证券期货业网络与信息安全事件应急预案.docx

1、证券期货业网络与信息安全事件应急预案 证券期货业网络与信息安全事件应急预案（2009版）证券期货业信息化工作领导小组办公室二九年六月1. 总则1.1. 编制目的建立健全证券期货业网络与信息安全事件应急工作机制，提高行业应对网络与信息安全事件的应急处置能力，预防和减少网络与信息安全事件造成的损失和危害，维护资本市场稳定和健康发展，维护国家金融安全和社会稳定，保护投资者合法权益。1.2. 编制依据中华人民共和国突发事件应对法等法律法规和国家有关网络与信息安全事件的应急预案、中国证券监督管理委员会（以下简称证监会）有关证券期货市场突发事件的应急预案。1.3. 工作原则（1）统一指挥、密切协同、快速反

2、应、科学处置。在证券期货业信息化工作领导小组的统一领导下，各单位、各部门合理分工，相互协作，形成快速、稳妥地处置网络与信息安全事件的工作机制。（2）谁主管谁负责、谁运行谁负责。充分发挥市场各方面力量，按各自的职责划分，分级处理，层层负责，共同做好网络与信息安全事件的预防和处置工作。（3）预防与处置相结合，以预防为主。加强风险排查，减少故障隐患，做好应急处置的各项准备，严格执行信息系统监控值守制度，确保故障及早发现。（4）果断处置、有效应对。发生网络与信息安全事件时要按应急报告流程及时报告，快速启动应急预案进行应急处置，最大程度减少网络与信息安全事件造成的危害和影响。1.4. 适用范围本预案适用

3、于证券期货业网络与信息安全事件应急处置工作。证监会及其派出机构（以下简称证监局），证券交易所、期货交易所、中国证券登记结算公司、中国证券投资者保护基金公司、中国期货保证金监控中心公司等市场核心机构（以下简称市场核心机构），中国证券业、期货业协会（以下简称行业协会），证券公司、期货公司、基金管理公司，证券期货投资咨询机构，业务关联银行应执行本预案的有关规定。1.5. 特别说明对于在证券期货业信息系统重大技术故障特别处置预案（以下简称特别预案）中另有规定的，从其规定。2. 应急处置机构与职责根据证监会关于维护资本市场安全稳定运行的有关指导意见，各单位、各部门网络与信息安全事件应急处置的职责规定如下

4、。2.1. 应急指挥与决策机构证券期货业信息化工作领导小组及其办公室（以下简称领导小组和证信办）负责领导、组织、协调和指挥证券期货业网络与信息安全应急工作。（1）组织协调有关单位和部门开展网络与信息安全应急工作和信息安全情况通报工作；（2）组织、管理证券期货业信息化工作应急处置技术顾问组；（3）在国家网络与信息安全管理部门的指挥（或指导）下，对行业特别重大的网络与信息安全事件进行应急处置和事件调查；（4）牵头对行业重大网络与信息安全事件的应急处置和事件调查，并提出处理意见；（5）联系国家网络与信息安全管理部门、有关部委和国家有关安全机构。在相关部门的指导、协助和支持下，对证券期货业网络与信息安

5、全事件进行情况通报和应急处置;（6）负责本预案的宣传、培训和演练工作。2.2. 行业内各有关单位与职责2.2.1. 会内相关部门市场部、机构部、基金部、期货一部和期货二部负责各自监管机构网络与信息安全事件的应急处置、事件调查和责任追究。2.2.2. 证监局（1）督导辖区证券期货经营机构对网络与信息安全事件进行应急处置，尽快恢复系统正常运行，调查事故原因，追究有关机构和人员的责任；（2）协助证信办组织、管理辖区内证券期货业信息化工作应急处置技术顾问组。2.2.3. 市场核心机构（1）做好自身网络与信息安全事件的应急处置、事件调查和通报工作；（2）指导会员单位做好相关技术系统的应急处置；（3）开展

