关于印发宁波市生产安全事故报告和调查处理若干规定的通知
作者:法律资料网 时间:2024-06-29 13:22:31 浏览:8929
来源:法律资料网
关于印发宁波市生产安全事故报告和调查处理若干规定的通知
浙江省宁波市人民政府
关于印发宁波市生产安全事故报告和调查处理若干规定的通知
甬政发〔2011〕15号
各县(市)区人民政府,市政府各部门、各直属单位:
经市政府同意,现将《宁波市生产安全事故报告和调查处理若干规定》印发给你们,请认真抓 好贯彻落实。
二○一一年一月二十四日
宁波市生产安全事故报告和调查处理若干规定
第一章 总则
第一条 为进一步规范生产安全事故的报告和调查处理,落实生产安全事故责任追究制度,防止和减少生产安全事故,根据国务院《生产安全事故报告和调查处理条例》(国务院令第493号,以下简称《条例》)和其他法律法规关于生产安全事故报告和调查处理的规定,结合本市实际,制定本规定。
第二条 本市行政区域内的生产经营单位,在生产经营活动中发生的生产安全事故(以下简称事故)的报告和调查处理,适用本规定。
环境污染事故、核设施事故、国防科研生产事故的报告和调查处理不适用本规定。
火灾、道路交通、铁路交通、水上交通、民用航空、特种设备等事故的调查处理,法律、法规另有规定的,从其规定。
第三条 根据《条例》相关规定,按事故造成的人员伤亡或者直接经济损失,事故一般分为以下等级:
(一)特别重大事故,是指造成30人以上死亡,或者100人以上重伤(包括急性工业中毒,下同),或者1亿元以上直接经济损失的事故;
(二)重大事故,是指造成10人以上30人以下死亡,或者50人以上100人以下重伤,或者5000万元以上1亿元以下直接经济损失的事故;
(三)较大事故,是指造成3人以上10人以下死亡,或者10人以上50人以下重伤,或者1000万元以上5000万元以下直接经济损失的事故;
(四)一般事故,是指造成3人以下死亡,或者10人以下重伤,或者1000万元以下直接经济损失的事故。
第四条 事故报告应当及时、准确、完整,任何单位和个人对事故不得迟报、漏报、谎报或者瞒报。
事故调查处理应当坚持实事求是、尊重科学的原则,及时、准确地查清事故经过、事故原因和事故损失,查明事故性质,认定事故责任,总结事故教训,提出整改措施,并对事故责任者依法追究责任。
第二章 事故报告
第五条 事故发生后,事故现场有关人员、事故发生单位应当根据《条例》第九条规定,及时向事故发生地的县(市)区安全生产监督管理部门和负有安全生产监督管理职责的部门报告。
安全生产监督管理部门和负有安全生产监督管理职责的部门接到事故报告后,应当按照《条例》第十条、第十一条和其他法律法规相关规定,上报事故情况。
事故单位注册地在宁波行政区域内,发生死亡一人以上事故的,事故发生地的县(市)区安全生产监督管理部门还应书面告知其登记注册的工商行政管理部门。事故单位在调查处理期间提出注销申请的,受理注销申请的工商行政管理部门应及时告知事故发生地的县(市)区安全生产监督管理部门。
第六条 公安、交通运输、海事、海洋与渔业、建设等有关部门接到火灾、道路交通、水上交通、渔业船舶、建设施工等事故报告后,依照相关法规规定报告同级人民政府的同时,应在接到事故报告2小时内书面通知同级安全生产监督管理部门。
第七条 报告事故应当包括下列内容:
(一)事故发生单位的名称、地址、性质等概况;
(二)事故发生的时间、地点以及事故现场情况;
(三)事故的简要经过;
(四)事故已经造成或者可能造成的伤亡人数(包括下落不明的人数)和初步估计的直接经济损失;
(五)已经采取的措施;
(六)事故报告单位、报告人、报告时间及联系方式;
(七)其他应当报告的情况。
第八条 事故具体情况暂时不清楚的,负责事故报告的单位可以先报事故概况,随后补报事故详细情况。
事故报告后出现新情况的,负责事故报告的单位应当及时续报。较大涉险事故、一般事故、较大事故每日至少续报1次;重大事故、特别重大事故每日至少续报2次。
道路交通、火灾事故自发生之日起7日内、其他事故自发生之日起30日内,事故造成的伤亡人数发生变化的,应于当日续报。
