證券公司信息關(guān)鍵技術(shù)管理詳細(xì)規(guī)定草案

證券企業(yè)信息技術(shù)管理要求（草案V1.72）第一章總則【立法目標(biāo)和依據(jù)】為保障證券企業(yè)信息系統(tǒng)安全運行，加強證券企業(yè)信息安全管理，防范和化解信息技術(shù)風(fēng)險，提升行業(yè)信息安全水平，支持證券業(yè)務(wù)發(fā)展，依據(jù)《中國證券法》、《證券企業(yè)監(jiān)督管理條例》、《證券期貨業(yè)信息安全保障管理措施》（已公開征求意見）等相關(guān)法律法規(guī)制訂本要求。【適用范圍】本要求適適用于在中國境內(nèi)依法設(shè)置證券企業(yè)?！矩?zé)任主體及標(biāo)準(zhǔn)】證券企業(yè)是信息技術(shù)管理工作責(zé)任主體，對本機(jī)構(gòu)信息系統(tǒng)安全運行負(fù)擔(dān)責(zé)任，實施“誰運行、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”標(biāo)準(zhǔn)?！緯C(jī)關(guān)監(jiān)管職責(zé)】中國證監(jiān)會負(fù)責(zé)制訂、修訂證券企業(yè)信息技術(shù)相關(guān)法規(guī)，牽頭對證券企業(yè)信息技術(shù)相關(guān)新應(yīng)用、新情況、新問題進(jìn)行研究，并牽頭對行業(yè)發(fā)生重大安全事件進(jìn)行調(diào)查處理。【證監(jiān)局監(jiān)管職責(zé)】證監(jiān)局負(fù)責(zé)轄區(qū)證券企業(yè)信息系統(tǒng)監(jiān)管，證券企業(yè)分支機(jī)構(gòu)信息系統(tǒng)由分支機(jī)構(gòu)所在地證監(jiān)局負(fù)責(zé)監(jiān)管。證券企業(yè)分支機(jī)構(gòu)所在地和證券企業(yè)住所地證監(jiān)局之間應(yīng)建立有效信息溝通和監(jiān)管協(xié)作機(jī)制，有效防范、化解和處理分支機(jī)構(gòu)信息技術(shù)風(fēng)險、重大異常情況和突發(fā)事件，協(xié)調(diào)配合做好相關(guān)分支機(jī)構(gòu)信息技術(shù)檢驗、信息安全事件處理等事項。【信息技術(shù)定義】本要求中證券企業(yè)信息技術(shù)（英文：InformationTechnology，簡稱IT）是指證券企業(yè)在核準(zhǔn)業(yè)務(wù)范圍內(nèi)，管理和處理業(yè)務(wù)活動期間產(chǎn)生賬戶、交易、清算、財務(wù)、服務(wù)等方面信息所采取多種計算機(jī)、通信、軟件工程等技術(shù)統(tǒng)稱。第二章信息技術(shù)治理【信息技術(shù)治理】信息技術(shù)治理是指證券企業(yè)在利用信息技術(shù)過程中，制訂相關(guān)信息技術(shù)決議權(quán)分配和責(zé)任負(fù)擔(dān)框架?！矩?zé)任分工】證券企業(yè)法定代表人對證券企業(yè)信息安全及信息技術(shù)管理負(fù)最終責(zé)任，證券企業(yè)章程應(yīng)明確以下事項：（一）證券企業(yè)信息技術(shù)管理組織架構(gòu)和決議機(jī)構(gòu)；（二）證券企業(yè)董事長、總經(jīng)理、分管信息技術(shù)高級管理人員、信息技術(shù)管理部門責(zé)任人在信息技術(shù)管理工作中職責(zé)分工?！緵Q議機(jī)構(gòu)】證券企業(yè)應(yīng)成立信息技術(shù)委員會或指定專門機(jī)構(gòu)（如總經(jīng)理辦公會）負(fù)責(zé)企業(yè)信息技術(shù)計劃、年度信息技術(shù)工作計劃和預(yù)算、重大信息系統(tǒng)項目立項和上線等關(guān)鍵事項審議工作。