9月27日,中國證監會召開新聞通氣會,正式發佈《證券期貨業信息安全保障管理辦法》(以下簡稱《辦法》),自2012年11月1日起施行。《辦法》的出臺標誌著資本市場信息安全保障工作邁上一個新的臺階。
中國證監會有關部門負責人介紹,《辦法》系統地規範了證券期貨業信息安全管理等監管制度,確立了行業信息安全監管的體制,明確了市場主體的信息安全保障責任,提出了信息安全工作的要求。《辦法》包括總則、基本要求、持續保障要求、産品及服務採購要求、行業自律、監督管理和附則,共七章五十一條,重點解決了四個方面的問題:
一是進一步明確信息安全是行業機構的法定義務。信息系統是行業機構最重要的業務設施,《辦法》從基礎設施、信息系統、網絡隔離、安全防護和管理制度等方面,明確了行業機構應當符合的基本信息技術要求,作為證監會做出行政許可或者評價考核機構的基本標準;同時,從持續保障信息安全的角度,明確了行業機構信息技術人員經費保障、系統升級變更、數據備份保存等信息安全日常工作的要求。
二是對證券期貨交易所等市場核心機構信息安全提出特別要求。證券期貨交易所等核心機構是市場的組織者,處於市場的關鍵地位。因此,《辦法》針對市場核心機構提出了更加嚴格的要求,重點強調了核心機構應當具有重要信息系統的自主開發能力,並組織市場相關主體的安全互聯,開展應急演練等,同時,發揮人才和技術優勢,建設和運營行業信息技術公共基礎設施,促進提升行業整體信息安全標準。
三是首次強調了對軟硬體産品及服務採購活動的管理。為了對軟硬體産品及服務採購活動進行規範管理,《辦法》要求行業機構應當加強對供應商的評估和管理,簽訂合同和保密協議時要明確雙方的權利和義務。《辦法》中特別要求行業機構與證券期貨交易、行情、開戶、結算等軟體産品或者技術服務供應商簽訂合同時,應當約定供應商須接受中國證監會及其派出機構的信息安全延伸檢查。
四是明確了行業監管部門、自律組織的信息安全管理職責。《辦法》確立了行業統一組織、分級負責的信息安全監督管理體制,明確由中國證監會信息安全管理部門負責證券期貨業信息安全工作的組織、協調和指導,相關業務監管部門及派出機構依照職責範圍行使信息安全監督、檢查的權利。《辦法》規定行業協會應當在制定信息技術指引、管理信息技術從業人員、促進科技創新、引導供應商規範活動等方面發揮自律管理作用。
《辦法》發佈後,證券期貨業將嚴格按照《辦法》的要求,更加規範的做好信息安全保障工作。同時,中國證監會和行業協會還將根據證券、基金、期貨等行業的實際情況,進一步細化《辦法》的各項要求,制定相關的規範性文件、技術指引和技術標準等配套法規,形成體系完備、有機銜接的證券期貨信息安全法規體系,促進行業持續提升信息安全保障水平,維護資本市場的穩定健康發展。