第九条 事故发生单位负责人接到事故报告后,应当立即启动事故相应应急预案,或者采取有效措施,组织抢救,防止事故扩大,减少人员伤亡和财产损失。
事故发生地有关地方人民政府、安全生产监督管理部门和负有安全生产监督管理职责的有关部门接到事故报告后,其负责人应当立即赶赴事故现场,组织事故救援。
第十条 市县两级安全生产监督管理部门和负有安全生产监督管理职责的部门应当建立事故报告值班制度,并向社会公布值班电话,受理事故报告和举报。其中,各县(市)区可以将事故报告值班制度纳入县(市)区政府总值班制度。
第三章 事故调查
第十一条 较大事故,市人民政府授权市有关部门按照本办法第十二条的分工,组织事故调查组进行调查。事故调查组组长由市政府授权的部门负责人担任。
一般事故,由事故发生地县(市)区人民政府或者其授权(委托)的有关部门组织事故调查组进行调查。
发生重伤3人以下,或者直接经济损失100万元以上300万元以下的一般事故,县级人民政府可委托乡镇人民政府(街道办事处)组织事故调查组进行调查。
发生未造成人员重伤、死亡,或直接经济损失100万元以下的一般事故,可由事故发生单位组织事故调查组进行调查,事故调查处理情况应报所在地乡镇(街道)人民政府,并建立事故调查处理档案。
必要时,市、县人民政府可以直接组织事故调查组,或者另行授权(委托)相关部门组织事故调查组进行调查,并指定事故调查组组长。
第十二条 一般情况下,市有关部门按照下列分工组织事故调查组进行调查(以下简称组织调查):
(一)建设工程造成人员死亡的事故,由安全生产监督管理部门组织调查;未造成人员死亡的事故,由工程建设主管部门组织调查。
(二)燃气生产经营单位发生的事故,由燃气主管部门组织调查。
(三)社会机动车辆在生产经营单位区域内发生的机动车交通事故,由公安交通管理部门组织调查。
(四)渔业船舶水上生产安全和水产养殖发生的事故,由海洋渔业管理部门组织调查。
(五)农业机械在停放、作业、转移时发生的事故,由农机主管部门组织调查。
(六)其它生产经营单位发生的事故,由安全生产监督管理部门组织调查。相关法律、法规另有规定的,从其规定。
第十三条 事故调查组由安全生产监督管理部门、负有安全生产监督管理职责的有关部门、监察部门、公安部门和工会派人组成,并邀请人民检察院派人参加。
事故调查组可聘请有关专家参与调查。
第十四条 事故调查组履行下列职责:
(一)查明事故发生的经过、原因、人员伤亡情况及直接经济损失;
(二)认定事故的性质和事故责任;
(三)提出对事故责任者的具体处理建议;
(四)总结事故教训,提出防范和整改措施;
(五)提交事故调查报告。
第十五条 事故调查组组长履行下列职责:
(一)主持事故调查,根据事故调查的需要,成立事故调查小组,明确各小组的职责和事故调查组成员的具体工作。
(二)主持事故调查组会议,协调事故调查工作中的重大问题,对事故调查中的意见分歧做出决策等。
第十六条 事故调查组的组成单位及派出人员分别履行下列职责:
安全生产监督管理部门和负有安全生产监督管理职责的部门及其派出人员:勘查事故现场,调查询问相关人员,收集事故相关资料,对事故责任单位和责任人员提出处理建议,提出事故隐患整改措施,落实事故处理及整改意见。
监察部门及其派出人员:参加事故调查,询问相关人员,对事故中涉嫌违纪的人员追究行政责任提出建议,督促落实事故处理及整改意见。
公安部门及其派出人员:维护事故现场秩序,勘查事故现场,调查询问有关人员,确定人员伤亡原因,根据事故性质及责任依法对事故相关责任人立案侦查并采取强制措施,落实事故处理及整改意见。
工会及其派出人员:参加事故调查分析,参与调查询问有关人员,收集事故相关资料,维护从业人员合法权益,对事故责任人员提出处理建议,提出事故隐患整改措施,督促事故责任单位落实防范整改措施。
其他参与事故调查单位及其派出人员应按各自职责履行义务。
第十七条 事故调查组成员在事故调查工作中应当诚信公正、恪尽职守,密切配合,遵守事故调查组的纪律,保守事故调查的秘密,不得擅自发布有关事故的信息。
