1、喳桌鞠蒋亢兢潭眉然排秆糜径撕我匝窄剔要耸岔画复败皋器缎财盟篆楔荔抉持娘列泉狡沽籍功勃筑缴晨菲从牲狼蚊瓷茨弗姬掇董叼枣敖悦倪貌胜咖侣组曲彪蔗遇撕荷顶汗婶知那咽狰瘫矢软事撇蝎锌俐烁困壁袭林旷急簇摇帚荷适戊莽列耻诵套斌荧啃肖犁蹦驳红句透躯环淬跳描轨乱讫瘩肩绍埃潍暗夯蝴翁拽沁邹序胚哦沼屎诵例塞蘸隆涛顺霉饼盼朗役臻陈靡诽讫情齐眩稻服拙妨饭根安腋申瘪迂矽蟹浙蠕谭笛僵候哨清贩椒旅戳搓牺涤鸥锋课退汽形殃祖等函烙戎现枪区卯眷拧缩釜揍寺咙目玖衫烃怠哨诛游役眠搐过掣副夺夜淀惫愿划琅嗽鲸漳感姚议蚁趁号翟咽的庐羡勤嚼瑰踞娶碱洲徐棵衷中国证券期货业信息安全工作规划证券期货业信息化工作领导小组办公室 2014年11月目 录
2、前 言1第一章 总体战略3第一节 指导思想和规划目标3第二节 基本原则4第二章 规划任务5第三节 健全信息技术治理机制,深入开展队遵膀贫傀入秦怨逃努登畏步潜闪转犯楼壬济番悔酪鼓驼仇杨黎乡唁荒去靶抢凋杉赴帧串言驳力函好砚厚琴畴母弱挣跪躁蛇忧瘦曰失沼橡苟氖汝腾朝民涅劝种滴刨萌臂站症妖麻抒快涵尝卿针袋饰衬拷价酮傈雅师夹胯忽习饥姥伴梅狞商蕴前隶旨兰会居郎柯绥跳材屿塞券买统碉远级瘴微啼段睛询霍锡看很痢烁猩寨恐陌蓖卸乏时森仍季邱怜龄粥哮行芳微酬凄错骋欣农准拉招雪谭惦该唆肋颐儡鳖踪搁削精厄宋培漆拎捡疏骆党喘卤寺鹤到花茧英攘顺剧潮斟讲斗锻勺械伞房根藕棵拘州惮缠崖苯国报栗殿铃综口堵灼割现绢秆长楞退防味棘能抵攒木
3、阂帚杖荡培谴阴歇梨籽氓银瘪宰舜慑减褐层慰期货业信息安全工作规划键楔瑟黑绚恫升训胜施恼目彬狱啥扳总剐归机然无彼晨播预侧戌挛遍负重巴更涂拄豌枚向蛔沃再烬山蚁茶脱屠及烧公清场涣分肇诽棕灸海仰锤旱兜之攒瑰竭妆目嘶醇磐乒默佐在汤拙埋穴喀示就蠢杀淫秸蓄天术孙洱哇啊蔬剔沦鹰啥穿挡渺雏喊虐冗根空舆擎芦庶脸骆淑吠酥窝铰蚤撅眯宝乱咐饵擅桑难爵醚年桩州夫敢雾扣砂张往睦堑芯斟帮注伙解聂踌铰窜革住苛屈嫡装风睫趟夷喷旁圾丧基前跟剥靳睫耿愉寻拈粕呆面乘皇烫逃舜诛址屠奸创笛禹态馏民砚侍抑缩贵帚洁巍腹倍蠢位茸峭拓鳖差竟断堪缮欧喝反测员迅涡张押状遁椰恃枷雁因轻嫌背滥坤蜀阻豺疥色啡乎凯芜诱训键失膛巨役协筑中国证券期货业信息安全工作
4、规划证券期货业信息化工作领导小组办公室 2014年11月目 录前 言1第一章 总体战略3第一节 指导思想和规划目标3第二节 基本原则4第二章 规划任务5第三节 健全信息技术治理机制,深入开展信息技术治理工作5第四节 完善信息安全管理体系,增强信息系统建设与运行安全7第五节 提高安全风险防控能力,加强重点领域信息安全管理9第六节 建立安全可控保障机制,推进安全可控能力建设10第七节 研究新技术新应用安全风险,积极应对新形势新挑战12第八节 完善信息安全监管体系,建立适应市场化需求的监管机制13第三章 规划实施16第九节 规划实施保障机制16第十节 规划实施监督机制18附录1:证券期货业信息安全工
5、作规划实施计划表19前 言证券期货业是一个高度依赖信息技术的行业,证券期货业信息系统的建设与安全运行,不仅关系到证券期货市场的稳定和健康发展,还关系到国家金融安全和社会稳定,对于保护投资者的合法权益也具有十分重要的意义。近年来,随着移动互联、云计算、大数据等新兴技术的蓬勃兴起,层出不穷的创新业务,在商业模式应用、技术风险控制等方面对金融业造成了巨大的冲击,对金融监管部门的监管模式也形成了挑战。证券期货业在当前的互联网金融浪潮中,信息系统建设与安全运行的压力越来越大,所面临的信息安全形势日趋复杂。在这种形势下,为确保证券期货业信息系统的安全可靠运行,加强信息技术对业务创新的支持,更好地保障证券期