6、本单位信息系统及与会员单位相关技术系统网络与信息安全事件应急预案的演练。2.2.4. 行业协会（1）做好证券期货经营机构的网络与信息安全事件的情况通报工作；（2）协助证信办做好证券期货业网络与信息安全应急处置技术顾问的培训工作；（3）根据证信办要求，协调技术资源，支援会员单位网络与信息安全事件的应急处置工作。2.2.5. 证券期货业信息化工作应急处置技术顾问组（1）协助监管部门对行业网络与信息安全事件进行应急处置、分析研判、事件调查，提供现场技术支持；（2）参加证券期货行业组织的网络与信息安全事件应急演练；（3）遵守保密要求，不泄露应急处置工作涉及到的情况和秘密。2.2.6. 各证券期货经营机

7、构、投资咨询机构（1）在监管部门的指导和监督下，做好自身网络与信息安全事件的应急处置、事件调查和通报工作；（2）开展本单位网络与信息安全事件应急预案的演练。2.3. 行业关联单位与职责2.3.1. 业务关联银行（1）做好保证金存管、基金托管、结算等关联证券期货业务的网络与信息安全事件的应急处置工作；（2）参加证券期货行业组织的跨行业应急演练；（3）协助监管部门及当事证券期货经营机构调查处理相关信息安全事件。3. 预防预警3.1. 预防措施行业各单位、各部门应建立预防预警工作机制，定期进行风险评估，对风险点要建立管理台帐，针对存在的风险隐患要制定整改、监测措施，防止网络与信息安全事件的发生。3.

8、2. 应急准备3.2.1市场核心机构和各证券期货经营机构应制定完善的应急预案，做好应对网络与信息安全事件的各项准备。（1）系统管理员、网络管理员、数据库管理员、安全管理员等关键岗位必须有主、备岗，并熟练掌握应急预案，确保能够有效应对网络与信息安全事件。（2）在自身力量不足以满足应急要求的情况下，应与相关单位签订通信、消防、电力设备、空调设备、软硬件产品等的应急处理及服务保障协议。对协议的执行情况要进行定期检查和评估，确保服务保障措施落实到位，确保在应急处置中相关单位能提供及时有效的技术支持。（3）事先储备一定数量的通信、消防、应急照明等应急设备或物资和其他重要设备配件。准备应急处置专项资金，确

9、保应急处置中能及时采购应急设备或物资。（4）指定通报联络人，明确联络方式。市场核心机构和证券期货经营机构的通报联络人至少包括信息技术负责人及其备岗。通报联络方式至少包括应急值守电话与传真。市场核心机构应将通报联络人及其联络方式及时通知证监会业务部门、证信办和相关单位。证券期货经营机构应将通报联络人及其联络方式及时通知辖区证监局、行业协会和相关单位。3.2.2 行业各单位应根据各相关单位提供的通报联络人信息，编制本单位应急联络手册。通报联络人和联络方式发生变化时必须及时通知相关单位。3.2.3 行业各单位实行724小时联络制度，通报联络人必须保持应急值守电话可用。3.3. 敏感时期信息系统安全特

10、别保障措施证信办根据国家有关规定和需要启动敏感时期报告制度，并规定行业内敏感时期报告的启动与截止日期，日报告的截止时间等要素，行业协会应将有关要求通知会员单位。各证券期货经营机构在收到启动敏感时期报告的通知后，应根据要求每日以敏感时期信息安全报告的形式向行业协会上报本单位信息系统运行状况。各市场核心机构情况报证信办，行业协会应将本单位和证券期货经营机构的汇总情况上报证信办。无异常情况的，要进行平安运行报告。敏感时期各单位分管信息技术的领导和信息技术部门的负责人不能离岗，通报联络人要保持通信联络通畅。应增加对信息系统的巡检巡查频度。除非确有必要，原则上不应在敏感时期对重要信息系统进行改动或升级。

