中證協(xié)擬限制券商接入第三方平臺

隨風(fēng)而動2004 2015-03-17

展開全文

中證協(xié)：券商自有融出資金余額不得超凈資本2倍

時間：2015年03月17日 18:59:18 中財(cái)網(wǎng)

　　中證協(xié)擬限制券商接入第三方平臺
　　記者獲悉，為保障網(wǎng)上證券信息系統(tǒng)的安全、可靠、高效運(yùn)行,促進(jìn)證券公司網(wǎng)上開展證券業(yè)務(wù)的健康有序發(fā)展,中國證券業(yè)協(xié)會修訂了《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》,現(xiàn)予以發(fā)布。本辦法自發(fā)布之日起施行。
　　指引第五十四條指出，證券公司不得向第三方運(yùn)營的客戶端提供網(wǎng)上證券服務(wù)端與證券交易相關(guān)的接口。證券交易指令必須在證券公司自主控制的系統(tǒng)內(nèi)全程處理。

　　證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引
　　第一章總則
　　第一條為保障網(wǎng)上證券信息系統(tǒng)的安全、可靠、高效運(yùn)行，促進(jìn)證券公司網(wǎng)上開展證券業(yè)務(wù)的健康有序發(fā)展，保護(hù)客戶的合法權(quán)益，依據(jù)《中華人民共和國證券法》、《中華人民共和國電子簽名法》、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等國家相關(guān)法律法規(guī)，以及《證券期貨業(yè)信息安全保障管理辦法》等行業(yè)相關(guān)制度規(guī)范，制定本指引。
　　第二條本指引所提出的各項(xiàng)要求，是證券公司網(wǎng)上證券信息系統(tǒng)應(yīng)達(dá)到的基本要求。證券公司在開展網(wǎng)上證券信息系統(tǒng)建設(shè)和運(yùn)行過程中，應(yīng)符合本指引規(guī)定的相關(guān)要求。
　　第三條證券公司網(wǎng)上證券信息系統(tǒng)是證券公司通過互聯(lián)網(wǎng)、移動通信網(wǎng)絡(luò)、其它開放性公眾網(wǎng)絡(luò)或開放性專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施等開放性網(wǎng)絡(luò)，向其客戶提供金融業(yè)務(wù)和服務(wù)的信息系統(tǒng)，包括證券公司的網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備、軟件、數(shù)據(jù)、專用通訊線路，以及客戶端軟件等。
　　第四條證券公司利用網(wǎng)上證券信息系統(tǒng)開展證券業(yè)務(wù)應(yīng)當(dāng)遵循如下基本原則：
　　（一）安全性原則：網(wǎng)上證券信息系統(tǒng)的建設(shè)應(yīng)當(dāng)建立風(fēng)險防范意識，保證在網(wǎng)上開展證券業(yè)務(wù)的安全性。通過技術(shù)措施和管理手段，實(shí)現(xiàn)信息的保密性、完整性和服務(wù)可用性。
　?。ǘ┫到y(tǒng)性原則：網(wǎng)上證券信息系統(tǒng)的建設(shè)應(yīng)當(dāng)覆蓋安全保障體系的各個方面，包括但不限于：安全體系規(guī)劃和建設(shè)、證券業(yè)務(wù)安全運(yùn)行、運(yùn)維和安全保障、災(zāi)難恢復(fù)和應(yīng)急措施等。
　?。ㄈ┛捎眯栽瓌t：網(wǎng)上證券信息系統(tǒng)的建設(shè)應(yīng)當(dāng)在保障安全的原則下，確保在網(wǎng)上開展證券業(yè)務(wù)的連續(xù)性和可靠性。
　　第五條中國證券業(yè)協(xié)會對證券公司執(zhí)行本指引的情況實(shí)施自律管理。
　　第二章基本要求
　　第六條證券公司對網(wǎng)上證券信息系統(tǒng)應(yīng)當(dāng)統(tǒng)一規(guī)劃、統(tǒng)一管理，保證在網(wǎng)上開展證券業(yè)務(wù)安全、有序發(fā)展。
