中国证券监督管理委员会


中国证券监督管理委员会公告〔2012〕46号





　　　 现公布《证券期货业信息安全事件报告与调查处理办法》，自2013年2月1日起施行。







　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 中国证监会　　　　　

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 2012年12月24日　　　


附件：
　
证券期货业信息安全事件报告与调查处理办法


　　　　
第一章 总 则

　　　第一条 为了规范证券期货业信息安全事件的报告和调查处理，减少信息安全事件的发生，根据《证券法》、《证券投资基金法》、《证券公司监督管理条例》、《期货交易管理条例》、《证券期货业信息安全保障管理办法》等法律、行政法规和规章，制定本办法。
　　　第二条 证券期货业信息安全事件是指证券期货业信息系统运行异常或者数据损毁、泄露，对投资者合法权益造成损害或者对证券期货市场造成不良影响的事件。
　　　第三条 证券期货业信息安全保障责任主体发生信息安全事件后，应当按本办法规定进行报告和调查处理。
　　　前款所称责任主体，包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构（以下简称核心机构），证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构（以下简称经营机构）。
　　　第四条 核心机构、经营机构发生信息安全事件后，应当及时、准确、完整报告，不得迟报、漏报、谎报或者瞒报。
　　　第五条 信息安全事件调查处理应当坚持实事求是、尊重科学、客观公正、及时稳妥的原则。
　　　第六条 发生信息安全事件的核心机构和经营机构应当对事件进行内部调查，追究责任，采取整改措施。
　　　第七条 中国证监会及其派出机构依据本办法规定对核心机构、经营机构的信息安全事件进行调查处理。
　　　第八条 信息安全事件相关的核心机构、经营机构、软硬件产品或者技术服务供应商应当配合中国证监会及其派出机构和发生事件的机构对事件进行调查和处理。
　　　
第二章 事件分级

