近日中国证监会召开新闻通气会,正式发布《证券期货业信息安全保障管理办法》(以下简称《办法》),自2012年11月1日起施行。
中国证监会有关部门负责人介绍,《办法》要求证券期货交易所等市场核心机构应当具有重要信息系统的自主开发能力,并特别要求行业机构与证券期货交易、行情、开户、结算等软件产品或者技术服务供应商签订合同时,应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。
据介绍,《办法》系统地规范了证券期货业信息安全管理等监管制度,确立了行业信息安全监管的体制,明确了市场主体的信息安全保障责任,提出了信息安全工作的要求。《办法》包括总则、基本要求、持续保障要求、产品及服务采购要求、行业自律、监督管理和附则,共七章五十一条,重点解决了四个方面的问题:
一是进一步明确信息安全是行业机构的法定义务。信息系统是行业机构最重要的业务设施,《办法》从基础设施、信息系统、网络隔离、安全防护和管理制度等方面,明确了行业机构应当符合的基本信息技术要求,作为证监会做出行政许可或者评价考核机构的基本标准;同时,从持续保障信息安全的角度,明确了行业机构信息技术人员经费保障、系统升级变更、数据备份保存等信息安全日常工作的要求。
二是对证券期货交易所等市场核心机构信息安全提出特别要求。证券期货交易所等核心机构是市场的组织者,处于市场的关键地位。因此,《办法》针对市场核心机构提出了更加严格的要求,重点强调了核心机构应当具有重要信息系统的自主开发能力,并组织市场相关主体的安全互联,开展应急演练等,同时,发挥人才和技术优势,建设和运营行业信息技术公共基础设施,促进提升行业整体信息安全标准。
三是首次强调了对软硬件产品及服务采购活动的管理。为了对软硬件产品及服务采购活动进行规范管理,《办法》要求行业机构应当加强对供应商的评估和管理,签订合同和保密协议时要明确双方的权利和义务。《办法》中特别要求行业机构与证券期货交易、行情、开户、结算等软件产品或者技术服务供应商签订合同时,应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。
四是明确了行业监管部门、自律组织的信息安全管理职责。《办法》确立了行业统一组织、分级负责的信息安全监督管理体制,明确由中国证监会信息安全管理部门负责证券期货业信息安全工作的组织、协调和指导,相关业务监管部门及派出机构依照职责范围行使信息安全监督、检查的权利。《办法》规定行业协会应当在制定信息技术指引、管理信息技术从业人员、促进科技创新、引导供应商规范活动等方面发挥自律管理作用。
《办法》发布后,证券期货业将严格按照《办法》的要求,更加规范的做好信息安全保障工作。同时,中国证监会和行业协会还将根据证券、基金、期货等行业的实际情况,进一步细化《办法》的各项要求,制定相关的规范性文件、技术指引和技术标准等配套法规,形成体系完备、有机衔接的证券期货信息安全法规体系,促进行业持续提升信息安全保障水平,维护资本市场的稳定健康发展。