基金公司网上销售业务安全管理技术指引.doc

网上基金销售信息系统技术指引 （征求意见稿） 中国证券业协会 二ＯＯ九年六月十二日 目 录 第一章 总则……………………………………… 1 第二章 基本要求………………………………… 2 第三章 门户网站………………………………….4 第四章 网上基金销售信息系统客户端…………5 第五章 网上基金销售信息系统服务端 …... 6 第六章 安全管理………………………………. .10 第七章 附则……………………………………….13 第一章 总则 为保障网上基金销售信息系统的安全、可靠、高效运行，促进基金销售业务的健康有序发展，保护投资者的合法权益，依据《中华人民共和国证券投资基金法》、《证券投资基金销售业务信息管理平台管理规定》等法律法规制定本指引。 在中华人民共和国境内依法设立的基金销售机构开展网上基金销售业务适用于本指引。 基金销售机构是指依法办理基金份额的认购、申购和赎回的基金管理人以及取得基金代销业务资格的其它机构，包括基金公司、商业银行、证券公司、证券投资咨询机构、专业销售公司等。 网上基金销售信息系统是指基金销售机构在网上开展基金销售业务活动中所采用的网络设备、计算机设备、软件及专用通信线路等构成的信息系统。 网上基金销售机构应采取技术和管理措施，保证网上基金销售系统的保密性、完整性和可用性。 中国证券业协会依据《基金法》的有关规定和中国证监会授权或委托，对基金销售机构执行本指引的情况进行监督和检查。 第二章 基本要求 基金销售机构对网上基金销售信息系统应统一规划、集中管理，保证网上基金销售业务安全、有序发展。 基金销售机构应制定在网上开展基金销售业务的各项安全管理制度和规定，包括：安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施等。 基金销售机构应将网上开展基金销售业务的风险管理纳入本机构风险控制的总体框架，建立健全网上基金风险控制管理体系。 对网上基金销售信息系统的审计应纳入基金销售机构的总体审计工作。 基金销售机构的网上基金销售信息系统应部署在中华人民共和国境内，满足监管部门现场检查要求及中国司法机构调查取证要求。 基金销售机构应当与投资者签订网上基金或网上金融业务服务协议或合同，明确双方的权利、义务和风险的责任承担，向投资者揭示使用网上基金销售信息系统可能面临的风险、基金销售机构已采取的风险控制措施和客户应采取的风险防范措施。 网上基金销售信息系统应具有向投资者提示交易和查询的时间区间的功能。交易时间区间应严格遵守监管机构或交易所的相关规定。 网上基金销售信息系统应由基金销售机构自主运营、自主管理。如涉及第三方（指除基金销售机构及其客户以外的任何一方），必须与第三方签订保密协议和服务协议，明确责任，采取措施防止通过第三方泄露用户信息。 基金销售机构委托或定制开发网上基金销售业务系统，应与开发商签订详细的商业合同，明确责任，开发商所使用的第三方产品具备合法版权。应要求开发商提供源代码或源代码实行第三方托管。确保客户端、服务端以及数据传输过程安全。 基金销售机构应建立可靠的运行环境，确保基金销售系统有充足的处理能力、存储容量和通讯带宽，满足业务增长的需要。 网上基金销售机构应对网上基金销售信息系统的各个子系统合理划分安全域，在不同安全域之间进行有效的隔离，保障网上基金销售前台系统与其后台系统在技术上进行有效隔离，门户网站和网上基金销售信息系统进行有效隔离。 网上基金销售信息系统各环节必须有可靠的热备或冷备措施，保证整个系统的高可用性。 用于网上基金销售信息系统的服务器、操作系统、平台软件等应及时进行补丁和版本升级。升级前需进行严格的系统测试。 网上基金销售信息系统应具备2个或2个以上不同运营商的互联网接入，避免在同一运营商的线路接入上出现单点故障和瓶颈。 网上基金销售信息系统应部署防火墙、入侵检测系统或入侵防护系统，并定期对安全日志进行检查，以提高网上基金销售信息系统的防护能力。 第三章　门户网站 门户网站指基金销售机构建立的实现信息发布、业务咨询、营销推广、客户服务和投资者教育等功能的网站。 公司门户网站应在当地电信管理局办理ICP备证，同时向当地工商局等有关部门办理网站备案，在网站首页公布ICP备证号，提供客户查询门户网站备案信息的链接。 基金管理公司和专业基金销售机构应采取有效措施监控门户网站防止被篡改。当网站上的页面内容、提供给投资者下载的客户端软件及其他文件被异常修改时，能及时发现并恢复。 与核心交易业务有关的客户资料、交易数据等客户敏感数据不得存放在门户网站数据库中。网上客户业务处理的日志应单独存放。 在基金管理公司和专业基金销售机构门户网站中，客户账号及密码，应采用加密方式传输，并最低达到SSL协议128位的加密