第二章。网络和信息安全运行第九条.核心机构和经营机构应当具有完善的信息技术治理架构,健全网络和信息安全管理制度体系,建立内部决策,管理 执行和监督机制、确保网络和信息安全管理能力与业务活动规模,复杂程度相匹配,信息技术系统服务机构应当建立网络和信息安全管理制度,配备相应的安全,合规管理人员.建立与提供产品或者服务相适应的网络和信息安全管理机制,第十条 核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人。分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人 核心机构和经营机构应当建立网络和信息安全工作协调和决策机制,保障第一责任人和直接责任人履行职责、第十一条 核心机构和经营机构应当指定或者设立网络和信息安全工作牵头部门或者机构 负责管理重要信息系统和相关基础设施,制定网络安全应急预案,组织应急演练等工作,第十二条.核心机构和经营机构应当保障人员和资金投入与业务活动规模.复杂程度相适应,确保网络和信息安全人员具备与履行职责相匹配的专业知识和职业技能。第十三条 核心机构和经营机构应当确保信息系统和相关基础设施具备合理的架构.足够的性能、容量,可靠性,扩展性和安全性。并保证相关安全技术措施与信息化工作同步规划 同步建设。同步使用。第十四条.核心机构和经营机构应当落实网络安全等级保护制度。依法履行网络安全等级保护义务 按照国家和证券期货业网络安全等级保护相关要求 开展网络和信息系统定级备案,等级测评和安全建设等工作,核心机构和经营机构应当按照相关要求。将网络安全等级保护工作开展情况报送中国证监会及其派出机构、第十五条,核心机构和经营机构新建上线、运行变更.下线移除重要信息系统的。应当充分评估技术和业务风险,制定风险防控措施。应急处置和回退方案,并对相关结果进行复核验证,可能对证券期货市场安全平稳运行产生较大影响的、应当提前向中国证监会及其派出机构报告,核心机构和经营机构不得在交易时段对重要信息系统进行变更,重要信息系统存在故障、缺陷.经评估须进行紧急修复的情形除外.第十六条 核心机构和经营机构在重要信息系统上线,变更前应当制定全面的测试方案.持续完善测试用例和测试数据 并保障测试的有效执行,除必须使用敏感数据的情形外,核心机构和经营机构应当对测试环境涉及的敏感数据进行脱敏。对未脱敏数据须采取与生产环境同等的安全控制措施。核心机构交易,行情。开户.结算,通信等重要信息系统上线或者进行重大升级变更时。应当组织市场相关主体进行联网测试 第十七条 核心机构和经营机构暂停或者终止借助网络向投资者提供服务前,应当履行告知义务,合理选取公告。定向通知等方式告知投资者相关业务影响情况。替代方式及应对措施。第十八条。核心机构和经营机构应当建立健全网络和信息安全监测预警机制、设定监测指标,持续监测信息系统和相关基础设施的运行状况 及时处置异常情形,对监测机制执行效果进行定期评估并持续优化,核心机构和经营机构应当全面.准确记录并妥善保存生产运营过程中的业务日志和系统日志、确保满足故障分析。内部控制、调查取证等工作的需要、重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上.第十九条,核心机构和经营机构应当构建网络和信息安全防护体系,综合采取网络隔离,用户认证。访问控制.策略管理、数据加密、网站防篡改,病毒木马防范,非法入侵检测和网络安全态势感知等安全保障措施,提升网络和信息安全防护能力。及时识别.阻断相关网络攻击,保护重要信息系统和相关基础设施 防范信息泄露与损毁。第二十条,核心机构和经营机构应当建立本地、同城和异地数据备份设施 重要信息系统应当每天至少备份数据一次 每季度至少对数据备份进行一次有效性验证.核心机构和经营机构应当建立重要信息系统的故障备份设施和灾难备份设施。根据信息系统的重要程度和业务影响情况,确定恢复目标,保证业务连续运行 灾难备份设施应当通过同城或者异地灾难备份中心的形式体现、核心机构和经营机构采取双活或者多活架构部署重要信息系统的,在确保业务连续运行的前提下 任一数据中心可视为其他数据中心的灾难备份设施、第二十一条.核心机构和经营机构应当每年至少开展一次重要信息系统压力测试 发现市场较大波动.重要信息系统的性能容量可能无法保障安全平稳运行的,应当及时对相关信息系统开展压力测试。核心机构和经营机构应当依照有关行业标准,根据系统技术特点和承载业务类型,制定压力测试方案,设定测试场景.从系统性能 网络负载 灾备建设等方面设置测试指标,有序组织测试工作,测试完成后形成压力测试报告存档备查 并保存五年以上,核心机构和经营机构重要信息系统的性能容量应当在历史峰值的两倍以上,核心机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之五十以下。经营机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之八十以下。第二十二条,核心机构和经营机构应当建立健全供应商管理机制,明确信息技术产品和服务准入标准。审慎采购并持续评估相关产品和服务的质量,及时改进风险管理措施.健全应急处置机制、确保重要信息系统运行安全可控 核心机构和经营机构应当与供应商签订合同及保密协议 明确约定各方保障网络和信息安全的权利和义务,在使用供应商提供产品或者服务时引发网络安全事件的、相关供应商有义务配合中国证监会及其派出机构查明网络安全事件原因,认定网络安全事件责任,第二十三条,供应商为核心机构和经营机构提供重要信息系统相关产品或者服务的,应当依法作为信息技术系统服务机构向中国证监会备案、核心机构和经营机构应当督促相关信息技术系统服务机构依法履行备案义务 第二十四条 任何机构和个人不得违规开展证券期货业信息系统认证,检测、风险评估等活动 不得违规发布证券期货业信息安全漏洞,计算机病毒,网络攻击、网络侵入等信息、第二十五条 核心机构和经营机构应当建立信息发布审核机制 加强对本机构和本机构运营平台发布信息的管理,发现违反法律法规和有关监管规定的,应当立即停止发布传输,采取必要的处置措施,防止信息扩散。积极消除负面影响.并及时向中国证监会及其派出机构报告、第二十六条,核心机构应当对交易,行情,开户.结算。风控,通信等重要信息系统具有自主开发能力 掌握执行程序和源代码并安全可靠存放.经营机构应当根据自身发展需要,加强自主研发能力建设,持续提升自主可控能力,核心机构和经营机构应当按照国家及中国证监会有关要求,开展信息技术应用创新以及商用密码应用相关工作,第二十七条,中国证监会可以委托相关机构建设证券期货业备份数据中心 开展行业数据的集中备份和管理工作.并采取有效安全防护手段,防范数据损毁泄露风险,持续提升证券期货业重大灾难应对能力,鼓励证券期货业关键信息基础设施运营者及时向证券期货业备份数据中心备份数据.其他核心机构和经营机构可以结合经营需要。自主选择证券期货业备份数据中心 开展数据级灾难备份工作 第二十八条、核心机构和经营机构应当按照知识产权相关法律法规,制定知识产权保护策略和制度,不侵犯他人的知识产权.并采取有效措施保护本机构自主知识产权、