　　第七條證券公司應(yīng)當(dāng)根據(jù)國家相關(guān)法律法規(guī)，信息系統(tǒng)安全等級保護(hù)要求、運(yùn)維管理規(guī)范、信息系統(tǒng)備份能力標(biāo)準(zhǔn)、行業(yè)信息安全管理制度，以及監(jiān)管機(jī)關(guān)的相關(guān)實(shí)施指導(dǎo)意見，做好網(wǎng)上證券信息系統(tǒng)的信息安全管理、運(yùn)維管理和備份能力建設(shè)等工作。
　　第八條證券公司應(yīng)當(dāng)將在網(wǎng)上開展證券業(yè)務(wù)的風(fēng)險管理納入證券公司風(fēng)險控制工作范圍，建立健全網(wǎng)上證券風(fēng)險控制管理體系。
　　第九條證券公司應(yīng)當(dāng)將網(wǎng)上開展證券業(yè)務(wù)的審計(jì)納入公司的審計(jì)工作范圍。
　　第十條證券公司應(yīng)當(dāng)按照國家主管部門的有關(guān)規(guī)定辦理網(wǎng)上證券相關(guān)信息系統(tǒng)的備案，并提供備案信息的查詢途徑。
　　第十一條證券公司通過網(wǎng)上證券信息系統(tǒng)向客戶提供證券交易的行情信息，應(yīng)當(dāng)提示行情來源、行情站點(diǎn)名稱等信息；向客戶提供資訊信息的，應(yīng)當(dāng)說明信息來源。
　　第十二條證券公司網(wǎng)上證券信息系統(tǒng)分為網(wǎng)上證券客戶端和服務(wù)端。
　　網(wǎng)上證券客戶端是指證券公司為客戶提供人機(jī)交互功能的應(yīng)用程序，以及提供必需功能的組件，包括但不限于：可執(zhí)行文件、控件、靜態(tài)鏈接庫、動態(tài)鏈接庫等。除通用瀏覽器外，其它網(wǎng)上證券客戶端稱為網(wǎng)上證券專用客戶端。
　　網(wǎng)上證券服務(wù)端是指網(wǎng)上證券信息系統(tǒng)中提供客戶接入和接入后業(yè)務(wù)和服務(wù)處理的證券公司信息系統(tǒng)，包括但不限于：開放性網(wǎng)絡(luò)的接入以及接入后的網(wǎng)絡(luò)通信、身份認(rèn)證、應(yīng)用服務(wù)、安全防護(hù)與監(jiān)控、網(wǎng)絡(luò)隔離等系統(tǒng)。網(wǎng)上證券服務(wù)端網(wǎng)絡(luò)區(qū)域劃分為隔離區(qū)（DMZ）、后臺區(qū)。
　　第十三條證券公司應(yīng)當(dāng)采用多種技術(shù)手段加強(qiáng)網(wǎng)上證券信息系統(tǒng)敏感數(shù)據(jù)的保護(hù)，技術(shù)手段包括但不限于：敏感數(shù)據(jù)在開放性網(wǎng)絡(luò)加密傳輸，加解密在客戶與證券公司實(shí)際控制的系統(tǒng)中進(jìn)行，不得在任何中間環(huán)節(jié)對數(shù)據(jù)進(jìn)行解密；口令和密鑰全程加密傳輸，且加密存儲于后臺區(qū)；嚴(yán)格授權(quán)訪問存儲敏感數(shù)據(jù)的數(shù)據(jù)庫。
　　敏感數(shù)據(jù)指影響網(wǎng)上證券信息系統(tǒng)安全和客戶信息安全的數(shù)據(jù)，包括但不限于：口令、密鑰，以及客戶賬號、身份信息、聯(lián)系方式、交易數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、支付或轉(zhuǎn)賬數(shù)據(jù)、包含以上數(shù)據(jù)的客戶日志，以及其它若發(fā)生泄露可能損害客戶合法權(quán)益的數(shù)據(jù)。
　　第十四條證券公司應(yīng)當(dāng)保證網(wǎng)上證券敏感數(shù)據(jù)傳輸?shù)目捎眯?、保密性、完整性、真?shí)性和可稽核性。網(wǎng)上證券信息系統(tǒng)未經(jīng)證券公司授權(quán)不得與第三方進(jìn)行任何形式的敏感數(shù)據(jù)交換，并具備經(jīng)過認(rèn)證后僅向授權(quán)的第三方指定地址發(fā)送信息的功能，數(shù)據(jù)交換應(yīng)當(dāng)加密傳輸或使用專線、VPN等可靠通道，并確保數(shù)據(jù)在傳輸過程中不在所經(jīng)過的設(shè)備或系統(tǒng)上被復(fù)制或保存。
