证券期货业信息安全保障管理办法
中国证券监督管理委员会
中国证券监督管理委员会令第82号
《证券期货业信息安全保障管理办法》已经2012年8月23日中国证券监督管理委员会第22次主席办公会议审议通过,现予公布,自2012年11月1日起施行。
中国证券监督管理委员会主席:郭树清
2012年9月24日
附件:《证券期货业信息安全保障管理办法》.doc
证券期货业信息安全保障管理办法
第一章 总则
第一条 为了保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《期货交易管理条例》及信息安全保障相关的法律、行政法规,制定本办法。
第二条 证券期货业信息安全保障、管理、监督等工作适用本办法。
第三条 证券期货业信息安全保障工作实行“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。
第四条 证券期货业信息安全保障的责任主体应当执行国家信息安全相关法律、行政法规和行业相关技术管理规定、技术规则、技术指引和技术标准,开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。
前款所称责任主体,包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。
第五条 开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构应当按照有关规定保障相关业务系统的安全运行。
第六条 为证券期货业提供软硬件产品或者技术服务的供应商(以下简称供应商),应当保证所提供的软硬件产品或者技术服务符合国家及证券期货业信息安全相关的技术管理规定、技术规则、技术指引和技术标准。
第七条 中国证监会支持、协助国家信息安全管理部门组织实施信息安全相关法律、行政法规,依法对证券期货业信息安全保障工作实施监督管理。
中国证监会派出机构按照授权履行监督管理职责。
第八条 中国证监会及其派出机构与国家信息安全管理部门、相关行业管理部门建立信息安全协调机制,与国家有关专业安全机构和标准化组织建立信息安全合作机制。
第九条 证券、期货、证券投资基金等行业协会(以下简称证券期货行业协会)依照本办法的规定,对会员的信息安全工作实行自律管理。
第十条 核心机构依照本办法的规定,对市场相关主体关联信息系统的安全保障工作进行督促、指导。
第二章 基本要求
第十一条 核心机构和经营机构应当具有合格的基础设施。机房、电力、空调、消防、通信等基础设施的建设符合行业信息安全管理的有关规定。
第十二条 核心机构和经营机构应当设置合理的网络结构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力。
第十三条 核心机构和经营机构应当建立符合业务要求的信息系统。信息系统应当具有合理的架构,足够的性能、容量、可靠性、扩展性和安全性,能够支持业务的运行和发展。
第十四条 核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,拥有执行程序和源代码并安全可靠存放,在重要信息系统上线前对执行程序和源代码进行严格的审查和测试。
第十五条 核心机构和经营机构应当具有防范木马、病毒等恶意代码的能力,防止恶意代码对信息系统造成破坏,防止信息泄露或者被篡改。
第十六条 核心机构和经营机构应当建立完善的信息技术治理架构,明确信息技术决策、管理、执行和内部监督的权责机制。
第十七条 核心机构和经营机构应当建立完善的信息技术管理制度和操作规程,并严格执行。
第十八条 核心机构应当制定本机构与市场相关主体信息系统安全互联的技术规则,并报中国证监会备案。
核心机构依法督促市场相关主体执行技术规则。
第十九条 核心机构应当提供多种互为备份的远程接入方式,保证市场相关主体安全接入,并对市场相关主体的远程接入进行监控与管理。
第三章 持续保障要求
第二十条 核心机构和经营机构应当保障充足、稳定的信息技术经费投入,配备足够的信息技术人员。
第二十一条 核心机构和经营机构应当根据行业规划和本机构发展战略,制定信息化与信息安全发展规划,满足业务发展和信息安全管理的需要。
第二十二条 核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。
第二十三条 核心机构交易、行情、开户、结算、通信等重要信息系统上线或者进行重大升级变更时,应当组织市场相关主体进行联网测试,并按规定进行报告。
