郑州市医疗纠纷预防与处理办法
河南省郑州市人民政府
郑州市人民政府令第193号
《郑州市医疗纠纷预防与处理办法》业经2010年7月30日市
人民政府第31次常务会议审议通过,现予公布,自2010年11月1
日起施行。
市 长
二○一○年八月六日
—1—郑州市医疗纠纷预防与处理办法
第一章 总 则
第一条 为有效预防和妥善处理医疗纠纷,维护医疗秩序,保
护患者、医疗机构及其医务人员的合法权益,根据《中华人民共和
国侵权责任法》、《中华人民共和国执业医师法》、《医疗事故处理条
例》等法律、法规,结合本市实际,制定本办法。
第二条 本办法所称医疗纠纷,是指医患双方对医疗机构的
诊疗行为、诊疗结果及其原因、责任在认识上产生分歧而引发的争
议。
第三条 本办法适用于本市行政区域内医疗机构的医疗纠纷
预防与处理工作。
第四条 市卫生行政部门负责医疗纠纷预防与处理的监督管
理工作,指导、协调医疗机构做好医疗纠纷的预防与处理工作。
市司法行政部门负责对医疗纠纷人民调解工作的指导、监督。
市财政部门负责对医疗纠纷人民调解工作的资金保障与监
督。
公安机关负责对医疗场所的治安管理,并依法处理扰乱医疗
—2—秩序的行为。
民政及其他有关部门应当在各自职责范围内,共同做好医疗
纠纷的预防与处理工作。
患方所在地县(市、区)、乡(镇)人民政府(街道办事处)、工作
单位、基层群众组织应当积极配合做好医疗纠纷处理工作。
第五条 医疗纠纷处理应当遵循预防为主、依法处理、客观公
正、及时便民的原则。
第六条 患方的生命权、健康权、知情权等依法受法律保护。
患方应当尊重医务人员,依法维护自身权益和解决医疗纠纷,
维持医疗机构正常的医疗秩序。
第七条 设立市医疗纠纷人民调解委员会(以下简称医调
委),负责本市医疗纠纷调解工作。
县(市)、区根据实际需要,可以设立医调委,负责相关的医疗
纠纷调解工作。
医调委调解医疗纠纷不得收取任何费用。
第八条 医调委是调解医疗纠纷的专业性社会组织,其设立
应当依法向司法行政部门备案。
医调委的具体组成和工作经费来源由市司法行政部门会同市
卫生行政部门、财政部门另行制定管理办法。
第九条 建立医疗责任保险制度。
市属公立医疗机构应当参加医疗责任保险,鼓励其他医疗机
构参加医疗责任保险。
—3—第二章 预 防
第十条 卫生行政部门应当依法规范医疗机构执业准入,加
强对医疗机构及其医务人员执业行为的监督和管理,依法及时查
处违法执业行为,保障医疗安全,维护患者权益。
第十一条 医疗机构应当按照有关法律、法规和规章规定,加
强自身管理,提高医疗服务水平和服务质量。
第十二条 医疗机构应当建立健全医务人员违法违规行为公
示和责任追究制度、医疗质量监控和评价制度、医患沟通制度、安
全责任制度等有关医疗纠纷预防与处理制度。
医疗机构应当设立患方接待场所和专门负责人员,接受患方
咨询和投诉。
第十三条 医疗机构应当制定医疗纠纷处理预案,并按照隶
属关系报卫生行政部门和所在地公安机关备案。
第十四条 医务人员应当遵守下列规定,预防医疗纠纷的发
生:
(一)严格遵守医疗卫生方面的法律、法规、规章和技术操作规
范;
(二)树立敬业精神,遵守职业道德,保护患者的隐私;
(三)在避免对患者产生不利后果的前提下,如实告知患者病
情、医疗措施、医疗风险及医疗费用等情况,并及时解答其咨询;
(四)按照国家规定书写病历资料,不得隐匿、伪造或者销毁医
—4—学文书及有关资料;
(五)疑似输液、输血、注射、药物等引起不良后果的,与患者共
同对现场实物进行封存和启封。
第十五条 患者及其家属应当遵守下列规定:
(一)遵守医疗机构规章制度,维持医疗秩序;
(二)如实向医务人员陈述病情,配合医务人员进行诊断、治疗