　　第十五條證券公司應(yīng)當(dāng)根據(jù)國家相關(guān)法律法規(guī)以及行業(yè)制度和規(guī)范要求、結(jié)合自身實(shí)際情況制定網(wǎng)上證券信息系統(tǒng)的數(shù)據(jù)備份計(jì)劃并落實(shí)執(zhí)行。備份的數(shù)據(jù)包括但不限于：系統(tǒng)程序、配置參數(shù)、系統(tǒng)日志、安全審計(jì)數(shù)據(jù)、門戶網(wǎng)站信息（資訊類數(shù)據(jù)除外）、客戶數(shù)據(jù)等。
　　第十六條證券公司網(wǎng)上證券信息系統(tǒng)敏感數(shù)據(jù)復(fù)用時應(yīng)當(dāng)遵循最小化原則。
　　第三章網(wǎng)上證券客戶端
　　第十七條證券公司發(fā)布網(wǎng)上證券客戶端應(yīng)當(dāng)通過公司網(wǎng)站或授權(quán)的第三方渠道進(jìn)行。證券公司在客戶端軟件程序編譯封裝、形成下載文件后，應(yīng)當(dāng)安排專人對其進(jìn)行嚴(yán)格的病毒掃描和木馬檢查，對計(jì)算機(jī)類專用客戶端的發(fā)布應(yīng)當(dāng)提供MD5等方式的校驗(yàn)。
　　第十八條證券公司授權(quán)第三方發(fā)布網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)的專用客戶端時，應(yīng)當(dāng)對其發(fā)布的客戶端軟件進(jìn)行確認(rèn)。
　　第十九條網(wǎng)上證券客戶端用戶登錄功能應(yīng)當(dāng)至少提供一種安全方式，包括但不限于：圖形驗(yàn)證碼、強(qiáng)制隨機(jī)排序圖形鍵盤、口令輸入安全控件等，防范不法分子利用木馬等黑客程序竊取客戶賬號和口令信息。
　　第二十條網(wǎng)上證券客戶端的客戶身份認(rèn)證信息和交易、支付數(shù)據(jù)等數(shù)據(jù)傳輸應(yīng)當(dāng)采用國家信息安全機(jī)構(gòu)認(rèn)可的加密技術(shù)和加密強(qiáng)度，并最低達(dá)到等同SSL協(xié)議128位的加密強(qiáng)度。
　　第二十一條網(wǎng)上證券客戶端在本地終端存儲客戶賬戶、交易數(shù)據(jù)、支付數(shù)據(jù)等數(shù)據(jù)時，應(yīng)當(dāng)提示客戶，經(jīng)客戶確認(rèn)后以加密方式存儲。
　　第二十二條當(dāng)客戶訪問網(wǎng)上證券服務(wù)端時，未經(jīng)客戶許可不得以任何方式在客戶端系統(tǒng)中安裝插件，安裝后應(yīng)當(dāng)允許客戶卸載。
　　第二十三條證券公司應(yīng)當(dāng)采取服務(wù)端身份或證書驗(yàn)證等手段校驗(yàn)網(wǎng)上證券專用客戶端。網(wǎng)上證券專用客戶端具有唯一連接到證券公司網(wǎng)上證券服務(wù)端的保障機(jī)制。網(wǎng)上證券專用客戶端應(yīng)當(dāng)提供足夠的識別信息，以使網(wǎng)上證券服務(wù)端能夠?qū)Πl(fā)出連接請求的客戶端與證券公司所提供的程序進(jìn)行一致性驗(yàn)證。
　　第二十四條網(wǎng)上證券專用客戶端應(yīng)用程序的新版本升級策略應(yīng)當(dāng)具備提醒升級、強(qiáng)制升級等功能，并由證券公司在服務(wù)端進(jìn)行升級策略的控制。
　　第二十五條網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)客戶端應(yīng)當(dāng)向客戶提示最近一次登錄的日期、時間、地址等信息，并對異常登錄及時提醒。
