安全验证
more
《 第二章 —网络和信息安全运】行, ? 第九条 核—心机构和《经营机构应当具有完!善的信息技》。术治理架《构健全网络和—信息安全管理制度】体系建立内部决【。策、管理、》执行和监督机制确】保网络和信息—安全管?理能力与业务—活动规模、复—。杂,程度相匹《配     【信息技术系统—服务机构应当建【立网络和信息安【全管理制度配—备相应的《安全、合规管—理人员建立与提【。供产品或者服务相】。适应的网络》和信息安《全管理机制》 :第十条 核》心机:构和经营机构应当】明确主?要负责人为本—机构网络和信息【安全工?作的第一责任人【分管网络《和,信息安全工作—的,领导班子成员—或者高级管》理人员为直接责任】人     【核心机?构和经营机》构应当?建立网络《和信息安全工—作协调和决策机制】保障第一责任—人和直?。接责任?人履行职责 — 第十一条》。 核心机构和—经营机构应》当,指定或?者设立网《络和信息安全工【作牵头?部门或者机构负【责管理重要信息【系统和相关》基础设施、制—定网络?安全应急预案、组织!应急:演练等工作 — 第十二条 核心机!构和经?营机构应当保障人员!和,资金:。投入与业务活动【规模、复杂程度相适!。。应确保网络》和信息安全人—员具备与履》行职责相匹》配的:专业:知,识和职业技能 】第十三条 核心【机构和经营机构【应当确保信》息系统和相》关基础设施具备合】理的:架构足够的性能【、容量、《。可靠性、扩》。展性和安全性—。并保证相关安全【技术措施与》信息化工作同步规划!、同步?建设、同步使用【 第?十四条 《核心:。机构和经营机构应当!落实网络安》。全等:级保护制度依法履】行,网络安全等级保【护,义务按照《国家:和证券期货》业网络安全》等,级保护相《。关要求开《展网络和《信息系统定级备【案、等?级测评和安全建设】。等,工作     核!心机构?。和经营机构应当【。按照相关要求—将网:络安全等级》保护工作开展情况】报送中国证监—会及其派出》机构 第十五【条 核心机构和经】。营机构新建》上线、运行变—更、下?线移除重要信—息系统的应当—充分评估技术和业】务,风险制定风险防【控,措施、应《急处置和回退—方,案并对相关结果进】行复核验证;可能】对证:券期货市场安—。全平稳运《行产生较大影响的应!当提前向中国证【监会及其派出—机构报告 — , ,。 , 核心机构和经营】机构不得在交易时段!对重要信《息系统进行变更重要!。信息系统《存在故障、缺—。陷经评估须进行紧急!修复的情形除外 】 第十?六条 核心机构【和,经,。营,机构:在重要信息》系,统上线、变更前应当!制定全面的测试【方案持续《完善:测,试用例和测》。试数据并保障测【试,的有效执《行     除】必须使用《敏感:数据的情形外—核心机构《和经营机构应当对测!试环:境涉及?的,敏感数?据,进行脱敏《对未脱敏数据须采】取与生产环境同等的!安全控?制措施?  ?  : 核心机构交易、】行情、开户、—结算、通《信等重?要信息系统上—线或者进行重大升级!变,更时应当《组织市场《相关主体进行—联网:测试 ?。 第十七条 核【心机构和《经营机构暂停—。或者终止《。借,助网络向投资者【提供:服务前应当履行告】知义务合理选取公】告,、,。定向通知《等方式告知投资者】相关业务《影响情况、替代方式!及应对措施 第】十八:条 核心机构和【经营机构应当建立健!全网络和《信息安全监测预警机!制设定监《测指标持续监测信】息系统?和相关基础》设施的运行状况及时!处置异常《情形对监测》。机制执行效果进行】定期评?估并持续《。优化:     核心机!构和经营机构应当】全面、?准确:记录并妥善》保存生产运营—过程中的业务日志】和系统日志确—保满:足故障分《析、内部控制、调查!取证等工作的—需要重要信息—。系统业务日志—应当保存《五,年以上?系统日志应当保【存六个月以上 第!十九条 核心—机构和经营》机构应当构建—网络和信息安全【防护体系综》合采取网络隔离【、用户认证、访【问控:制、策略管理、【数据:加密、网站防篡改】、病毒木马》防范、非《法入侵检测和—网络安全态》。势感知等《安全保障措施提升网!络,和信息?安全防护能力—及时识?别、:阻断相?关网络?