第壹條為了規範證券期貨業信息安全事件的報告、調查和處理,減少信息安全事件的發生,根據《證券法》、《證券投資基金法》、《證券公司監督管理條例》、《期貨交易管理條例》和《證券期貨業信息安全管理辦法》,制定本辦法。第二條證券期貨行業信息安全事件,是指證券期貨行業信息系統運行異常或者數據損毀、泄露,損害投資者合法權益或者對證券期貨市場造成不利影響的事件。第三條證券期貨業信息安全責任主體發生信息安全事件後,應當按照本辦法的規定進行報告、調查和處理。前款所稱責任主體,包括承擔證券期貨市場職能的機構、承擔證券期貨行業信息技術基礎設施運行的機構等證券期貨市場核心機構及其下屬機構(以下簡稱核心機構),以及證券公司、期貨公司、基金管理公司、證券期貨服務機構等證券期貨經營機構(以下簡稱經營機構)。第四條核心機構和業務機構應當及時、準確、完整地報告信息安全事件,不得遲報、漏報、謊報或隱瞞。第五條信息安全事件的調查處理應當堅持實事求是、尊重科學、客觀公正、及時可靠的原則。第六條發生信息安全事件的核心機構和運營機構應對事件進行內部調查,追究責任並采取整改措施。第七條中國證監會及其派出機構依照本辦法的規定,對核心機構和經營機構的信息安全事件進行調查處理。第八條與信息安全事件相關的核心機構、運營機構、軟硬件產品或者技術服務提供商應當配合中國證監會及其派出機構和事件發生地機構對事件進行調查和處理。
第二章事件分類
第九條根據信息安全事件損害投資者合法權益或者對證券期貨市場產生不利影響的程度,事件可以分為特別重大事件、重大事件、重大事件和壹般事件。第十條特別重大事件是指對投資者合法權益造成特別嚴重損害或者對證券期貨市場造成特別嚴重影響的信息安全事件。特別重大事件是指符合下列情形之壹的事件: (壹)證券交易所的交易、通信和市場發布系統在開市前20分鐘以上不能正常啟動或者中斷,或者受影響的營業部或者營銷單元比例達到20%以上,或者交易中斷的證券數量僅達到20%以上。(二)期貨交易所交易業務系統完全中斷,影響交易時間2小時以上;結算交割業務系統中斷,影響下壹交易日正常開盤。(3)中國證券登記結算公司登記結算系統癱瘓,短期內無法恢復,恢復日期不可預測,對公司全部業務或整個市場產生重大影響。(4)1萬有效客戶以上的證券公司、期貨公司集中交易系統或網上交易系統全部中斷,影響交易時間2小時以上。(五)有效客戶超過1萬的證券公司、期貨公司的結算系統未能在開市前完成前壹交易日的結算,或者結算數據存在重大錯誤,影響投資者正常交易的。(6)基金銷售、會計核算或登記系統出現嚴重故障,備份系統預計8小時內無法恢復,影響當日或後續交易日654.38+0萬人以上投資者正常申購、贖回基金。(7)654.38+0萬人以上投資者數據損壞或錯誤,影響當日或後續交易日正常交易。(八)654.38+0萬人以上投資者數據泄露。(九)對投資者合法權益和證券期貨市場產生特別嚴重影響的其他事件。第十壹條重大事件是指對投資者合法權益造成嚴重損害或者對證券期貨市場產生嚴重影響的信息安全事件。重大事件是指符合下列情形之壹,未達到特別重大事件: (壹)證券交易所交易、通訊和市場發布系統中斷超過65,438+00分鐘,或者受影響的營業部或營銷單元比例超過65,438+00%,或者交易中斷的證券數量超過65,438+00%;(二)期貨交易所交易業務系統完全中斷,影響交易時間超過30分鐘;(三)中國證券登記結算公司登記結算系統故障影響下壹交易日正常開市或業務開展,可能導致當日全市場某項業務失敗;(4)有效客戶超過65438+萬的證券公司、期貨公司集中交易系統或網上交易系統全面中斷,影響交易時間超過30分鐘;(五)有效客戶超過65438+萬的證券公司、期貨公司的結算系統未能在開市前完成前壹交易日的結算,或者結算數據存在重大錯誤,影響投資者正常交易的;(6)基金銷售、會計核算或登記系統出現嚴重故障,備份系統預計4小時內無法恢復,影響當日或後續交易日65438+萬人以上投資者正常申購、贖回基金;(7)65438+萬人以上投資者數據損壞或錯誤,影響當日或後續交易日正常交易的;(八)654.38+萬人以上投資者數據泄露;(九)對投資者合法權益和證券期貨市場造成嚴重影響的其他事件。第十二條重大事件是指對投資者合法權益造成重大損害或者對證券期貨市場產生重大影響的信息安全事件。