证券期货业信息安全保障管理办法
中国证券监督管理委员会
中国证券监督管理委员会令第82号
《证券期货业信息安全保障管理办法》已经2012年8月23日中国证券监督管理委员会第22次主席办公会议审议通过,现予公布,自2012年11月1日起施行。
中国证券监督管理委员会主席:郭树清
2012年9月24日
附件:《证券期货业信息安全保障管理办法》.doc
证券期货业信息安全保障管理办法
第一章 总则
第一条 为了保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《期货交易管理条例》及信息安全保障相关的法律、行政法规,制定本办法。
第二条 证券期货业信息安全保障、管理、监督等工作适用本办法。
第三条 证券期货业信息安全保障工作实行“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。
第四条 证券期货业信息安全保障的责任主体应当执行国家信息安全相关法律、行政法规和行业相关技术管理规定、技术规则、技术指引和技术标准,开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。
前款所称责任主体,包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。
第五条 开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构应当按照有关规定保障相关业务系统的安全运行。
第六条 为证券期货业提供软硬件产品或者技术服务的供应商(以下简称供应商),应当保证所提供的软硬件产品或者技术服务符合国家及证券期货业信息安全相关的技术管理规定、技术规则、技术指引和技术标准。
第七条 中国证监会支持、协助国家信息安全管理部门组织实施信息安全相关法律、行政法规,依法对证券期货业信息安全保障工作实施监督管理。
中国证监会派出机构按照授权履行监督管理职责。
第八条 中国证监会及其派出机构与国家信息安全管理部门、相关行业管理部门建立信息安全协调机制,与国家有关专业安全机构和标准化组织建立信息安全合作机制。
第九条 证券、期货、证券投资基金等行业协会(以下简称证券期货行业协会)依照本办法的规定,对会员的信息安全工作实行自律管理。
第十条 核心机构依照本办法的规定,对市场相关主体关联信息系统的安全保障工作进行督促、指导。
第二章 基本要求
第十一条 核心机构和经营机构应当具有合格的基础设施。机房、电力、空调、消防、通信等基础设施的建设符合行业信息安全管理的有关规定。
第十二条 核心机构和经营机构应当设置合理的网络结构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力。
第十三条 核心机构和经营机构应当建立符合业务要求的信息系统。信息系统应当具有合理的架构,足够的性能、容量、可靠性、扩展性和安全性,能够支持业务的运行和发展。
第十四条 核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,拥有执行程序和源代码并安全可靠存放,在重要信息系统上线前对执行程序和源代码进行严格的审查和测试。
第十五条 核心机构和经营机构应当具有防范木马、病毒等恶意代码的能力,防止恶意代码对信息系统造成破坏,防止信息泄露或者被篡改。
第十六条 核心机构和经营机构应当建立完善的信息技术治理架构,明确信息技术决策、管理、执行和内部监督的权责机制。
第十七条 核心机构和经营机构应当建立完善的信息技术管理制度和操作规程,并严格执行。
第十八条 核心机构应当制定本机构与市场相关主体信息系统安全互联的技术规则,并报中国证监会备案。
核心机构依法督促市场相关主体执行技术规则。
第十九条 核心机构应当提供多种互为备份的远程接入方式,保证市场相关主体安全接入,并对市场相关主体的远程接入进行监控与管理。
第三章 持续保障要求
第二十条 核心机构和经营机构应当保障充足、稳定的信息技术经费投入,配备足够的信息技术人员。
第二十一条 核心机构和经营机构应当根据行业规划和本机构发展战略,制定信息化与信息安全发展规划,满足业务发展和信息安全管理的需要。
第二十二条 核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。
第二十三条 核心机构交易、行情、开户、结算、通信等重要信息系统上线或者进行重大升级变更时,应当组织市场相关主体进行联网测试,并按规定进行报告。
第二十四条 核心机构和经营机构应当规范开展信息技术基础设施和重要信息系统的运行维护,保障系统安全稳定运行。
第二十五条 核心机构应当指导市场相关主体正确运行维护与本机构互联的系统和通信设施。
第二十六条 核心机构和经营机构应当建立数据备份设施,并按照规定在同城和异地保存备份数据。
第二十七条 核心机构和经营机构应当建立重要信息系统的故障备份设施和灾难备份设施,保证业务活动连续。
第二十八条 核心机构和经营机构应当按照规定向中国证监会指定的证券期货业数据中心报送数据。报送的数据必须真实、完整、准确、及时。
证券期货业数据中心应当按照中国证监会的有关规定开展行业数据的集中保存工作,确保数据的安全、完整、可靠。