和护理;
(三)按时支付医疗费用;
(四)发生医疗纠纷后,依法表达意见和要求。
第三章 报告与处理
第十六条 卫生行政部门应当指导医疗机构建立健全医疗纠
纷报告制度,规范医疗纠纷报告工作。
医疗机构应当建立、健全医疗纠纷报告制度,并按规定报告医
疗纠纷,不得瞒报、缓报、谎报。
第十七条 医疗机构及其医务人员对发生的医疗纠纷,应当
按规定及时采取措施,防止事态扩大,同时按规定进行调查核实。
第十八条 有下列情形之一的,医疗机构应当及时向公安机
关报警:
(一)停尸、闹丧或者聚众占据、围堵医疗机构场所的;
(二)故意破坏或窃取医疗机构财物和病历、档案等重要资料
—5—的;
(三)妨碍医务人员正常执业,侮辱、诽谤、威胁、殴打医务人员
或者非法限制医务人员人身自由,严重干扰医务人员正常生活的;
(四)其他严重影响医疗秩序的行为。
第十九条 发生医疗纠纷后,医疗机构应当及时启动医疗纠
纷处理预案,并按下列程序处理:
(一)按照要求采取控制措施,防止事态扩大,及时组织专家鉴
定,将鉴定意见书面告知患方,并报卫生行政部门;
(二)在医患双方共同在场的情况下,按照《医疗事故处理条
例》规定封存和启封现场实物及相关病历资料;
(三)告知患方有关医疗纠纷处理的办法和程序,答复患方的
咨询和疑问,引导患方依法解决纠纷;
(四)患者在医疗机构内死亡的,应当按照规定将尸体移放太
平间或殡仪馆。医患双方不能确定死因或对死因有异议的,按照
《医疗事故处理条例》规定进行尸检;
(五)双方协商解决医疗纠纷的,应当在医疗机构专用接待场
所进行。患方来院人数在3人以上的,应当推举代表进行协商,代
表人数不得超过3名;
(六)处理完毕后应当及时向卫生行政部门提交医疗纠纷处理
报告,如实反映医疗纠纷的发生经过及调查、处理情况。
第二十条 卫生行政部门接到关于医疗纠纷的报告后,应当
按照下列程序处理:
—6—(一)责令医疗机构按规定及时采取措施,防止事态扩大,必要
时派人赶赴现场;
(二)积极开展政策宣传和教育疏导工作,引导医患双方依法
妥善解决纠纷;
(三)当事人申请医疗事故争议处理的,按照《医疗事故处理条
例》规定进行。
第二十一条 公安机关接到医疗机构的报警后,应当按照下
列程序处理:
(一)立即组织警力赶赴现场;
(二)开展教育疏导,制止过激行为,维护医疗秩序;
(三)患方拒绝将尸体移放太平间或殡仪馆,经劝说无效的,配
合卫生、民政等有关部门强制移送尸体,清理现场;
(四)依法查处各类违反治安管理的行为。
第二十二条 医疗纠纷发生后,医患双方可以选择以下途径
解决:
(一)双方协商解决;
(二)向卫生行政部门提出医疗事故争议处理的申请;
(三)向医调委申请调解;
(四)依法向人民法院提起诉讼。
医疗纠纷通过前款规定途径得以解决的,保险公司或医疗机
构应当按照有关调解书、判决及保险合同及时向患方支付赔偿金。
第二十三条 医疗纠纷发生后,索赔金额在5000元以下(含
—7—5000元)的,由医患双方协商解决;索赔金额在5000元以上的,医
患双方应当向医调委申请调解,也可以直接选择第二十二条第
(二)项或第(四)项规定的解决途径。
医患双方协商解决或经医调委调解时,医疗机构应当通知保
险公司参加。
第二十四条 新闻机构和记者报道医疗纠纷,应当遵守有关
法律、法规规定,在向医患双方调查核实后,客观公正地报道,正确
发挥舆论监督作用。
第四章 医调委调解
第二十五条 医调委主要履行下列职责:
(一)调解医疗纠纷,防止医疗纠纷激化;
(二)制定医疗纠纷调解工作规程;
(三)宣传有关法律、法规、规章,引导医患双方当事人依据事
实和法律公平解决纠纷;