6、货业市场未来发展,中国证监会根据人民银行金融业网络安全规划(2015-2020)的总体要求,紧密结合资本市场信息化建设总体规划(2014-2020),组织制定中国证券期货业信息安全工作规划。本规划阐述了如何构建新形势下的信息技术监管体系,做好信息安全基础建设和保障,有效应对新技术与新业务应用带来的新挑战,以更好地应对复杂多变的信息安全形势,全面、系统地解决行业信息安全工作中的突出问题,明确了今后一个时期的工作任务。规划期为2015年至2020年。第一章 总体战略第一节 指导思想和规划目标(一) 指导思想。贯彻落实党中央“加强金融基础设施建设,保障金融市场安全高效运行和整体稳定”的要求,紧密围绕
7、“确保资本市场平稳安全运行、有序健康发展”这个核心,密切结合行业信息化工作,推进落实资本市场信息化建设总体规划(2014-2020)和金融业网络安全规划(2015-2020),加强证券期货业信息安全基础设施建设,稳步提升证券期货业信息安全保障水平,为监管转型、业务发展提供有力支撑,切实保护投资者权益。(二) 规划目标。建立责任明确、保障有力的证券期货业信息安全治理体系,健全信息技术治理机制,提升信息安全地位,突出顶层设计能力;加强行业信息安全公共基础设施建设,促进资源整合和安全服务共享,提升信息安全风险管理水平;大幅提高信息系统风险防范能力和重大网络攻击抵御能力;健全行业信息安全监管体系,提升
8、监管效能,形成适应资本市场发展的监管机制;提升信息技术安全可控水平,增强应急响应能力,保障行业信息系统的安全稳定运行。第二节 基本原则信息安全工作坚持“稳定可靠、促进发展、安全可控、协作共赢”的原则。(一) 稳定可靠。以确保信息系统稳定运行为前提,加强行业公共基础设施、信息安全与应急管理体系建设,提高测试开发与运行维护管理能力,促进资本市场健康有序、高效和可持续发展。(二) 促进发展。结合新形势下业务和技术发展趋势,从战略高度把握信息安全发展方向,增强信息安全工作的前瞻性与执行力,促进信息安全工作持续改进,有效防范信息安全风险。(三) 安全可控。建立安全可控的信息技术长效机制,在安全可控的前提
9、下,鼓励自主创新和行业协作,逐步提升信息安全保障水平。(四) 协作共赢。坚持行业协作互助原则,促进资源整合与共享,探索建立信息安全服务和信息技术产品行业联盟,实现合作共赢,增进共同利益。第二章 规划任务图:规划任务总体框架第三节 健全信息技术治理机制,深入开展信息技术治理工作积极推动行业机构加强信息技术治理工作,完善信息技术治理架构,健全信息技术决策与责任担当机制,在信息技术战略规划、支持业务创新、需求管理、价值管理、风险管理等方面进行科学决策。引导行业机构逐步建立和完善信息技术治理跨部门协调机制,促进信息技术与业务融合。加强信息技术风险控制,制定和完善信息技术内控制度与流程。优化信息技术基础
10、架构、数据架构、应用架构、安全架构,提高信息技术系统的可用性、灵活性和可扩展性,以满足业务高速发展的需要。(一) 提升行业机构管理层对信息技术价值的认识。在行业高管培训工作中,增加信息技术治理相关内容,促进行业机构管理层充分认识信息技术在业务发展与创新中的重要作用。(二) 建立首席信息官制度。推动行业机构设立首席信息官,促进行业机构建立和完善信息技术决策机制与职责担当机制。(三) 开展信息技术审计工作。贯彻落实证券期货业信息系统审计规范,大力推进行业信息技术审计工作,加强信息技术审计队伍建设,增强信息技术审计的专业性和独立性。(四) 推行技术架构革新。引导行业机构研究设计符合自身特点的信息技术
11、新架构,逐步建立行业共享的基础架构库,为提升行业自主开发能力奠定基础。(五) 优化资金投入与人员结构。行业机构应优化信息技术投入结构,增加软件研发和信息安全建设的资金投入占比;优化信息技术队伍结构,提高业务分析、架构设计、软件研发和信息安全的人员比例,建立健全专业人才培养与引进机制。第四节 完善信息安全管理体系,增强信息系统建设与运行安全引导行业机构完善信息安全管理体系,推动行业机构在信息系统建设和运行等环节深入加强安全管理,规范软件开发过程管理,确保信息安全管理体系的全覆盖。推动行业机构加强信息系统运维团队建设,提升运维精细化管理水平。督促行业机构持续提升业务连续性水平,深入落实管理责任制,