第二十九条 核心机构负责建设和运营行业信息技术公共基础设施。
第三十条 核心机构和经营机构应当加强信息安全保密管理,保障投资者信息安全。
第三十一条 核心机构和经营机构应当建立网络与信息安全风险检测、监测、评估和预警机制,发现风险隐患应当及时处置,并按照规定进行报告。
第三十二条 核心机构和经营机构应当建立信息安全应急处置机制,及时处置突发信息安全事件,尽快恢复信息系统的正常运行,并按照规定进行报告,不得迟报、漏报、瞒报。
核心机构和经营机构应当对信息安全事件进行内部调查、责任追究和采取整改措施,并配合中国证监会及其派出机构对事件进行调查处理。
与核心机构和经营机构发生信息安全事件相关的软硬件产品或者技术服务供应商,应当配合相关调查工作。
第三十三条 核心机构应当每年组织市场相关主体进行一次信息安全应急演练,并于实施前15个工作日向中国证监会报告。
第三十四条 核心机构和经营机构应当对信息技术人员进行培训,确保其具有履行岗位职责的能力。
第三十五条 核心机构和经营机构应当建立信息安全内部审计制度,定期开展内部审计,对发现的问题进行整改。
第四章 产品及服务采购要求
第三十六条 核心机构和经营机构应当建立供应商管理制度,定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。
第三十七条 核心机构和经营机构在采购软硬件产品或者技术服务时,应当与供应商签订合同和保密协议,并在合同和保密协议中明确约定信息安全和保密的权利和义务。
涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同,应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。
第三十八条 核心机构和经营机构采购的软硬件产品或者技术服务应当满足审慎经营和风险管理的要求。软硬件产品或者技术服务不符合要求,影响核心机构和经营机构持续经营的,中国证监会有权要求核心机构和经营机构予以改进或者更换。
第五章 行业自律
第三十九条 证券期货行业协会应当制定信息技术指引,督促、引导会员执行国家和行业信息安全相关规定和技术标准。
第四十条 证券期货行业协会应当引导行业加强信息技术人才队伍建设,定期组织信息技术培训和交流,提高信息技术人员执业素质。
第四十一条 证券期货行业协会应当引导鼓励行业信息技术研究与创新,增强自主可控能力,组织开展科技奖励,促进行业科技进步。
第四十二条 证券期货行业协会应当引导供应商规范参与行业信息化与信息安全工作,促进市场公平竞争,促进供应商与市场相关主体共同发展。
第六章 监督管理
第四十三条 中国证监会建立统一组织、分级负责的信息安全监督管理体制。
中国证监会信息安全管理部门负责证券期货业信息安全工作的组织、协调和指导;相关业务监管部门依照职责范围对核心机构和经营机构的信息安全进行监督、检查;派出机构根据授权对辖区内经营机构的信息安全进行监督、检查。
第四十四条 中国证监会依法组织制定证券期货业信息安全管理规定和技术标准。
第四十五条 中国证监会及其派出机构依照职责范围,对核心机构和经营机构进行信息安全检查或者委托国家、行业有关专业安全机构进行安全检查。核心机构和经营机构应当配合检查。
核心机构和经营机构的信息安全管理不能达到规定要求的,中国证监会及其派出机构责令其限期改正,改正前可以暂停或者限制其部分或者全部证券期货经营业务活动。
第四十六条 中国证监会及其派出机构可以要求核心机构和经营机构提供信息安全相关资料。
核心机构和经营机构应当及时、准确、完整地提供相关资料。
第四十七条 中国证监会组织制定证券期货业信息安全应急预案,督促、指导行业开展信息安全应急工作。
第四十八条 中国证监会有权对核心机构、经营机构的信息安全事件进行调查处理。
对于损害投资者合法权益或者影响证券期货市场安全稳定运行的信息安全事件,中国证监会依法对相关单位采取监督管理措施或者行政处罚。
第四十九条 中国证监会对发现的系统漏洞、安全隐患、产品缺陷进行全行业通报。
第五十条 核心机构和经营机构违反本办法规定,中国证监会可以视情节,依法对其采取责令改正、监管谈话、出具警示函、公开谴责、责令定期报告、责令处分有关人员、撤销任职资格、暂停或者限制证券期货经营业务活动等措施;情节严重的,给予警告、罚款。
第七章 附 则
第五十一条 本办法自2012年11月1日起施行。《证券期货业信息安全保障管理暂行办法》(证监信息字〔2005〕5号)同时废止。
案情简介
2008年9月,甲公司为乙公司等被保险人签发了保险单,在承保内容中明确“偷盗、提货不全、提货不着”属承保风险,但“被保险人或操作人员的故意行为”属免责风险。
2008年9月至10月,乙公司在承运案外人丙公司货物时因乙公司工作人员偷盗,货物多次发生短缺。同年10月29日,乙公司向甲公司发出出险通知书,请求其启动理赔程序,甲公司认为乙公司所受损失系因该公司员工职务侵占所致,属于双方约定的“被保险人或操作人员的故意行为”免赔的范围,拒绝理赔。
2008年11月,乙公司向丙公司作出赔偿。2009年3月,乙公司提起诉讼,要求甲公司赔偿保险事故损失二十二万余元。
案例选送:上海市第一中级人民法院
诉争焦点
一、系争保险单中免责条款是否属格式条款;二、免责风险“被保险人或操作人员的故意行为”应作何解释?
