展压力测试】
核心】机构和经营机构应当!依照有关行业标【准根据系统技—术,特点:和承载?业务类型《。制定:压力测?试方案设定测试场】景,从系统?性能、网《络负载、灾备建设等!方,面设置测试指标有序!组织测试工作—。测试完成后形成压】力测试报告》。存档备查并保存五】年以上
】。 核心机构和经【营机构重要信息【。系统的性能容—量应当在历》史峰值的两倍以上核!心机构交易》。时段相关网络近一年!使用峰值应》当在:当前带宽的百—。分之:五十以下经营机【构交易时《段相:关,网络近一年使用峰】值,应,当在当前带宽—的百分之八十—以下
第二十二条! 核心机构和经营机!构应当建《立健全供应商管【理机制明确信息技术!产品和服务准入标准!审慎采?购并持续评估相关】产品和服务的质量】及时改进风险管【理,措施健全《应急处置机制—确保重要《信息系统《运行安全可控—
? :。 核心?机构和经营机构应当!与供应商签订—合同及保《密协议明确约定各】方保障网《络和:信息安全《的权:利和义务;在使用供!应商提供产品或者服!务时引发网络安【全事件的相关供应】商,。。有义务配合中—国,证监:会及其派出机—。构查明网络安—全事件原因认—定网络安《全事件责任
第】二十三条 供应商为!核心机构和经营机】构,提供重要信息系统相!关产品或者服务【的应当依《法作为信息》技术系统服务机构】。向中:国证监会备案
【
: 核心》机构和经营机—构应当?督促相关信息—技术系统服》。务机构依法履行备】案义务
第二十】。四条: 任:何机构和个》人不得?违规开展证券期货】业信息系统》认,证、检测、风—。险评估等活动不【得违:规,发布证券期》货业信息安全漏洞】、计算机病》毒,、网络攻《击、网络侵》入等信息
》
第二十《五条 核心机构和】经营机构应当建【立信息发布审核机】制加强?对本机构和本机【。构运营平《台发布信息的管理发!现违反法律法规和有!关监管规《定的应当立》即停止发布传输【采取必要的》处置措施防止信息】扩散积极消除—负面影响并及—时向中国证监—会及其派出》机构报告
第二】十六条 核心机构】应当对交《易、:。行情、开户》、结算、风》控,。、通信等重要信息】系统具有自主开【发能力掌握》。执行程序和》源代码?并安全可《靠,存放
》 ?经,营机构应当根—据自身发展需要加】。强,自主研发能力—建设持续提》升,自主可控《能力
— 核心机构—和,经营机构应当按照国!家及中国《证监会有关要求开】展信息技术应—用创新以及商用【。密码应用相关—工作
第二—十七条? 中国证监会可以】委托相关机构—。建设证券期货—业备:份数据?中心开展《行业数据的集中备份!和管理工《作,并采取有效安—全,防护:手段防范《数据损毁泄露风险持!。续提升证券期货【业重:大灾难应对》能力
《 ?。 鼓励证《券期货?业关键信息基—础设施运营者及【。时向:证券期货业备份数】据中心备份》数据其?他核心机《构和经营机构可以】。结合经?营需要自主选择证券!期货业备份数据中】心开展数《据级灾难备份工作
!
第二?十,八条: 核心机构和经营机!构应当按《。。照知识产权相—。关法律法规制定知】识产权保护策—。略和制度不侵犯他】人,的知:识产权并采取有效措!施保护本机构自【主,知识产权
—
