Medidas para la notificación, investigación y manejo de incidentes de seguridad de la información en la industria de valores y futuros

Artículo 1 Con el fin de estandarizar el reporte, investigación y manejo de incidentes de seguridad de la información en la industria de valores y futuros y reducir la ocurrencia de incidentes de seguridad de la información, de acuerdo con la Ley de Valores, la La Ley de Fondos de Inversión en Valores, el "Reglamento sobre Supervisión y Administración de Sociedades de Valores", el "Reglamento sobre la Administración de la Negociación de Futuros" y las "Medidas sobre la Gestión de la Seguridad de la Información de la Industria de Valores y Futuros" formulan estas Medidas. Artículo 2 Los incidentes de seguridad de la información en la industria de valores y futuros se refieren a incidentes en los que el sistema de información de la industria de valores y futuros funciona de manera anormal o se dañan o filtran datos, dañando los derechos e intereses legítimos de los inversores o causando efectos adversos sobre los valores y mercados de futuros. Artículo 3 Después de que le ocurra un incidente de seguridad de la información a la entidad responsable de la seguridad de la información en la industria de valores y futuros, deberá informarlo, investigarlo y manejarlo de acuerdo con las disposiciones de estas Medidas. Las entidades responsables mencionadas en el párrafo anterior incluyen instituciones responsables de las funciones del mercado de valores y futuros, instituciones responsables de la operación de la infraestructura de tecnología de la información en la industria de valores y futuros, y otras instituciones principales y sus instituciones afiliadas (en adelante, instituciones principales). en los mercados de valores y futuros, así como compañías de valores y compañías de futuros, compañías administradoras de fondos, agencias de servicios de valores y futuros y otras instituciones operativas de valores y futuros (en adelante, instituciones operativas). Artículo 4 Las instituciones centrales y las instituciones comerciales deberán informar los incidentes de seguridad de la información de manera oportuna, precisa y completa, y no informarán tarde, omitirán, mentirán ni ocultarán. Artículo 5 La investigación y manejo de incidentes de seguridad de la información se ajustará a los principios de búsqueda de la verdad a partir de los hechos, respeto a la ciencia, objetividad, equidad, oportunidad y confiabilidad. Artículo 6 Las instituciones centrales y las instituciones operativas donde ocurran incidentes de seguridad de la información llevarán a cabo investigaciones internas sobre los incidentes, las responsabilizarán y tomarán medidas correctivas. Artículo 7 La Comisión Reguladora de Valores de China y sus oficinas enviadas investigarán y manejarán los incidentes de seguridad de la información de las instituciones centrales y las instituciones operativas de acuerdo con las disposiciones de estas Medidas. Artículo 8 Las instituciones centrales, las instituciones operativas, los productos de software y hardware o los proveedores de servicios técnicos relacionados con incidentes de seguridad de la información cooperarán con la Comisión Reguladora de Valores de China, sus oficinas enviadas y las instituciones donde ocurrió el incidente para investigar y manejar el incidente.

