证券期货业网络与信息安全信息通报暂行办法
中国证券业监督管理委员会
证券期货业网络与信息安全信息通报暂行办法
(2005年2月1日 证监信息字〔2005〕1号)
第一条 为规范证券期货行业网络与信息安全信息通报工作,切实保护投资者合法权益,依据国家有关规定,制定本办法。
第二条 证券期货行业信息安全保障协调小组(以下简称协调小组)负责行业网络与信息安全信息通报工作的决策、组织、协调工作,协调小组成员单位包括中国证监会、上海证券交易所、深圳证券交易所、上海期货交易所、大连商品交易所、郑州商品交易所、中国证券登记结算公司、中国证券业协会和中国期货业协会。信息通报单位包括证券、期货交易所,中国证券登记结算公司,各证券公司、基金管理公司、期货公司,证券、期货投资咨询公司以及其他由证监会核准注册成立的机构(以下简称通报单位).
第三条 中国证监会信息中心是协调小组的执行部门,负责向国家网络与信息安全信息通报中心报告证券期货行业的网络信息安全信息;负责将国家网络与信息安全信息通报中心发布的信息报告、病毒与网络攻击预警等按要求向协调小组单位成员传达,并通过中国证券业协会和中国期货业协会向各自归口的通报单位传达。
中国证监会信息中心作为协调小组中各通报单位的归口单位,负责这些单位网络与信息安全信息的汇总、整理。
中国证券业协会负责证券公司、基金管理公司、证券投资咨询公司等单位的网络与信息安全信息汇总和反馈工作,并作为上述机构的归口单位向中国证监会信息中心报告。
中国期货业协会负责期货公司、期货投资咨询公司等单位的网络与信息安全信息汇总和反馈工作,并作为上述机构的归口单位向中国证监会信息中心报告。
第四条 各通报单位按照“谁主管、谁负责,谁运营、谁负责”的原则,做好各自单位的信息安全通报工作。各单位信息安全工作的责任人(主管领导)为本单位信息安全通报工作的责任人。
各通报单位应落实承担网络与信息安全信息通报工作的职能部门、负责人和联络员,制定本单位内部的信息报告流程和相应的责任制,并填写信息安全报告基本情况备案表(见附件一)报归口单位备案。
各通报单位要及时将本单位网络与信息系统出现的安全事故上报归口单位,并负责将来自归口单位的信息安全通告以及其他通知、要求及时传达到有关责任人。
第五条 各通报单位实行7×24小时联络制度,指定一名联络员,一名后备联络员。联络员和后备联络员应有及时准确的通讯联络方式;联络方式如有变动,应填写基本情况变动更新表(见附件一)及时报告归口单位。归口单位要及时维护和更新联络通信录,并在通报体系中公告。
第六条 事故报告。通报单位的重要网络与信息系统在运行中出现异常情况,造成不良影响或损失的,应按照应急预案及时处置,同时应将事故发生的情况、危害程度、处置措施、分析研判等内容编写成事故报告,及时上报归口单位(事故分级、报告要素及要求见附件二及编制说明).