信息技術(shù)委員會或指定專門機(jī)構(gòu)應(yīng)由企業(yè)總經(jīng)理、分管信息技術(shù)高管、分管財務(wù)、風(fēng)控部門高管、合規(guī)總監(jiān)、信息技術(shù)管理部門責(zé)任人及相關(guān)部門責(zé)任人等組成，企業(yè)可聘用外部專業(yè)人士擔(dān)任信息技術(shù)委員會或指定專門機(jī)構(gòu)委員或顧問。【分管高管】證券企業(yè)應(yīng)指定高級管理人員或設(shè)置信息技術(shù)總監(jiān)分管企業(yè)信息技術(shù)管理工作，信息技術(shù)總監(jiān)為證券企業(yè)高級管理人員。分管信息技術(shù)管理工作高級管理人員應(yīng)含有信息技術(shù)專業(yè)知識，并含有5年以上從事金融業(yè)信息技術(shù)管理或信息技術(shù)監(jiān)管工作經(jīng)驗。信息技術(shù)總監(jiān)應(yīng)含有證券企業(yè)高級管理人員任職資格，含有計算機(jī)相關(guān)專業(yè)大學(xué)本科以上學(xué)歷，和8年以上從事金融業(yè)信息技術(shù)管理或信息技術(shù)監(jiān)管工作經(jīng)驗。分管信息技術(shù)管理工作高級管理人員或信息技術(shù)總監(jiān)不得同時兼任或分管企業(yè)財務(wù)、審計及和其職責(zé)相沖突職務(wù)或部門?！綢T部門職責(zé)】證券企業(yè)應(yīng)設(shè)置信息技術(shù)管理部門，對證券企業(yè)總部、分支機(jī)構(gòu)信息技術(shù)計劃、項目建設(shè)、系統(tǒng)運行維護(hù)、信息安全、應(yīng)急演練及應(yīng)急處理等工作進(jìn)行集中、統(tǒng)一管理。證券企業(yè)信息技術(shù)管理部門應(yīng)指導(dǎo)并參與審定境內(nèi)控股子企業(yè)信息技術(shù)計劃、重大項目建設(shè)方案?！綢T計劃】證券企業(yè)應(yīng)結(jié)合企業(yè)發(fā)展戰(zhàn)略、經(jīng)營方針等制訂信息技術(shù)計劃，經(jīng)信息技術(shù)委員會或指定專門機(jī)構(gòu)審議，并報董事會同意后實施。信息技術(shù)計劃應(yīng)遵照和企業(yè)發(fā)展相適應(yīng)標(biāo)準(zhǔn)，定時進(jìn)行更新。【制度建設(shè)】證券企業(yè)應(yīng)制訂信息技術(shù)管理制度和操作步驟。包含內(nèi)容包含但不限于：項目立項及管理、開發(fā)測試、升級變更、系統(tǒng)運維、數(shù)據(jù)管理、信息安全、權(quán)限分配、應(yīng)急處理、信息安全事件調(diào)查處理等方面。證券企業(yè)信息技術(shù)管理制度和操作步驟應(yīng)符合國家、監(jiān)管部門和自律組織相關(guān)要求，并依據(jù)實際情況立即修訂?！竞弦?guī)和風(fēng)控】證券企業(yè)應(yīng)將合規(guī)管理及風(fēng)險控制要求貫穿在信息技術(shù)管理工作各個步驟。證券企業(yè)合規(guī)管理部門應(yīng)對企業(yè)信息技術(shù)管理制度和操作步驟合規(guī)性把關(guān)并監(jiān)督實施，對信息技術(shù)管理重大決議和關(guān)鍵活動進(jìn)行合規(guī)性審查，對信息技術(shù)管理合規(guī)情況和其有效性進(jìn)行監(jiān)測和檢驗，立即發(fā)覺、查處、匯報違法違規(guī)行為。證券企業(yè)風(fēng)險控制部門應(yīng)對信息系統(tǒng)重大變更、信息安全重大決議、信息安全事故處理等進(jìn)行事前、事中、事后風(fēng)險評定和監(jiān)督控制，防范信息技術(shù)重大風(fēng)險。證券企業(yè)可為合規(guī)管理及風(fēng)險控制部門配置熟悉證券業(yè)務(wù)并含有計算機(jī)相關(guān)專業(yè)學(xué)歷工作人員?！緦徲嫻芾怼孔C券企業(yè)應(yīng)指定企業(yè)內(nèi)部審計部門或委托外部審計機(jī)構(gòu)，定時對企業(yè)及分支機(jī)構(gòu)信息技術(shù)管理工作進(jìn)行審計，企業(yè)總部接收信息技術(shù)審計頻率不低于每十二個月一次?！