　　網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)指在信息交互或信息存儲中涉及敏感數(shù)據(jù)的網(wǎng)上證券信息系統(tǒng)。
　　第二十六條網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)客戶端應(yīng)當(dāng)提供在指定的閑置時間間隔到期后，自動鎖定或退出客戶端的功能使用。
　　第二十七條網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)以及實(shí)時行情系統(tǒng)的專用客戶端應(yīng)當(dāng)具備反調(diào)試和反逆向機(jī)制。
　　第四章網(wǎng)上證券服務(wù)端
　　第二十八條證券公司應(yīng)當(dāng)對網(wǎng)上證券服務(wù)端的各個子系統(tǒng)合理劃分安全域，不同安全域之間應(yīng)當(dāng)有效隔離，包括但不限于：網(wǎng)上證券信息系統(tǒng)隔離區(qū)（DMZ）系統(tǒng)與后臺區(qū)系統(tǒng)隔離；后臺區(qū)系統(tǒng)與行情資訊處理系統(tǒng)隔離。后臺區(qū)系統(tǒng)應(yīng)當(dāng)部署在證券公司可控的物理安全域內(nèi)。
　　第二十九條證券公司應(yīng)當(dāng)提供可靠的客戶身份認(rèn)證機(jī)制，支持網(wǎng)上證券客戶端采用多種認(rèn)證方式與服務(wù)端進(jìn)行身份認(rèn)證。對于提供證券交易、第三方支付、敏感數(shù)據(jù)修改等服務(wù)功能的網(wǎng)上證券信息系統(tǒng)，除輸入賬戶名、口令、圖形驗(yàn)證碼外，還應(yīng)當(dāng)向客戶提供一種或一種以上強(qiáng)度更高的身份認(rèn)證方式，包括但不限于：客戶端設(shè)備特征碼綁定、軟硬件證書、動態(tài)口令等認(rèn)證方式，確?？蛻羯矸菡J(rèn)證的合法性，防止非法接入。
　　第三十條網(wǎng)上證券服務(wù)端應(yīng)當(dāng)防止客戶使用簡單口令，應(yīng)當(dāng)能夠抵御連續(xù)猜測等惡意攻擊行為?？蛻暨z忘網(wǎng)上證券信息系統(tǒng)登錄口令時，證券公司應(yīng)當(dāng)采用安全可靠的方式進(jìn)行口令重置，禁止將原口令發(fā)送給客戶。
　　第三十一條網(wǎng)上證券服務(wù)端應(yīng)當(dāng)監(jiān)控攻擊者通過群體大規(guī)模對合法證券賬戶進(jìn)行非法登錄的請求，建立相應(yīng)的應(yīng)急處理機(jī)制，防范大量客戶賬戶被異常鎖定、正?？蛻魺o法登錄。
　　第三十二條網(wǎng)上證券服務(wù)端應(yīng)當(dāng)具備防范SQL注入式攻擊、跨站腳本攻擊、緩沖區(qū)溢出等攻擊的能力。
　　第三十三條網(wǎng)上證券服務(wù)端應(yīng)當(dāng)向客戶提供可證明服務(wù)端合法性的信息，幫助客戶查驗(yàn)所使用服務(wù)的真實(shí)性。查驗(yàn)手段包括但不限于：提供預(yù)留信息服務(wù)并在客戶登錄時向客戶顯示預(yù)留信息等。
　　第三十四條網(wǎng)上證券服務(wù)端應(yīng)當(dāng)向客戶有效屏蔽信息系統(tǒng)的異常信息，避免將信息系統(tǒng)的運(yùn)行環(huán)境、開發(fā)環(huán)境等信息反饋給客戶。
　　第三十五條網(wǎng)上證券服務(wù)端應(yīng)當(dāng)向證券公司技術(shù)人員提供系統(tǒng)運(yùn)行狀況信息(如活動狀態(tài)、并發(fā)在線客戶數(shù)、并發(fā)會話數(shù)、線程數(shù)、隊(duì)列長度等)、錯誤信息、安全警告等。
　　第三十六條證券公司應(yīng)當(dāng)制定并及時更新網(wǎng)上證券服務(wù)端范圍內(nèi)的服務(wù)器、中間件、操作系統(tǒng)、數(shù)據(jù)庫等安全配置基線。網(wǎng)上證券信息系統(tǒng)在符合安全基線后方可上線，運(yùn)行過程中應(yīng)當(dāng)監(jiān)控違反安全基線的異常情況，并及時處置。