(四)对调解解决的医疗纠纷,按照医患双方当事人要求,制作
书面调解协议;
(五)向医疗机构提出防范医疗纠纷的意见、建议;
(六)向政府有关部门反映医疗纠纷和调解工作的情况。
第二十六条 医患双方向医调委申请调解,符合规定的受理
条件的,医调委应当及时受理。
—8—有下列情形之一的,医调委不予受理:
(一)当事人已经向卫生行政部门申请医疗事故争议处理的;
(二)当事人已经向人民法院提起诉讼的;
(三)因非法行医而引发的纠纷;
(四)在医疗机构诊疗期间发生的非医疗行为引起的其他民事
纠纷。
第二十七条 医调委受理医疗纠纷后,应当指定1名人民调
解员为调解主持人,根据需要可以指定若干人民调解员参加调解。
当事人也可以自主选定人民调解员进行调解。
第二十八条 医调委调解医疗纠纷应当召集医患双方当事人
在专门设置的调解场所进行。
人民调解员应当分别向医患双方当事人询问纠纷的事实和情
节,了解双方的要求及其理由,根据需要向有关方面调查核实。
第二十九条 人民调解员在调解前应当以口头或者书面形式
告知医患双方当事人调解的性质、原则和效力,以及双方在调解活
动中的权利、义务。
需要进行医疗事故技术鉴定的,医调委应当告知当事人申请
医疗事故技术鉴定。
第三十条 人民调解员因调解工作需要收集查阅相关材料、
询问相关人员、征询专家意见等的,相关单位和人员应当予以配
合。
第三十一条 医患双方当事人均可聘请律师或者委托代理人
—9—参加调解。
医患双方当事人对调解主持人或人民调解员提出回避要求,
理由充分的,调解主持人或人民调解员应当予以回避。
第三十二条 医调委应当自受理医疗纠纷之日起30日内(不
包含医疗事故鉴定时间)调解完毕。逾期未调解完毕,医患双方同
意延期的,可以再延期1个月。到期仍未达成调解协议的,视为调
解不成。
调解不成的医疗纠纷,医患双方可以选择本办法第二十二条
第(二)项或第(四)项规定的解决途径。
第三十三条 医调委调解医疗纠纷时,保险公司可以参与医
疗纠纷调解的调查、调解及评估等工作。
第三十四条 经调解解决的医疗纠纷,按照医患双方当事人
要求,制作书面调解协议。医患双方应当自觉遵守并履行调解协
议。
第五章 法律责任
第三十五条 医疗机构违反本办法规定,有下列行为之一的,
由卫生行政部门依据有关法律、法规、规章进行处罚;情节严重的,
对负有责任的主管人员和其他责任人员依法给予处分:
(一)未按规定建立健全医疗纠纷预防和报告制度的;
(二)未制定医疗纠纷处理预案的;
—10—(三)医疗纠纷发生后,未及时启动预案或未按照预案规定进
行处理的;
(四)瞒报、缓报、谎报医疗纠纷的;
(五)法律、法规、规章规定的其他违法行为。
第三十六条 医务人员违反医疗卫生法律、法规、规章规定或
者技术操作规范,导致医疗纠纷发生并造成严重后果的,由卫生行
政部门依法给予处罚;构成犯罪的,依法追究刑事责任。
第三十七条 患方有本办法第十八条规定的行为之一的,由
公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责
任。
第三十八条 人民调解员在调解医疗纠纷过程中,违反有关
法律、法规、规章规定,弄虚作假、徇私舞弊、收受财物、损害一方利
益的,由医调委取消调解资格;构成犯罪的,依法追究刑事责任。
第三十九条 卫生行政部门及其工作人员违反本办法和有关
法律、法规、规章规定的,依照有关法律、法规、规章规定给予处理;
构成犯罪的,依法追究刑事责任。
第六章 附 则
第四十条 本办法自2010年11月1日起施行。
—11—主题词:卫生 医疗 命令
分送:各县(市)、区人民政府,市人民政府各部门。
市委各部门,郑州警备区,驻郑各单位。