第二十四条 核心机构和经营机构应当规范开展信息技术基础设施和重要信息系统的运行维护,保障系统安全稳定运行。
第二十五条 核心机构应当指导市场相关主体正确运行维护与本机构互联的系统和通信设施。
第二十六条 核心机构和经营机构应当建立数据备份设施,并按照规定在同城和异地保存备份数据。
第二十七条 核心机构和经营机构应当建立重要信息系统的故障备份设施和灾难备份设施,保证业务活动连续。
第二十八条 核心机构和经营机构应当按照规定向中国证监会指定的证券期货业数据中心报送数据。报送的数据必须真实、完整、准确、及时。
证券期货业数据中心应当按照中国证监会的有关规定开展行业数据的集中保存工作,确保数据的安全、完整、可靠。
第二十九条 核心机构负责建设和运营行业信息技术公共基础设施。
第三十条 核心机构和经营机构应当加强信息安全保密管理,保障投资者信息安全。
第三十一条 核心机构和经营机构应当建立网络与信息安全风险检测、监测、评估和预警机制,发现风险隐患应当及时处置,并按照规定进行报告。
第三十二条 核心机构和经营机构应当建立信息安全应急处置机制,及时处置突发信息安全事件,尽快恢复信息系统的正常运行,并按照规定进行报告,不得迟报、漏报、瞒报。
核心机构和经营机构应当对信息安全事件进行内部调查、责任追究和采取整改措施,并配合中国证监会及其派出机构对事件进行调查处理。
与核心机构和经营机构发生信息安全事件相关的软硬件产品或者技术服务供应商,应当配合相关调查工作。
第三十三条 核心机构应当每年组织市场相关主体进行一次信息安全应急演练,并于实施前15个工作日向中国证监会报告。
第三十四条 核心机构和经营机构应当对信息技术人员进行培训,确保其具有履行岗位职责的能力。
第三十五条 核心机构和经营机构应当建立信息安全内部审计制度,定期开展内部审计,对发现的问题进行整改。
第四章 产品及服务采购要求
第三十六条 核心机构和经营机构应当建立供应商管理制度,定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。
第三十七条 核心机构和经营机构在采购软硬件产品或者技术服务时,应当与供应商签订合同和保密协议,并在合同和保密协议中明确约定信息安全和保密的权利和义务。
涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同,应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。
第三十八条 核心机构和经营机构采购的软硬件产品或者技术服务应当满足审慎经营和风险管理的要求。软硬件产品或者技术服务不符合要求,影响核心机构和经营机构持续经营的,中国证监会有权要求核心机构和经营机构予以改进或者更换。
第五章 行业自律
第三十九条 证券期货行业协会应当制定信息技术指引,督促、引导会员执行国家和行业信息安全相关规定和技术标准。
第四十条 证券期货行业协会应当引导行业加强信息技术人才队伍建设,定期组织信息技术培训和交流,提高信息技术人员执业素质。
第四十一条 证券期货行业协会应当引导鼓励行业信息技术研究与创新,增强自主可控能力,组织开展科技奖励,促进行业科技进步。
第四十二条 证券期货行业协会应当引导供应商规范参与行业信息化与信息安全工作,促进市场公平竞争,促进供应商与市场相关主体共同发展。
第六章 监督管理
第四十三条 中国证监会建立统一组织、分级负责的信息安全监督管理体制。
中国证监会信息安全管理部门负责证券期货业信息安全工作的组织、协调和指导;相关业务监管部门依照职责范围对核心机构和经营机构的信息安全进行监督、检查;派出机构根据授权对辖区内经营机构的信息安全进行监督、检查。
第四十四条 中国证监会依法组织制定证券期货业信息安全管理规定和技术标准。
第四十五条 中国证监会及其派出机构依照职责范围,对核心机构和经营机构进行信息安全检查或者委托国家、行业有关专业安全机构进行安全检查。核心机构和经营机构应当配合检查。
核心机构和经营机构的信息安全管理不能达到规定要求的,中国证监会及其派出机构责令其限期改正,改正前可以暂停或者限制其部分或者全部证券期货经营业务活动。
第四十六条 中国证监会及其派出机构可以要求核心机构和经营机构提供信息安全相关资料。
核心机构和经营机构应当及时、准确、完整地提供相关资料。
第四十七条 中国证监会组织制定证券期货业信息安全应急预案,督促、指导行业开展信息安全应急工作。
第四十八条 中国证监会有权对核心机构、经营机构的信息安全事件进行调查处理。