　　第三十七條證券公司應(yīng)當(dāng)對網(wǎng)上證券服務(wù)端的軟件資產(chǎn)進(jìn)行管理，并通過合法渠道及時獲知相關(guān)軟件的漏洞信息，采取措施加以改進(jìn)。軟件資產(chǎn)包括但不限于：商用或開源的操作系統(tǒng)、中間件、數(shù)據(jù)庫、WEB框架等。
　　第三十八條證券公司涉及交易服務(wù)、實(shí)時行情的網(wǎng)上證券服務(wù)端應(yīng)當(dāng)在兩個或兩個以上的物理地點(diǎn)部署，并具備兩個或兩個以上不同運(yùn)營商的網(wǎng)絡(luò)接入，互為備份，避免單點(diǎn)故障和性能瓶頸，確保網(wǎng)上證券信息系統(tǒng)的業(yè)務(wù)連續(xù)性。
　　第三十九條網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務(wù)端應(yīng)當(dāng)部署在中華人民共和國境內(nèi)，滿足技術(shù)審計(jì)、監(jiān)管部門現(xiàn)場檢查及司法機(jī)構(gòu)調(diào)查取證等要求。部署網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務(wù)端的有形場所，應(yīng)當(dāng)符合國家安全標(biāo)準(zhǔn)的有關(guān)要求。
　　第四十條網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務(wù)端應(yīng)當(dāng)具備可靠的訪問控制、會話管理和權(quán)限管理機(jī)制，防止客戶的授權(quán)被惡意提升或轉(zhuǎn)授，防止客戶使用未經(jīng)授權(quán)的功能、訪問未經(jīng)授權(quán)的數(shù)據(jù)，確保數(shù)據(jù)交互的合法性。
　　第四十一條網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務(wù)端應(yīng)當(dāng)采用通過國家信息安全機(jī)構(gòu)安全測評的認(rèn)證授權(quán)和加密體系，具備足夠的強(qiáng)度和抗攻擊能力，并根據(jù)在網(wǎng)上開展證券業(yè)務(wù)的安全性需要和信息技術(shù)的發(fā)展，定期檢查、評估和及時調(diào)整。
　　第四十二條網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務(wù)端應(yīng)當(dāng)對不完整、被篡改、重發(fā)的數(shù)據(jù)包進(jìn)行監(jiān)控，對暴力破解、異常登錄等異常行為進(jìn)行跟蹤、監(jiān)控，記錄其賬號、IP地址等相關(guān)信息，并通過有效的即時通信方式及時提示客戶，必要時對異常接入進(jìn)行限制或?qū)蛻糍~戶進(jìn)行臨時鎖定。監(jiān)控和處置情況應(yīng)當(dāng)形成記錄備查。
　　第四十三條網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務(wù)端應(yīng)當(dāng)在指定的閑置時間間隔到期后，自動中止客戶對系統(tǒng)的訪問權(quán)。
　　第四十四條網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)服務(wù)端應(yīng)當(dāng)產(chǎn)生、記錄并集中存儲必要的日志信息，滿足信息技術(shù)審計(jì)、監(jiān)管部門現(xiàn)場檢查及司法機(jī)構(gòu)調(diào)查取證的要求。
　　日志信息包括但不限于：網(wǎng)上證券應(yīng)用軟件信息，及服務(wù)請求方的身份信息。
　　在可行的技術(shù)條件下，服務(wù)請求方的身份信息包括但不限于：登錄終端的IP地址、計(jì)算機(jī)終端信息（如MAC地址、硬盤序列號、CPU序列號等）、手機(jī)號碼、移動終端信息（如手機(jī)IMEI碼、平板電腦序列號等）等。