第七条 信息安全运行月报。为及时反映行业信息安全状况,保持行业信息安全通报系统的畅通,各通报单位每月应以信息安全运行月报(格式见附件三)的形式向归口单位报告信息系统运行情况。
信息安全运行月报的内容为各通报单位信息系统运行中出现并得到及时处置的异常情况汇总和分析、研判,无异常情况的,要进行平安运行报告。对已按事故报告要求上报的情况,要在运行月报中说明。
各通报单位应在每个月前5个工作日内将上个月的系统运行情况上报归口单位。
第八条 敏感时期报告。中国证监会信息中心根据国家有关规定和需要启动敏感时期报告制度,并规定行业内敏感时期报告的启动与截止日期、日报告的截止时间等要素。
各通报单位在收到启动敏感时期报告的通知以后,根据要求每日以敏感时期信息安全报告(见附件四)的形式上报本单位信息系统运行状况。报告内容包括信息安全运行月报、事故报告应报的范围。无异常情况的,要进行平安运行报告。
各通报单位在敏感时期应有专人值守。
第九条 信息安全通告。中国证监会信息中心、中国证券业协会、中国期货业协会等信息通报归口单位,通过信息通报体系,向各通报单位定期或不定期地发布下列信息安全通告:
国家网络与信息安全信息通报中心发布的报告和预警;
行业信息安全月报的汇总分析;
行业信息系统运行中带有普遍性的安全隐患或趋势;
有关信息安全的通知、规定、技术标准、指引等;
其他需要及时向报告单位通报的信息。
各通报单位在收到归口单位的信息安全通告后,应及时传达到相关责任人,采取相应措施。
第十条 各通报单位应切实保证信息通报和联络渠道的畅通。敏感时期报告和信息安全运行月报可使用电子文件的形式报送。对于事故报告,应同时使用书面和电子文件的形式进行报送。对于有保密要求的,应使用符合要求的加密设备进行报送。
第十一条 各通报单位应保证上报要素完备、及时、准确,不得瞒报、缓报、谎报网络与信息安全事件的情况。接报单位应保证及时接收、准确记录上报信息。
第十二条 各单位应制定相应的保密和档案管理措施,妥善管理上报材料,包括各单位进行信息安全通报过程中往来电话记录(手机或固定电话)、纸质或电子文件、传真件等,存档备查。
第十三条 对于认真履行本办法,及时报告网络与信息安全事故的单位及个人,予以通报表扬。对违反本办法及相关制度的单位及个人,予以通报批评;情节严重的,予以行政处分。
第十四条 本办法自发布之日起实施。本办法由中国证监会负责解释。
附件一:信息安全报告基本情况备案、变动更新表
附件二:证券期货业网络与信息安全事故报告
附件三:证券期货业网络与信息系统安全运行月报
附件四:证券期货业网络与信息系统敏感时期安全情况日报
附件一:信息安全报告基本情况备案、变动更新表
附件二:证券期货业网络与信息安全事故报告
附件二填制说明:
事故标准及报告要求
重要业务系统出现异常,系统恢复时间(RTO-Recovery Time Objective)在30分钟以内;
因病毒、攻击、拥堵等使系统异常,给市场或客户造成可感知的影响,但交易时段2个小时内恢复的;
系统数据完整性被破坏,但在1个交易日内能够修复的;
灾害事故(停电、水灾、火灾等)发生后,重要业务系统能在1个交易日恢复正常;
网站上出现有害信息,但能及时删除、屏蔽并保留审计线索的;
通信线路发生故障且对业务造成不良影响,1个交易日内系统恢复正常;
敏感业务数据泄漏。
各通报单位的重要信息系统,凡是出现上述情况,都要在2天内,将事故发生的情况、处置措施、影响分析,以事故报告的形式,及时上报归口单位。
重大事故标准及报告要求
各信息报告单位重要信息系统出现重大故障,已经(或预计将)造成重大损失(100万元以上),或给客户/市场带来重大不良影响的。包括但不限于:
重要业务系统出现异常,系统恢复时间(RTO-Recovery Time Objective)在30分钟以上;
因病毒、攻击、拥堵等使系统异常,给市场或客户造成可感知的影响,且交易时段2个小时内没有恢复;
业务数据完整性被破坏,且在1个交易日内没有修复;
通信线路发生故障,对业务造成严重影响,且在1个交易日系统没有恢复正常;
灾害事故(停电、水灾、火灾等)发生后,重要业务系统在一个交易日系统没有恢复正常;