綢T投入】證券企業(yè)信息技術(shù)投入應(yīng)符合監(jiān)管部門及自律組織相關(guān)要求?！韭殕T培訓(xùn)】證券企業(yè)應(yīng)對業(yè)務(wù)人員進(jìn)行相關(guān)業(yè)務(wù)信息系統(tǒng)使用和信息安全培訓(xùn)，業(yè)務(wù)人員每十二個月參與培訓(xùn)時間不少于6課時。第三章信息技術(shù)人員管理【人員要求】證券企業(yè)信息技術(shù)管理部門責(zé)任人應(yīng)含有計算機(jī)相關(guān)專業(yè)大專以上學(xué)歷或含有8年以上從事證券企業(yè)信息技術(shù)管理工作經(jīng)驗。證券企業(yè)從事信息技術(shù)管理工作人員數(shù)量應(yīng)符合監(jiān)管部門及自律組織相關(guān)要求?！救藛T培訓(xùn)】證券企業(yè)應(yīng)定時組織信息技術(shù)管理人員參與職業(yè)操守、合規(guī)和相關(guān)專業(yè)技術(shù)能力培訓(xùn)，每十二個月參與培訓(xùn)時間應(yīng)不少于12課時。【崗位備份】證券企業(yè)集中交易系統(tǒng)管理、數(shù)據(jù)庫管理、網(wǎng)絡(luò)管理、安全管理等關(guān)鍵技術(shù)崗位應(yīng)實施雙人雙崗?！緧徫环蛛x】證券企業(yè)從事業(yè)務(wù)及管理信息系統(tǒng)開發(fā)、運行維護(hù)人員不得從事該項業(yè)務(wù)具體操作?！救藛T流動】證券企業(yè)應(yīng)建立信息技術(shù)管理人員任職和離職管理制度，證券企業(yè)應(yīng)和信息技術(shù)管理關(guān)鍵崗位及任職期間包含敏感數(shù)據(jù)信息技術(shù)人員簽署保密協(xié)議。第四章基礎(chǔ)設(shè)施和信息系統(tǒng)基礎(chǔ)要求【基礎(chǔ)要求】證券企業(yè)關(guān)鍵信息系統(tǒng)機(jī)房建設(shè)、機(jī)房環(huán)境、供電系統(tǒng)應(yīng)達(dá)成《證券期貨業(yè)信息系統(tǒng)災(zāi)難備份能力標(biāo)準(zhǔn)》相關(guān)要求，并符合監(jiān)管部門及自律組織相關(guān)要求。證券企業(yè)信息技術(shù)基礎(chǔ)設(shè)施能夠采取自建、租賃或外包形式建立，證券企業(yè)采取租賃或外包基礎(chǔ)設(shè)施時，除滿足前款所述條件外，還應(yīng)滿足證券企業(yè)業(yè)務(wù)發(fā)展和管理需要，和證券企業(yè)開展內(nèi)、外部審計、監(jiān)管部門及自律組織進(jìn)行現(xiàn)場檢驗需要?！静际鹞恢谩孔C券企業(yè)用戶、交易、清算、財務(wù)、合規(guī)管理、風(fēng)險控制等關(guān)鍵數(shù)據(jù)信息和管理這些信息信息系統(tǒng)應(yīng)存放并布署在中國境內(nèi)?！咎幚砟芰Α孔C券企業(yè)關(guān)鍵信息系統(tǒng)處理能力應(yīng)滿足證券企業(yè)業(yè)務(wù)、管理活動正常運行需要。【網(wǎng)絡(luò)通信】證券企業(yè)網(wǎng)絡(luò)通信系統(tǒng)應(yīng)滿足業(yè)務(wù)開展及信息安全需要，應(yīng)符合國家及行業(yè)相關(guān)標(biāo)準(zhǔn)及要求。證券企業(yè)和證券交易所、中國證券登記結(jié)算企業(yè)通信連接應(yīng)建立備份線路，證券企業(yè)和分支機(jī)構(gòu)之間應(yīng)建立不一樣運行商、不一樣介質(zhì)通信通道。【數(shù)據(jù)管理】證券企業(yè)應(yīng)建立數(shù)據(jù)管理制度，包含不限于分級管理、訪問控制、數(shù)據(jù)安全、數(shù)據(jù)備份等內(nèi)容，并充足利用成熟安全技術(shù)確保數(shù)據(jù)保密性、完整性、可用性和可控性。