市人大常委会办公厅,市政协办公厅,市法院,市检察
院。
郑州市人民政府办公厅2010年8月9日印发
关于发布《证券公司网上证券信息系统技术指引》的通知
中国证券业协会
关于发布《证券公司网上证券信息系统技术指引》的通知
各证券公司会员:
为促进证券公司网上证券业务健康有序发展,保障网上证券业务系统的安全、可靠、高效运行,提高行业信息化水平,保护投资者的合法权益,我会制定了《证券公司网上证券信息系统技术指引》,并经理事会表决通过,现予发布,请参照执行。
中国证券业协会
二○○九年六月二十三日
证券公司网上证券信息系统技术指引
第一章 总则
第一条 为保障网上证券信息系统的安全、可靠、高效运行,促进证券公司在网上开展的证券业务健康有序发展,保护投资者的合法权益,依据《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的证券公司。
第三条 网上证券信息系统是证券公司在网上开展证券业务活动中所采用的由相关网络设备、计算机设备、软件及专用通讯线路等构成的信息系统,包括网上证券服务端、客户端和门户网站。
第四条 证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则:
(一)安全性原则:网上证券信息系统的建设应提高风险防范意识,保证在网上开展证券业务的安全性。通过技术措施和管理手段,实现信息的保密性、完整性和服务可用性。
(二)系统性原则:网上证券信息系统的安全建设应覆盖安全保障体系的各个方面,包括:安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。
(三)可用性原则:网上证券信息系统的建设应在保障安全的原则下,确保在网上开展的证券业务的连续性和可靠性。
第五条 中国证券业协会对证券公司执行本指引的情况进行指导和督促。
第二章 基本要求
第六条 证券公司对网上证券信息系统应统一规划、集中管理,保证在网上开展证券业务安全、有序发展。
第七条 证券公司应制定在网上开展证券业务的各项安全管理制度,对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。
第八条 证券公司应根据在网上开展证券业务特性,设立相应的管理职能岗位,明确在网上开展证券业务管理的责任,配备合格、足够的管理人员和技术人员,包括安全管理员、安全审计员等。
第九条 证券公司应将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围,建立健全网上证券风险控制管理体系。
第十条 对在网上开展证券业务的审计应纳入证券公司的审计工作范围。
第十一条 证券公司网上证券信息系统应部署在中华人民共和国境内,满足技术审计、监管部门现场检查及中国司法机构调查取证等要求。部署网上证券信息系统的有形场所,应符合国家安全标准的有关要求。
第十二条 证券公司应当与投资者签订网上证券服务协议或合同,明确双方的权利、义务和相关风险的责任承担,向投资者充分揭示使用网上证券信息系统可能面临的风险、证券公司已采取的风险控制措施和客户应采取的风险防范措施。
第十三条 证券公司应通过多种方式揭示使用网上交易方式可能面临的风险和客户应采取的风险防范措施,提醒投资者加强账号、口令的保护工作,建议投资者定期修改口令、增强口令强度、防止口令泄露、防止用于网上交易的计算机或手机终端感染木马、病毒等,并根据投资者需要开启或关闭网上交易方式。
第十四条 证券公司应尽可能使用统一的网上证券服务电话、域名、短信号码等,并应在与投资者签订的协议或合同中明确告知客户使用网上证券信息系统的合法途径、意外事件的处理办法,以及证券公司联系方式等。