法院判决
一审判决:甲公司支付乙公司保险金人民币二十万余元。
二审判决:驳回甲公司的上诉,维持原判。
再审判决:撤销原一、二审判决,驳回乙公司的诉讼请求。
判案分析
一、关于保险合同中格式条款的判断。通常情况下,保险合同是一种格式合同,合同的基本条款及投保单和保险单的主要文字均由保险人事先拟制。但无法据此认定,保险合同内的所有条款都是格式条款。一般来说,格式条款是指合同一方为了重复使用而预先拟定的,且在订立合同时未与对方协商的定型化合同条款。格式条款具有以下特征:文本由一方当事人预先提供;内容具有不可协商性;条款提供人在订约时处于优势地位;条款具有重复使用性。
本案中,系争免责条款出现于甲公司出具的保险单中,乙公司在该保单上加盖了公章,在明细表中“国内货物承运人责任综合保险+国内水路、陆路货物运输综合协议”的“同意方案”前打钩,且在庭审中表示“这只是双方在进行保险合同商洽的往来过程”,表明其协商后认可了该综合保险协议的条款。而且,甲公司备案标准合同的免责条款为“被保险人、投保人、索赔人、分包承运人及其代理人的故意行为或重大过失”,系争免责条款则表述为“被保险人或操作人员的故意行为”,两者所涉及的行为主体与过错责任性质均不同,这进一步说明系争免责条款是双方协商的结果,并非格式条款。
二、关于保险合同的解释规则。合同法第125条规定,当事人对合同条款的理解有争议的,应当按照合同所使用的词句、合同的有关条款、合同的目的、交易习惯以及诚实信用原则,确定该条款的真实意思。据此,保险合同解释的一般方法主要有文义解释、整体解释、习惯解释、诚信解释、目的解释等。
文义解释是指按照保险合同条款用语的文义及其唯一、特定或者通常使用方式,以阐明保险合同条款的内容;整体解释是指应把保险合同的所有条款看作相互衔接、逻辑严密的统一整体,从合同的全部内容及条款间的总体联系来理解合同含义;习惯解释是按照交易习惯和惯例确定合同含义;诚信解释要求以客观理性的第三人立场,合理确定合同含义;目的解释要求以合同双方对于缔约目的的合理期待为出发点,对合同进行解释。
在市场经济条件下,保险人存在利用拟制保险条款之便损害投保人或者被保险人利益的可能性。故对保险合同作不利于保险人解释的“不利解释规则”被立法接受。
我国有关“不利解释规则”的规定,最早见于1995年保险法第31条:“对于保险合同的条款,保险人与投保人、被保险人或者受益人有争议时,人民法院或者仲裁机构应当作有利于被保险人和受益人的解释。”但是该条款对“不利解释规则”适用的前提条件和范围未作限制,导致了实践中对保险条款的解释规则理解的偏颇——只要双方对保险条款发生歧义,一律作对保险人不利的解释。
2009年修订的保险法对此作出了修正。该法第30条规定:“采用保险人提供的格式条款订立的保险合同,保险人与投保人、被保险人或者受益人对合同条款有争议的,应当按照通常理解予以解释。对合同条款有两种以上解释的,人民法院或者仲裁机构应当作出有利于被保险人和受益人的解释。”这意味着裁判机关仅可对双方当事人存有争议的保险格式条款,作有利于被保险人和受益人的解释。
本案中,双方当事人对系争免责条款进行了磋商,并作出了与标准条款不同的修改,故该条款不属于格式条款,“不利解释规则”无适用余地,只能按照保险合同的一般解释方法进行解释。即系争免责条款应根据条款本身的文义,结合上下文、保险交易管理规则、诚信原则以及合同目的等作出解释。由此,系争免责条款“被保险人或操作人员的故意行为”应解释为“被保险人的一切故意行为或操作人员的一切故意行为”,而不应限缩为“被保险人或操作人员在履行职务行为过程中依照被保险人的意思表示所从事的故意行为”。而且,如果采后一种限缩解释,被保险人将无需为其选任工作人员的失误承担责任,这不仅无法激励被保险人积极改进企业内部管理,甚至可能产生道德风险,有违保险法的目的与宗旨。
