本刊记者 高曙东
加强信息安全保障是证券行业的一项重要工作,对于保护广大投资者合法权益,促进证券市场平稳运行,维护国家金融安全具有重要意义。近年来,我国资本市场改革创新日趋深入、交易结算制度不断完善、证券期货产品日益增多,交易手段不断丰富,这对证券行业信息安全工作提出了更高的要求,不仅仅要求系统运行稳定高效,还要求保障信息安全,提升应对各种风险的能力。为了规范市场行为、推动行业稳定发展,提升证券期货经营机构的发展能力、专业服务水平和风险防范能力,2012年以来,证监会出台了一系列与信息安全相关的政策法规,并积极开展证券行业信息系统安全检查工作,行业信息安全水平从整体上得到了较大改善,资本市场信息安全保障水平又上新台阶。
步入2013年,证监会将持续督促行业机构加强信息系统的安全保障,防止发生损害投资者合法权益的信息安全事件。行业机构应严格按照证监会出台的有关规定,更加规范地做好应急准备、网络安全等信息安全工作,以合规经营和控制风险为前提,全力维护资本市场信息系统的安全稳定运行。
一、圆满完成信息安全专项检查
回顾2012年,证监会圆满完成了信息安全专项检查工作,主要体现在以下几个方面。
1.确保特殊时期行业信息系统安全稳定运行
为了确保十八大期间行业信息系统安全稳定运行,证监会于2012年8月1~31日,开展了信息安全专项检查。通过自查和检查,督促行业机构有针对性地采取了防范和改进措施,提高了行业信息安全保障水平。证监会还组织开展了十八大期间资本市场信息安全保障工作,组织行业核心机构上报敏感时期安全信息日报,证券公司、基金管理公司和期货公司安全日报。同时按照通报中心的要求,每日向通报中心报告行业信息系统的运行情况。
2.引导行业软件正版化工作
2012年,证监会组织推进了行业使用正版软件工作,落实了推进软件正版化部级联席会议的工作部署,督促会机关及派出机构、市场核心机构的正版化工作,组织了行业培训,开展了相关审计和统计工作,摸清了行业底数。
3.继续做好信息安全事件调查处理和分析工作
针对每起信息安全事件,均认真进行了应急报告和调查处理,编报了事件调查处理报告。同时,建立了信息安全事件台账,并向人民银行、银监会进行了情况通报。
4. 认真做好信息安全通报工作
全年组织编发行业信息安全工作简报,反映了行业信息化建设与信息安全保障的工作动态;编发信息安全情况通报,对重大隐患进行风险提示。同时,每月向通报中心编发行业信息安全情况月报,汇报行业信息安全保障情况。
5.圆满完成行业信息技术顾问调整和培训
按照证券期货业信息化工作领导小组第七次工作会议部署,2012年6月,证监会对行业信息技术顾问队伍近年来的工作进行了总结,并对技术顾问队伍进行了调整。
二、监管新政保障期货业信息安全
随着证券期货市场规模的稳步扩大、市场交易逐渐活跃、对外开放程度不断提高,以及支撑整个行业信息系统安全运行的技术体系结构不断变化, 影响证券期货行业技术系统安全运行的因素越来越多,技术系统在容量、速度、稳定性等方面也面临着新的挑战。为此, 证监会出台了一系列政策法规, 全面保障证券期货市场的健康稳定发展。
1.出台《证券期货业信息安全保障管理办法》
在过去几年反复修改、充分论证的基础上,证监会对市场各方的权利、职责、义务进行了全面梳理,对供应商管理等难点问题进行了深入研究,组织向全社会公开征求了意见,并对意见进行反复斟酌,形成了《证券期货业信息安全保障管理办法》(以下简称《管理办法》草案。2012年9月27日,证监会正式发布《管理办法》,自2012年11月1日起施行。
《管理办法》从基础设施、网络、信息系统、安全防护能力和管理制度等方面,对核心机构和经营机构应当具有的基础设施和基本制度提出要求,并从信息系统的自主开发能力、市场安全互联和技术规则等方面对核心机构提出特别要求。此外,《管理办法》还对核心机构和经营机构提出持续保障信息系统的安全稳定运行,保障业务活动的连续进行和数据安全的要求。《管理办法》是行业信息安全领域法规性文件,将对行业产生深远影响。
2. 《证券期货业信息安全事件报告与调查处理办法》正式实施
自2009年起,证监会开始组织研究制定《证券期货业信息安全事件报告与调查处理办法》(以下简称《处理办法》)。《处理办法》历经4年,五次大的版本修改,于2012年12月27日正式发布,2013年2月1日正式实施。