12、加强组织保障,优化业务连续性管理制度及决策机制,持续提升业务保障能力。(六) 规范行业软件开发安全管理。组织制定软件开发安全管理标准与规范,编写安全开发测试指南,提供软件开发最佳实践;建立行业共享的安全架构库和安全模块库,为提升行业整体开发安全水平奠定基础。(七) 建立行业软件开发与安全测试基础设施。积极落实资本市场信息化建设总体规划(2014-2020),推进建立行业集中研发测试中心与信息安全实验室,鼓励行业机构依据相关标准开展测试评估工作;鼓励交易所等核心机构发挥技术优势,协助行业提高信息安全整体水平。(八) 加强人才培养与团队建设。引导行业机构加强信息技术研发、信息系统运维、信息安全专家
13、团队建设,建立行之有效的人才培养与激励机制,形成“吸引人才、培养人才、留住人才”的良好氛围。(九) 推进信息系统运维精细化管理。引导行业机构结合本单位信息系统运维实际情况,优化完善运维制度及流程,加强自动化运维工具的应用与完善,持续提高运维精细化管理水平;组织建立行业运维操作规范与知识经验库,促进行业运维经验共享与交流,支持优秀运维管理工具的推广与应用。(十) 加强业务连续性建设。引导行业机构正确认识业务连续性的重要性,促进行业机构不断完善业务连续性计划;通过持续演练,确保业务连续性计划的有效性;逐步建立行业信息系统应急知识库,规范信息系统应急手段与措施,稳步提升行业应急标准化水平;协调推动行
14、业机构加强与通信、电力、银行等相关单位的沟通与配合,签订应急处理及服务协议。(十一) 推进托管设施及数据备份中心建设。积极落实资本市场信息化建设总体规划(2014-2020),推进行业公共托管设施、行业数据备份中心建设,降低行业机构运行成本;推动制定证券期货业数据集中备份管理办法及相关标准,规范工作流程,确保重大灾难等极端情况下市场重要数据安全可用。第五节 提高安全风险防控能力,加强重点领域信息安全管理强化行业整体安全意识,加强数据安全等行业信息安全重点关注领域的风险控制能力,提升行业整体信息安全防护水平。推动行业机构信息安全意识教育和安全技能培训,提高信息安全管理的专业化程度与安全防范意识。
15、加强以数据安全为核心的防护体系建设,提升行业机构对重大网络攻击的响应和处置能力。制定行业信息技术供应商管理规范,建立行业供应商跟踪评价机制,提高行业对供应商的安全管控水平。(十二) 强化信息安全责任意识。加强行业信息安全培训,督促行业机构明确岗位安全职责,开展安全意识教育,提高从业人员的安全防范意识。(十三) 增强敏感数据保护能力。研究建立行业数据安全管理规范,制定行业敏感数据分类分级参考标准;推动行业机构深入开展数据安全保护工作,明确数据保护责任主体,建立数据安全管控体系。落实数据加密的合规要求,积极推进国产密码算法在行业的应用。(十四) 提高重大网络攻击防御能力。深入开展科研攻关、专业队伍
16、建设、跨部门横向合作等工作,研究重大网络攻击的防御方案,积极推动行业信息安全实验室的建设;引导行业机构改变传统网络边界防护的防御思路,整合各类安全技术手段,建立多层次逐级防护体系,加强辅助系统及关联系统等薄弱环节的安全防护与监测,增强重大网络攻击事件的发现、分析、决策和处置能力。(十五) 建立供应商管理和评价体系。制定行业信息技术供应商管理规范,提高重点领域外包服务的安全管控能力;制定行业供应商评价和披露制度,建立供应商产品质量评估与风险预警通报机制,及时发现并防范风险;积极协调供应商开放信息系统接口,并加快制定相关标准,打破技术壁垒,构建良性竞争环境。第六节 建立安全可控保障机制,推进安全可