Capítulo 2 Clasificación de Eventos

Artículo 9 Según el grado en que los incidentes de seguridad de la información lesionen los derechos e intereses legítimos de los inversores o tengan un impacto adverso en los mercados de valores y de futuros, los incidentes Se puede dividir en incidentes especialmente importantes, acontecimientos importantes, acontecimientos importantes y acontecimientos generales. Artículo 10 Se entiende por incidentes extraordinariamente graves los incidentes de seguridad de la información que causen daños especialmente graves a los derechos e intereses legítimos de los inversores o tengan un impacto especialmente grave en los mercados de valores y de futuros. Eventos particularmente significativos se refieren a eventos que cumplen una de las siguientes circunstancias: (1) Los sistemas de negociación, comunicación y liberación de mercado de la bolsa de valores no se inician normalmente o se interrumpen más de 20 minutos antes de la apertura del mercado, o la proporción de departamentos comerciales o unidades de comercialización afectadas alcanza más del 20%, o el número de valores con interrupciones en la negociación sólo llega a más del 20%. (2) la interrupción completa del sistema comercial de la bolsa de futuros, lo que afecta el tiempo de negociación durante más de 2 horas; la interrupción del sistema comercial de liquidación y entrega afecta la apertura normal del siguiente día de negociación; (3) El sistema de registro y compensación de China Securities Depository and Clearing Corporation está paralizado y no puede restablecerse en el corto plazo. La fecha de recuperación es impredecible, lo que tendrá un impacto significativo en todo el negocio de la empresa o en todo el mercado. (4) Los sistemas de negociación centralizados o los sistemas de negociación en línea de las empresas de valores y de futuros con más de 10.000 clientes válidos se interrumpen, lo que afecta el tiempo de negociación durante más de 2 horas. (5) Los sistemas de liquidación de las sociedades de valores y de futuros con más de 10.000 clientes efectivos no completan la liquidación del día de negociación anterior a la apertura del mercado, o existen errores importantes en los datos de liquidación, lo que afecta a las operaciones normales de los inversores. (6) Existe una falla grave en el sistema de venta, contabilidad o registro de fondos, y no se espera que el sistema de respaldo se restablezca dentro de 8 horas, lo que afecta la suscripción y reembolso normal de fondos por parte de más de 6.543.800 inversores en ese día o siguientes. días de negociación. (7) Los datos de más de 654,38+00.000 inversores están dañados o son incorrectos, lo que afecta la negociación normal de ese día o de los días de negociación posteriores. (8) Se filtraron datos de más de 654,38 millones de inversores. (9) Otros acontecimientos que tengan un impacto especialmente grave en los derechos e intereses legítimos de los inversores y de los mercados de valores y de futuros. Artículo 11 Los incidentes graves se refieren a incidentes de seguridad de la información que causan daños graves a los derechos e intereses legítimos de los inversores o tienen un impacto grave en los mercados de valores y futuros.

Un evento importante se refiere a una de las siguientes circunstancias, que no alcanza un evento particularmente importante: (1) El sistema de negociación, comunicación y lanzamiento de mercado de la bolsa de valores se interrumpe durante más de 65,438+00 minutos, o la proporción de departamentos comerciales afectados o las unidades de comercialización superan el 65,438+00%, o el número de valores con interrupción de la transacción supera el 65,438+00% (2) el sistema comercial de negociación de futuros se interrumpe por completo, afectando el tiempo de negociación durante más de 30 minutos; ) Sistema de registro y liquidación de China Securities Depository and Clearing Corporation La falla afecta la apertura normal del mercado o negocio en el siguiente día de negociación, lo que puede conducir al fracaso de un determinado negocio en todo el mercado ese día (4) el; el sistema de negociación centralizado o sistema de negociación en línea de compañías de valores y compañías de futuros con más de 654,38 millones de clientes efectivos está completamente interrumpido, afectando las transacciones. El tiempo excede los 30 minutos (5) Los sistemas de liquidación de compañías de valores y compañías de futuros con más de 654,38 millones de clientes efectivos; los clientes no completan la liquidación del día de negociación anterior antes de la apertura del mercado, o hay errores importantes en los datos de liquidación que afectan la negociación normal de los inversores. (6) Se produce una falla grave en el sistema de venta, contabilidad o registro de fondos; , y se espera que el sistema de respaldo no pueda restaurarse dentro de 4 horas, lo que afectará la suscripción normal y el reembolso de fondos por parte de más de 65438+ inversores ese día o días hábiles posteriores (7) 65438+ Los datos de más de 10,000; los inversores están dañados o son incorrectos, afectando la negociación normal en ese día o en los días de negociación posteriores (8) Se filtran los datos de más de 6.543.800 inversores (9) Otros que tienen un impacto grave en los derechos e intereses legítimos de los inversores y los; Evento sobre mercados de valores y futuros. Artículo 12 Los incidentes graves se refieren a incidentes de seguridad de la información que causan daños importantes a los derechos e intereses legítimos de los inversores o tienen un impacto importante en los mercados de valores y futuros. Un evento importante se refiere a una situación que cumple una de las siguientes circunstancias pero no llega a ser un evento importante: (1) Los sistemas de negociación, comunicación y liberación de mercado de la bolsa de valores se interrumpen y la proporción de departamentos comerciales o unidades de marketing afectados alcanza más del 5%, o las transacciones se interrumpen el número de valores alcanza más del 5% (2) el sistema de negocios de negociación de futuros se interrumpe total o parcialmente, afectando el tiempo de negociación por más de 3 minutos; el sistema de compensación de China Securities Depository and Clearing Corporation falla, lo que no afecta las transacciones normales del mercado, pero uno o varios negocios se interrumpen o retrasan por más de 4 horas (exclusivo) y vuelven a la normalidad dentro del mismo día, afectando a algunos participantes; (4) El sistema de negociación centralizado o el sistema de negociación en línea de una compañía de valores o de futuros se interrumpe total o parcialmente, lo que afecta el tiempo de negociación es de más de 5 minutos (5) El sistema de depósito de terceros y el sistema de negociación de margen de los valores; la empresa deja de operar total o parcialmente, afectando el horario comercial por más de 30 minutos; el sistema de transferencia bancaria de la compañía de futuros deja de operar total o parcialmente, afectando el horario comercial por 30 minutos Arriba (6) El sistema de liquidación de las compañías de valores y; las empresas de futuros con menos de 654,38 millones de clientes efectivos no completan la liquidación del día de negociación anterior antes de la apertura del mercado, o los datos de liquidación son incorrectos, lo que afecta la negociación normal de los inversores (7) Se produce una falla grave en las ventas del fondo; sistema de contabilidad o registro, y se espera que el sistema de respaldo no pueda restaurarse dentro de 2 horas, lo que afectará la suscripción y reembolso normal de fondos por parte de menos de 654,38 millones de inversores el mismo día o días de negociación posteriores (8) Proporcionar en- servicios de negociación en el sitio La cotización en el sitio o el sistema de negociación en el sitio de una sucursal de una compañía de valores o del departamento comercial de una compañía de futuros falla, lo que afecta el tiempo de negociación durante más de 2 horas (9) Los datos de los inversores con menos; de 654,38 millones de personas está dañada o es incorrecta, afectando la negociación normal de ese día o de las transacciones posteriores (10) Fuga de datos de menos de 65.438 millones de inversores (11) Otros eventos que tienen un impacto significativo en los derechos legítimos y; intereses de los inversores y de los mercados de valores y de futuros. Artículo 13 Por incidentes generales se entienden los incidentes de seguridad de la información que lesionen los derechos e intereses legítimos de los inversores o afecten a los mercados de valores y de futuros.