前款所述數(shù)據(jù)是指證券企業(yè)在經(jīng)營和管理中產(chǎn)生信息資源，關(guān)鍵包含業(yè)務(wù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)和管理數(shù)據(jù)等。【備份能力】證券企業(yè)應(yīng)建立關(guān)鍵信息業(yè)務(wù)數(shù)據(jù)及關(guān)鍵信息系統(tǒng)備份制度，明確備份范圍、頻率、方法、責(zé)任人、存放地點、有效性檢驗等內(nèi)容，并符合國家及行業(yè)相關(guān)標(biāo)準(zhǔn)及要求?！颈O(jiān)控報警】證券企業(yè)應(yīng)使用能夠連續(xù)監(jiān)控信息系統(tǒng)性能及運行狀態(tài)，并能夠立即、完整匯報異常情況監(jiān)控報警系統(tǒng)，證券企業(yè)應(yīng)建立有效機(jī)制對監(jiān)控報警信息進(jìn)行逐日跟蹤和運行評定?！绢A(yù)留監(jiān)管接口】證券企業(yè)信息系統(tǒng)應(yīng)含有可審計功效，并按要求為監(jiān)管部門留有接口及查詢權(quán)限。第五章信息系統(tǒng)開發(fā)和運維管理【需求管理】證券企業(yè)應(yīng)建立并連續(xù)完善用戶需求管理制度及工作步驟，包含但不限于需求提出、分析、評審、變更、跟蹤、用戶確定等步驟。證券企業(yè)應(yīng)組織信息技術(shù)管理部門和相關(guān)部門共同對包含證券企業(yè)關(guān)鍵信息系統(tǒng)需求進(jìn)行確定?！鞠到y(tǒng)開發(fā)】證券企業(yè)應(yīng)對信息系統(tǒng)項目立項、招標(biāo)、評標(biāo)、開發(fā)、驗收、運行和維護(hù)整個過程實施有效管理，嚴(yán)格劃分信息系統(tǒng)開發(fā)、管理和使用職責(zé)，防范利益沖突。證券企業(yè)應(yīng)含有一定自主開發(fā)能力，加強關(guān)鍵技術(shù)掌控能力建設(shè)，防范系統(tǒng)開發(fā)外包風(fēng)險，滿足企業(yè)發(fā)展需要?！緶y試管理】信息系統(tǒng)上線或變更上線前，應(yīng)經(jīng)過證券企業(yè)信息技術(shù)管理部門及使用部門聯(lián)合測試，使用部門應(yīng)提供具體完整測試方案及預(yù)期測試結(jié)果，信息技術(shù)管理部門及使用部門應(yīng)共同對測試結(jié)果進(jìn)行統(tǒng)計、評定和確定。【上線及變更管理】證券企業(yè)應(yīng)建立信息系統(tǒng)上線、系統(tǒng)變更管理相關(guān)制度和工作步驟，包含但不限于上線（變更）需求、測試內(nèi)容、結(jié)果確定、系統(tǒng)回歸測試、操作步驟、應(yīng)急預(yù)案及回退方案等方面內(nèi)容。證券企業(yè)應(yīng)在關(guān)鍵信息系統(tǒng)上線或發(fā)生重大變更之前制訂專題實施方案、應(yīng)急預(yù)案和回退方案。信息技術(shù)管理部門及使用部門應(yīng)對變更操作進(jìn)行事前審查，并統(tǒng)計變更實施過程。實施變更操作人員應(yīng)嚴(yán)格根據(jù)制度及步驟實施，不得私自刪除、修改系統(tǒng)軟件或改變系統(tǒng)配置。證券企業(yè)應(yīng)在變更實施完成后，對變更結(jié)果進(jìn)行跟蹤和確定?！救萘抗芾怼孔C券企業(yè)應(yīng)建立符合證券市場及證券企業(yè)業(yè)務(wù)發(fā)展需要和和市場關(guān)鍵機(jī)構(gòu)容量相適應(yīng)系統(tǒng)容量計劃和容量評定機(jī)制，容量計劃范圍應(yīng)包含生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān)軟、硬件設(shè)備，容量評定應(yīng)定時進(jìn)行，立即處理系統(tǒng)容量瓶頸。