证券期货业信息安全事件报告与调查处理方法修定

为进一步标准证劵期货业网络信息安全事件报告和责任追究制度，中国证监会对2012年发布的《证券期货业信息安全事件报告与调查处理方法》开展了修定，产生了《证券期货业网络安全事件报告与调查处理方法（征求意见稿）》，重要修定內容包括下列层面。

一是将网络信息安全恶性事件责任主体限制为出示证券基金相关服务的组织。网络信息安全责任主体进一步确立为：担负证券基金市场销售公共性职责的组织、担负证券基金领域信息科技(159939)公共性基础设施建设经营的组织等证券基金市场销售关键组织以及担负所述公共性职责的属下组织，证劵公司、证券公司、股票基金整治企业以及出示证券基金相关服务的属下组织、证券基金服务项目组织等证券基金运营组织。

二是确立了对证券基金服务项目组织采用监管整治对策。依据《证券法》《证券投资基金法》《证券期货业信息安全保障治理方法》《证券基金(512900)经营机构信息技术(159939)治理方法》等相关法律法规和中国证监会规章制度，将证券基金服务项目组织确立为证劵期货业网络信息安全确保责任主体，网络信息安全恶性事件有关证券基金服务项目组织存在人为因素义务的，证监会以及派出机构能够规定其递交表明原材料，并按照相关法律法规、行政规章和规章制度，采用监管整治对策。

三是对信息管理系统开展了统一归类。依照信息管理系统产生网络信息安全恶性事件后，对国家金融、公共秩序、投资人合法权利导致的危害水平，关键组织和运营组织的信息管理系统由高到低分成五类，即五类系统软件、四类系统软件、三类系统软件、二类系统软件和一类系统软件。

四是明确提出了统一的网络信息安全恶性事件等级分类方式。融合信息管理系统类型和信息管理系统服务能力异常，明确提出了统一的网络信息安全恶性事件等级分类方式。另外，对于数据泄漏、清算额度错漏、发布不良记录等网络信息安全恶性事件，根据信息量和危害水平明确提出了评定规范。

五是健全了网络信息安全事件报告步骤。提升了根据恶性事件申报服务平台汇报恶性事件状况；充分考虑恶性事件产生时，难以推论是不是会进一步恶变，规定信息管理系统产生常见故障，很有可能组成网络信息安全恶性事件的，都应当立刻汇报；规定组织对恶性事件基本评定，对很有可能组成独特重特大、重特大网络信息安全恶性事件的，每过三十分钟最少汇报一次恶性事件应急处置状况，直到信息管理系统还原一切正常运行，别的网络信息安全恶性事件第一次汇报后，不必持续汇报恶性事件应急处置状况，若有重特大状况应当立刻汇报。

六是网络信息安全恶性事件惩罚更为具备目的性和协调性。对于存在突显过失、粗心大意且社会影响很大的网络信息安全恶性事件，可酌情考虑提升 恶性事件评定；从鼓励领域科技创新、网络信息安全恶性事件具体危害、承担免除责任等视角出发，对未发现突显过失、粗心大意且负面影响较小的网络信息安全恶性事件，可酌情考虑从宽等级分类或不评定为网络信息安全恶性事件。