　　　第九条 根据信息安全事件对投资者合法权益造成损害，或者对证券期货市场造成不良影响的程度，事件分为特别重大事件、重大事件、较大事件、一般事件。
　　　第十条 特别重大事件是指对投资者合法权益造成特别严重损害或者对证券期货市场造成特别严重影响的信息安全事件。符合下列情形之一的为特别重大事件：
　　　（一）证券交易所交易、通信、行情发布系统在开市前无法正常启动或者中断达到20分钟以上，或者受影响营业部或者交易单元比例达到20%以上，或者交易中断的证券只数达到20%以上的；
　　　（二）期货交易所交易业务系统全部中断，影响交易时间累计2小时以上的；结算交割业务系统中断，影响下一交易日正常开市的；
　　　（三）中国证券登记结算公司登记结算系统瘫痪、短期内无法恢复且何日恢复无法预知，对公司全部业务或者整个市场造成重大影响的；
　　　（四）有效客户数在100万人以上的证券公司、期货公司集中交易系统或者网上交易系统全部中断，影响交易时间累计2小时以上的；
　　　（五）有效客户数在100万人以上的证券公司、期货公司结算系统发生故障，在开市前未能完成前一交易日的结算或者结算数据出现重大错误，影响投资者正常交易的；
　　　　（六）基金销售、会计核算或者注册登记系统发生严重故障，且备份系统预计在8小时内无法恢复，影响100万人以上投资者当日或者后续交易日基金正常申购赎回的；
　　　（七）100万人以上的投资者数据发生损毁或者错误等异常情况，影响当日或者后续交易日正常交易的；
　　　（八）100万人以上的投资者数据发生泄露的；
　　　（九）其他对投资者合法权益、证券期货市场造成特别严重影响的事件。
　　　第十一条 重大事件是指对投资者合法权益造成严重损害或者对证券期货市场造成严重影响的信息安全事件。符合下列情形之一，且未达到特别重大事件的为重大事件：
　　　（一）证券交易所交易、通信、行情发布系统中断达到10分钟以上，或者受影响营业部或者交易单元比例达到10%以上，或者交易中断的证券只数达到10%以上的；
　　　（二）期货交易所交易业务系统全部中断，影响交易时间累计30分钟以上的；
　　　（三）中国证券登记结算公司登记结算系统故障，影响下一个交易日的正常开市或者业务开展，可能导致整个市场当日某项业务不能正常进行的；
　　　（四）有效客户数在10万人以上的证券公司、期货公司集中交易系统或者网上交易系统全部中断，影响交易时间累计30分钟以上的；
　　　（五）有效客户数在10万人以上的证券公司、期货公司结算系统发生故障，在开市前未能完成前一交易日的结算或者结算数据出现重大错误，影响投资者正常交易的；
　　　　（六）基金销售、会计核算或者注册登记系统发生严重故障，且备份系统预计在4小时内无法恢复，影响10万人以上投资者当日或者后续交易日基金正常申购赎回的；
　　　（七）10万人以上的投资者数据发生损毁或者错误等异常情况，影响当日或者后续交易日正常交易的；
　　　（八）10万人以上的投资者数据发生泄露的；
　　　（九）其他对投资者合法权益、证券期货市场造成严重影响的事件。
　　　第十二条 较大事件是指对投资者合法权益造成较大损害或者对证券期货市场造成较大影响的信息安全事件。符合下列情形之一，且未达到重大事件的为较大事件：
　　　（一）证券交易所交易、通信、行情发布系统中断，受影响营业部或者交易单元比例达到5%以上，或者交易中断的证券只数达到5%以上的；
　　　（二）期货交易所交易业务系统全部中断、部分中断，影响交易时间在3分钟以上的；
　　　（三）中国证券登记结算公司登记结算系统故障，未影响市场正常交易，但某一项或者几项业务中断或者延迟超过4小时（不含），在当日内恢复正常，给部分参与人带来影响的；
　　　（四）证券公司、期货公司集中交易系统或者网上交易系统全部中断、部分中断，影响交易时间累计在5分钟以上的；
　　　（五）证券公司第三方存管系统、融资融券系统全部或者部分停止运行，影响业务时间累计30分钟以上，期货公司银期转账系统全部或者部分停止运行，影响业务时间累计30分钟以上的；
　　　（六）有效客户数在10万人以下的证券公司、期货公司结算系统发生故障，在开市前未能完成前一交易日的结算或者结算数据出现错误，影响投资者正常交易的；
　　　　（七）基金销售、会计核算或者注册登记系统发生严重故障，且备份系统预计在2小时内无法恢复，影响10万人以下的投资者当日或者后续交易日基金正常申购赎回的；
　　　（八）提供现场交易服务的证券公司分支机构、期货公司营业部现场行情或者现场交易系统发生故障,影响交易时间累计2小时以上的；
　　　（九）10万人以下的投资者数据发生损毁或者错误等异常情况，影响当日或者后续交易日正常交易的；
　　　（十）10万人以下的投资者数据发生泄露的；
　　　（十一）其他对投资者合法权益、证券期货市场造成较大影响的事件。
　　　第十三条 一般事件是指对投资者合法权益造成损害或者对证券期货市场造成影响的信息安全事件。符合下列情形之一，且未达到较大事件的为一般事件：
　　　（一）证券交易所交易、通信、行情发布系统中断，受影响营业部或者交易单元比例未达到5%，或者交易中断的证券只数未达到5%的；
　　　（二）期货交易所交易业务系统全部中断、部分中断，影响交易时间在3分钟以下的；
　　　（三）中国证券登记结算公司登记结算系统故障，未影响市场正常交易，但某一项或者几项业务中断或者延迟超过2小时（不含），在当日内恢复正常，给部分参与人带来影响的；
　　　（四）证券公司、期货公司集中交易系统或者网上交易系统全部中断、部分中断，影响交易时间累计在5分钟以下的；
　　　（五）证券公司第三方存管系统、融资融券系统全部或者部分停止运行，影响业务时间累计30分钟以下，期货公司银期转账系统全部或者部分停止运行，影响业务时间累计30分钟以下的；
　　　（六）提供现场交易服务的证券公司分支机构、期货公司营业部现场行情或者现场交易系统发生故障，影响交易时间累计2小时以下的；
　　　（七）其他对投资者合法权益、证券期货市场造成影响的事件。
　　　第十四条 本章所称的“以上”包括本数，所称的“以下”不包括本数。
　　　本章所称的“有效客户数”以证券公司、期货公司向中国证监会及其派出机构上报的发生信息安全事件之前一个月的合格账户期末数为准。合格账户是指开户资料真实、准确、完整，投资者身份真实，资产权属关系清晰，符合相关规定的账户。
　　　
第三章 事件报告