【運維管理】證券企業(yè)應(yīng)加強信息系統(tǒng)運行和維護(hù)，按攝影關(guān)工作制度、步驟和操作指南要求，立即跟蹤、發(fā)覺和處理系統(tǒng)運行中存在問題，確保信息系統(tǒng)根據(jù)要求程序、制度和操作規(guī)范連續(xù)穩(wěn)定運行。證券企業(yè)應(yīng)在日常運維管理基礎(chǔ)上，定時對系統(tǒng)進(jìn)行專題檢驗和維護(hù)?！就赓徬到y(tǒng)管理】證券企業(yè)關(guān)鍵信息系統(tǒng)軟件選擇和管理應(yīng)充足考慮安全性、可靠性、穩(wěn)定性和健壯性，使用符合安全要求正版軟件。證券企業(yè)使用操作系統(tǒng)軟件應(yīng)關(guān)閉無須要服務(wù)和端口，在充足測試前提下，立即安裝操作系統(tǒng)補丁程序?！臼鹿使芾怼孔C券企業(yè)應(yīng)建立信息安全事故管理制度和工作步驟，包含但不限于事故描述、類型、等級、影響、原因分析、處理方法及防范方法等方面內(nèi)容。證券企業(yè)發(fā)生信息安全事件后，應(yīng)立即對事故進(jìn)行處理、統(tǒng)計和匯報，事后應(yīng)對事故進(jìn)行總結(jié)?！救罩玖艉邸孔C券企業(yè)應(yīng)加強關(guān)鍵信息系統(tǒng)及關(guān)鍵設(shè)備日志管理，設(shè)置必需日志統(tǒng)計模塊并建立定時分析日志工作機(jī)制。其中，證券企業(yè)集中交易及網(wǎng)上交易系統(tǒng)日志應(yīng)統(tǒng)計服務(wù)請求方身份信息。日志應(yīng)該能夠滿足各類內(nèi)部和外部審計需要，關(guān)鍵信息系統(tǒng)日志應(yīng)保留1年以上?！就獍?wù)】證券企業(yè)在確保系統(tǒng)安全、風(fēng)險可控前提下，可選擇行業(yè)軟硬件產(chǎn)品或技術(shù)服務(wù)供給商（以下簡稱“供給商”）提供產(chǎn)品或服務(wù)。應(yīng)該確保選擇軟硬件產(chǎn)品和技術(shù)服務(wù)符合國家及證券期貨業(yè)信息安全相關(guān)技術(shù)管理要求和標(biāo)準(zhǔn)。供給商關(guān)鍵包含為證券企業(yè)提供軟硬件產(chǎn)品或信息技術(shù)服務(wù)信息系統(tǒng)集成商、硬件供給商、軟件供給商、系統(tǒng)開發(fā)商、運行服務(wù)商及相關(guān)代理商等?！竟┙o商選擇】證券企業(yè)選擇供給商應(yīng)符合監(jiān)管部門資質(zhì)要求，并建立完善供給商選擇標(biāo)準(zhǔn)及業(yè)務(wù)步驟，充足評定供給商財務(wù)穩(wěn)定性、管理步驟、專業(yè)經(jīng)驗等相關(guān)風(fēng)險，明確雙方權(quán)利義務(wù)?！緟f(xié)議管理】證券企業(yè)和供給商簽署協(xié)議應(yīng)符合監(jiān)管部門及自律組織相關(guān)要求，明確雙方權(quán)利、義務(wù)及責(zé)任。協(xié)議內(nèi)容應(yīng)包含但不限于：（一）在產(chǎn)品開發(fā)和上線期間，供給商應(yīng)提供完整系統(tǒng)設(shè)計方案，定時提供開發(fā)和上線進(jìn)度計劃、測試結(jié)果等文檔，并對其提供產(chǎn)品或服務(wù)在測試及使用過程中問題立即進(jìn)行跟蹤和修復(fù)；（二）在產(chǎn)品正常使用期間，供給商應(yīng)該負(fù)擔(dān)技術(shù)支持、定時維護(hù)、系統(tǒng)健康檢驗及產(chǎn)品使用培訓(xùn)責(zé)任；（三）因產(chǎn)品或服務(wù)原因造成證券企業(yè)發(fā)生信息安全事件等情況時，供給商應(yīng)負(fù)擔(dān)違約及賠償責(zé)任；（四）相關(guān)用戶資料等敏感信息保密約定。【供給商管理】證券企業(yè)應(yīng)對供給商提供產(chǎn)品或服務(wù)進(jìn)行測試驗收，并對其提供產(chǎn)品或服務(wù)實施全方面質(zhì)量控制管理。