第十八条 事故调查组成员单位应当及时指派具有事故调查所需知识和专长,与所调查的事故没有直接利害关系的人员参与调查。参与事故调查人员应相对固定,如需变更,由其所在单位报事故调查组组长同意。事故调查组人员因故不能参加事故分析会的,由其单位出具委托书,委托本单位其他事故调查人员参加会议。
第十九条 在事故调查处理期间,相关部门对事故调查组移交查办的事项,应在移交后15个工作日内,书面向事故调查组告知事项查办的情况。
第二十条 在事故调查过程中,经事故调查组认定不属于生产安全事故的,由事故调查组组长提出,经负责事故调查的同级人民政府批准,另行指派相关部门处理,事故调查组应当做好有关移交工作。
第二十一条 事故调查组应召开事故调查报告分析会。
第二十二条 事故调查报告由事故调查组编写。事故调查报告应由全体成员讨论通过并签名确认,并由事故调查组组长单位报同级人民政府批复。
第二十三条 事故调查报告经人民政府批复后,事故调查组组长单位应向社会公布事故调查情况,依法应当保密的除外。
第四章 事故处理
第二十四条 各地、各有关部门应当认真落实人民政府批复的事故处理及整改意见,依法追究相关责任单位和责任人员的法律责任,并及时将事故责任者的处理情况报同级安全生产委员会办公室。
第二十五条 事故发生单位和相关责任单位应当认真吸取事故教训,落实整改措施,严肃处理本单位负有事故责任的人员。并及时将事故责任者的处理情况报告组织事故调查处理的相关部门。
第二十六条 事故调查组组长单位负责对事故调查处理的相关材料建档保存。有关信息应及时录入“宁波市安全生产事故报告和统计分析管理系统”。
第五章 事故查处挂牌督办
第二十七条 市安全生产委员会对下列一般事故实施挂牌督办:
(一)死亡二人以上的事故;
(二)死亡一人或受伤多人且影响较大的事故;
(三)其它有必要列入挂牌督办的事故。
第二十八条 市安全生产委员会办公室提出挂牌督办意见,报市安委会同意后,在市级主流媒体和市安全生产网站等媒体上公布挂牌督办信息。
第二十九条 督办的主要内容:
(一)事故调查组组成的合法性;
(二)事故调查报告和政府批复的办理时限;
(三)责任追究落实情况;
(四)事故调查程序和内容的规范性及合法性;
(五)其他有关情况。
第三十条 县级人民政府接到挂牌督办通知后,应组织督促有关职能部门按照督办要求完成督办事项。
第三十一条 挂牌督办工作结束后,市安全生产委员会办公室在市级主要媒体和市安全生产网站等媒体上公布事故查处和挂牌督办有关情况,接受社会监督。
第六章 附则
第三十二条 本规定中“以上”含本数,“以下”不含本数。
第三十三条 本规定由宁波市安全生产监督管理局负责解释。
第三十四条 本规定自发布之日起施行。
财政部、国家税务总局关于消费税若干具体政策的通知
财政部 国家税务总局
财政部 国家税务总局关于消费税若干具体政策的通知
财税[2006]125号
各省、自治区、直辖市、计划单列市财政厅(局)、国家税务局,新疆生产建设兵团财务局:
《财政部 国家税务总局关于调整和完善消费税政策的通知》(财税字[2006]33号,以下简称《通知》)下发后,一些地区要求进一步明确部分应税消费品的征税范围、计税依据等问题。经研究,现将有关问题明确如下:
一、关于若干油品的征税范围
(一)重整生成油、拔头油、戊烷原料油、轻裂解料(减压柴油VGO和常压柴油AGO)、重裂解料、加氢裂化尾油、芳烃抽余油均属轻质油,根据《通知》石脑油征收范围的注释,属于石脑油征收范围。
(二)蜡油、船用重油、常压重油、减压重油、180CTS燃料油、7号燃料油、糠醛油、工业燃料、4—6号燃料油等油品的主要用途是作为燃料燃烧,根据《通知》关于燃料油征收范围注释,属于燃料油征收范围。
(三)橡胶填充油、溶剂油原料,根据《通知》关于溶剂油征收范围的注释,属于溶剂油征收范围。
(四)以植物性、动物性和矿物性基础油(或矿物性润滑油)混合掺配而成的“混合性”润滑油,不论矿物性基础油(或矿物性润滑油)所占比例高低,均属润滑油的征税范围。
二、关于改装改制车辆的界定
改装改制车辆是指经省级发展改革委审核批准,并报国家发展改革委备案、列入国家发展改革委《车辆生产企业及产品公告》的公告车辆类别代码(产品型号或车辆型号代码数字字段的第一位数)为5的专用汽车(特种汽车)。