重大事件是指符合下列情形之壹,未達到重大事件的情形: (壹)證券交易所交易、通訊和市場發布系統中斷,受影響的營業部或者營銷單元比例達到5%以上,或者交易中斷的證券數量達到5%以上;(二)期貨交易所交易業務系統全部或者部分中斷,影響交易時間超過3分鐘;(3)中國證券登記結算公司登記結算系統發生故障,未影響市場正常交易,但壹項或幾項業務中斷或延遲超過4小時(不含)並在當日內恢復正常,對部分參與者造成影響;(四)證券公司、期貨公司集中交易系統或者網上交易系統全部或者部分中斷,影響交易時間5分鐘以上;(五)證券公司第三方存管系統、融資融券系統全部或者部分停止運行,影響營業時間30分鐘以上,期貨公司銀行轉賬系統全部或者部分停止運行,影響營業時間30分鐘以上;(六)有效客戶數低於65438+萬的證券公司、期貨公司的結算系統未能在開市前完成前壹交易日的結算,或者結算數據有誤,影響投資者正常交易的;(7)基金銷售、會計核算或登記系統出現嚴重故障,備份系統預計2小時內無法恢復,影響當日或後續交易日654.38+萬人以下投資者正常申購、贖回基金;(八)提供現場交易服務的證券公司分支機構或者期貨公司營業部的現場報價或者現場交易系統發生故障,影響交易時間超過2小時的;(9)654.38+萬人以下投資者數據損壞或錯誤,影響當日或後續交易日正常交易;(10)65438+萬人以下投資者數據泄露;(十壹)對投資者合法權益和證券期貨市場有重大影響的其他事件。第十三條壹般事件是指損害投資者合法權益或者影響證券期貨市場的信息安全事件。壹般事件是指符合下列情形之壹,未達到重大事件的事件: (壹)證券交易所交易、通訊和市場發布系統中斷,受影響的營業部或者營銷單元比例低於5%,或者交易中斷的證券數量低於5%;(二)期貨交易所交易業務系統全部或者部分中斷,影響交易時間不足3分鐘;(3)中國證券登記結算公司登記結算系統發生故障,未影響市場正常交易,但壹項或幾項業務中斷或延遲超過2小時(不含)並在當日內恢復正常,對部分參與者造成影響;(四)證券公司、期貨公司集中交易系統或者網上交易系統全部或者部分中斷,影響交易時間不足5分鐘的;(五)證券公司第三方存管系統、融資融券系統全部或者部分停止運行,影響營業時間不足30分鐘,期貨公司銀行轉賬系統全部或者部分停止運行,影響營業時間不足30分鐘;(六)提供現場交易服務的證券公司分支機構或者期貨公司營業部的現場報價或者現場交易系統發生故障,影響交易時間不足2小時的;(七)其他影響投資者合法權益和證券期貨市場的事件。第十四條本章所稱“以上”包括本數,“以下”不包括本數。本章所稱“有效客戶數”以證券公司、期貨公司向中國證監會及其派出機構報告的信息安全事件發生前壹個月末合格賬戶數為準。合格賬戶是指開戶資料真實、準確、完整,投資者身份真實,資產權屬關系清晰,符合相關規定的賬戶。
第三章事件報告
第十五條核心機構和運營機構應建立網絡與信息安全風險監測預警系統,發現風險隱患應盡快核實,采取必要的防範措施,如有重大情況應及時預警報告。預警報告應當包括:事件的基本情況(包括預警的時間、地點、經過),可能產生的影響範圍和後果,已經采取的防範措施和相關建議,需要有關部門和單位協調處理的相關事項。第十六條核心機構和運營機構應當建立信息安全應急機制,及時處理信息安全事件,盡快恢復信息系統的正常運行,保護事件現場和相關證據,並按照以下要求進行應急報告: (壹)核心機構重要信息系統發生可能造成或已經造成交易中斷和嚴重緩慢的重大故障後,應當立即報告,至少每30分鐘報告壹次,直至信息系統恢復正常運行;如有重要情況,應立即報告。(二)證券、期貨公司集中交易系統發生故障,可能或者已經造成交易中斷、嚴重緩慢的,應當立即報告,至少每30分鐘報告壹次,直至信息系統恢復正常運行。如有重要情況,應立即報告。(3)核心機構和運營機構其他信息系統故障影響投資者正常業務運行,且原則上30分鐘內不能恢復正常業務運行的,應立即報告,至少每1小時報告壹次,直至業務和信息系統恢復正常運行;如有重要情況,應立即報告。(4)核心機構和運營機構應立即報告投資者數據受損或泄露情況,在事件解決前,如有重要情況,應立即報告。(五)核心機構和運營機構涉及計算機犯罪的,應立即報告,在事件解決之前,如有重要情況,應立即報告。第十七條核心機構和運營機構在進行突發事件報告時,應先進行電話報告,然後提交書面信息安全事件報告(見附件)。內容包括:時間、地點、簡要經過、影響範圍初步評估、影響程度初步評估、影響人數初步評估、經濟損失初步評估、後果初步評估、原因初步評估、事件性質初步評估、采取的措施和效果、需要有關部門和單位協助的有關事項、報告單位、簽發人和報告時間、聯系人和聯系方式,以及與本次事件有關的其他內容。第十八條核心機構和運營機構應在信息安全事件應急響應完成、系統恢復正常運行後5個工作日內,組織內部調查,準確查明事件經過、原因和損失,查明事件性質,認定和追究事件責任,提出整改措施,並形成事件總結報告。