　　　第十五条 核心机构和经营机构应当建立网络与信息安全风险监测预警体系，发现风险隐患应当尽快加以核实，采取必要的防范措施，如有重大情况应当及时进行预警报告。
　　　预警报告应当包括：事件基本情况（包括预警发生的时间、地点、经过等），可能造成的影响范围和后果，已采取的防范措施及相关建议、需要有关部门和单位协调处置的有关事宜。
　　　第十六条 核心机构和经营机构应当建立信息安全应急处置机制，及时处置信息安全事件，尽快恢复信息系统的正常运行，保护事件现场和相关证据，并按照下列要求进行应急报告：
　　　　（一）核心机构重要信息系统发生可能导致或者已经造成交易中断、严重缓慢的重大故障后，应当立即报告，并每隔30分钟至少上报一次，直至信息系统恢复正常运行；如有重要情况应当立即报告；
　　　（二）证券、期货公司集中交易系统发生故障，可能导致或者已经造成交易中断、严重缓慢的，应当立即报告，并每隔30分钟至少上报一次，直至信息系统恢复正常运行；如有重要情况应当立即报告；
　　　（三）核心机构和经营机构其他信息系统发生故障，影响投资者正常业务办理，原则上30分钟内无法恢复业务正常运行的，应当立即报告，并每隔1小时至少上报一次，直至业务和信息系统恢复正常运行；如有重要情况应当立即报告；
　　　　（四）核心机构和经营机构发生投资者数据损毁或者泄露的事件，应当立即报告，在事件解决前，如有重要情况应当立即报告；
　　　（五）核心机构和经营机构发生涉及计算机犯罪的事件，应当立即报告，在事件解决前，如有重要情况应当立即报告。
　　　第十七条 核心机构和经营机构进行应急报告时应当先进行电话报告，随后书面报送《信息安全事件情况报告书》（见附件），内容包括：事件发生时间、地点、简要经过、影响范围初步评估、影响程度初步评估、影响人数初步评估、经济损失初步评估、后果初步判断、原因初步判断、事件性质初步判断、已采取的措施及效果、需要有关部门和单位协助处置的有关事宜、报告单位、签发人和报告时间、联系人与联系方式、与本事件有关的其他内容。
　　　第十八条 核心机构和经营机构应当在信息安全事件应急处置结束、系统恢复正常运行后5个工作日内，组织内部调查，准确查清事件经过、原因和损失，查明事件性质，认定并追究事件责任，提出整改措施，并进行事件总结报告。事件总结报告内容应当包括：
　　　（一）事件基本情况，包括事件发生时间、地点、经过、影响范围、影响程度、损失情况等；
　　　（二）应急处置情况，包括事件报告的情况、采取的措施及效果；
　　　（三）事件调查情况，包括事件原因、事件级别、责任认定和结论；
　　　（四）事件处理情况，包括事件暴露出的问题及采取的整改措施，责任追究情况。
　　　暂时无法确定事件原因、责任和结论的，应当提交事件的初步分析报告，同时尽快查找原因，认定并追究事件责任，采取整改措施，并在事件应急处置结束、系统恢复正常运行后30个工作日内提交事件补充报告。
　　　第十九条 核心机构和经营机构接到中国证监会及其派出机构关于系统漏洞、安全隐患、产品缺陷的信息安全通报书后，应当立即核实情况，采取必要的处置措施，并根据要求进行事件总结报告。
　　　事件总结报告内容应当包括：事件基本情况，可能或者已经造成的影响范围和后果，已采取的防范措施及相关建议。
　　　第二十条 核心机构或者经营机构应当按照下列规定向有关机构进行报告：
（一）核心机构应当向中国证监会进行预警报告、应急报告和事件总结报告；
　　　（二）核心机构发生信息安全事件影响到其它机构的，应当及时向有关机构进行应急通报；
（三）经营机构应当向住所地中国证监会派出机构进行预警报告、应急报告和事件总结报告，经营机构分支机构应当向所在地中国证监会派出机构进行预警报告、应急报告和事件总结报告。事件总结报告同时抄送中国证券业、期货业或者证券投资基金业协会；
　　　　（四）经营机构发生信息安全事件影响到证券期货交易业务时，应当同时向相关证券期货交易所进行应急报告和事件总结报告；影响到证券登记结算业务时，应当同时向中国证券登记结算公司进行应急报告和事件总结报告；影响到转融通业务时，应当同时向中国证券金融公司进行应急报告和事件总结报告；影响到其他机构的，应当及时向有关机构进行应急通报；
　　　（五）核心机构或者经营机构发生涉及计算机犯罪的事件，应当向公安机关进行应急报告。
　　　
第四章 调查处理