第十五条 证券公司的网上证券信息系统应自主运营、自主管理。如涉及第三方(指除证券公司及其客户以外的任何一方),应与第三方签订保密协议和服务级别协议,并明确责任,采取措施防止通过第三方泄露用户信息。
第十六条 证券公司通过网上证券信息系统向客户提供证券交易的行情信息,应提示行情源;如向客户提供证券信息,应说明信息来源,并提示投资者对行情信息及证券信息等进行核实。
第十七条 证券公司应对网上证券信息系统的各个子系统合理划分安全域,在不同安全域之间进行有效的隔离,保障网上证券信息系统的接入系统与其后台系统在技术上进行有效隔离,后台系统应与行情、资讯处理系统进行网络隔离,并应部署在证券公司可控的物理安全域内。
第十八条 证券公司应在两个以上的物理地点建立网上证券信息系统,互为备份,并应具备2个或2个以上不同运营商的互联网接入,避免在同一运营商的线路接入上出现单点故障和瓶颈,同时应充分考虑不同互联网运营商的互联瓶颈问题,确保局部故障或灾难发生时,系统能继续对用户提供服务。
第十九条 对于外包定制的网上证券信息系统,证券公司应与软件开发商签署服务协议和保密协议,明确客户端、服务端以及数据传输过程均无后门,明确软件开发商应用软件中使用的插件具备合法版权,以确保客户数据、交易资料不被泄漏,保障证券公司的权益。
第三章 门户网站
第二十条 证券公司门户网站指证券公司建立的实现信息发布、业务咨询、营销推广、客户服务和投资者教育等功能的网站。
第二十一条 证券公司门户网站应当按照国家主管部门的有关规定办理网站备案,并提供备案信息的链接。
第二十二条 证券公司应定期对网站程序代码进行全面检查和评估,并及时修补,避免各种漏洞的存在。
第二十三条 证券公司应在门户网站部署防篡改系统,当网站上的页面内容、提供给投资者下载的客户端软件及其它文件被异常修改时,能自动告警或自动恢复,防止被捆绑木马程序。
第二十四条 与核心交易业务有关的客户资料、交易数据等客户敏感数据不得存放在门户网站数据库中。网上客户业务处理的日志应单独存放。
第二十五条 在证券公司门户网站中客户账号及口令,应采用加密方式传输,并最低达到SSL协议128位的加密强度。
第二十六条 证券公司应该建立对门户网站内容发布的审核、管理和监控机制,对网页内容进行监控,对有害信息进行过滤,防止网站出现不良信息。
第四章 网上证券客户端
第二十七条 网上证券客户端是指证券公司通过互联网向本公司开户的客户提供的用于查看行情、检索资讯、交易委托等的应用程序,包括基于计算机和手机等终端的前端软件。
第二十八条 网上证券客户端应提供技术手段协助用户检查、清除木马等恶意程序,并提供验证码、强制口令图形键盘、安全的口令输入安全控件、客户端电脑或手机特征码绑定、软硬件证书、动态口令等多种用户认证方式,防范不法分子利用木马等黑客程序窃取客户账号和口令信息,进行证券盗买盗卖非法活动。
第二十九条 网上证券客户端应具备反调试能力。
第三十条 网上证券客户端的客户身份信息和交易数据等重要数据传输应采用国家信息安全机构认可的加密技术和加密强度,并最低达到SSL协议128位的加密强度。
第三十一条 网上证券客户端应能向客户提示最近一次登录的日期、时间、地址等信息。
第三十二条 网上证券客户端应能在指定的闲置时间间隔到期后,自动锁定客户端的使用。
第三十三条 网上证券客户端应具有唯一连接到本证券公司网上证券接入系统的保障机制。网上证券客户端应提供足够的识别信息,以保证网上证券服务端能够对发出连接请求的客户端与证券公司所提供下载的程序进行一致性验证。