Los eventos generales se refieren a eventos que cumplen una de las siguientes circunstancias y no llegan a ser un evento importante: (1) Los sistemas de negociación, comunicación y liberación de mercado de la bolsa de valores se interrumpen y la proporción de departamentos comerciales o unidades de marketing afectados es inferior al 5 %, o las transacciones se interrumpen el número de valores es inferior al 5% (2) el sistema de negocios de negociación de la bolsa de futuros se interrumpe total o parcialmente, afectando el tiempo de negociación por menos de 3 minutos; El sistema de compensación de China Securities Depository and Clearing Corporation falla, lo que no afecta las transacciones normales del mercado, pero una vez Uno o varios negocios se interrumpen o retrasan por más de 2 horas (exclusivo) y vuelven a la normalidad dentro del mismo día, afectando a algunos participantes. (4) El sistema de negociación centralizado o el sistema de negociación en línea de las compañías de valores y de futuros se interrumpe total o parcialmente, lo que afecta el tiempo de negociación es inferior a 5 minutos (5) El sistema de depósito de terceros y el sistema de negociación de margen de los valores; la empresa deja de operar total o parcialmente, afectando el horario comercial por menos de 30 minutos; el sistema de transferencia bancaria de la compañía de futuros deja de operar total o parcialmente, afectando el horario de operación 30 minutos; (6) La cotización en el sitio o en-; el sistema de negociación en el sitio de una sucursal de una compañía de valores o del departamento comercial de una compañía de futuros que brinda servicios de negociación en el sitio falla, lo que afecta el tiempo de negociación por menos de 2 horas (7) Otros asuntos que afectan los derechos e intereses legítimos de los inversores y los valores y futuros; acontecimientos del mercado. Artículo 14 El término "arriba" en este capítulo incluye el número original, y el término "abajo" no incluye el número original. El "número de clientes efectivos" a que se refiere este capítulo se basará en el número de cuentas calificadas informadas por las compañías de valores y compañías de futuros a la Comisión Reguladora de Valores de China y sus oficinas locales al final del mes anterior a la aparición de la información. incidente de seguridad. Las cuentas calificadas se refieren a cuentas donde la información de apertura de la cuenta es verdadera, precisa y completa, la identidad del inversionista es verdadera, la relación de propiedad de los activos es clara y la cuenta cumple con las regulaciones pertinentes.