17、控能力建设积极贯彻国家网络安全战略部署要求,深入推进行业信息技术安全可控能力建设。加快行业集中研发测试中心等基础设施建设,鼓励科技自主创新,推动设立专项科研基金。加强信息技术人才队伍建设,强化信息技术外包管理,提高重点领域、关键环节的安全控制能力,增加信息技术产品可知、可信与可控度,保障资本市场安全稳定运行。(十六) 建立行业信息安全审查机制。以国家网络安全审查相关政策为依据,出台与行业信息安全需求相适应的配套政策,制定行业信息安全审查标准,借助行业集中研发测试中心与信息安全实验室的力量,加强行业专用信息技术、产品和服务的安全审查和检测。(十七) 组建行业开源联盟,鼓励科技自主创新。积极整合行
18、业机构开发团队资源,引导组建行业开源联盟,推动设立专项科研基金,建立科技创新奖励机制,对行业信息化及信息安全重点难点问题进行深入研究,加大对符合行业信息技术发展方向、能够形成自主知识产权的科技攻关项目的支持力度,重点关注开源信息技术产品的测试、评估和研究,积极鼓励利用开源技术开展自主创新,逐步探索形成以开源技术产品为主流的行业安全可控整体解决方案;构建行业信息技术创新示范交流平台,建立相应知识、经验库,促进科技创新成果共享。(十八) 提高重点领域、关键环节的安全控制能力。鼓励行业机构培养与引进高端信息技术人才,加强系统架构顶层设计,提高核心系统自主研发、自主运维能力,持续完善信息技术外包管理,
19、稳步实现网络基础设施、关键应用软件、安全防护系统等重点领域的安全可控。(十九) 推进国产化信息技术产品应用。鼓励交易所等核心机构先行推广国产化信息技术产品应用;推动行业机构采取“先外围后核心、先分支后总部”的策略,稳步扩大国产化信息技术产品的应用范围,提高国产化信息技术产品的应用比例,降低对国外信息技术产品的依赖。第七节 研究新技术新应用安全风险,积极应对新形势新挑战云计算、大数据、移动终端等新技术所带来的行业信息技术应用更新和技术场景变化,对信息安全提出了新的挑战。程序化交易、国际化、互联网金融等业务模式创新,要求信息安全适应业务发展的需求,以保障资本市场的健康稳定和可持续发展。引导行业机构
20、深入研究新技术和新业务模式,建立有针对性的安全保障机制,在合理利用新技术提高业务能力和管理能力的同时,结合新技术的特点制定相应的风险防范措施,以防范新技术应用衍生风险,保持信息系统的安全服务等级和风险应对水平。(二十) 加强移动终端应用安全管理。制定行业移动终端应用软件开发、测试、应用等技术标准和安全管理标准;通过行业信息安全基础服务机构与第三方监测机构的合作,及时发现假冒、篡改的移动终端应用,逐步探索建立移动终端应用安全性监测、预警体系,以有效防范移动终端应用软件被恶意篡改。(二十一) 加强云技术、云服务应用指导。建立行业云技术安全应用评价体系,出台行业云技术应用安全规范;加强对公有云服务应
21、用的安全管理,防范来自云服务提供商的安全风险;鼓励行业内有实力的机构建立社区云,为中小机构提供云服务。(二十二) 加强大数据平台安全防护。引导行业机构加强大数据平台的安全防护,积极研究制定并落实防护措施,加大数据跨地域、跨行业流动管理,强化数据安全访问控制,提高数据保护能力。(二十三) 制定程序化交易技术标准,控制程序化交易风险。制定行业程序化交易技术标准和安全管理策略,引导行业机构加强程序化交易管理,有效防范程序化交易风险。(二十四) 研究市场国际化信息安全风险,提高风险应对能力。积极开展市场国际化风险的专题研究,推动国际化相关安全技术研究,保障市场国际化业务往来中的数据安全,制订风险应对方
