证券期货业网络与信息安全信息通报暂行办法

第一条 为规范证券期货行业网络与信息安全信息通报工作，切实保护投资者合法权益，依据国家有关规定，制定本办法。

第二条 证券期货行业信息安全保障协调小组(以下简称协调小组)负责行业网络与信息安全信息通报工作的决策、组织、协调工作，协调小组成员单位包括中国证监会、上海证券交易所、深圳证券交易所、上海期货交易所、大连商品交易所、郑州商品交易所、中国证券登记结算公司、中国证券业协会和中国期货业协会。信息通报单位包括证券、期货交易所，中国证券登记结算公司，各证券公司、基金管理公司、期货公司，证券、期货投资咨询公司以及其他由证监会核准注册成立的机构(以下简称通报单位)．

第三条 中国证监会信息中心是协调小组的执行部门，负责向国家网络与信息安全信息通报中心报告证券期货行业的网络信息安全信息；负责将国家网络与信息安全信息通报中心发布的信息报告、病毒与网络攻击预警等按要求向协调小组单位成员传达，并通过中国证券业协会和中国期货业协会向各自归口的通报单位传达。

中国证监会信息中心作为协调小组中各通报单位的归口单位，负责这些单位网络与信息安全信息的汇总、整理。

中国证券业协会负责证券公司、基金管理公司、证券投资咨询公司等单位的网络与信息安全信息汇总和反馈工作，并作为上述机构的归口单位向中国证监会信息中心报告。

中国期货业协会负责期货公司、期货投资咨询公司等单位的网络与信息安全信息汇总和反馈工作，并作为上述机构的归口单位向中国证监会信息中心报告。

第四条 各通报单位按照“谁主管、谁负责，谁运营、谁负责”的原则，做好各自单位的信息安全通报工作。各单位信息安全工作的责任人(主管领导)为本单位信息安全通报工作的责任人。

各通报单位应落实承担网络与信息安全信息通报工作的职能部门、负责人和联络员，制定本单位内部的信息报告流程和相应的责任制，并填写信息安全报告基本情况备案表(见附件一)报归口单位备案。

各通报单位要及时将本单位网络与信息系统出现的安全事故上报归口单位，并负责将来自归口单位的信息安全通告以及其他通知、要求及时传达到有关责任人。

第五条 各通报单位实行7×24小时联络制度，指定一名联络员，一名后备联络员。联络员和后备联络员应有及时准确的通讯联络方式；联络方式如有变动，应填写基本情况变动更新表(见附件一)及时报告归口单位。归口单位要及时维护和更新联络通信录，并在通报体系中公告。

第六条 事故报告。通报单位的重要网络与信息系统在运行中出现异常情况，造成不良影响或损失的，应按照应急预案及时处置，同时应将事故发生的情况、危害程度、处置措施、分析研判等内容编写成事故报告，及时上报归口单位(事故分级、报告要素及要求见附件二及编制说明)。

第七条 信息安全运行月报。为及时反映行业信息安全状况，保持行业信息安全通报系统的畅通，各通报单位每月应以信息安全运行月报(格式见附件三)的形式向归口单位报告信息系统运行情况。

信息安全运行月报的内容为各通报单位信息系统运行中出现并得到及时处置的异常情况汇总和分析、研判，无异常情况的，要进行平安运行报告。对已按事故报告要求上报的情况，要在运行月报中说明。

各通报单位应在每个月前5个工作日内将上个月的系统运行情况上报归口单位。

第八条 敏感时期报告。中国证监会信息中心根据国家有关规定和需要启动敏感时期报告制度，并规定行业内敏感时期报告的启动与截止日期、日报告的截止时间等要素。

各通报单位在收到启动敏感时期报告的通知以后，根据要求每日以敏感时期信息安全报告(见附件四)的形式上报本单位信息系统运行状况。报告内容包括信息安全运行月报、事故报告应报的范围。无异常情况的，要进行平安运行报告。