三、关于实木复合地板的界定
实木复合地板是以木材为原料,通过一定的工艺将木材刨切加工成单板(刨切薄木)或旋切加工成单板,然后将多层单板经过胶压复合等工艺生产的实木地板。目前,实木复合地板主要为三层实木复合地板和多层实木复合地板。
四、关于对外购润滑油大包装改小包装、帖标等简单加工的征税
单位和个人外购润滑油大包装经简单加工改成小包装或者外购润滑油不经加工只贴商标的行为,视同应税消费税品的生产行为。单位和个人发生的以上行为应当申报缴纳消费税。准予扣除外购润滑油已纳的消费税税款。
五、关于外购石脑油为原料在同一生产过程中既生产应税消费品又同时生产非应税消费品的,外购石脑油已缴纳的消费税税款抵扣额的计算
以外购或委托加工收回石脑油为原料生产乙烯或其他化工产品,在同一生产过程中既可以生产出乙烯或其他化工产品等非应税消费品同时又生产出裂解汽油等应税消费品的,外购或委托加工收回石脑油允许抵扣的已纳税款计算公式如下:
(一)外购石脑油。
当期准予扣除外购石脑油已纳税款=当期准予扣除外购石脑油数量×收率×单位税额×30%
收率=当期应税消费品产出量÷生产当期应税消费品所有原料投入数量×100%
(二)委托加工收回的石脑油。
当期准予扣除的委托加工成品油已纳税款=当期准予扣除的委托加工石脑油已纳税款×收率
收率=当期应税消费品产出量÷生产当期应税消费品所有原料投入数量×100%
以外购或委托加工收回石脑油为原料生产乙烯或其他化工产品的生产企业,应按照上述计算公式分别计算2003年、2004年、2005年年平均收率,将计算出的年平均收率报主管税务机关备案。
六、关于当期投入生产的原材料可抵扣的已纳消费税大于当期应纳消费税的不足抵扣部分的处理
对当期投入生产的原材料可抵扣的已纳消费税大于当期应纳消费税情形的,在目前消费税纳税申报表未增加上期留抵消费税填报栏目的情况下,采用按当期应纳消费税的数额申报抵扣,不足抵扣部分结转下一期申报抵扣的方式处理。
七、关于中轻型商用客车和征税范围
车身长度大于7米(含),并且座位在l0至23座(含)以下的商用客车,不属于中轻型商用客车征税范围,不征收消费税。
财政部 国家税务总局
二○○六年八月三十日
关于发布《证券公司网上证券信息系统技术指引》的通知
中国证券业协会
关于发布《证券公司网上证券信息系统技术指引》的通知
各证券公司会员:
为促进证券公司网上证券业务健康有序发展,保障网上证券业务系统的安全、可靠、高效运行,提高行业信息化水平,保护投资者的合法权益,我会制定了《证券公司网上证券信息系统技术指引》,并经理事会表决通过,现予发布,请参照执行。
中国证券业协会
二○○九年六月二十三日
证券公司网上证券信息系统技术指引
第一章 总则
第一条 为保障网上证券信息系统的安全、可靠、高效运行,促进证券公司在网上开展的证券业务健康有序发展,保护投资者的合法权益,依据《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的证券公司。
第三条 网上证券信息系统是证券公司在网上开展证券业务活动中所采用的由相关网络设备、计算机设备、软件及专用通讯线路等构成的信息系统,包括网上证券服务端、客户端和门户网站。
第四条 证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则:
(一)安全性原则:网上证券信息系统的建设应提高风险防范意识,保证在网上开展证券业务的安全性。通过技术措施和管理手段,实现信息的保密性、完整性和服务可用性。
(二)系统性原则:网上证券信息系统的安全建设应覆盖安全保障体系的各个方面,包括:安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。
(三)可用性原则:网上证券信息系统的建设应在保障安全的原则下,确保在网上开展的证券业务的连续性和可靠性。
第五条 中国证券业协会对证券公司执行本指引的情况进行指导和督促。
第二章 基本要求
第六条 证券公司对网上证券信息系统应统一规划、集中管理,保证在网上开展证券业务安全、有序发展。