　　　第二十一条 中国证监会及其派出机构有权对信息安全事件进行调查处理；根据调查工作需要，可以聘请行业信息技术顾问和其他有关专家参与调查，或者委托专业机构进行调查。
　　　第二十二条 调查人员有权向信息安全事件相关的核心机构、经营机构、软硬件产品或者技术服务供应商和个人了解事件有关的情况，可采取听取报告、询问当事人、调阅文件资料、调阅系统日志、实地核查等工作方式。
　　　在事件调查期间，发生信息安全事件的机构相关人员应当能够随时到场接受询问，如实介绍情况，提供证据和所需的文件、资料。
　　　第二十三条 调查人员应当诚信公正，认真履职，遵守工作纪律，严格保守事件调查的秘密，以及在调查过程中了解到的商业秘密、技术秘密。未经允许，不得泄露或者擅自发布事件调查中知悉的有关信息。
　　　第二十四条 中国证监会或者其派出机构督促发生信息安全事件的机构落实整改措施，并对整改措施落实情况进行监督。
　　　发生信息安全事件的机构应当认真吸取事件教训，尽快落实整改措施，消除风险隐患。
　　　第二十五条 中国证监会视情况将信息安全事件有关情况向全行业通报，中国证监会派出机构视情况向本辖区证券期货经营机构通报。
　　　第二十六条 对于发生存在人为责任的较大及以上信息安全事件的机构、直接负责的主管人员和其他直接责任人员，中国证监会及其派出机构依照有关法律、行政法规和规章，采取监督管理措施或者实施行政处罚。
　　　第二十七条 对于发生存在人为责任的一般信息安全事件的机构，事件发生单位应当对直接负责的主管人员和其他直接责任人员进行内部责任追究。
　　　第二十八条 中国证监会及其派出机构和发生信息安全事件的机构应当按照“尽职免责，失职有责”的原则界定信息安全事件的人为责任。
　　　第二十九条 对于不存在人为责任的较大及以上信息安全事件，中国证监会及其派出机构依照有关法律、行政法规和规章，对发生信息安全事件的机构采取监督管理措施。
　　　第三十条 对于发生重大及特别重大信息安全事件或者频繁发生信息安全事件的机构，中国证监会或者其派出机构应当对其采取责令定期报告等监督管理措施,并可视情况对其进行现场检查。
　　　第三十一条 发生信息安全事件的机构有以下情形之一的，中国证监会或者其派出机构依照有关法律、行政法规和规章，对其采取监督管理措施或者实施行政处罚：
　　　（一）未按照本办法规定进行事件报告，存在迟报、漏报、谎报或者瞒报的；
　　　（二）未妥善保存证据，或者故意隐匿、伪造、篡改、毁损有关文件、资料和证据的；
　　　　（三）未按照中国证监会信息安全通报要求及时采取风险防控措施，导致信息安全事件发生的；
　　　　（四）未按照中国证监会或者其派出机构的要求进行整改或者整改不到位，导致信息安全事件发生的；
　　　（五）阻碍、拒绝调查工作的；
　　　（六）中国证监会及其派出机构认定存在其他恶劣情形的。