攻击保护重要信息】系统和?相关基础《设施防范信息泄露与!损毁 第二—十条 核心机—。构和经营机构—。应当建立本》地、同?城和:异地数据备份—设施重要信息—系统应当每天至少】备份数据一次每季】度至少对数》据备份进行一次有】效性验证    ! 核心机构和—经营机?构,应当建立重要信息系!统的故障备》份设施和灾难—备份设施根据信息系!统,的,重要程度《和业务?影响情?况确定?恢复:目标保?证业务连续运行【灾难备?份设施?应当通?过,同城或者异》地灾难备份中心【的形式体现   !  核心《机,构,和经营机构采取双】活或者多活架构部】署重:要信:息系统的《在,确保业务连》续运:行的前提下任一【数据中心可视为其他!数据中心的灾难【备份设施《 第二十一条 核!心机:构和经营机构—应当每年《至少开展一次重要】信息:系统压力测试—;发:。现市场较大波动重要!信息:系统的性能容量可能!无法保障安》全平稳运行》的,应当及时对相—关信息系《统开展压力测试 】    《 核心机构和经【营机构应当依照有】关行业?标准根据系统技术】。特点和承载业务类】型制定压力测试方案!设定测试场景从系统!性,能、网络负载、灾】。备建设等方》面设置?。测试指标有序组织】测试工?。作测试完《。成后形成压力测试报!告存档备查并保【存五年以上 【    核心机构】。和经营机构重要信】息系统的性能—容量应?当在历史峰值的【两倍以上核心机构交!易时段相关网络近一!年使用峰值应当在】当前带宽的百分之】五十以下经营机构交!易时段相关》网络近一年使用峰值!应当在当前带—宽的百分之》八十以下《 第二十》二条 核心》机构和经营机构应当!建立:健全供应《商管理机《。制明确信《息技术产品和服务准!入标准审慎采购并持!续评估相关产—品,。和服:务的质?量及时改进风险管】理措施健全应急【处置机制确保重要信!息系统运行安全可控!  ?   核心机构和经!营机构应《当与供应商》签,。订合:同及保密协议明确约!定各:方保障网络》和信息安全的权利】。和义:务;在使用供应商】提供产品或者—服务时引发网络安全!事件的相《关供应商有义务配合!中国证监会》及其:派出机构《。查明网?络安全事件原因【认定网络《。安全事件责任 【 第二十三条 供应!商为核心机构—和经营机构》。提供重要信息系【。统相关产品或—者服:务的应当《依,。法作为信息技术【系,统服:务机构向《中国证监会备案【     核心机!。构和经营机构应当】督促相关《信息:技术系统《服务:机构依法履行备案】义务 第二十四】条 :任何机构和个—人不得违《规开:展证券期货业—信息系统认证、【检,测,、风险?评估等?活动不?得违规发布证券【期货业信《息,安全漏洞、计算机病!毒、网络攻击—、网络侵入等—信,息 第二十五条】 核心机《构和:经营机?。。构应:当建立信《息发布审核机—制加强对本》机构和本机》构运营平《台发布信《息的管?理发现违反法律【法,规和有关《监管规?定,的应当立即停止发布!传输采取必要的处】置措施?防止信息扩散积极消!除负面影响》并及时向中国证【监会及其派出机构报!。。告 第《二十六条 核心机构!应当对交易、行情、!开户、结算、风控】、通信等重要—信息:系统具有《自主开?发能力掌握执—行程序和源代码并】安全可靠存放—   《  经营机构应当根!据,自,身发展需要》加强自主研》发能力建设持续提】升自主可控能力 】。     核心机构!和经:营机构应当按—照国家及中国—证监会有《关要求开展信息【技术:应用创新《以及商用《密码应用相关—工作 第二—。。十七:。条 中国证监会【可以委托相关—机构建设证券期【货业备份数据中心】开,展行业数据的集中】备份和?管理工作并》采取有效安》全防护手段防范【数据损毁泄露风【险持续提升证券期货!业重大灾难应—对能:力 ?    鼓励证券期!货业关键信息基础设!。施运营者及时向证券!。期,货业:备份数?据中心?备份数据其他核心】机构和经营机构可以!。结合经营需要自主】选择证券期货业备份!数据:中心开展数》据级灾难《备份工作 第【二,十八条? 核心机构和经营机!构应当按照知识产】权相关法律法规制定!知识产权保护—策略:和制度不侵犯—他人的知识产权【并,采取有效措施保护】本机构自主知—识产权 》