11、3.4. 预警监测与信息报送预警信息是指可能导致本单位或证券期货行业发生较大网络与信息安全事件的情况。如大规模病毒爆发、信息系统遭受破坏、信息系统存在重大安全隐患等。预警信息通过日常监测，现场、非现场检查，风险评估，IT审计，有关单位报告等方式获悉。行业有关单位和部门应建立科学的预警体系，严格执行信息系统24小时监控制度，交易时间必须有专人对重要信息系统进行实时监控，交易时间以外如无法做到人工监控，则必须开启自动监控系统和自动报警系统。发现有苗头的警情时，应尽快加以核实，迅速上报。预警信息的报送路径与本预案规定的网络与信息安全事件的报送路径相同。报送预警信息的单位、部门在及时上报的同时，应立即

12、采取必要的防范措施，实施前期控制，及时报告相关情况。3.5. 预警信息处置证信办在接到行业内有关单位和部门上报的预警信息后，应迅速组织有关单位对预警信息进行评估、分析风险的严重性和可能导致的后果，按国家有关网络与信息安全事件应急预案的要求进行报告。证信办在接到国家信息安全管理部门的预警、解除预警的信息后，应立即通报相关单位和部门采取相应的措施。4. 事件通报和处置4.1. 事件通报4.1.1. 国家有关部门及行业外关联单位的事件通报证信办接到国家网络与信息安全管理部门以及行业外业务关联单位通报的网络与信息安全事件后，应对通报的事件信息进行研判，视事件影响情况，向领导小组组长、副组长汇报，并根据

13、会领导指示，区分信息安全事件的当事单位，及时将网络与信息安全事件情况通报书（附件1）送有关单位，同时抄送办公厅。（1）当事单位为证券交易所，中国证券登记结算公司时，主送当事单位和证监会市场部。（2）当事单位为期货交易所，中国期货保证金监控中心或中国期货业协会时，主送当事单位和证监会期货一部。（3）当事单位为中国证券投资者保护基金公司或中国证券业协会时，主送当事单位和证监会机构部。（4）当事单位为证券公司或证券营业部时，主送证监会机构部。（5）当事单位为期货公司或期货营业部时，主送证监会期货二部。（6）当事单位为基金管理公司时，主送证监会基金部。4.1.2. 行业内各单位的事件通报各单位在网络与

14、信息安全事件发生后，应立即根据本预案中规定的通报要求，在规定的时间内上报事件情况，首先通过电话报告事件情况（受话人要做好电话记录），随即填写网络与信息安全事件情况报告书（附件2）并传真上报。（1）市场核心机构与行业协会发生的网络与信息安全事件报告机制市场核心机构的重要信息系统发生可能导致交易中断、或已经导致交易中断的网络与信息安全事件后，按特别预案的规定进行通报。如发生其他技术事故,原则上若30分钟内无法排除故障，当事单位应立即报告证监会值班室、相关业务部门和证信办，并每隔30分钟至少上报一次，直至系统恢复正常运行；如有重要情况应立即报告。证监会相关部门对事件进行研判，视情况向会领导报告。（2

15、）证券期货经营机构、投资咨询机构发生的网络与信息安全事件报告机制证券、期货公司集中交易系统发生软、硬件故障，可能导致或已经造成全公司交易中断的，当事单位必须立即报告辖区证监局，证监局应立即核实事件情况并向证监会值班室、相关业务部门和证信办报告，证券公司同时向上海、深圳证券交易所报告，期货公司同时向上海期货交易所、郑州商品交易所、大连商品交易所、中国金融期货交易所报告，并每隔30分钟至少上报一次，直至系统恢复正常运行；如有重要情况应立即报告。证券公司技术故障影响到登记结算业务的，同时向中国证券登记结算公司报告，报告要求同各交易所。证券期货经营机构总部的其他信息系统（包括但不限于网上交易系统，银证

16、、银期、银基系统）和营业部交易业务系统、证券期货投资咨询机构的信息系统发生网络与信息安全事件后，原则上若30分钟内仍然没有解决问题，当事单位应立即将事件情况上报辖区证监局，并每隔30分钟至少上报一次，直至系统恢复正常运行；如有重要情况应立即报告。涉及到网络犯罪的事件，当事单位应同时报送当地公安网监部门。辖区证监局原则上应在事件发生后1小时内将事件情况上报证监会值班室、相关业务部门和证信办，并保证后续信息的持续报告；如有重要情况应立即报告。证监会相关部门对事件进行研判，视情况向会领导报告。（3）涉及到与银行业务系统相关的网络与信息安全事件，由证信办根据银行、证券跨行业信息系统突发事件应急协调工作