證券企業(yè)應(yīng)建立定時評定機(jī)制和應(yīng)急方法，有效應(yīng)對供給商在服務(wù)中可能出現(xiàn)重大缺失。重大缺失包含但不限于供給商重大資源損失、重大財務(wù)損失、關(guān)鍵人員變動，和協(xié)議意外終止等。第六章業(yè)務(wù)連續(xù)性管理【業(yè)務(wù)連續(xù)性計劃內(nèi)容】證券企業(yè)應(yīng)依據(jù)本身業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度制訂合適業(yè)務(wù)連續(xù)性計劃（BusinessContinuityPlanning,縮寫為BCP），以確保在出現(xiàn)無法預(yù)見系統(tǒng)故障時，將故障對業(yè)務(wù)影響降低到最小。業(yè)務(wù)連續(xù)性計劃內(nèi)容應(yīng)包含但不限于：備份數(shù)據(jù)恢復(fù)機(jī)制、備份信息系統(tǒng)恢復(fù)機(jī)制、替換交易方法、應(yīng)急聯(lián)絡(luò)方法、和相關(guān)單位通報機(jī)制、向監(jiān)管部門匯報機(jī)制、業(yè)務(wù)連續(xù)性計劃披露和更新機(jī)制等。業(yè)務(wù)連續(xù)性計劃考慮情形應(yīng)包含不限于：因自然災(zāi)難等原因造成機(jī)房不可用、機(jī)房電力中止；網(wǎng)絡(luò)、通信中止或擁堵至不可用；關(guān)鍵業(yè)務(wù)信息系統(tǒng)軟件、硬件故障；關(guān)鍵業(yè)務(wù)信息數(shù)據(jù)損毀或遭到破壞等?！緲I(yè)務(wù)連續(xù)性管理】證券企業(yè)應(yīng)指定關(guān)鍵責(zé)任人為業(yè)務(wù)連續(xù)性計劃第一責(zé)任人，負(fù)責(zé)審批、實施、更新業(yè)務(wù)連續(xù)性計劃。證券企業(yè)信息技術(shù)委員會或其它專門機(jī)構(gòu)負(fù)責(zé)對業(yè)務(wù)連續(xù)性計劃進(jìn)行審議。證券企業(yè)應(yīng)依據(jù)業(yè)務(wù)結(jié)構(gòu)改變、系統(tǒng)升級變更等原因立即更新業(yè)務(wù)連續(xù)性計劃，并組織業(yè)務(wù)連續(xù)性計劃所包含關(guān)鍵崗位及人員定時演練。演練頻率不低于每十二個月1次，演練后應(yīng)形成演練匯報，演練統(tǒng)計應(yīng)最少保留2年?！緲I(yè)務(wù)連續(xù)性計劃披露】證券企業(yè)應(yīng)在證券企業(yè)開戶協(xié)議、證券企業(yè)網(wǎng)站等渠道向用戶提醒業(yè)務(wù)連續(xù)性計劃中所包含重大突發(fā)事件可能性，和事件發(fā)生時證券企業(yè)應(yīng)對方法、用戶可采取替換方法等信息。【事件響應(yīng)】證券企業(yè)發(fā)生信息安全事件后，應(yīng)立即開啟應(yīng)急預(yù)案，做好相關(guān)事件應(yīng)急處理工作，并根據(jù)要求立即向監(jiān)管部門匯報?！臼鹿收{(diào)查和匯報】證券企業(yè)或分支機(jī)構(gòu)發(fā)生信息安全事件后，證券企業(yè)應(yīng)根據(jù)監(jiān)管部門及自律組織公布信息安全事故認(rèn)定標(biāo)準(zhǔn)進(jìn)行評定認(rèn)定。對于屬于信息安全事故信息安全事件，證券企業(yè)應(yīng)成立由合規(guī)部門、內(nèi)部審計部門及信息技術(shù)管理部門組成聯(lián)合調(diào)查小組開展調(diào)查處理工作，并于調(diào)查完成后10個工作日內(nèi)將事故經(jīng)過、原因、等級、影響、責(zé)任認(rèn)定和后續(xù)處理方法等情況以書面形式匯報證券企業(yè)或分支機(jī)構(gòu)住所地證監(jiān)局?！矩?zé)任認(rèn)定】因信息技術(shù)管理制度不健全、違反信息技術(shù)管理制度及操作步驟、操作失誤、應(yīng)急處理不妥等原因造成信息安全事故屬于信息安全責(zé)任事故。