对于损害投资者合法权益或者影响证券期货市场安全稳定运行的信息安全事件,中国证监会依法对相关单位采取监督管理措施或者行政处罚。
第四十九条 中国证监会对发现的系统漏洞、安全隐患、产品缺陷进行全行业通报。
第五十条 核心机构和经营机构违反本办法规定,中国证监会可以视情节,依法对其采取责令改正、监管谈话、出具警示函、公开谴责、责令定期报告、责令处分有关人员、撤销任职资格、暂停或者限制证券期货经营业务活动等措施;情节严重的,给予警告、罚款。
第七章 附 则
第五十一条 本办法自2012年11月1日起施行。《证券期货业信息安全保障管理暂行办法》(证监信息字〔2005〕5号)同时废止。
中华人民共和国对外经济合作经营资格证书管理办法
对外贸易经济合作部
对外贸易经济合作部关于印发《中华人民共和国对外经济合作经营资格证书管理办法》的通知
[2000]外经贸合发第685号
中共中央对外联络部,国家经济贸易委员会,铁道部,交通部,信息产业部,中国民用航空总局,国家广播电影电视总局,国家体育总局,中国科学院,中国科学技术协会,中国国际贸易促进委员会,宋庆龄基金会,各省、自治区、直辖市及计划单列市外经贸委(厅、局),各有关外经贸企业:
为推动我国对外经济合作事业的发展,加强政府的宏观管理,提高工作效率,对外贸易经济合作部制定了《中华人民共和国对外经济合作经营资格证书管理办法》,现将该办法印发给你们,请转发有关单位并遵照执行。
特此通知
附件:如文
对外贸易经济合作部
二○○○年十二月二十六日
中华人民共和国对外经济合作经营资格证书管理办法
第一章 总 则
第一条 为进一步推动我国对外经济合作事业的发展,加强对对外经济合作经营企业的管理,特制定本办法。
第二条 "对外经济合作"系指对外承包工程、对外劳务合作和对外勘测、设计、咨询和监理以及其他对外经济合作等涉外经济活动。
"地方外经贸主管部门"系指各省、自治区、直辖市及计划单列市外经贸委(厅、局)。
"企业"系指经对外贸易经济合作部(以下简称"外经贸部")批准,具有对外经济合作经营资格并在工商行政管理部门登记注册的企业法人。
第三条 《中华人民共和国对外经济合作经营资格证书》(以下简称《资格证书》,见附件一)是企业经营对外经济合作业务的资格证明。企业在开展上述业务时,应按规定向有关管理部门、单位、外派劳务人员及外商等出示《资格证书》。
第四条 外经贸部是《资格证书》的全国统一管理机关,负责统一印制《资格证书》,制定《资格证书》的管理办法并监督地方外经贸主管部门具体执行。
外经贸部授权地方外经贸主管部门负责对本地区登记注册企业进行《资格证书》的发放、审核和管理工作。
第二章 《资格证书》的申领
第五条 凡经外经贸部批准,获得对外经济合作经营资格,并已由工商行政管理部门核发营业执照的企业,应向注册地地方外经贸主管部门申请领取《资格证书》,获得《资格证书》的企业方可从事对外经济合作业务。
第六条 企业向地方外经贸主管部门申领《资格证书》时应提供以下材料:
(一)外经贸部批准其从事对外经济合作业务的文件(复印件);
(二)工商行政管理部门核发的《企业法人营业执照》(复印件);
(三)《中华人民共和国对外经济合作经营资格证书申请表》(以下简称《资格证书申请表》,见附件二)一式两份。
第七条 对于符合第五条规定条件的企业,地方外经贸主管部门应在企业递交符合第六条规定的材料后十五个工作日内核发《资格证书》。
第八条地方外经贸主管部门应按照以下要求填写和发放《资格证书》:
(一)《资格证书》及《资格证书申请表》中的签(批)人必须经地方外经贸主管部门授权,其签字应报外经贸部备案。授权签字人发生变更时要及时报备。
(二)除备注栏和签批人签字外,《资格证书》的内容一律采用计算机打印,手写无效。备注栏和签批人签字部分须加盖地方外经贸主管部门公章。对发放过程中出现的废证须保存备查。
(三)《资格证书》的证书编号采用十三位编码,其中第1一4位为地区代码(地区代码表见附件三),第5一8位为企业获得对外经济合作经营资格年份,第9一13位为证书序号。
(四)《资格证书》发放后,地方外经贸主管部门要将《资格证书》申请表一份报外经贸部(合作司)备案。
第九条《资格证书》须妥善保管,不得伪造、涂改、转借、出租或转让。
第三章 《资格证书》的换领
第十条 企业在以下情况下应及时换领新的《资格证书》:
(一)《资格证书》有效期满。《资格证书》的有效期为五年,企业应在有效期满前一个月向发证机关提出换领申请。
(二)经批准,企业的名称或对外经济合作经营范围发生变更。