17、合作备忘录的规定向银监会通报。如需上报国家网络与信息安全管理部门的，证信办经请示后将事件情况及时上报。（4）持续报告持续报告时相关单位和部门应填写网络与信息安全事件情况报告书（附件2），内容包括事件发生时间、地点、简要经过、影响范围初步评估、影响程度初步评估、影响人数初步评估、经济损失初步评估、后果初步判断、原因初步判断、事件性质初步判断、已采取的措施及效果、需要有关部门和单位协助处置的有关事宜、报告单位、签发人和报告时间、联系人与联系方式、其它与本事件有关的内容。（5）事件初步定级由证信办牵头组织相关单位和部门进行持续评估，并根据国家有关网络与信息安全事件的应急预案和证监会有关证券期货市场突

18、发事件应急预案的有关规定，对事件进行初步定级。（6）事件处置进展报告 网络与信息安全事件初步定级为特别重大或重大事件时，相关单位和部门应在事件发生后2小时内，将事件处置进展报告书面上报证监会值班室、相关业务部门和证信办。事件处置进展报告应至少包括持续报告填报的内容。证监会应按照国家有关网络与信息安全事件的应急预案和证监会有关证券期货市场突发事件应急预案的有关规定进行报告，并提出处理意见。 各单位应保证报告要素完备、及时、准确，不得瞒报、缓报、谎报网络与信息安全事件的情况。接报单位应保证及时接收、准确记录上报信息。4.2. 事件处置4.2.1. 事件处置一般原则（1）各有关单位和部门发生网络与信

19、息安全事件后，应立即启动本行业、本单位、本地区、本部门应急预案，迅速采取应急措施，尽快恢复受破坏网络和系统的正常运行。在应急处置结束前，各有关单位和部门应保证专人24小时值班。（2）证监会相关部门、证监局、市场核心机构和行业协会视事件情况，根据各自职责，指导、督促和支持证券期货经营机构开展应急处置工作。证监局要视情况从行业应急处置技术顾问组中抽调相应技术顾问，协助当事单位进行应急处置。（3）各有关单位和部门应急处置人员应保持联系方式畅通，及时通报事态发展变化情况和事件处置进展情况。（4）当事单位要做好受影响公众的解释、疏导工作，及时采取适当方式加强正面舆论引导，防止因公众遭受损失衍生大规模群体

20、性事件。必要时，请求公安机关协助维护现场秩序。（5）当事单位应在必要时向新闻媒体说明事件情况，做好事实说明和正面宣传。（6）当事单位应做好应急处置的相关记录，保留有关证据，如涉及网络入侵、攻击，可取得当地公安网监部门的支持，积极稳妥地进行应急处置。4.2.2. 事件处置方案在事件应急处理过程中，除遵循前述一般规定外，应根据实际情况和本节的要求各自做好相应的处理工作。本节中未做明确规定的，由领导小组组长视情况临时决定。市场核心机构的重要信息系统发生可能导致交易中断、或已经导致交易中断的网络与信息安全事件的处理方案按特别预案的规定处置。其他事件按网络与信息安全事件处理方案（附件3）进行处置。5.

21、后期处置5.1. 后续工作网络与信息安全事件应急处置结束、系统恢复正常运行后，各单位、各部门应尽快消除事件造成的影响，恢复正常工作。5.2. 事件分析总结各有关单位和部门应做好网络与信息安全事件的分析与总结工作。（1）市场核心机构与行业协会的网络与信息安全事件分析总结报告市场核心机构与行业协会应在事件应急处置结束、系统恢复正常运行后12小时内，将事件分析总结上报办公厅、相关业务部门和证信办。（2）证券期货经营机构、投资咨询机构的网络与信息安全事件分析总结报告证券期货经营机构、投资咨询机构在事件应急处置结束、系统恢复正常运行后12小时内，将事件分析总结上报辖区证监局和行业协会，涉及远程接入交易所