證券企業(yè)應(yīng)依據(jù)《證券企業(yè)信息安全事件調(diào)查處理措施》（擬公布）相關(guān)要求對信息安全責(zé)任事故進(jìn)行內(nèi)部責(zé)任追究，并在采取內(nèi)部責(zé)任追究方法10個工作日內(nèi)將相關(guān)情況匯報證券企業(yè)住所地證監(jiān)局。【事后整改】證券企業(yè)應(yīng)依據(jù)事故調(diào)查結(jié)論制訂后續(xù)整改計劃，并在事故發(fā)生后1個月內(nèi)將整改計劃匯報住所地證監(jiān)局。證券企業(yè)應(yīng)在事故發(fā)生后逐月向住所地證監(jiān)局匯報整改完成情況，直至整改完成。信息技術(shù)安全管理【基礎(chǔ)設(shè)施安全管理】證券企業(yè)應(yīng)加強服務(wù)器等關(guān)鍵信息設(shè)備管理，建立良好物理環(huán)境，指定專員負(fù)責(zé)定時檢驗，立即處理異常情況。未經(jīng)授權(quán)，任何人不得接觸關(guān)鍵信息設(shè)備?！揪W(wǎng)絡(luò)安全】證券企業(yè)不一樣網(wǎng)段之間應(yīng)進(jìn)行有效隔離，證券企業(yè)應(yīng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測等軟件技術(shù)和遠(yuǎn)程訪問安全策略等手段，加強網(wǎng)絡(luò)安全，防范來自網(wǎng)絡(luò)攻擊和非法入侵。【用戶資料保密】證券企業(yè)應(yīng)做好用戶資料、交易數(shù)據(jù)等電子信息分類、公布、使用、保留、歸檔和銷毀等安全管理工作，防范敏感信息數(shù)據(jù)外泄和不正當(dāng)使用事件發(fā)生。證券企業(yè)及其職員不得將本企業(yè)投資者個人信息出售或非法提供給她人。【用戶端保護(hù)】證券企業(yè)應(yīng)加強投資者非現(xiàn)場交易終端安全保護(hù),采取身份認(rèn)證、數(shù)據(jù)傳輸加密等多個安全手段，并建立配套制度和工作步驟，確保信息傳輸保密性、正確性和完整性。【密碼管理】證券企業(yè)應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存放過程中出現(xiàn)泄漏或被篡改風(fēng)險，并建立信息系統(tǒng)安全保密和泄密責(zé)任追究制度，確保涉密設(shè)備、人員、密碼強度、密碼管理滿足國家及行業(yè)相關(guān)要求。【權(quán)限管理】證券企業(yè)應(yīng)對信息系統(tǒng)實施有效用戶認(rèn)證和訪問控制管理，權(quán)限管理應(yīng)遵照最小功效標(biāo)準(zhǔn)及最小權(quán)限策略，信息技術(shù)人員不得從事業(yè)務(wù)相關(guān)操作或擁有相關(guān)操作權(quán)限，不相容職務(wù)用戶賬戶不得交叉操作。證券企業(yè)應(yīng)建立定時檢驗和查對機(jī)制，避免授權(quán)不妥或存在非授權(quán)賬戶，確保系統(tǒng)用戶對數(shù)據(jù)和系統(tǒng)訪權(quán)限應(yīng)和其工作職責(zé)相匹配。【病毒防護(hù)】證券企業(yè)應(yīng)采取布署防火墻設(shè)備、安裝安全軟件等方法防范信息系統(tǒng)受到病毒等惡意軟件感染和破壞，并指定專員定時維護(hù)安全設(shè)備或軟件，確保其安全可靠。【其它相關(guān)工作】證券企業(yè)應(yīng)根據(jù)監(jiān)管部門相關(guān)要求，配合國家信息安全管理部門做好信息安全相關(guān)工作。第八章信息技術(shù)審計【內(nèi)部審計】證券企業(yè)應(yīng)依據(jù)企業(yè)信息技術(shù)發(fā)展情況定時開展內(nèi)部信息技術(shù)審計。