天津市体育竞赛管理办法
天津市人民政府
天津市体育竞赛管理办法
天津市人民政府
天津市人民政府令第34号
(2001年2月12日经天津市人民政府第35次常务会议通过)
第一条 为加强对本市体育竞赛的管理,促进体育事业的发展,提高体育运动水平,根据《中华人民共和国体育法》及国家有关规定,结合本市实际情况,制定本办法。
第二条 凡在本市行政区域内举办体育竞赛活动的单位和个人(以下简称举办人),应当遵守本办法。
本办法所称体育竞赛,是指经体育行政部门批准的,由举办人自负盈亏举办的国际或国内各级、各类综合性运动会、单项体育竞赛和体育表演活动。
体育竞赛项目的范围包括国务院体育行政部门确定的体育运动项目和经国务院体育行政部门批准并符合本市实际情况的体育竞赛项目、体育表演项目。
第三条 市体育行政部门是全市体育竞赛的行政主管部门。区、县体育行政部门负责各自辖区内相应级别体育竞赛的管理。
各级公安、工商、卫生、税务、审计等部门按照各自职责,协同体育行政部门做好体育竞赛的管理工作。
第四条 市和区、县体育行政部门管理体育竞赛的职责:
(一)对承办全国和全市各类体育竞赛活动进行计划安排或招标,确定承办单位,制定相应竞赛计划和规程;
(二)审核体育竞赛申报登记文件;
(三)指导举办人组织体育竞赛,协助审定体育场地、设施、器材;
(四)监督检查体育竞赛的组织实施情况;
(五)制定裁判员培养发展规划,培训、选派裁判员;
(六)审定、公布本行政区域体育竞赛最高记录,颁发成绩证书、证明;
(七)申办各级、各类体育竞赛。
第五条 体育竞赛的管理实行申报登记制度。举办人应当向体育行政部门申报登记。
第六条 举办人应当具备下列条件:
(一)能够独立承担民事责任;
(二)有与举办体育竞赛相适应的组织机构和管理人员;
(三)有具体的竞赛规程和组织实施方案;
(四)有竞赛所需的场地、设施、器材和必要的经费。
第七条 举办人按照下列规定,办理申报登记手续:
(一)举办区、县级的体育竞赛,举办人应当在开赛前30日内向所在区、县体育行政部门申报登记,区、县体育行政部门应当自收到登记申请之日起7日内做出准予登记或不予登记的决定。
(二)举办跨区、县或者全市性的体育竞赛,举办人应当在开赛前30日内向市体育行政部门申报登记,市体育行政部门应当自收到登记申请之日起10日内做出准予登记或不予登记的决定。
(三)举办或承办跨省市、全国性、国际性的或者有香港特别行政区、澳门特别行政区和台湾地区的运动队、运动员参加的体育竞赛,举办人应当在开赛前60日内向市体育行政部门申报登记,市体育行政部门应当自收到登记申请之日起15日内做出准予登记或不予登记的决定。
对前款规定的登记申请,市和区、县体育行政主管部门逾期不做出决定的,视为准予登记。体育行政主管部门应于逾期之日起5日内补发体育竞赛登记证明,并应追究有关行政主管人员及直接责任人员的行政责任。
法律、法规和规章规定举办体育竞赛应当经国家体育行政部门批准的,举办人应当按照有关规定办理报批手续。
第八条 举办人向体育行政部门提出申报登记体育竞赛,应当交验下列文件:
(一)主管部门的批文及体育竞赛申报登记表;
(二)体育竞赛规程、组织实施方案及其可行性分析报告;
(三)有关机构出具的竞赛经费来源的验资证明或资金来源协议书及经费预算方案;
(四)竞赛场地、设施、器材等情况的可行性报告;
(五)举办危险性大、对抗剧烈、超大强度体育竞赛的,还应提供医疗急救方案和运动员人身保险证明;
(六)需要查验的其他文件。
第九条 对符合本办法规定条件的举办人,体育行政部门在准予办理体育竞赛登记后,核发体育竞赛登记证明;对不符合本办法规定条件的举办人,体育行政部门不予办理体育竞赛登记,并书面通知举办人。