第三十四条 当客户访问网上证券服务端时,未经客户许可,不得以任何方式在客户端系统中安装插件。
第三十五条 网上证券客户端在本地计算机储存客户账户、交易数据等重要信息,应提示客户,经客户确认后以加密方式存储。
第五章 网上证券服务端
第三十六条 网上证券服务端是指证券公司通过互联网向客户提供网上交易、网上行情、数据查询等服务的信息系统,包括互联网接入子系统、安全防护与监控子系统、应用服务子系统、身份认证子系统和后台隔离子系统。
第三十七条 证券公司应提供预留验证信息服务,在客户登录时向客户显示预留的验证信息,帮助客户识别仿冒的网上证券信息系统,防范不法分子利用仿冒的网上证券信息系统进行诈骗活动或盗取用户账号、口令等信息。
第三十八条 证券公司应提供可靠的用户身份认证机制,支持网上证券客户端采用多种认证方式与服务端进行身份认证。除输入账户名、口令、验证码的身份认证方式之外,还应向客户提供一种以上强度更高的身份认证方式,如,客户端电脑或手机特征码绑定、软硬件证书、动态口令等认证方式,确认网上交易客户的身份和登录的合法性,防止非法接入。用户身份认证信息应当在服务器上加密存放。
第三十九条 证券公司应提供可靠的访问控制和权限管理机制,防止客户的授权被恶意提升或转授,防止客户使用未经授权的功能,防止客户进行访问未经授权的数据等非法访问活动。
第四十条 网上证券信息系统采用的认证授权和加密体系应通过国家信息安全机构的安全性测评,具备足够的强度和抗攻击能力,并根据在网上开展证券业务的安全性需要和信息技术的发展,定期检查、评估和及时调整。
第四十一条 网上证券信息系统未经证券公司授权不得与第三方进行任何形式的数据交换,并具备经过认证后仅向授权的第三方指定地址发送信息的功能。
第四十二条 证券公司应保证网上证券数据传输的保密性、完整性、真实性和可稽核性,对网上交易委托的客户信息、交易指令及其他敏感信息进行可靠的加密,加解密应在投资者与证券公司实际控制的设备中进行,不得存在任何中间环节对数据进行加解密。
第四十三条 网上证券服务端应防止用户使用简单口令,应能够抵御连续猜测等对客户账户恶意攻击行为。
第四十四条 网上证券服务端应对不完整、被篡改、重发的数据包进行监控,对登录、委托方式、品种、价格、数量、操作频率、转账等异常行为进行跟踪、监控和限制,记录其账号、IP地址等相关信息,并通过短信、电话等方式及时提示客户,必要时进行用户临时锁定。监控和处置情况应形成记录备查。
第四十五条 网上证券服务端应能监控并避免攻击者通过群体大规模对合法证券账户进行非法用户登陆的请求,导致大量用户账户被异常锁定,正常用户无法登陆。
第四十六条 网上证券服务端应能在指定的时间间隔到期后,自动中止用户对系统的访问权。
第四十七条 网上交易服务端应能产生、记录并集中存储必要的日志信息,其中应包含能识别服务请求方身份的内容、登录终端的IP地址、MAC地址、手机号码和终端特征码等,并确保数据的可审计性,满足监管部门现场检查要求及司法机构调查取证的要求。
第四十八条 网上证券服务端应能向客户提供可证明服务端自身身份的信息,以确保客户能查验所使用服务的真实性。
第四十九条 网上证券服务端应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户。
第五十条 网上证券服务端应能够提供系统运行健康状况信息(如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等)、错误信息、安全警告等。
第五十一条 基于浏览器的网上证券下单网页应当使用HTTPS等加密方式与服务端交互,服务端应具备防范SQL注入式攻击、跨站脚本攻击等网页攻击的能力,同时关闭HTTP服务器的Web远程维护功能。