負(fù)責(zé)內(nèi)部審計部門應(yīng)設(shè)置充足信息技術(shù)審計崗位，其中，含有經(jīng)紀(jì)業(yè)務(wù)資格證券企業(yè)信息技術(shù)審計崗位應(yīng)最少不少于2名。證券企業(yè)可聘用外部信息技術(shù)教授幫助開展信息技術(shù)審計工作。【外部審計】證券企業(yè)可委托含有良好職業(yè)操守、勤勉盡責(zé)、熟悉證券企業(yè)業(yè)務(wù)及相關(guān)法律法規(guī)，并含有相關(guān)資質(zhì)外部審計機(jī)構(gòu)對證券企業(yè)進(jìn)行信息技術(shù)審計?！緦徲嬆繕?biāo)】證券企業(yè)應(yīng)經(jīng)過信息技術(shù)審計工作，有效提升信息系統(tǒng)運行及安全保障合規(guī)性、有效性和穩(wěn)定性，確保信息系統(tǒng)建設(shè)能夠有效滿足企業(yè)日常經(jīng)營、內(nèi)部控制和業(yè)務(wù)創(chuàng)新需要。【責(zé)任分工】證券企業(yè)應(yīng)指定關(guān)鍵責(zé)任人為信息技術(shù)審計工作第一責(zé)任人，稽核部門對信息技術(shù)審計工作質(zhì)量負(fù)責(zé)，信息技術(shù)部門和合規(guī)管理部門對信息技術(shù)審計工作后續(xù)整改負(fù)責(zé)?！緦徲媰?nèi)容】證券企業(yè)信息技術(shù)全方面審計內(nèi)容應(yīng)包含但不限于：信息技術(shù)治理、信息技術(shù)管理制度、信息技術(shù)預(yù)算實施情況、信息系統(tǒng)計劃建設(shè)、信息系統(tǒng)運維管理情況、信息系統(tǒng)安全情況、信息安全事件應(yīng)急響應(yīng)和事故處理、應(yīng)急演練情況、營業(yè)部信息系統(tǒng)管理和其它需要審計事項?！緦徲嬵l率】證券企業(yè)應(yīng)組織內(nèi)部審計部門進(jìn)行信息技術(shù)全方面審計，頻率不低于每十二個月一次，證券企業(yè)可依據(jù)需要進(jìn)行信息技術(shù)專題審計。發(fā)生重大信息安全事件證券企業(yè)，應(yīng)在信息安全事件發(fā)生后3個月內(nèi)對其信息系統(tǒng)進(jìn)行全方面審計?！緦徲媴R報】證券企業(yè)應(yīng)在每十二個月1月底前向住所地證監(jiān)局報送當(dāng)年信息技術(shù)審計工作計劃。審計工作計劃應(yīng)包含審計目標(biāo)、審計內(nèi)容、審計關(guān)鍵、審計人員、審計時間安排等。證券企業(yè)應(yīng)在信息技術(shù)審計結(jié)束后20個工作日內(nèi)形成審計匯報并報送住所地證監(jiān)局。審計匯報應(yīng)最少包含審計工作實施情況、對企業(yè)信息系統(tǒng)運行和安全保障總體評價、存在問題及整改意見等，審計匯報應(yīng)附審計工作底稿?！竞罄m(xù)整改】證券企業(yè)應(yīng)依據(jù)審計中發(fā)覺問題及意見，在不影響信息系統(tǒng)穩(wěn)定運行情況下，制訂合理、可行整改方法及實施步驟。第九章監(jiān)督管理【企業(yè)及分支機(jī)構(gòu)設(shè)置】申請設(shè)置證券企業(yè)或分支機(jī)構(gòu)時，相關(guān)單位應(yīng)向中國證監(jiān)會提交信息技術(shù)管理相關(guān)材料，包含不限于組織架構(gòu)、管理制度、基礎(chǔ)環(huán)境建設(shè)情況、關(guān)鍵信息系統(tǒng)建設(shè)及測試驗收匯報、業(yè)務(wù)連續(xù)性計劃、信息技術(shù)責(zé)任人介紹等。中國證監(jiān)會及派出機(jī)構(gòu)應(yīng)對信息技術(shù)基礎(chǔ)環(huán)境建設(shè)、關(guān)鍵信息系統(tǒng)運行及人員、制度準(zhǔn)備情況進(jìn)行現(xiàn)場核查，并出具現(xiàn)場核查匯報?！驹黾訕I(yè)務(wù)種類】證券企業(yè)申請增加業(yè)務(wù)種類時，應(yīng)該向中國證監(jiān)會提