第五章 附 则

　　　第三十二条 本办法自2013年2月1日起施行。

　　　附件：信息安全事件情况报告书
　　　
　　　
　
　
附件：
　　　
　　　信息安全事件情况报告书
　　　
报告时间： 年 月 日 时 分 第 次
单位名称 　　　 报告人 　　　
联系电话 　　　 传 真 　　　
签发人 　　　 联系方式（含手机）
事件发生时间、
地点 　　　
事件简要经过 　　　
事件影响范围、影响程度、影响人数、经济损失情况 　　　
事件导致的后果、发生原因和事件性质判断 　　　
已采取的措施及效果 　　　
需要有关部门和单位协助处置的有关事宜 　　　
备注
注：单位名称处需加盖公章或者由机构信息技术负责人签字。


机电部


机电工业企业承包产品质量要求及推行“质量否决权”的暂行规定

1990年4月10日，机电部

第—章 总 则
第—条 为了统一机械电子工业企业承包经营责任制中承包产品质量的要求，加强承包经营中产品质量的管理， 更好地实施“质量否决权”，以使“质量否决权”作为贯彻“质量第一”方针的重要措施， 而增强企业领导和广大职工的质量意识，稳定和提高产品质量，增加经济效益， 促进人们对劳动成果的评价观念从只重视数量转到既重视数量更重视质量的观念上来，从只重视价值转到既重视价值更重视使用价值的观念上来。 现根据国务院国发（1986）42、（1988）13、（1989）25号文件精神， 特制订本暂行规定。

第二章 承包产品质量要求
第二条 机电企业承包经营合同中有关产品质量的承包内容必须包括下列内容：
（一）完成企业主管部门下达的各项质量考核指标和要求。
（二）不允许发生《机械企业质量检验工作暂行条例》中所列的重大质量事故。
（三）不允许违反《工业产品质量责任条例》第二十四条各款规定。
（四）必须推行全面质量管理，并参照国标ＧＢ／Ｔ10300．1～ＧＢ ／Ｔ10300．5建立健全质量体系。
第三条 承包企业对上述4条中，如有1条未完成者， 均属未完成质量承包规定。
第四条 企业产品质量考核指标，一般应包括以下指标或要求：
（一）成品抽查合格率。
（二）成品等级品率（优等品率、一等品率、合格品率）。
（三）日抽样批次合格率。
（四）一次工程合格率（直通率），或成品装配一次合格率。
（五）产品质量稳定提高率。
（六）主导产品升级要求。
（七）企业的主管部门下达的产品可靠性及其他质量考核指标或要求。
以上考核指标由发包方按企业主管部门下达的年度考核指标或要求与承包企业具体签定。
第五条 产品质量指标的计算方法， 机械系统按原第一机械工业部以（80）一机技字1000号文印发的《机械工业产品质量考核试行办法》、电子系统按机电质（1990）365号《电子产品质量等级评定、统计、考核管理办法》（试行）及有关规定考核。