各通报单位在敏感时期应有专人值守。

第九条 信息安全通告。中国证监会信息中心、中国证券业协会、中国期货业协会等信息通报归口单位，通过信息通报体系，向各通报单位定期或不定期地发布下列信息安全通告：

国家网络与信息安全信息通报中心发布的报告和预警；

行业信息安全月报的汇总分析；

行业信息系统运行中带有普遍性的安全隐患或趋势；

有关信息安全的通知、规定、技术标准、指引等；

其他需要及时向报告单位通报的信息。

各通报单位在收到归口单位的信息安全通告后，应及时传达到相关责任人，采取相应措施。

第十条 各通报单位应切实保证信息通报和联络渠道的畅通。敏感时期报告和信息安全运行月报可使用电子文件的形式报送。对于事故报告，应同时使用书面和电子文件的形式进行报送。对于有保密要求的，应使用符合要求的加密设备进行报送。

第十一条 各通报单位应保证上报要素完备、及时、准确，不得瞒报、缓报、谎报网络与信息安全事件的情况。接报单位应保证及时接收、准确记录上报信息。

第十二条 各单位应制定相应的保密和档案管理措施，妥善管理上报材料，包括各单位进行信息安全通报过程中往来电话记录(手机或固定电话)、纸质或电子文件、传真件等，存档备查。

第十三条 对于认真履行本办法，及时报告网络与信息安全事故的单位及个人，予以通报表扬。对违反本办法及相关制度的单位及个人，予以通报批评；情节严重的，予以行政处分。

第十四条 本办法自发布之日起实施。本办法由中国证监会负责解释。

附件一：信息安全报告基本情况备案、变动更新表(略)

附件二：证券期货业网络与信息安全事故报告(略)

附件三：证券期货业网络与信息系统安全运行月报(略)

附件四：证券期货业网络与信息系统敏感时期安全情况日报(略)

附件二填制说明：

事故标准及报告要求

重要业务系统出现异常，系统恢复时间(RTO-Recovery Time Objective)在30分钟以内；

因病毒、攻击、拥堵等使系统异常，给市场或客户造成可感知的影响，但交易时段2个小时内恢复的；

系统数据完整性被破坏，但在1个交易日内能够修复的；

灾害事故(停电、水灾、火灾等)发生后，重要业务系统能在1个交易日恢复正常；

网站上出现有害信息，但能及时删除、屏蔽并保留审计线索的；

通信线路发生故障且对业务造成不良影响，1个交易日内系统恢复正常；

敏感业务数据泄漏。

各通报单位的重要信息系统，凡是出现上述情况，都要在2天内，将事故发生的情况、处置措施、影响分析，以事故报告的形式，及时上报归口单位。

重大事故标准及报告要求

各信息报告单位重要信息系统出现重大故障，已经(或预计将)造成重大损失(100万元以上)，或给客户／市场带来重大不良影响的。包括但不限于：

重要业务系统出现异常，系统恢复时间(RTO-Recovery Time Objective)在30分钟以上；

因病毒、攻击、拥堵等使系统异常，给市场或客户造成可感知的影响，且交易时段2个小时内没有恢复；

业务数据完整性被破坏，且在1个交易日内没有修复；

通信线路发生故障，对业务造成严重影响，且在1个交易日系统没有恢复正常；

灾害事故(停电、水灾、火灾等)发生后，重要业务系统在一个交易日系统没有恢复正常；

网站上出现有害信息，且未能及时删除、屏蔽或未能保留审计线索的。

各通报单位的重要信息系统，凡是出现上述情况，都要在事故确认的当日(或6小时之内)，将事故发生的情况、影响分析、目前的状况、已经采取的处置措施等，以重大事故报告的形式，上报归口单位。

其中，交易、通信、清算等带有全局性的重大系统故障，在及时启动应急预案的同时，还要在2小时内将事故情况上报中国证监会信息中心。

灾难事故标准及报告要求

因自然灾难、人为故意破坏以及其他意外因素，使本单位重要业务系统不能正常运行，并造成恶劣影响或严重损失的，预计有效处置或消除其不良影响需要动员大量社会资源的，应在事故发生后，立即上报归口单位。