Capítulo 3 Informe de incidente

Artículo 15 Las instituciones centrales y las instituciones operativas deben establecer un sistema de alerta temprana y monitoreo de riesgos de seguridad de la información y la red. Si se descubre algún riesgo oculto, deben verificarlo. lo antes posible y se deben tomar las medidas necesarias y se deben realizar informes de alerta temprana de manera oportuna si ocurre alguna situación importante. El informe de alerta temprana debe incluir: la situación básica del incidente (incluido el momento, el lugar y el proceso de la alerta temprana), el posible alcance y consecuencias del impacto, las medidas preventivas y sugerencias relevantes que se han tomado, y las asuntos que deben ser coordinados y manejados por los departamentos y unidades pertinentes. Artículo 16 Las instituciones centrales y las instituciones operativas establecerán un mecanismo de emergencia de seguridad de la información para manejar los incidentes de seguridad de la información de manera oportuna, restaurar el funcionamiento normal del sistema de información lo antes posible, proteger el sitio del incidente y las pruebas relevantes, y realizar informes de emergencia en de acuerdo con los siguientes requisitos: (1) Instituciones centrales Después de que ocurre una falla importante en un sistema de información importante que puede causar o ha causado la interrupción de transacciones o una desaceleración grave, se debe informar inmediatamente, al menos cada 30 minutos, hasta que el sistema de información se reanude. funcionamiento normal; si hay una situación importante, se debe informar de inmediato. (2) Si se produce una falla en el sistema centralizado de negociación de una empresa de valores o de futuros, que puede o ha causado la interrupción de la transacción o una desaceleración grave, deberá informarlo inmediatamente, al menos una vez cada 30 minutos, hasta que el sistema de información reanude su funcionamiento normal. . Si hay alguna situación importante, se debe informar de inmediato. (3) Si la falla de otros sistemas de información de las instituciones centrales y de las instituciones operativas afecta las operaciones comerciales normales de los inversores y, en principio, las operaciones comerciales normales no pueden restablecerse en 30 minutos, se debe informar inmediatamente, al menos una vez cada hora. hasta que los sistemas de negocio y de información vuelvan a su normal funcionamiento, si se presentan situaciones importantes, deberán ser reportadas de inmediato. (4) Las instituciones centrales y las instituciones operativas deben informar inmediatamente el daño o la filtración de datos de los inversores antes de que se resuelva el incidente, si hay alguna situación importante, deben informarla de inmediato. (5) Si las instituciones centrales y las instituciones operativas están involucradas en delitos informáticos, deben informarse inmediatamente antes de que se resuelva el incidente, si hay alguna situación importante, deben informarse inmediatamente. Artículo 17 Al informar emergencias, las instituciones centrales y las instituciones operativas deben primero hacer un informe telefónico y luego presentar un informe escrito de incidentes de seguridad de la información (ver archivo adjunto). El contenido incluye: hora, ubicación, breve historia, evaluación preliminar del alcance del impacto, evaluación preliminar del grado de impacto, evaluación preliminar del número de personas afectadas, evaluación preliminar de pérdidas económicas, evaluación preliminar de consecuencias, evaluación preliminar de causas, evaluación preliminar de la naturaleza del evento, medidas tomadas y efectos, necesidades Asuntos relevantes asistidos por departamentos y unidades relevantes, unidad de notificación, emisor y tiempo de notificación, persona de contacto e información de contacto, y otro contenido relacionado con este incidente. Artículo 18 La agencia central y la agencia operativa deberán, dentro de los 5 días hábiles posteriores a que se complete la respuesta de emergencia al incidente de seguridad de la información y el sistema reanude el funcionamiento normal, organizar una investigación interna para identificar con precisión el incidente, la causa y la pérdida, determinar la naturaleza de el incidente, determinar e investigar la responsabilidad del incidente, proponer medidas correctivas y formular un informe resumido del incidente.