22、系统的故障，应同时上报有关交易所。证券期货经营机构集中交易系统事故和其它在30分钟内未能恢复系统正常运行的网络与信息安全事件，证监局在事件应急处置结束、系统恢复正常运行后24小时内，将事件分析总结上报办公厅、相关业务部门和证信办。中国证券业协会或中国期货业协会应汇总各证券期货经营机构发生的信息安全事件，并及时通报证信办。事件总结报告内容应包括但不限于：（一）事件概况，包括事件发生时间、地点、事件经过、事件影响范围、影响程度、影响人数、经济损失和导致的后果等。（二）应急处置过程，包括事件上报过程、采取的措施及效果。（三）事件发生的主要原因分析、事件性质、结论。暂时无法确定事件原因的，应给出事件的

23、初步原因，并组织力量尽快查找原因，在找到事件原因后再提交事件总结补充报告。国家网络与信息安全管理部门、证信办、证监会相关业务部门、证监局视情况组织有关单位和专业技术机构，成立事件调查组进行调查分析。事件调查组进行调查处理时，有权向有关单位和人员了解情况。相关单位应积极配合事件调查组开展工作，如实介绍情况，提供证据和相关服务保障，不得拒绝、阻碍、干扰调查和取证工作。证监会应根据有关规定，向国家有关部门上报特别重大或重大的网络与信息安全事件总结调查报告。6. 宣传、培训和演练6.1. 宣传教育各单位应充分利用各种传播媒介及其它有效的宣传形式，加强网络与信息安全事件应急处置的法律、法规和政策的宣传，

24、开展网络与信息安全基本知识和技能的宣传活动，提高投资者防范意识和应急处置能力，增强投资者对个人信息的保密意识。6.2. 培训各单位、各部门要将网络与信息安全事件的应急知识等列为行政管理干部和相关人员的培训内容，加强网络与信息安全特别是网络与信息安全应急预案的培训，提高防范意识及技能。6.3. 演练证信办应每年至少组织一次对本预案的演练，模拟处置网络与信息安全事件，组织有关部门和单位参加，提高实战能力，检验和完善预案，并将演练情况按有关规定报国家信息安全管理部门。各单位每半年应至少组织一次本单位网络与信息安全应急演练，证券期货经营机构应将演练情况报辖区证监局，市场核心机构与行业协会应将演练情况报

25、证信办。7. 附则7.1. 预案管理本预案原则上每年评估一次，并根据实际情况适时修订。修订工作由证信办负责。行业各单位应结合本预案制定、修订本单位网络与信息安全事件相关的应急预案，做好预案之间的衔接。市场核心机构和行业协会应急预案向证信办报备，证券期货经营机构应急预案向辖区证监局报备。各单位每年应至少对应急预案评估一次，并及时修订。7.2. 预案解释部门本预案由证信办负责解释。7.3. 预案实施时间本预案自印发之日起实施。附件：1.网络与信息安全事件情况通报书2.网络与信息安全事件情况报告书3.网络与信息安全事件处理方案附件1:网络与信息安全事件情况通报书 通报时间： 年 月 日 时 分 主送

26、单位抄送单位证信办联系人联系电话传真事件简要描述处理情况附件名称通报单位证券期货业信息化工作领导小组办公室（盖章）附件2:网络与信息安全事件情况报告书 报告时间： 年 月 日 时 分 第 次单位名称报告人联系电话传 真签发人联系方式（含手机）事件发生时间、地点事件简要经过事件影响范围、影响程度、影响人数、经济损失情况事件导致的后果、发生原因和事件性质判断已采取的措施及效果需要有关部门和单位协助处置的有关事宜备注注：单位名称处需加盖公章或信息技术负责人签字。附件3:网络与信息安全事件处理方案1. 证券、期货公司事件处理方案1.1. 集中交易系统技术故障【事件描述】证券、期货公司集中交易系统发生软