网站上出现有害信息,且未能及时删除、屏蔽或未能保留审计线索的。
各通报单位的重要信息系统,凡是出现上述情况,都要在事故确认的当日(或6小时之内),将事故发生的情况、影响分析、目前的状况、已经采取的处置措施等,以重大事故报告的形式,上报归口单位。
其中,交易、通信、清算等带有全局性的重大系统故障,在及时启动应急预案的同时,还要在2小时内将事故情况上报中国证监会信息中心。
灾难事故标准及报告要求
因自然灾难、人为故意破坏以及其他意外因素,使本单位重要业务系统不能正常运行,并造成恶劣影响或严重损失的,预计有效处置或消除其不良影响需要动员大量社会资源的,应在事故发生后,立即上报归口单位。
附件三:证券期货业网络与信息系统安全运行月报
附件四:证券期货业网络与信息系统敏感时期安全情况日报
司法机关在诉讼中的回避
杨涛
司法机关在诉讼中应否回避的问题,在我国三大诉讼法均未提及,、〈〈民事诉讼法〉〉、〈〈行政诉讼法〉〉只有审判人员、检察人员、侦查人员及法院院长、检察长、公安机关负责人回避的规定,对于法院、检察院、公安机关在诉讼中的回避却未作任何规定。仅1998年9月2日最高人民法院《关于执行〈中华人民共和国刑事诉讼法〉若干问题的解释》第18条规定:“有管辖权的人民法院因案件涉及本院院长需要回避等原因,不宜行使管辖权的,可以请求上一级人民法院管辖;上一级人民法院也可以指定与提出请求的人民法院同级的其他人民法院管辖。”这不能不说是诉讼法上的一种缺陷。
从现代组织的性质与功能上分析,任何组织一经形成,便集合了组织成员的意志代表了组织成员的利益,同时,该组织还具有相对独立于组织成员的自身的意志反映与利益诉求。并且,每一个组织总是有特定的人员或机构加以领导,代表组织意志行事。在民法中,有法人的概念,并由法定代表人参加诉讼;在刑法中,有单位作为犯罪的主体,其主要负责人要对单位犯罪承担相应的刑事责任。法院、检察院、公安机关在履行职能时是公权力机关,是公法人,由院长、检察长、局长领导,在国家机关体系中相对独立、经费单独核算,有其独立的政治与经济利益的诉求。在民事领域,当他们民事主体进入市场后,独立的经济利益更为明显。
而现代回避制度渊源于自然正义的原理“任何人都不能做自己案件的法官”,因为与案件的当事人或与案件有复写关系的人审理案件无法消除人们对于他们审理案件公正性、中立性的怀疑,而只有回避才能体现程序正义。当司法机关及其主要领导或负责人是案件的当事人或与本案有利害关系时,司法机关独立的利益诉求及在主要领导或负责人领导下的机制如何让人们去消除这种合理的怀疑呢?因此,回避制度必须要涉及司法机关回避的的问题。
这种回在笔者看来,要涉及以下三个方面:
一是司法机关是本案的当事人或与本案有利害关系或其他关系可能影响公正处理案件的,当事人有权要求其回避。这里这些组织其实与自然人并无差异,因为它们都有自己的独立利益与诉求。如法院是民事案件的原告、被告或第三人,检察院、公安局是刑事案件的被害人;又如在刑事诉讼中,公安机关或检察院、法院曾与当事人有民事纠纷等等;这些情形下,司法机关都不应审理案件或进行侦查、起诉等司法活动。
二是司法机关的主要领导或负责人是本案的当事人或与本案有利害关系时,当事人有权要求其所在的司法机关回避。因为这些人有实际控制和潜在影响该组织和组织成员的能力,仅仅要求其本人回避是远远不能消除人们对于司法机关办案公正性、中立性的怀疑。
三、是司法机关的成员因为公务行为涉及诉讼时,当事人也有权要求成员所在的司法机关回避。因为公务行为与组织之间有着天然的联系,司法机关处于自身的政治、经济利益可能会作出不利于公正的的趋向。如某法院法官的涉嫌滥用职权罪,如由该法院审理,法院或出于对痛恨该法官破坏法院声誉的考虑,畸重判刑,或出于防止在上级法院及有关机关的考核落后等等因素,畸轻处理甚至宣告无罪。
在涉及司法机关回避的案件中,不仅该司法机关不能参加案件的办理,而且该司法机关管辖下的机关也不能参加案件的办理。此类案件应由该司法机关的上级机关办理或由该司法机关的平级的其他司法机关办理。
通联:江西省赣州市人民检察院 杨涛 华东政法学院法律硕士
邮编:341000
E—mail:tao1991@163.net tao9928@tom.com