第三章 质量否决权
第六条 实行“质量否决权”要与推行承包经营责任制相结合。 各级机械电子工业主管部门要将企业的质量责任制的落实和“质量否决权”的实施，作为审查企业升级、产品创优、申请生产许可证及出口质量许可证、创质量管理奖和考核完成质量承包的必备条件之一。
第七条 实行“质量否决权”分两个层次。 第一个层次是企业的主管部门对企业实行“质量否决权”， 第二个层次是企业内部实行“质量否决权”。主管部门对企业实行“质量否决权”是企业内部实行“质量否决权”的动力，其贯彻情况由企业的主管部门中主管质量工作的领导负责； 企业内部实行“质量否决权”是上级对企业实行“质量否决权”的基础和保证，其贯彻情况由企业厂长（经理）负责。
（一）企业主管部门在企业未完成第二条款中任何一项要求时， 应对企业实施“质量否决权”。
（二）当企业发生第二条款中的任何一项要求未完成时， 企业的主管部门应对企业进行如下处理：
1．扣发企业考核当季（或当年）全部奖金、浮动（效益）工资；
2．追究企业领导和责任者的责任；
3．限期整改，直至根据需要，令其责任产品停产、停销；
4．取消企业当年参加评选有关质量方面的奖励及荣誉的资格。
（三）当企业全面完成第二条款中的各项质量承包要求， 且产品质量稳定上升，主管部门应给予表彰或一定方式的奖励。 企业可以按主管部门核定的奖励基金中提取一定比例的奖励基金作为质量奖金， 以鼓励在质量方面作出贡献的人。
（四）企业的主管部门按季（或年）对企业实施“质量否决权”的考核。
（五）当企业未完成第二条款的任何一项要求时， 企业内部应作如下处理：
1．对企业有关领导、直接责任者和相关责任者扣发一定期限内的全部奖金、浮动（效益）工资、一定比例的工资。
2．情节严重的，要按有关规定给予企业有关领导、直接责任者和相关责任者一定的行政处分，直至追究法律责任。
3．根据主管部门的处理意见，采取措施，认真进行整顿。
4．企业内部实施“质量否决权”的办法，由企业参照上述规定，自行确定（推荐企业内部实施“质量否决权”的几种计算方法见附录）。
（六）企业对在质量方面作出成绩的先进车间、 班组和个人给予一定方式的奖励。
1．企业内部的质量奖励办法，按各省市和企业内部的有关规定执行；
2．成绩突出者，可浮动一至二级工资；
3．授予质量荣誉称号。
第八条 实施“质量否决权”的要求：
（一）明确各层次、各科室、各车间、班组和个人的质量责任， 严格进行考核。
（二）各级领导必须以身作则，不徇私情，照章办事。 加强思想政治工作，积极开展质量意识方面的教育。
（三）各级机械电子工业主管部门， 要经常督促检查“质量否决权”的执行情况，每年总结一次，反映所取得的效果和存在的问题， 上报部质量安全司。
（四）对执行情况，部质量安全司将组织不定期的抽样调查， 并对有关情况进行通报。

第四章 附 则
第九条 本规定适用于各种经营承包形式的机械电子工业企业。
第十条 本规定自颁布之日起实行。 解释权属机械电子工业部质量安全司。

附 推荐企业内部实施“质量否决权”的几种计算方法
—、质量系数法
该方法是质量系数Q乘以经济责任制考核的其他项目得分，表达式为：
当月奖金＝Ｑ×（Ａ＋Ｂ＋Ｃ＋…）×应提奖金数
式中Ａ＋Ｂ＋Ｃ＋…——除质量以外的其他考核项目得分；
Ｑ—一质量系数，是各个质量考核项目ＱＩ的平均系数。 Ｑ＝
1／ｎ∑Qi，当0＜Ｑ＜1时，部分奖金被否决；Ｑ＝0时，
全部奖金被否决；Ｑ＞1时，体现优质加奖。
二、ＰＱＣ计奖法
当月奖金＝ＰＱＣ×应提奖金数
或 当月奖金＝（ＰＱＣ±Ｄ）×应提奖金数
或 当月奖金＝Ｑ×（Ｐ＋Ｃ）×应提奖金数
式中 Ｑ——质量得分系数；
Ｐ——是工作量完成情况得分系数；
Ｃ——是管理或效益情况得分系数；
Ｄ——是交货期得分系数。
ＰＱＣ法与质量系数法基本相同，采用这类方法的关键在于Ｑ中的各Ｑi的确定，各企业应根据本企业的实际情况确定各Ｑi的取值，以使其达到合理、促进的效果。
三、质量指标下限否决法
此法是将考核的质量指标，如废品率、返修率、一次交验合格率、 直通率、例行试验不合格等质量指标，确定一个下限值或范围， 分档次实行部分或全部否决。凡是完成的指标低于某一下限时， 则奖金被全部否决（例如：产品稳定提高率考核指标85％，如只达75％一84％则部分否决，75％以下全部否决）。完成质量指标成绩显著者应予以奖励。