证券公司网上证券业务安全管理技术指引.docVIP

证券公司网上证券信息系统技术指引 第一章 总则 为保障网上证券信息系统的安全、可靠、高效运行，促进证券公司在网上开展的证券业务健康有序发展，保护投资者的合法权益，依据《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规制定本指引。 本指引适用于在中华人民共和国境内依法设立的证券公司。 网上证券信息系统是证券公司在网上开展证券业务活动中所采用的由相关网络设备、计算机设备、软件及专用通讯线路等构成的信息系统，包括网上证券服务端、客户端和门户网站。 证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则： （一）安全性原则：网上证券信息系统的建设应提高风险防范意识，保证在网上开展证券业务的安全性。通过技术措施和管理手段，实现信息的保密性、完整性和服务可用性。 （二）系统性原则：网上证券信息系统的安全建设应覆盖安全保障体系的各个方面，包括：安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。 （三）可用性原则：网上证券信息系统的建设应在保障安全的原则下，确保在网上开展的证券业务的连续性和可靠性。 中国证券业协会对证券公司执行本指引的情况进行指导和督促。 第二章 基本要求 证券公司对网上证券信息系统应统一规划、集中管理，保证在网上开展证券业务安全、有序发展。 证券公司应制定在网上开展证券业务的各项安全管理制度，对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。 证券公司应根据在网上开展证券业务特性，设立相应的管理职能岗位，明确在网上开展证券业务管理的责任，配备合格、足够的管理人员和技术人员，包括安全管理员、安全审计员等。 证券公司应将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围，建立健全网上证券风险控制管理体系。 对在网上开展证券业务的审计应纳入证券公司的审计工作范围。 证券公司网上证券信息系统应部署在中华人民共和国境内，满足技术审计、监管部门现场检查及中国司法机构调查取证等要求。部署网上证券信息系统的有形场所，应符合国家安全标准的有关要求。 证券公司应当与投资者签订网上证券服务协议或合同，明确双方的权利、义务和相关风险的责任承担，向投资者充分揭示使用网上证券信息系统可能面临的风险、证券公司已采取的风险控制措施和客户应采取的风险防范措施。 证券公司应通过多种方式揭示使用网上交易方式可能面临的风险和客户应采取的风险防范措施，提醒投资者加强账号、口令的保护工作，建议投资者定期修改口令、增强口令强度、防止口令泄露、防止用于网上交易的计算机或手机终端感染木马、病毒等，并根据投资者需要开启或关闭网上交易方式。 证券公司应尽可能使用统一的网上证券服务电话、域名、短信号码等，并应在与投资者签订的协议或合同中明确告知客户使用网上证券信息系统的合法途径、意外事件的处理办法，以及证券公司联系方式等。 证券公司的网上证券信息系统应自主运营、自主管理。如涉及第三方（指除证券公司及其客户以外的任何一方），应与第三方签订保密协议和服务级别协议，并明确责任，采取措施防止通过第三方泄露用户信息。 证券公司通过网上证券信息系统向客户提供证券交易的行情信息，应提示行情源；如向客户提供证券信息，应说明信息来源，并提示投资者对行情信息及证券信息等进行核实。 证券公司应对网上证券信息系统的各个子系统合理划分安全域，在不同安全域之间进行有效的隔离，保障网上证券信息系统的接入系统与其后台系统在技术上进行有效隔离，后台系统应与行情、资讯处理系统进行网络隔离，并应部署在证券公司可控的物理安全域内。 证券公司应在两个以上的物理地点建立网上证券信息系统，互为备份，并应具备2个或2个以上不同运营商的互联网接入，避免在同一运营商的线路接入上出现单点故障和瓶颈，同时应充分考虑不同互联网运营商的互联瓶颈问题，确保局部故障或灾难发生时，系统能继续对用户提供服务。 对于外包定制的网上证券信息系统，证券公司应与软件开发商签署服务协议和保密协议，明确客户端、服务端以及数据传输过程均无后门，明确软件开发商应用软件中使用的插件具备合法版权，以确保客户数据、交易资料不被泄漏，保障证券公司的权益。 第三章 门户网站 证券公司门户网站指证券公司建立的实现信息发布、业务咨询、营销推广、客户服务和投资者教育等功能的网站。 证券公司门户网站应当按照国家主管部门的有关规定办理网站备案，并提供备案信息的链接。 证券公司应定期对网站程序代码进行全面检查和评估，并及时修补，避免各种漏洞的存在。 证券公司应在门户网站部署防篡改系统，当网站上的页面内容、提供给投资者下载的客户端软件及其它文