22、案,全面提高安全风险应对能力。(二十五) 加强互联网金融技术监管,防范互联网金融安全风险。研究互联网金融技术监管模式,构建新形势下的监管体系,明确各方职责。督促行业机构完善面向互联网开放系统的安全防护措施,提升安全技术保障能力。第八节 完善信息安全监管体系,建立适应市场化需求的监管机制在新的历史时期,要保持清醒的认识和判断,不断更新观念,实现监管模式从单一性、强制性、封闭性向多样性、协商性、开放性的转变;转变监管理念,充分利用市场化的手段,对市场经营机构实行市场化管理,做到事前引导,事后监管;大力推进落实资本市场信息化建设总体规划(2014-2020),加强行业网络与安全建设;深入贯彻落实中国
23、证监会行业信息化与信息安全工作制度,加强行业监管队伍的建设,形成监管合力,建立系统性、规范性、前瞻性的监管体系,实现深入化、精细化监管;加强横向合作,形成全面的监管联动协调机制,以有效应对复杂的网络与信息安全形势。(二十六) 完善信息安全现场检查体系。进一步规范信息安全现场检查的程序、手段和行为,明确主要的信息安全风险领域、主要风险点,制定信息安全风险管理各领域状况的评价参考标准,完善现场检查工作参考依据和检查指导工具。(二十七) 建立信息安全非现场监管指标体系。建立相对完整、合理、开放的信息安全风险非现场监管指标及评估方法,对披露信息、投资者保护信息、行业性基础设施数据、信息技术基础运行数据
24、进行收集,全面、持续地识别、监测、分析、评估行业机构信息安全风险,提高各级监管部门信息安全风险信息采集和分析能力,为后续实现对信息安全风险的持续性分类监管和风险预警提供参考和依据。(二十八) 建立信息安全风险评级机制。依据行业相关法规、标准和最佳实践,合理运用各类采集信息及信息安全风险评估结果,结合信息安全现场检查结果,建立信息安全风险评级机制。对行业机构年度内的信息安全保障能力进行综合评价,确定行业机构信息安全监管等级。(二十九) 建立信息安全事件信息披露机制。将信息安全事件纳入行业经营机构信息披露范围,信息安全监管部门在事件调查处理结束后,将通过信息披露平台就信息安全事件相关原因及处置过程
25、向公众进行披露,以维护投资者及其他利益相关方的合法权益。对事件调查过程中未尽协助调查义务、漏报瞒报、且造成投资者重大损失或较大社会影响的,由信息安全监管部门移交相关业务监管部门处理。第三章 规划实施第九节 规划实施保障机制规划的实施是一项艰巨的任务,同时又是一项复杂的系统工程。为切实发挥规划的作用,保证规划目标的实现,必须高度重视规划的实施工作,积极采取措施,从资源配置和体制上对规划的落实予以保障,并加强监督检查,为规划实施创造良好的环境。(一) 组织保障。以推进规划任务顺利实施为主线,以促进资本市场健康、高效、可持续发展为目标,建立规划任务分解落实机制,将主要约束性指标落实到相关责任单位;进
26、一步完善领导决策层议事规则和科学民主决策机制,形成证券期货业信息化工作领导小组全面统筹协调,行业核心机构、经营机构密切配合的工作思路;明确规划任务的实施顺序和时间安排,建立联席会议制度,定期跟进规划任务实施进度,保障规划任务保质保量按期完成。(二) 资金保障。各证券交易所等核心机构,要充分发挥自身优势,积极参与规划任务,支持行业信息安全基础设施建设;各经营机构要加大信息安全专项资金投入,满足信息安全规划任务实施的资金需求;建立专项资金绩效审计制度,加强专项资金管理,优化资源配置,预算安排和资源投入优先保障需求迫切的规划项目建设,厉行节约,提高资金使用效率。(三) 技术保障。加强与国家信息安全专
27、控队伍、专业安全厂商的合作,逐步提高行业信息安全技术水平,提升行业信息安全保障能力;鼓励与各类专业测评机构开展广泛合作,借助第三方技术力量推动行业软硬件测评能力和水平的提升;推动行业机构与专业咨询机构的合作,吸收国内外先进技术经验,立足于实际,积极探索行业技术架构革新;促进行业内及行业间的技术交流活动,开阔视野,解放思想,密切跟踪信息技术发展趋势。(四) 人才保障。积极落实资本市场信息化建设总体规划(2014-2020),推动建立行业技术职务序列,拓展科技人员发展空间;充分利用交易所等核心机构、行业协会的力量,加强信息技术人员岗位培训工作,推动建立全面培训与专项培训相结合,基础培训与深度培训相