在上述两种情况下,由企业向原发证机关提出换领申请,发证机关审核同意后换发新证并报外经贸部备案。新证的证书编号与原证相同,并由发证机关在备注栏中注明。地方外经贸主管部门应将原证收回。
第十一条 《资格证书》的内容发生变更,但不涉及名称或经营范围的,企业应向原发证机关提出《资格证书》内容变更申请。经发证机关审核同意后,在《资格证书》变更事项栏中注明并加盖公章,而无须更换新证。
第十二条 《资格证书》发生遗失,企业应及时向地方外经贸主管部门报告,并在全国性外经贸报纸上声明作废后方可申请补发。
第十三条 企业申请换领新的《资格证书》应提供以下材料:
(一)《资格证书》原证;
(二)外经贸部批准企业经营对外经济合作业务(或变更经营范围)的文件复印件或各级外经贸主管部门批准企业变更名称的文件复印件;
(三)工商行政管理部门核发的《企业法人营业执照》复印件;
(四)《资格证书申请表》一式两份。
第十四条 《资格证书》应及时申(换)领。获经营资格后超过6个月未办理申领手续或《资格证书》期满后3个月未办理更换手续者,企业必须以书面形式说明理由,经地方外经贸主管部门审核后并报外经贸部批准后方可领(换)证。
第四章 《资格证书》的年审
第十五条 外经贸部对《资格证书》实行年审制度。《资格证书》的年审时间为每年的3月1日至4月30日,由外经贸部授权地方外经贸主管部门组织实施。地方外经贸主管部门可根据本办法制定管理范围内的《资格证书》年审的具体办法,并报外经贸部备案。
第十六条 地方外经贸主管部门在年审工作中,对存在下列问题的企业不予通过年审:
(一)因违反国家有关法律、法规而受到行政处罚的;
(二)因涉嫌违反国家有关法律、法规而正在接受查处的;
(三)未按《资格证书》管理办法的有关规定申领或换领《资格证书》的;
(四)擅自伪造、涂改、转借、出租、转让《资格证书》及其他改变资格证书用途的;
(五)其他违反《资格证书》管理办法的内容。
地方外经贸主管部门对未通过年审的企业,要提出处理意见报外经贸部,由外经贸部作出处理,并视情节会同工商行政管理部门对有关企业的《企业法人营业执照》内容进行变更。
第十七条 地方外经贸主管部门对在本地区注册企业的《资格证书》进行审核后,对年审合格的,在其《资格证书》年审记录栏中注明并加盖公章。年审结束后,地方外经贸主管部门要将本地区的年审工作报告在当年6月1日前报外经贸部。
第十八条 外经贸部对《资格证书》的年审工作进行指导和监督,对地方外经贸主管部门在年审中出现的问题予以纠正。
第五章 罚 则
第十九条 企业出现下列情况,将受到警告处罚:
(一)新获对外经济合作经营资格的企业逾期6个月不办理《资格证书》申请手续的;
(二)《资格证书》有效期满3个月不换领新《资格证书》的;
(三)其他违反《资格证书》管理办法的行为。
对上述企业,地方外经贸主管部门在其《资格证书》备注栏中注明所受处罚后,允许企业在履行有关手续后继续持证开展业务,但要加强监管。
第二十条 企业出现下列情况,将受到暂停使用《资格证书》的处罚:
(一)因违反国家有关法律、法规而被依法处以暂停对外经济合作经营资格行政处罚的;
(二)擅自伪造、涂改、转借、出租、转让《资格证书》及其他改变《资格证书》用途的;
(三)其他违反《资格证书》管理办法而应受到暂停使用《资格证书》处罚的。
被暂停使用的《资格证书》,由地方外经贸主管部门负责收回保管。
第二十一条 企业出现下列情况,将受到撤销《资格证书》的处罚:
(一)因违反国家有关法律、法规而被依法处以撤销对外经济合作经营资格行政处罚的。
(二)其他违反《资格证书》管理办法而应受到撤销《资格证书》处罚的。
被撤销的《资格证书》由地方外经贸主管部门负责收回,并上缴外经贸部处理。
第二十二条 《资格证书》的注销
企业因经营期限终止、宣告破产或因其它原因终止营业时,其所持有的《资格证书》将被注销,由地方外经贸主管部门负责收回,并上缴外经贸部处理。
第二十三条 企业对各级外经贸主管部门的行政决定和行政处罚不服的,可向其上级主管部门申请行政复议,也可向人民法院提起行政诉讼。
第二十四条 对违反本规定的各级外经贸主管部门和直接责任人,由有关部门视情节追究其相应的行政责任。构成犯罪的,由司法机关依法追究刑事责任。
第六章 附 则
第二十五条 本办法由外经贸部负责解释。
第二十六条 本办法自2001年3月1日起施行。外经贸部1998年发布的《国外承包工程、劳务合作经营许可证管理办法》同时废止。
附:一、《中华人民共和国对外经济合作经营资格证书》样证
二、《中华人民共和国对外经济合作资格证书申请表》样表
三、《资格证书》证书编号地区代码表