券业信息系统安全等级保护要求出炉

提高证券期货业信息系统安全保护工作不遗余力
　　中国期货业协会近日转发了关于《证券期货业信息系统安全等级保护基本要求》的征求意见稿，要求各会员单位认真研究，并于10月10日前及时反馈。
　　中期协透露，《基本要求》的起草工作由证监会信息中心组织多名行业专家历时数月完成，旨在进一步做好行业信息系统等级保护工作，全面提升行业信息安全保障水平。
　　《基本要求》明确指出，信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级，不同等级的信息系统对应不同的安全保护能力。作为金融机构，证券公司、基金公司、期货公司的信息系统安全保护能力必须达到一定的等级。
　　“从这份文件来看，监管部门对不同等级信息系统所须对应的安全保护能力做出了明确的区分，但并未说明证券期货经营机构应该达到哪个等级。”上海良茂期货信息部分管总监张伟德在接受本报记者采访时表示，等意见征求工作结束后，管理层可能会出台更为详细的配套规定。从现有情况来看，证券公司、基金公司基本能达到三级以上的水平，而财务状况略逊一筹的传统期货公司（无券商背景）多数只能达到二级标准。
　　事实上，在提高证券期货业信息系统安全保护工作上，管理层始终不遗余力。据了解，早在去年下半年，证监会就要求各大证券期货经营机构向当地公安局自行报送信息系统安全等级；北京奥运前夕，证监会又针对证券期货经营机构的网络安全问题，专门组织了多场模拟“黑客”攻击。从测试的结果来看，部分机构的网络可以被“黑客”轻松攻破。
　　“能否抵挡住来自外部网络的恶意攻击，是考验信息系统安全保护能力的重要指标。”张伟德表示，随着互联网技术的发展，越来越多的投资者选择网上交易。但无论是采用网页式下单还是网上交易系统下单，证券期货经营机构的内部网络都会暴露在互联网上，因此很容易受到黑客和病毒攻击。
　　《基本要求》对信息系统第二级保护能力的定义是：能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。
　　对第三级安全保护能力的要求则是：能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。