证券公司网上证券信息系统技术指引

证券公司网上证券信息系统技术指引

第一章总则

第一条为保障网上证券信息系统的安全、可靠、高效运行，促进证券公司网上开展证券业务的健康有序发展，保护客户的合法权益，依据《中华人民共和国证券法》、《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等国家相关法律法规，以及《证券期货业信息安全保障管理办法》等行业相关制度规范，制定本指引。

第二条本指引所提出的各项要求，是证券公司网上证券信息系统应达到的基本要求。证券公司在开展网上证券信息系统建设和运行过程中，应符合本指引规定的相关要求。

第三条证券公司网上证券信息系统是证券公司通过互联网、移动通信网络、其它开放性公众网络或开放性专用网络基础设施等开放性网络，向其客户提供金融业务和服务的信息系统，包括证券公司的网络设备、计算机设备、软件、数据、专用通讯线路，以及客户端软件等。

第四条证券公司利用网上证券信息系统开展证券业务应当遵循如下基本原则：

（一）安全性原则：网上证券信息系统的建设应当建立风险

防范意识，保证在网上开展证券业务的安全性。通过技术措施和管理手段，实现信息的保密性、完整性和服务可用性。

（二）系统性原则：网上证券信息系统的建设应当覆盖安全保障体系的各个方面，包括但不限于：安全体系规划和建设、证券业务安全运行、运维和安全保障、灾难恢复和应急措施等。

（三）可用性原则：网上证券信息系统的建设应当在保障安全的原则下，确保在网上开展证券业务的连续性和可靠性。

第五条中国证券业协会对证券公司执行本指引的情况实施自律管理。

第二章基本要求

第六条证券公司对网上证券信息系统应当统一规划、统一管理，保证在网上开展证券业务安全、有序发展。

第七条证券公司应当根据国家相关法律法规，信息系统安全等级保护要求、运维管理规范、信息系统备份能力标准、行业信息安全管理制度，以及监管机关的相关实施指导意见，做好网上证券信息系统的信息安全管理、运维管理和备份能力建设等工作。

第八条证券公司应当将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围，建立健全网上证券风险控制管理体系。

第九条证券公司应当将网上开展证券业务的审计纳入公司

的审计工作范围。

第十条证券公司应当按照国家主管部门的有关规定办理网上证券相关信息系统的备案，并提供备案信息的查询途径。

第十一条证券公司通过网上证券信息系统向客户提供证券交易的行情信息，应当提示行情来源、行情站点名称等信息；向客户提供资讯信息的，应当说明信息来源。

第十二条证券公司网上证券信息系统分为网上证券客户端和服务端。

网上证券客户端是指证券公司为客户提供人机交互功能的应用程序，以及提供必需功能的组件，包括但不限于：可执行文件、控件、静态链接库、动态链接库等。除通用浏览器外，其它网上证券客户端称为网上证券专用客户端。

网上证券服务端是指网上证券信息系统中提供客户接入和接入后业务和服务处理的证券公司信息系统，包括但不限于：开放性网络的接入以及接入后的网络通信、身份认证、应用服务、安全防护与监控、网络隔离等系统。网上证券服务端网络区域划分为隔离区（）、后台区。

第十三条证券公司应当采用多种技术手段加强网上证券信息系统敏感数据的保护，技术手段包括但不限于：敏感数据在开放性网络加密传输，加解密在客户与证券公司实际控制的系统中进行，不得在任何中间环节对数据进行解密；口令和密钥全程加密传输，且加密存储于后台区；严格授权访问存储敏感数据的

数据库。

敏感数据指影响网上证券信息系统安全和客户信息安全的数据，包括但不限于：口令、密钥，以及客户账号、身份信息、联系方式、交易数据、资产数据、支付或转账数据、包含以上数据的客户日志，以及其它若发生泄露可能损害客户合法权益的数据。

第十四条证券公司应当保证网上证券敏感数据传输的可用性、保密性、完整性、真实性和可稽核性。网上证券信息系统未经证券公司授权不得与第三方进行任何形式的敏感数据交换，并具备经过认证后仅向授权的第三方指定地址发送信息的功能，数据交换应当加密传输或使用专线、等可靠通道，并确保数据在传输过程中不在所经过的设备或系统上被复制或保存。

第十五条证券公司应当根据国家相关法律法规以及行业制度和规范要求、结合自身实际情况制定网上证券信息系统的数据备份计划并落实执行。备份的数据包括但不限于：系统程序、配置参数、系统日志、安全审计数据、门户网站信息（资讯类数据除外）、客户数据等。

第十六条证券公司网上证券信息系统敏感数据复用时应当遵循最小化原则。

第三章网上证券客户端

第十七条证券公司发布网上证券客户端应当通过公司网

站或授权的第三方渠道进行。证券公司在客户端软件程序编译封装、形成下载文件后，应当安排专人对其进行严格的病毒扫描和木马检查，对计算机类专用客户端的发布应当提供等方式的校验。

第十八条证券公司授权第三方发布网上证券敏感数据信息系统的专用客户端时，应当对其发布的客户端软件进行确认。

第十九条网上证券客户端用户登录功能应当至少提供一种安全方式，包括但不限于：图形验证码、强制随机排序图形键盘、口令输入安全控件等，防范不法分子利用木马等黑客程序窃取客户账号和口令信息。

第二十条网上证券客户端的客户身份认证信息和交易、支付数据等数据传输应当采用国家信息安全机构认可的加密技术和加密强度，并最低达到等同协议位的加密强度。

第二十一条网上证券客户端在本地终端存储客户账户、交易数据、支付数据等数据时，应当提示客户，经客户确认后以加密方式存储。

第二十二条当客户访问网上证券服务端时，未经客户许可不得以任何方式在客户端系统中安装插件，安装后应当允许客户卸载。

第二十三条证券公司应当采取服务端身份或证书验证等手段校验网上证券专用客户端。网上证券专用客户端具有唯一连接到证券公司网上证券服务端的保障机制。网上证券专用客户端