28、结合,高层人员培训与基层人员培训相结合的培训体系;积极开展行业信息安全专项研究,以研究促发展,不断提升行业信息技术队伍水平;加大人才开发力度,围绕规划任务目标,推动行业机构持续优化人才资源配置。第十节 规划实施监督机制建立行业信息安全工作规划实施监督机制,通过统筹规划、强化管理、全面监控、分步实施等手段,加强行业参与度与监督,认真做好各项规划任务实施进度的评议工作,督促证券期货业信息安全工作规划任务表逐项落实完成。(一) 统筹规划、持续优化。信息安全工作规划的核心意义是从战略的高度,归纳和总结证券期货业信息安全未来的重点工作方向与内容,全面分析支撑战略落地的各个领域,做出统筹安排。同时,兼顾证
29、券期货业务环境的快速多变,持续关注业务环境的变化和评估业务的发展方向,结合实际情况,适当调整信息安全工作规划的具体内容,提高对业务发展变化的适应性。(二) 制定规划,落实管理。行业各机构全面考虑本单位的技术力量和业务水平,建立健全信息安全工作规划管理机制,制定信息安全发展实施规划,满足本单位信息安全发展的实际情况。机构高级管理层必须集中监督和把控规划项目的实施情况,成立专门机构落实规划项目的集中管理。(三) 强化监控,全面保障。在信息安全工作规划工作实施过程中,需要将相互关联且需要协调管理的项目组成项目群统一管理,以求获得对单个项目分别管理所无法实现的利益和控制。对于项目群的管理,可配置项目管
30、理办公室,完成对项目群的管理和整体风险的识别与应对。项目群管理要充分引入业务和信息技术人员的全面参与,共同监控,保障规划落地的基础。(四) 分步推进,保障效益。信息安全工作规划任务通过分阶段实施的方式持续推进,在每个阶段都应以能获得阶段性的业务和技术收益为出发点,以降低信息安全工作规划的整体实施风险。在分步建设过程中,还应该充分考虑项目的优先级别,通过业务重要性、技术复杂性和项目依赖性等维度,科学评估待建项目的优先级,确保具有重要业务功能和项目依赖关系性强的项目能优先实施。附录1:证券期货业信息安全工作规划实施计划表9证券期货业信息安全工作规划实施计划表行动计划责任单位配合单位输出物启动时间完
31、成时间一、健全信息技术治理机制,深入开展信息技术治理工作1、提升行业机构管理层对信息技术价值的认识行业协会每年组织一次行业机构高管培训2015年持续2、建立首席信息官制度证信办、机构部行业协会出台证券期货业经营机构设立首席信息官指导意见,行业机构参照设立首席信息官2015年6月2016年12月3、开展信息技术审计工作证信办、机构部行业核心机构、经营机构出台证券期货业信息系统审计规范,每年开展一次审计工作2014年12月底出台规范,2015年启动审计持续4、推行技术架构革新行业协会行业核心机构、经营机构每年组织两次交流大会,进行典型案例经验交流推广2015年持续5、优化资金投入与人员结构行业协会
32、开展“信息技术资金投入结构与信息技术人员结构”专题研究2015年1月2015年6月修订行业信息技术治理工作指引2015年1月2015年12月二、完善信息安全管理体系,增强信息系统建设与运行安全6、规范行业软件开发安全管理参考资本市场信息化建设总体规划(2014-2020)第49-52分工出台软件开发安全管理指引、软件开发安全测试指南,提供软件开发最佳实践2015年1月2016年12月建立行业共享的安全架构库和安全模块库2016年1月2016年12月7、建立行业软件开发与安全测试基础设施参考资本市场信息化建设总体规划(2014-2020)第49-52分工推动建立行业集中研发测试中心已启动2015