第六章 移动证券
第五十二条 移动证券指客户通过手机或其他具备无线数据通讯能力的移动设备,经无线公众网络获取证券公司提供的行情信息、资讯信息服务或进行交易、转账、查询等证券自助业务。
第五十三条 证券公司应使用安全、可靠的移动证券系统。移动证券系统宜自主运营,实现数据从用户终端到网上证券服务端之间的加密传送和控制,并随着技术的发展,不断提高加密强度,完善认证算法。
第五十四条 证券公司应建立确认机制以保证客户获得正确的移动证券客户端软件。
第五十五条 移动证券客户端应具备一定加密强度的用户认证功能,保护客户账号和口令信息。
第五十六条 证券公司应在门户网站或固定营业场所公告短信服务号码、移动证券门户网站地址等信息,提醒客户防范他人利用移动通讯设备进行欺诈。
第五十七条 证券公司应根据移动证券业务的网络延迟时间、链路稳定状况、信号衰减程度等风险因素,对行情或交易数据可能出现明显滞后或产生数据丢失的情况,事先对客户进行风险提示。
第七章 安全管理
第五十八条 证券公司网上证券信息系统的管理、开发、测试应与运营人员及生产环境分离。开发、测试和运营人员未经授权不得访问、修改非职责范围内的网上证券信息系统。
第五十九条 证券公司应制定在网上开展证券业务连续性计划,保证在网上开展证券业务的连续正常运营。在网上开展证券业务连续性计划应充分评估第三方服务供应商对业务连续性的影响,并应采取适当的预防措施。
第六十条 客户使用的网上证券委托软件应由证券公司管理和授权发布,证券公司应对其授权第三方发布的证券委托软件进行审核、监管。
第六十一条 证券公司应采取有效措施对门户网站上提供下载的网上证券客户端软件程序进行保护,客户端软件程序编译封装、形成下载文件后,应安排专人对其进行严格的病毒扫描和木马检查,并通过专用安全手段传输至网站文件下载服务器。
第六十二条 证券公司网上证券应用系统上线或重大版本升级,应进行安全测试和评估。
第六十三条 原则上不允许通过互联网对网上证券信息系统(如防火墙、网络设备、服务器等)进行远程管理和日常维护等操作,对网上证券信息系统的访问控制应做到:
(一)关闭网上证券信息系统所有与业务和维护无关的服务及端口,严格控制防火墙中的权限设置,确保按“最小权限原则”进行设置;
(二)对于网上证券信息系统的内部访问,应严格限制访问源。
(三)特殊紧急情况下需要通过互联网进行远程操作时,应通过限制登录IP、使用数字证书或动态口令、全程监控等措施确保安全,并在操作完成后,及时关闭相关端口。
第六十四条 证券公司应部署有效的网上证券信息系统安全防护与监控子系统,包括防火墙,防病毒、防木马系统,入侵检测系统或入侵防护系统,并正确配置。应及时更新病毒库,定期对系统进行全面的病毒扫描,加强相关系统的日志审查工作,提高网上证券信息系统的防护能力。
第六十五条 证券公司制定的安全措施,应定期检查、测试,并根据实际情况及时调整,保证安全措施的持续有效。
第六十六条 证券公司应建立定期的网上证券信息系统安全风险评估机制和整改的工作制度,及时发现SQL注入漏洞、弱口令账户、绕过验证、目录遍历、文件上传、跨站脚本等系统存在的安全隐患和漏洞,并进行改进和完善。风险评估应通过内部评估与外部评估相结合的方式进行。
第六十七条 安全风险评估应包括漏洞扫描、攻击测试、病毒扫描、木马检测等,针对不同的威胁设置相应的检查频率。
第六十八条 证券公司应对网上证券信息系统进行实时监控,建立异常事件的甄别、报警、处理和报告机制。网上证券信息系统实时监控范围应包括各种安全设备、网络设备、服务器设备及操作系统、通讯线路状态及应用软件等。监控内容包括其运行状况、日志内容、安全警告等,并统一记录保存监控信息,保存期至少为6个月。