　　第四十五條證券公司應(yīng)當(dāng)在門戶網(wǎng)站及其它涉及敏感數(shù)據(jù)的頁面部署防篡改系統(tǒng)。相關(guān)頁面內(nèi)容、提供下載的客戶端軟件被異常修改時，防篡改系統(tǒng)應(yīng)當(dāng)自動告警或自動恢復(fù)、并記錄日志。
　　第四十六條證券公司應(yīng)當(dāng)建立對通過開放性網(wǎng)絡(luò)向客戶發(fā)布信息的審核、管理和監(jiān)控機(jī)制，并對公司網(wǎng)站等平臺的內(nèi)容進(jìn)行監(jiān)控，對有害信息進(jìn)行過濾，防止出現(xiàn)不良信息。
　　第五章開發(fā)和實(shí)施管理
　　第四十七條證券公司網(wǎng)上證券信息系統(tǒng)的應(yīng)用開發(fā)，應(yīng)當(dāng)從需求分析、設(shè)計(jì)、代碼編寫、測試、上線運(yùn)行等全生命周期角度開展應(yīng)用安全設(shè)計(jì)和實(shí)施。
　　第四十八條證券公司在需求分析與設(shè)計(jì)階段，應(yīng)當(dāng)充分分析相關(guān)業(yè)務(wù)功能所面臨的安全威脅和必需的安全功能，使安全功能設(shè)計(jì)成為整體功能設(shè)計(jì)的組成部分。
　　第四十九條證券公司應(yīng)當(dāng)制定應(yīng)用開發(fā)安全規(guī)范，開發(fā)人員在開發(fā)過程中應(yīng)當(dāng)嚴(yán)格遵循應(yīng)用開發(fā)安全規(guī)范。
　　第五十條證券公司應(yīng)當(dāng)在網(wǎng)上證券信息系統(tǒng)上線或重大變更前進(jìn)行安全測試和檢查。測試和檢查手段包括但不限于：滲透測試、模糊測試和代碼審計(jì)等。安全測試和檢查團(tuán)隊(duì)?wèi)?yīng)當(dāng)獨(dú)立于開發(fā)團(tuán)隊(duì)和實(shí)施團(tuán)隊(duì)。
　　第六章第三方服務(wù)管理
　　第五十一條網(wǎng)上證券信息系統(tǒng)開發(fā)商、服務(wù)商等第三方機(jī)構(gòu)提供技術(shù)產(chǎn)品和技術(shù)服務(wù)時，證券公司應(yīng)當(dāng)對其提供的技術(shù)產(chǎn)品和技術(shù)服務(wù)進(jìn)行評估，并約束其符合本指引規(guī)定的相關(guān)要求。
　　第五十二條網(wǎng)上證券信息系統(tǒng)采用外包方式建設(shè)時，證券公司應(yīng)當(dāng)與第三方機(jī)構(gòu)簽署服務(wù)協(xié)議和保密協(xié)議，協(xié)議內(nèi)容包括但不限于：接受證券監(jiān)管部門的延伸檢查，明確客戶端、服務(wù)端以及數(shù)據(jù)傳輸過程中均無后門，明確軟件開發(fā)商應(yīng)用軟件中使用的插件具備合法版權(quán)，保證客戶數(shù)據(jù)、交易資料不被泄漏等相關(guān)內(nèi)容。
　　第五十三條證券公司應(yīng)當(dāng)建立第三方服務(wù)質(zhì)量的評估機(jī)制，不得選擇在證券監(jiān)管部門誠信檔案中存在不良記錄的第三方機(jī)構(gòu)。
　　第五十四條證券公司不得向第三方運(yùn)營的客戶端提供網(wǎng)上證券服務(wù)端與證券交易相關(guān)的接口。證券交易指令必須在證券公司自主控制的系統(tǒng)內(nèi)全程處理。
　　第七章安全和運(yùn)維管理
　　第五十五條證券公司應(yīng)當(dāng)按以下標(biāo)準(zhǔn)確定網(wǎng)上證券信息系統(tǒng)的安全等級，并根據(jù)行業(yè)信息安全等級保護(hù)要求和規(guī)定，開展相應(yīng)的信息安全等級保護(hù)工作：
　　（一）具有證券交易、第三方支付、或?qū)γ舾袛?shù)據(jù)進(jìn)行修改等業(yè)務(wù)功能，且用戶規(guī)模在50萬或50萬以上的信息系統(tǒng)定為三級；用戶規(guī)模在50萬以下的定為二級；