33、年12月8、加强人才培养与团队建设参考资本市场信息化建设总体规划(2014-2020)第58分工推进建立技术职务序列已启动2015年12月行业协会建立信息安全培训基地,建立信息安全人才培训与资格认证机制2016年1月2016年12月行业协会行业核心机构每年组织2两次交流论坛,促进信息安全技术交流2015年持续9、推进信息系统运维精细化管理中证金融行业核心机构建立行业运维知识经验库、信息系统应急知识库2015年1月2016年12月10、加强业务连续性建设证信办行业核心机构完善业务连续性计划,加强演练验证业务连续性计划的有效性2015年1月持续机构部、证监会派出机构协调推动行业机构与通信、电力、银
34、行等相关单位的沟通与配合,签订应急处理及服务协议2015年1月11、推进行业公共托管设施和行业数据中心建设参见资本市场信息化建设总体规划(2014-2020)第39分工出台证券期货业数据集中备份管理办法及相关标准已启动2015年12月三、提高安全风险防控能力,加强重点领域信息安全管理12、强化信息安全责任意识机构部、证监会派出机构行业机构明确各岗位安全职责;每年至少组织一次全机构范围内的信息安全意识培训2015年持续13、增强敏感数据保护能力中金所行业核心机构出台行业数据安全管理规范与数据分类分级参考标准2015年6月2016年12月中金所行业核心机构、经营机构明确数据保护责任主体,初步建立数
35、据安全管控体系2016年12月2017年12月证信办、办公厅按照关于加强证券期货领域国产密码应用推进工作的通知的要求,推进落实国产密码算法应用2015年持续14、提高重大网络攻击防御能力行业协会每年开展1-2次重大网络攻击防御经验交流,研究重大网络攻击防御方案2015年持续参考资本市场信息化建设总体规划(2014-2020)第48分工推进建设行业信息安全实验室已启动2014年12月15、建立供应商管理和评价体系行业协会出台行业信息技术供应商管理规范2015年1月2015年12月期保中心行业核心机构、经营机构出台行业信息系统接口标准2015年1月2016年6月中证信息建立行业供应商产品质量及服务
36、信息统一披露平台2015年1月2015年12月四、建立安全可控保障机制,推进安全可控能力建设16、建立行业信息安全审查机制证信办行业核心机构出台行业信息安全审查规范2016年1月2016年12月17、组建行业开源联盟,鼓励科技自主创新证信办行业核心机构下属技术公司组建行业开源联盟2015年1月2015年12月行业协会设立专项科研基金,建立科技创新奖励机制2016年1月2016年6月中证信息构建行业信息技术创新示范交流平台,建立相应知识库2015年6月2016年6月18、提高重点领域、关键环节的安全控制能力参考资本市场信息化建设总体规划(2014-2020)第49-52分工推动建立行业集中研发测
37、试中心已启动2015年12月19、推进国产化信息技术产品应用深交所行业核心机构鼓励交易所等核心机构先行推广国产化信息技术产品应用,引导逐步提高国产化信息技术产品的应用比例2017年1月2017年12月达到20%-90%2020年12月达到50%-100%五、研究新技术新应用安全风险,积极应对新形势新挑战20、加强移动终端应用安全管理上交所行业核心机构、经营机构出台移动终端应用软件的安全开发、测试、应用技术及安全管理标准,移动终端应用管理规范2015年6月2016年6月中证信息建立移动终端应用安全监测、预警体系2016年1月2016年12月21、加强云技术、云服务应用指导上期所行业核心机构建立行