《处理办法》对证券期货业信息安全事件的报告和调查处理工作进行了规范,对于有效处置信息安全事件,减少信息安全事件的发生,维护证券期货信息系统安全运行,保护投资者合法权益具有重要意义。《处理办法》包括总则、事件分级、事件报告、调查处理和附则,共五章三十二条,重点解决了三方面的问题。
一是划分了证券期货行业信息安全事件的等级。《处理办法》依据信息安全事件对投资者合法权益造成损害,或者对证券期货市场造成不良影响的程度,将行业信息安全事件区分为特别重大事件、重大事件、较大事件、一般事件4级。统一界定了交易所等市场核心机构以及证券公司、期货公司和基金管理公司等经营机构发生信息安全事件的等级。信息安全事件的分级对于监管部门对信息安全事件的调查、处理、追究责任提供了依据。
二是明确了证券期货机构报告信息安全事件的义务。《处理办法》规定发生信息安全事件的机构应当及时、准确、完整地报告事件情况,不得迟报、谎报、瞒报或者漏报, 明确提出了行业机构信息安全事件应急报告、事后总结报告的时限要求、报告路径和报告内容等。及时、准确地报告有利于监管部门督导有关行业机构快速、稳妥地处置信息安全事件,尽快恢复信息系统运行,最大限度地减少损失。
三是明确了信息安全事件责任认定的原则和采取处罚措施的具体情形。《处理办法》规定按照“尽职免责,失职有责”的原则进行事件责任认定,同时,按照事件责任和事件级别,明确了采取处罚措施的具体情形。监管部门将根据《处理办法》,督导有关机构查明信息安全事件的原因,追究事件责任,采取整改措施,消除风险隐患,对于发生重大及特别重大信息安全事件或者频繁发生信息安全事件的机构,监管部门还将采取责令定期报告等监督管理措施或对其进行现场检查。
3. 公布《证券期货业信息系统运维管理规范》等两项行业标准
信息系统是业务运行的重要基础,可以说证券期货经营机构能够稳定发展的前提是保障相关信息系统的安全。2013年2月8日,为了促进证券期货市场规范发展,证监会正式公布《证券期货业信息系统运维管理规范》(以下简称《管理规范》)和《期货经纪合同要素》两项金融行业标准。
《管理规范》对证券期货行业信息系统的运行维护管理工作进行了规范。证券期货业务的开展高度依赖于信息系统的正常运行,信息系统发生故障可能损害到投资者的合法权益,影响市场的稳定。加强运维保障,对于防范信息系统故障,及时采取应急措施,尽快恢复系统正常运行具有重要作用。《管理规范》充分借鉴了国际国内先进的理念和方法,并从行业实际出发,总结了行业机构运维管理的经验,明确提出了行业信息系统运维管理的各项任务及相关要求。其实施将有力地促进行业机构不断提高信息系统的运维保障水平。
《期货经纪合同要素》对期货公司与客户间期货经纪合同的必备要素进行了规范和描述,并对合同中关键术语进行了定义。标准的实施有助于避免或减少期货经纪业务开展中的争议,切实保护期货投资者的合法权益。《期货经纪合同要素》明确指出,为了防范期货业务风险,保护期货经纪合同当事人的合法权益,期货公司应当与客户签订期货经纪合同,明确双方的权利义务。
4 .梳理信息安全应急规章,进一步完善突发事件应急管理制度
为了进一步完善行业信息安全应急规章,证监会组织会内相关部门和各市场核心机构对行业信息安全应急处置相关的法律法规、交易规则和应急预案进行了认真梳理,对发现的问题提出了处理建议,并对《行业信息安全事件应急预案(2009版)》进行了修订,形成了《证券期货业信息安全事件应急预案(2012版)》。
5 .积极组织制定《证券期货业信息系统托管基本要求》
证券期货业信息化工作领导小组办公室和期货业协会组建了标准起草小组,组织起草了《证券期货业信息系统托管基本要求》, 其内容主要包括托管分类、托管分级、托管责任、托管要求以及合同要素等。
6 .制定《证券期货业信息系统运维指南》,组织行业协会起草运维实践案例
为了规范行业运维管理,证监会组织了工作组,进行了调研,并多次论证研讨,在掌握了行业信息系统运维工作的问题、底数后,明确了标准制定的思路、原则、目标,在广泛征求行业机构意见的基础上,制定了《证券期货业信息系统运维管理指南》,现已报金标委审查。
7.规划证券期货业非交易网
为了促进证券期货业务创新发展,进一步降低行业通信成本,有效解决当前行业各业务通信网络的安全问题,加强交易网络的安全性和可靠性,证监会对行业通信情况进行了调研,组织了专题论证会,规划和起草了《证券期货业非交易网需求分析报告》,对行业当前网络现状及存在的问题、业务创新和发展、技术发展和建设模式等进行了深入研究。
|