27、、硬件故障，影响正常交易或结算业务的。【事件处置】（1）当事单位应以适当方式尽快让投资者了解情况，如有其他替代手段（如场内报单），应当予以提示；（2）辖区证监局视情况组织应急处置技术顾问或协调有关部门，协助当事单位进行事件处置，尽快恢复系统正常运行；（3）原则上由辖区证监局组织事件调查组，对事件的过程和原因进行调查分析；必要时，由业务部门联合证信办等单位进行事件调查；（4）事件调查应明确事件是由人为因素还是由不可抗力所致，当事单位应根据与投资者签订的委托协议和相关法律法规处理事件引发的纠纷；（5）证信办负责将事件的情况通报给行业相关单位，提示注意类似的技术隐患。1.2. 网上交易系统技术故障【

28、事件描述】证券、期货公司的网上交易系统发生软、硬件故障，影响正常交易的。【事件处置】（1）当事单位应以适当方式尽快让投资者了解情况，提示投资者采取其他替代手段（电话委托、现场委托、场内报单等）；（2）辖区证监局视情况组织应急处置技术顾问或协调有关部门，协助当事单位进行事件处置，尽快恢复系统正常运行；（3）原则上由辖区证监局组织事件调查组，对事件的过程和原因进行调查分析；必要时，由业务部门联合证信办等单位进行事件调查；（4）事件调查应明确事件是由人为因素还是由不可抗力所致，当事单位应根据与投资者的委托协议和相关法律法规处理事件引发的纠纷；（5）证信办负责将事件的情况通报给行业相关单位，提示注意类

29、似的技术隐患。1.3. 网上交易系统遭受恶意攻击【事件描述】证券、期货公司的网上交易系统受到DDOS攻击或其他恶意攻击、影响正常交易的。【事件处置】（1）当事单位必须立即保存好重要的业务数据和系统日志；（2）当事单位应以适当方式尽快让投资者了解情况，提示投资者采取其他替代手段（电话委托、现场委托、场内报单等）；（3）如攻击持续时间已达1个小时，辖区证监局应组织应急处置工作组，配合当地公安网监部门对事件的过程和原因进行调查分析，向证监会相关业务部门和证信办提交事件调查报告；（4）如攻击持续时间已达1个小时，当事单位应通知证券、期货交易所，中国证券登记结算公司，中国投资者保护基金公司，中国期货保证

30、金监控中心公司密切关注连接遭受攻击的单位的专线链路，防止受到连带攻击；（5）证信办视情况负责联系国家有关信息安全机构，确认攻击源的发起地，并采取相应处置措施；（6）证信办负责将事件的情况通报给行业相关单位，提示注意类似的技术隐患。1.4. 营业部行情、现场委托、通讯系统等交易业务系统技术故障【事件描述】证券、期货公司营业部行情、现场委托、通讯系统发生软、硬件故障，无法进行正常委托交易的。【事件处置】（1）当事单位应以适当方式尽快让投资者了解情况，提示投资者其他的替代手段（电话委托、网上委托、场内报单等）；（2）必要时向当地公安部门报告，以妥善处理群体性事件；（3）辖区证监局视情况组织应急处置技

31、术顾问或协调有关部门，协助当事单位进行事件处置，尽快恢复系统正常运行；（4）对故障时间超过1个小时的事件，辖区证监局应组织事件调查组，对事件的过程和原因进行调查分析；（5）事件调查应明确事件是由人为因素还是由不可抗力所致，当事单位应根据与投资者签订的委托协议和相关法律法规处理事件引发的纠纷；（6）证信办负责将事件的情况通报给行业相关单位，提示注意类似的技术隐患。1.5. 营业部行情、现场委托、通讯系统等交易业务系统遭受恶意侵入【事件描述】证券、期货公司营业部交易业务系统受到恶意侵入。【事件处置】（1）当事单位应保存好关键的业务数据、系统日志和监控视频记录；（2）必要时向当地公安部门报告，以妥善处理群体性事件；（3）如攻击持续时间已达1个小时，辖区证监局应组织应急处置工作组，配合当地公安网监部门对侵入的过程、受损情况和作案嫌疑人进行调查分析，向证监会相关业务部门和证信办提交事件调查报告；（4）如攻击持续时间已达1个小时，当事单位应通知证券、期货交易所，中国证券登