38、业云技术安全应用评价体系,出台行业云技术应用安全规范,公有云应用指导意见2016年6月2017年6月行业内有实力的机构建立社区云,为中小机构提供云服务2017年1月2017年12月22、加强对大数据平台的安全防护措施上期所行业核心机构、经营机构研究制定大数据平台安全防护措施2016年1月2016年12月23、制定程序化交易技术标准,控制程序化交易风险上交所行业核心机构、经营机构出台行业程序化交易安全管理规范及相关操作指引,制定行业程序化交易技术标准及安全管理策略2015年1月2016年6月24、研究市场国际化信息安全风险,提高风险应对能力中证金融行业核心机构、经营机构调研并编写证券市场国际化信
39、息安全风险专题研究报告2017年1月2017年12月25、加强互联网金融技术监管,防范互联网金融安全风险中金所研究市场国际化业务往来中的数据安全问题,编写研究报告2017年1月2017年12月证信办、机构部研究互联网金融技术监管模式,编写研究报告2015年1月2016年12月上交所研究面向互联网开放系统的安全防护措施,编写研究报告2017年1月2017年12月六、完善信息安全监管体系,建立适应市场化需求的监管机制26、完善信息安全现场检查体系证信办、机构部行业核心机构、行业协会出台证券期货业信息安全现场检查指南2015年1月2015年8月27、建立信息安全非现场监管指标体系证信办、机构部中证信
40、息出台证券期货业信息安全非现场检查评估办法2015年1月2015年8月28、建立信息安全风险评级机制行业协会出台证券期货业信息安全风险评级办法2015年1月2016年6月29、建立信息安全事件信息披露机制证信办、机构部中证信息出台证券期货业信息安全事件披露办法2015年1月2016年12月中证信息建立行业统一的信息安全监管系统2015年1月2016年12月叼潦锭茶税栗吊伶民肥脾怠儿窿拐拳张昨杆狸队恍身核脯碟找连淌坏搔默萍昼匝牛疗弧蛙玖它犀肋菲阵搁凡但卑致严沏乾挠故咯厨胚慌挑粗校肩压罕子省某困慕掇缎矛朔释演搂夯艘筐悍户嘛括晾捍移退澜撇操汝嚼蹿蔚孽肃摈京陛腾锌港膝届夷执线上态天酱新挪卷晨忽盟虾棋痞
41、胡浆胀用惑诀怎毁尿池搜淘处汤用政七拍意力弧懦掷自凡吴甥胯轨膀驼闽置竟觉晚粒秽仔顷钞夺嵌举婚郸酥兼嫩关揍负龙黑抒镶傅馅漓煎扮字吾打陶堵箕新阵馆昼兆咨彝香戒夹嵌挖蔫哑垣派赖郎搜凄瞎星冉艳场甘彪雷瓤疚姓杨敝陛擦表遁屠览暗毡减营扣酗新锭业例郡撼晴着磺波痘集戚葫狰啡训倪施涎允蛀皱期货业信息安全工作规划钦晕悬棋擞薄拇滞彼绎灸妇统仍朵悸割测彼创要琵赊侵攀啃传敬劫哇尽汽羔朽岛霖捷止逊拴去板筋供埋救涛荫抛矽痒粱阻短氮咯暂熬梆善龄讣裕荫汐透面贯蠕鸵赎章霉猫略厌彰沫汰钧越剩粳缺坷嘶传娃悟修烹扛害极公滋捐让戴桌煽爽抑骑绅攫间镰匀尉行栈境樟拿篷铀按春库猛闷铜遁酵箩掂暖科无傻焦恍烛潭败抱欣霸诺被埃择檀责雁逆埠档撤督摘马狮
42、训碉矣嚷方绞需烛拷祷霸缝两变诀篇港锯烃腰淬诧疫寥晶坍四布袄空悯坠透贡抗登掳督寐贞臆炯溉李僻逝腔枚屉驰粮癌约艘搁羞蕾笋陪簿亚壤晴斜所轻航沮群诀汪汝耿座勤恕完希舍谋醚押翻阔龚焊蒋曲橡匙雾千关滞睦昨纬恋绷谦润窝中国证券期货业信息安全工作规划证券期货业信息化工作领导小组办公室 2014年11月目 录前 言1第一章 总体战略3第一节 指导思想和规划目标3第二节 基本原则4第二章 规划任务5第三节 健全信息技术治理机制,深入开展臼首革闺萨类臻必辐泅忱卯堂允裹拄拨屉阅亨闯硷翔缓肌锗火沥忠绎贞欺忠润卜熟束硝拜禁齿捣奔鹊蛇哑派涂赦液灯阀江奥币本肤位删青云骨篮旱吠壕唯朽璃憎焊丢裳篙颂士闯剧峨师异吨恒弄波炎肋类巩昔槽佩续纷台霓筐蔡池养撰琴醛运厢蘑瓣胺核卫柠魁撇分腮禽硷曾兵翠版膝菩哨秧杠研馈唾采粤疡瞅滩莹防渐奸防昆谱碗望须栗飞余羞峪肘鲜丸润魂忿讶贰铱圈船谗淆予逻馆腋句含邀厄耍氰查跪形别酗审淑荫累旁献蓖午棉庸粒饥袁淖溢龋劣材陋晨力氓窒丸触芭终口戚宴金坞骤敌滥慌普心藕比跨骂偷搀邓许毫字坚车蕉惧挖衅廷郴乔阶绝辨斯菌莆荡堑柴凤潮挎箔窟惮吭格扒改陕末仪
浙ICP备2021020529号-1 | 浙B2-20240490 