第十条 经批准登记的体育竞赛,如需要变更举办主体或者竞赛名称、内容、时间、地点的,举办人应当向原登记部门办理变更登记。如需要取消竞赛的,应当向原登记部门办理注销登记,并提前发布公告。
举办人不得私自转让举办权。
第十一条 体育竞赛实行公平竞争的原则,举办人和参赛运动员、教练员应当遵守体育道德,不准弄虚作假、营私舞弊,不得利用体育竞赛进行赌博活动,严禁使用禁用药物和方法提高运动成绩。
第十二条 举办人领取体育竞赛登记证明后,方可进行广告征集、接受赞助、出售门票和收取报名费工作。
第十三条 举办体育竞赛接受赞助或获取广告收入的,双方当事人应当订立合同。
第十四条 举办人应当按照登记交验的体育竞赛规程和实施方案组织体育竞赛,并对报名参赛运动员进行资格审查。
举办人应当采取措施,维护竞赛场所的秩序和安全。
第十五条 在体育竞赛赛事活动中发生纠纷的,由体育仲裁机构负责调解、仲裁。
第十六条 体育竞赛的冠名应当与竞赛的内容和规模相符。未经相应体育行政部门批准,不得以行政区域名称或者与行政区域名称同义字样冠名。
第十七条 举办体育竞赛,举办人应当通过体育行政部门选聘注册裁判员。未经体育行政部门选派,裁判员不得承担竞赛裁判任务。举办人不得随意委派他人担任裁判工作。
第十八条 体育场馆及可用于比赛的场地、器材管理部门,不得向未取得体育竞赛登记证明的举办人租借场地、器材或提供其他比赛条件。
第十九条 举办人应当在体育竞赛结束后30日内,向体育行政部门提交竞赛情况总结、成绩册和具有审计资格的机构出具的竞赛经费收支审计报告。
第二十条 举办人可以委托符合规定资格的体育机构举办体育竞赛。
委托举办时,当事人应当订立合同,明确各自的权利和义务。
第二十一条 举办人应当自觉接受体育行政部门的监督检查。体育行政部门的执法人员进行检查时,应当出示行政执法证件。
第二十二条 违反本办法规定,在举办体育竞赛活动中有下列行为之一的,由体育行政部门责令其停止违法行为,对非经营性活动的,处1000元以下罚款;对经营性活动无违法所得的,处1000元以上1万元以下罚款,有违法所得的,处1万元以上3万元以下罚款:
(一)未办理申报登记手续或未取得体育竞赛登记证明,擅自举办体育竞赛或从事与体育竞赛有关活动的;
(二)未经批准擅自变更体育竞赛举办主体、名称、内容、时间、地点或擅自取消体育竞赛的;
(三)不按登记交验的体育竞赛规程和实施方案组织体育竞赛的;
(四)未经批准冠以市或者区、县行政区域名称或以市或者区、县行政区域名称同义字样举办体育竞赛的;
(五)未按规定提交竞赛情况总结、成绩册和竞赛经费收支审计报告的;
(六)未通过体育行政部门,擅自委派他人担任裁判工作的;
(七)体育场馆及可用于比赛的场地、器材管理部门向未取得体育竞赛登记证明的举办人租借场地、器材或提供其他比赛条件的;
(八)未经体育行政部门同意,私自转让举办权的;
(九)拒绝体育行政部门进行监督检查或者在被检查时弄虚作假的。
第二十三条 未经体育行政部门选派,擅自担任体育竞赛裁判的,由体育行政部门对其按照国家有关规定予以处理。
第二十四条 对违反本办法有关规定的行为,工商、公安、卫生等行政管理部门在各自法定的职权范围内,依照有关规定进行处罚。
第二十五条 对举办人因组织管理不善,造成参赛者和消费者重大伤亡事故的,除对其进行经济处罚外,还应由其承担民事和刑事责任。
第二十六条 体育行政部门的执法人员执行公务时,应当依法行使职权,秉公执法。对滥用职权、徇私舞弊、玩忽职守的,由其所在单位或者上级主管部门给予行政处分;构成犯罪的,依法追究刑事责任。
第二十七条 在本市行政区域内的机关、企业、事业单位举办的本单位、本系统内部的体育竞赛,不适用本办法。
第二十八条 本办法自发布之日起施行。
2001年2月23日