El contenido del informe resumido del incidente debe incluir: (1) La situación básica del incidente, incluido el momento, el lugar, el curso, el alcance del impacto, el grado del impacto, la pérdida, etc. (2) La respuesta de emergencia, incluido el incidente; informe y medidas tomadas y vigentes (3) estado de la investigación del incidente, incluida la causa del incidente, nivel del incidente, identificación de responsabilidad y conclusión (4) estado del manejo del incidente, incluidos los problemas expuestos por el incidente y las medidas correctivas tomadas; así como el estado de rendición de cuentas. Si la causa, responsabilidad y conclusión del incidente no se pueden determinar temporalmente, se debe presentar un informe de análisis preliminar del incidente para identificar la causa lo antes posible, identificar y responsabilizar al incidente y tomar medidas correctivas dentro de los 30 días hábiles. días después de que se complete la respuesta de emergencia al incidente y el sistema reanude su funcionamiento normal. Presentar un informe de incidente complementario. Artículo 19: Después de recibir informes de seguridad de la información de la Comisión Reguladora de Valores de China y sus agencias enviadas sobre vulnerabilidades del sistema, riesgos de seguridad y defectos de productos, las instituciones centrales y las instituciones operativas verificarán inmediatamente la situación, tomarán las medidas de eliminación necesarias y harán un resumen de la Informe del incidente según sea necesario. El contenido del informe resumido del incidente debe incluir: la situación básica del incidente, su alcance y consecuencias posibles o ya causadas, las medidas preventivas tomadas y las sugerencias relevantes. Artículo 20 La institución central o la institución operativa informará a las agencias pertinentes de conformidad con las siguientes disposiciones: (1) La institución central presentará informes de alerta temprana, informes de emergencia e informes resumidos de incidentes a la Comisión Reguladora de Valores de China. (2) Si ocurre un incidente de seguridad de la información en una institución central y afecta a otras instituciones, la emergencia deberá informarse a las instituciones pertinentes de manera oportuna. (3) La institución operativa deberá presentar informes de alerta temprana, informes de emergencia e informes resumidos de incidentes a la oficina enviada por la Comisión Reguladora de Valores de China en su lugar de domicilio, y sus sucursales deberán presentar informes de alerta temprana, informes de emergencia e informes resumidos de incidentes a la oficina enviada por la Comisión Reguladora de Valores de China en su lugar de domicilio. También se debe enviar una copia del informe resumido del evento a la Asociación de la Industria de Valores de China, la Industria de Futuros o la Industria de Fondos de Inversión en Valores. (4) Cuando ocurra un incidente de seguridad de la información que afecte el negocio de negociación de valores y futuros, la institución operativa deberá presentar un informe de emergencia y un informe resumido del incidente a las bolsas de valores y futuros pertinentes al mismo tiempo que el negocio de registro y compensación de valores; se ve afectado, también deberá presentar un informe de emergencia a la Corporación de Compensación y Depósito de Valores de China. Cuando el negocio de refinanciamiento se vea afectado, el informe de emergencia y el informe resumido del incidente deben enviarse a la Corporación Financiera de Valores de China; Al mismo tiempo, si otras instituciones se ven afectadas, la situación de emergencia debe informarse a las instituciones pertinentes de manera oportuna. (5) Cuando ocurra un incidente que involucre un delito informático en una institución central o institución operativa, se deberá realizar un informe de emergencia al órgano de seguridad pública.