事件總結報告的內容應當包括: (壹)事件的基本情況,包括事件發生的時間、地點、經過、影響範圍、影響程度、損失情況等;(二)應急反應,包括事件的報告、采取的措施及效果;(三)事件調查情況,包括事件原因、事件等級、責任認定和結論;(四)事件的處理情況,包括事件暴露的問題和采取的整改措施,以及責任追究情況。暫時無法確定事件原因、責任和結論的,應當提交事件初步分析報告,盡快查明原因,認定和追究事件責任,采取整改措施,並在事件應急響應結束、系統恢復正常運行後30個工作日內提交事件補充報告。第十九條核心機構和運營機構收到中國證監會及其派出機構關於系統漏洞、安全風險和產品缺陷的信息安全通報後,應立即核實情況,采取必要的處置措施,並按要求作出事件總結報告。事件總結報告的內容應包括:事件的基本情況、可能或已經造成的範圍和後果、采取的防範措施及相關建議。第二十條核心機構或者經營機構應當按照下列規定向相關機構報告: (壹)核心機構應當向中國證監會作出預警報告、應急報告和事件總結報告。(二)核心機構發生信息安全事件影響其他機構的,應當及時向相關機構通報緊急情況。(三)經營機構應當向其住所地中國證監會派出機構作出預警報告、應急報告和事件總結報告,其分支機構應當向其住所地中國證監會派出機構作出預警報告、應急報告和事件總結報告。事件總結報告還應抄送中國證券業、期貨業或證券投資基金業協會。(四)運營機構發生影響證券期貨交易業務的信息安全事件時,應當同時向相關證券期貨交易所作出緊急報告和事件總結報告;證券登記結算業務受到影響時,應當同時向中國證券登記結算公司提交緊急報告和事件總結報告;轉融通業務受到影響時,應同時向中國證券金融公司提交緊急報告和事件總結報告;影響其他機構的,應當及時向相關機構通報緊急情況。(五)核心機構或者運營機構發生涉及計算機犯罪的事件時,應當向公安機關緊急報告。
第四章調查和處理
第二十壹條中國證監會及其派出機構有權對信息安全事件進行調查處理;根據調查需要,可以聘請行業信息技術顧問等相關專家參與調查,或者委托專業機構進行調查。第二十二條調查人員有權向核心機構、業務機構、軟硬件產品或技術服務提供商和個人了解與信息安全事件有關的信息,可以采取聽取匯報、詢問當事人、查閱文件資料、查閱系統日誌、現場核查等工作方式。在事件調查過程中,發生信息安全事件的機構相關人員應當能夠隨時到場接受詢問,如實介紹情況,並提供證據和所需的文件、資料。第二十三條調查人員應當誠實公正,認真履行職責,遵守工作紀律,嚴格保守事件調查的秘密,以及在調查過程中知悉的商業秘密和技術秘密。未經許可,不得擅自披露或發布事件調查中已知的相關信息。第二十四條中國證監會或其派出機構應當督促發生信息安全事件的機構落實整改措施,並監督整改措施的落實。發生信息安全事件的機構應認真吸取事件教訓,盡快落實整改措施,消除風險隱患。第二十五條中國證監會將視情況向全行業通報信息安全事件,中國證監會派出機構將視情況向轄區證券期貨經營機構通報。第二十六條中國證監會及其派出機構依據有關法律、行政法規和規章,對發生重大以上信息安全事件的機構、直接負責的主管人員和其他直接責任人員采取監督管理措施或者給予行政處罰。第二十七條對於發生壹般信息安全事故的具有人的責任的組織,事故發生單位應當追究直接負責的主管人員和其他直接責任人員的內部責任。第二十八條中國證監會及其派出機構、信息安全事件發生地機構應當按照“盡職免責、失職追責”的原則認定信息安全事件的責任。第二十九條對於重大及以上非責任信息安全事件,中國證監會及其派出機構依據有關法律、行政法規和規章,對發生信息安全事件的機構采取監督管理措施。第三十條中國證監會或者其派出機構對發生重大和特別重大信息安全事件或者頻繁發生信息安全事件的機構,采取責令定期報告等監督管理措施,並可以酌情進行現場檢查。第三十壹條發生信息安全事件的機構有下列情形之壹的,中國證監會或者其派出機構應當對其采取監督管理措施或者予以行政處罰: (壹)未按照本辦法的規定報告事件,存在遲報、漏報、謊報或者瞞報的;(二)未妥善保存證據,或者故意隱藏、偽造、篡改、毀滅有關文件、資料和證據的;(三)未按照中國證監會信息安全通報要求及時采取風險防控措施,導致信息安全事件發生的;(四)未按照中國證監會或者其派出機構的要求進行整改或者整改不到位,導致信息安全事件發生的。(五)阻撓或者拒絕調查的;(六)中國證監會及其派出機構認定的其他不良情形。
第五章附則
第三十二條本辦法自2065年2月1日起施行。附件:信息安全事件報告(略)