　　（二）其它網(wǎng)上證券敏感數(shù)據(jù)信息系統(tǒng)，以及實(shí)時行情系統(tǒng)、門戶網(wǎng)站系統(tǒng)定為二級。
　　第五十六條證券公司應(yīng)當(dāng)制定網(wǎng)上證券信息系統(tǒng)的安全措施，定期檢查和測試，并根據(jù)實(shí)際情況及時調(diào)整，保證安全措施的持續(xù)有效。
　　第五十七條證券公司應(yīng)當(dāng)建立網(wǎng)上證券信息系統(tǒng)定期安全風(fēng)險評估機(jī)制和整改工作制度，及時發(fā)現(xiàn)SQL注入漏洞、弱口令賬戶、繞過驗(yàn)證、目錄遍歷、文件上傳、跨站腳本等系統(tǒng)存在的安全隱患和漏洞，并進(jìn)行改進(jìn)和完善。風(fēng)險評估應(yīng)當(dāng)通過內(nèi)部評估與外部評估相結(jié)合的方式進(jìn)行。
　　第五十八條安全風(fēng)險評估方式包括但不限于：漏洞掃描、攻擊測試、病毒掃描、木馬檢測等，并針對不同的威脅設(shè)置相應(yīng)的檢查頻率。
　　第五十九條證券公司應(yīng)當(dāng)嚴(yán)格限制人工對數(shù)據(jù)庫操作的賬戶權(quán)限，并分別使用不同權(quán)限的賬戶執(zhí)行查詢和修改等操作，記錄操作日志，并納入信息安全審計(jì)范圍。
　　第六十條證券公司應(yīng)當(dāng)保障網(wǎng)上證券信息系統(tǒng)運(yùn)營設(shè)施、設(shè)備以及安全控制設(shè)施、設(shè)備的安全。對重要設(shè)施、設(shè)備的接觸、檢查、維修和應(yīng)急處理，應(yīng)當(dāng)有明確的權(quán)限規(guī)定、責(zé)任劃分和操作流程，并建立日志文件管理制度，如實(shí)記錄并妥善保管相關(guān)記錄。
　　第六十一條證券公司應(yīng)當(dāng)定期評估可供客戶使用的網(wǎng)上證券信息系統(tǒng)的資源狀況，并根據(jù)實(shí)時監(jiān)控信息、可預(yù)見的業(yè)務(wù)發(fā)展需求進(jìn)行容量的需求預(yù)測，確保有充足的處理能力、存儲容量和通訊帶寬，滿足業(yè)務(wù)增長的需要，保證網(wǎng)上證券服務(wù)的可用性，并能抵御一定程度的拒絕服務(wù)攻擊和緩沖區(qū)溢出攻擊。
　　第六十二條網(wǎng)上證券信息系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)、安全系統(tǒng)、應(yīng)用系統(tǒng)等重要系統(tǒng)應(yīng)當(dāng)具備足夠的冗余，以應(yīng)對網(wǎng)站及網(wǎng)上交易可能出現(xiàn)的突發(fā)峰值。網(wǎng)上證券信息系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)、安全系統(tǒng)、應(yīng)用系統(tǒng)等重要系統(tǒng)應(yīng)當(dāng)具備良好的可擴(kuò)充性，以應(yīng)對業(yè)務(wù)增長和市場的變化。
　　第六十三條證券公司應(yīng)當(dāng)根據(jù)行業(yè)運(yùn)維管理規(guī)范、信息安全等級保護(hù)、證券期貨業(yè)信息安全保障管理辦法等相關(guān)要求，開展網(wǎng)上證券信息系統(tǒng)應(yīng)急預(yù)案建立、修訂、演練、培訓(xùn)等工作。網(wǎng)上證券信息系統(tǒng)應(yīng)急預(yù)案應(yīng)當(dāng)納入證券公司和行業(yè)的應(yīng)急預(yù)案體系內(nèi)。
　　第六十四條證券公司網(wǎng)上證券信息系統(tǒng)應(yīng)急預(yù)案應(yīng)當(dāng)針對以下場景制定對應(yīng)的應(yīng)急操作流程或步驟：
　?。ㄒ唬╇娏?、通信等基礎(chǔ)設(shè)施故障；
　?。ǘ┯?jì)算機(jī)硬件或網(wǎng)絡(luò)設(shè)備故障；
　?。ㄈ┎僮飨到y(tǒng)或應(yīng)用系統(tǒng)故障；
　?。ㄋ模┎僮飨到y(tǒng)或應(yīng)用系統(tǒng)漏洞；