Capítulo 4 Investigación y manejo

Artículo 21 La Comisión Reguladora de Valores de China y sus agencias enviadas tienen derecho a investigar y manejar incidentes de seguridad de la información de acuerdo con las necesidades de la investigación y la industria; Se puede contratar información. En la investigación participarán consultores técnicos y otros expertos pertinentes, o se confiará a instituciones profesionales la realización de la investigación. Artículo 22 Los investigadores tienen derecho a obtener información relacionada con incidentes de seguridad de la información de instituciones centrales, instituciones comerciales, productos de software y hardware o proveedores de servicios técnicos e individuos, y pueden tomar las siguientes medidas: escuchar informes, interrogar a las partes, revisar documentos e información. y revisar los registros del sistema, la inspección in situ y otros métodos de trabajo. Durante el proceso de investigación del incidente, el personal relevante de la organización donde ocurrió el incidente de seguridad de la información debe poder estar presente en cualquier momento para ser interrogado, presentar sinceramente la situación y proporcionar evidencia y los documentos e información requeridos. Artículo 23 Los investigadores serán honestos y justos, desempeñarán sus funciones concienzudamente, observarán la disciplina laboral y guardarán estrictamente los secretos de la investigación de incidentes, así como los secretos comerciales y técnicos aprendidos durante la investigación. La información relevante conocida durante la investigación del incidente no se divulgará ni publicará sin permiso. Artículo 24 La Comisión Reguladora de Valores de China o sus agencias enviadas instarán a las instituciones donde ocurran incidentes de seguridad de la información a implementar medidas de rectificación y supervisar la implementación de las medidas de rectificación. Las instituciones donde ocurren incidentes de seguridad de la información deben aprender cuidadosamente de las lecciones aprendidas del incidente e implementar medidas correctivas lo antes posible para eliminar los riesgos potenciales. Artículo 25 La Comisión Reguladora de Valores de China informará los incidentes de seguridad de la información a toda la industria según corresponda, y las oficinas enviadas por la Comisión Reguladora de Valores de China informarán a las instituciones operativas de valores y futuros en la jurisdicción según corresponda. Artículo 26 La Comisión Reguladora de Valores de China y sus oficinas enviadas, de acuerdo con las leyes, reglamentos y normas administrativas pertinentes, tomarán medidas de supervisión y gestión o impondrán sanciones administrativas a las instituciones, los supervisores directamente responsables y otro personal directamente responsable cuando ocurran incidentes importantes de seguridad de la información. . Artículo 27 Para las organizaciones con responsabilidad humana donde ocurre un incidente general de seguridad de la información, la unidad donde ocurrió el incidente deberá responsabilizar a la persona directamente responsable a cargo y a otro personal directamente responsable de sus responsabilidades internas. Artículo 28 La Comisión Reguladora de Valores de China, sus oficinas enviadas y las instituciones donde ocurren incidentes de seguridad de la información determinarán la responsabilidad por los incidentes de seguridad de la información de acuerdo con el principio de "exención de responsabilidad debido a la debida diligencia y responsabilidad por incumplimiento del deber".

Artículo 29 Para incidentes de seguridad de la información importantes y superiores que no sean responsables, la Comisión Reguladora de Valores de China y sus agencias enviadas deberán, de acuerdo con las leyes, reglamentos y normas administrativas pertinentes, tomar medidas de supervisión y gestión contra las instituciones donde ocurrieron los incidentes de seguridad de la información. Artículo 30 La Comisión Reguladora de Valores de China o sus agencias enviadas tomarán medidas de supervisión y gestión, como ordenar informes periódicos sobre las instituciones que tienen incidentes de seguridad de la información importantes o particularmente importantes o que ocurren con frecuencia incidentes de seguridad de la información, y pueden realizar inspecciones in situ según corresponda. . Artículo 31 Si una institución donde ocurre un incidente de seguridad de la información tiene cualquiera de las siguientes circunstancias, la Comisión Reguladora de Valores de China o su agencia enviada tomará medidas de supervisión y gestión o le impondrá sanciones administrativas: (1) No informar el incidente de conformidad con las disposiciones de estas Medidas, Informes tardíos, omisión, informes falsos u ocultación de informes (2) No preservar adecuadamente las pruebas, u ocultación, falsificación, manipulación o destrucción intencionales de documentos, materiales y pruebas pertinentes; cumplir rápidamente con los requisitos de informes de seguridad de la información de la Comisión Reguladora de Valores de China. Adoptar medidas de control y prevención de riesgos, lo que resulta en la ocurrencia de incidentes de seguridad de la información (4) No realizar rectificaciones de acuerdo con los requisitos de la Comisión Reguladora de Valores de China o su; agencias enviadas o no realizar rectificaciones en el lugar, lo que resulta en la ocurrencia de incidentes de seguridad de la información. (5) Obstrucción o negativa a investigar (6) Otras circunstancias adversas determinadas por la Comisión Reguladora de Valores de China y sus agencias enviadas.

Capítulo 5 Disposiciones Complementarias

Artículo 32 Las presentes Medidas entrarán en vigor el 1 de febrero de 2065. Adjunto: Informe de incidente de seguridad de la información (omitido)