第六十九条 证券公司应通过多种技术手段加强对投资者账户异动情况的监控,如委托的方式、品种、价格、数量异常等,并及时提醒客户,以保护客户资产安全。
第七十条 证券公司应对网上证券信息系统中包括网络安全设备、服务器以及应用系统在内的账户进行严格管理,账户权限应按最小权限原则设置,清除所有冗余、与应用无关的账户,并严格限制各管理员账户的使用,禁止用最高权限账户执行一般操作,尽量避免以最高权限账户运行网上信息系统服务端应用软件。
第七十一条 管理员账户和口令应由专人负责,口令长度应在12位以上,且含有字符和数字,区分大小写,并定期更改。
第七十二条 证券公司应严格限制人工对数据库操作的账户权限,并应分别使用不同权限的账户执行查询、插入、更新、删除等操作。
第七十三条 网上证券信息系统各环节应有可靠的热备或冷备措施,保证整个系统的高可用性。
第七十四条 证券公司应根据自身实际情况制订网上证券信息系统的数据备份计划并落实执行。备份的数据应包括:系统程序、配置参数、系统日志、安全审计数据、门户网站信息、客户数据等。
第七十五条 证券公司应保证备份数据的准确性、完整性、可用性。备份数据的管理应符合相关技术管理规定,有严格的保管、使用、检查管理制度。
第七十六条 证券公司应当保障网上证券信息系统运营设施、设备以及安全控制设施、设备的安全。对重要设施、设备的接触、检查、维修和应急处理,应有明确的权限规定、责任划分和操作流程,并建立日志文件管理制度,如实记录并妥善保管相关记录。
第七十七条 证券公司应定期评估可供客户使用的网上证券信息系统的资源状况,并根据实时监控信息、可预见的业务发展需求进行容量的需求预测,确保有充足的处理能力、存储容量和通讯带宽,满足业务增长的需要,保证网上证券服务的可用性,并能抵御一定程度的拒绝服务攻击和缓冲区溢出攻击。
第七十八条 在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备足够的冗余,以应对网站及网上交易可能出现的突发峰值;在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备良好的可扩充性,以应对业务增长和市场的变化。
第七十九条 证券公司应建立严格的变更管理流程,对包括网络安全设备、服务器、应用系统等软硬件系统和配置变更实行规范化的变更管理,完整、真实地记录和反映系统所涉及的软硬件配置及相互影响关系,并保持与实际生产环境同步更新。
第八十条 证券公司应建立网上证券信息系统应急处理组织体系,并制定相应的应急预案,应急预案应纳入证券公司和行业的应急预案体系内,并按照有关规定进行演练。
第八十一条 证券公司应根据网上证券信息系统故障的影响和损失情况对应急组织体系和应急预案进行分级管理和执行,并遵循统一领导、快速响应、协调配合、最小损失的原则。
第八十二条 证券公司网上证券信息系统应急预案应针对电力、通信等基础设施故障、计算机硬件或网络设备故障、操作系统或应用系统故障、操作系统或应用系统漏洞、病毒入侵、恶意攻击、误操作、不可抗力等可能的故障原因制定对应的应急恢复操作流程或步骤。
第八十三条 证券公司在发现假冒本公司网上证券服务的非法活动或者网上证券信息系统出现重大安全事件后,应及时向监管部门、公安机关报告。在启动实施网上证券信息系统应急预案时应及时向投资者公告。对于假冒本公司的非法活动应及时通过证券公司网站、网上证券客户端、电话语音系统或短信平台等提醒投资者注意。
第八章 附则
第八十四条 本指引由中国证券业协会负责解释。
第八十五条 本指引自发布之日起施行。