　　（五）病毒入侵、惡意攻擊、客戶賬戶遭受非法入侵和操作等計(jì)算機(jī)犯罪事件；
　　（六）假冒證券公司網(wǎng)上證券信息系統(tǒng)和服務(wù)平臺；
　　（七）誤操作、不可抗力等。
　　第六十五條證券公司應(yīng)當(dāng)制定網(wǎng)上證券業(yè)務(wù)連續(xù)性計(jì)劃，保證網(wǎng)上證券業(yè)務(wù)的持續(xù)正常運(yùn)營。制定網(wǎng)上證券業(yè)務(wù)連續(xù)性計(jì)劃時，應(yīng)當(dāng)充分評估服務(wù)供應(yīng)商對業(yè)務(wù)連續(xù)性的影響，并采取適當(dāng)?shù)念A(yù)防措施。
　　第六十六條證券公司應(yīng)當(dāng)根據(jù)行業(yè)信息安全事件報(bào)告與調(diào)查處理的有關(guān)規(guī)定，做好網(wǎng)上證券信息系統(tǒng)故障和信息安全事件的應(yīng)急處置、事件報(bào)告、總結(jié)改進(jìn)等相關(guān)工作。
　　第八章客戶服務(wù)和保護(hù)
　　第六十七條證券公司向客戶發(fā)布公告、通知、風(fēng)險揭示等服務(wù)信息時，應(yīng)當(dāng)利用信息技術(shù)手段提高信息發(fā)布的及時性。
　　第六十八條證券公司應(yīng)當(dāng)與客戶簽訂網(wǎng)上證券服務(wù)協(xié)議或合同、風(fēng)險揭示書，明確雙方的權(quán)利、義務(wù)和相關(guān)風(fēng)險的責(zé)任承擔(dān)，向客戶充分揭示使用網(wǎng)上證券信息系統(tǒng)可能面臨的風(fēng)險、證券公司已采取的風(fēng)險控制措施和客戶應(yīng)當(dāng)采取的風(fēng)險防范措施。揭示內(nèi)容包括但不限于：建議客戶定期修改口令、增強(qiáng)口令強(qiáng)度，防止口令泄露、防止網(wǎng)上證券客戶端感染木馬、病毒等，并提醒客戶可根據(jù)需要開啟或關(guān)閉網(wǎng)上證券交易方式。
　　第六十九條當(dāng)網(wǎng)上證券服務(wù)范圍、方式或內(nèi)容發(fā)生變化時，證券公司應(yīng)當(dāng)評估原有協(xié)議、合同和風(fēng)險揭示書的適用性，并對內(nèi)容的變更進(jìn)行公告，或與客戶簽署補(bǔ)充協(xié)議、風(fēng)險揭示書。
　　第七十條證券公司應(yīng)當(dāng)在與客戶簽訂的協(xié)議或合同中明確告知客戶使用網(wǎng)上證券信息系統(tǒng)的合法途徑、意外事件的處理辦法，以及證券公司聯(lián)系方式等。
　　第七十一條證券公司應(yīng)當(dāng)根據(jù)網(wǎng)上證券業(yè)務(wù)的網(wǎng)絡(luò)延遲時間、鏈路穩(wěn)定狀況、信號衰減程度等風(fēng)險因素，對行情或交易數(shù)據(jù)可能出現(xiàn)明顯滯后或產(chǎn)生數(shù)據(jù)丟失的情況，事先對客戶進(jìn)行風(fēng)險提示。
　　第七十二條證券公司應(yīng)當(dāng)對與網(wǎng)上證券業(yè)務(wù)服務(wù)相關(guān)的域名、服務(wù)電話、短信號碼、公共平臺賬號、客戶端發(fā)布渠道等進(jìn)行統(tǒng)一管理，并通過多種渠道正式向客戶發(fā)布。
　　第七十三條證券公司應(yīng)當(dāng)對假冒證券公司網(wǎng)上證券信息系統(tǒng)的非法活動及時處置，并通過證券公司網(wǎng)站、網(wǎng)上證券客戶端、電話語音系統(tǒng)、短信平臺、公眾平臺等提醒客戶注意。
　　第九章附則
　　第七十四條本指引由中國證券業(yè)協(xié)會負(fù)責(zé)解釋。
　　第七十五條本指引自發(fā)布之日起施行。(中國證券網(wǎng))

　中財(cái)網(wǎng)

本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：隨風(fēng)而動2004 > 《財(cái)經(jīng)》

舉報(bào)/認(rèn)領(lǐng)