第七条 证券公司应制定在网上开展证券业务的各项安全管理制度,对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。
第八条 证券公司应根据在网上开展证券业务特性,设立相应的管理职能岗位,明确在网上开展证券业务管理的责任,配备合格、足够的管理人员和技术人员,包括安全管理员、安全审计员等。
第九条 证券公司应将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围,建立健全网上证券风险控制管理体系。
第十条 对在网上开展证券业务的审计应纳入证券公司的审计工作范围。
第十一条 证券公司网上证券信息系统应部署在中华人民共和国境内,满足技术审计、监管部门现场检查及中国司法机构调查取证等要求。部署网上证券信息系统的有形场所,应符合国家安全标准的有关要求。
第十二条 证券公司应当与投资者签订网上证券服务协议或合同,明确双方的权利、义务和相关风险的责任承担,向投资者充分揭示使用网上证券信息系统可能面临的风险、证券公司已采取的风险控制措施和客户应采取的风险防范措施。
第十三条 证券公司应通过多种方式揭示使用网上交易方式可能面临的风险和客户应采取的风险防范措施,提醒投资者加强账号、口令的保护工作,建议投资者定期修改口令、增强口令强度、防止口令泄露、防止用于网上交易的计算机或手机终端感染木马、病毒等,并根据投资者需要开启或关闭网上交易方式。
第十四条 证券公司应尽可能使用统一的网上证券服务电话、域名、短信号码等,并应在与投资者签订的协议或合同中明确告知客户使用网上证券信息系统的合法途径、意外事件的处理办法,以及证券公司联系方式等。
第十五条 证券公司的网上证券信息系统应自主运营、自主管理。如涉及第三方(指除证券公司及其客户以外的任何一方),应与第三方签订保密协议和服务级别协议,并明确责任,采取措施防止通过第三方泄露用户信息。
第十六条 证券公司通过网上证券信息系统向客户提供证券交易的行情信息,应提示行情源;如向客户提供证券信息,应说明信息来源,并提示投资者对行情信息及证券信息等进行核实。
第十七条 证券公司应对网上证券信息系统的各个子系统合理划分安全域,在不同安全域之间进行有效的隔离,保障网上证券信息系统的接入系统与其后台系统在技术上进行有效隔离,后台系统应与行情、资讯处理系统进行网络隔离,并应部署在证券公司可控的物理安全域内。
第十八条 证券公司应在两个以上的物理地点建立网上证券信息系统,互为备份,并应具备2个或2个以上不同运营商的互联网接入,避免在同一运营商的线路接入上出现单点故障和瓶颈,同时应充分考虑不同互联网运营商的互联瓶颈问题,确保局部故障或灾难发生时,系统能继续对用户提供服务。
第十九条 对于外包定制的网上证券信息系统,证券公司应与软件开发商签署服务协议和保密协议,明确客户端、服务端以及数据传输过程均无后门,明确软件开发商应用软件中使用的插件具备合法版权,以确保客户数据、交易资料不被泄漏,保障证券公司的权益。
第三章 门户网站
第二十条 证券公司门户网站指证券公司建立的实现信息发布、业务咨询、营销推广、客户服务和投资者教育等功能的网站。
第二十一条 证券公司门户网站应当按照国家主管部门的有关规定办理网站备案,并提供备案信息的链接。
第二十二条 证券公司应定期对网站程序代码进行全面检查和评估,并及时修补,避免各种漏洞的存在。
第二十三条 证券公司应在门户网站部署防篡改系统,当网站上的页面内容、提供给投资者下载的客户端软件及其它文件被异常修改时,能自动告警或自动恢复,防止被捆绑木马程序。
第二十四条 与核心交易业务有关的客户资料、交易数据等客户敏感数据不得存放在门户网站数据库中。网上客户业务处理的日志应单独存放。
第二十五条 在证券公司门户网站中客户账号及口令,应采用加密方式传输,并最低达到SSL协议128位的加密强度。
第二十六条 证券公司应该建立对门户网站内容发布的审核、管理和监控机制,对网页内容进行监控,对有害信息进行过滤,防止网站出现不良信息。
第四章 网上证券客户端
第二十七条 网上证券客户端是指证券公司通过互联网向本公司开户的客户提供的用于查看行情、检索资讯、交易委托等的应用程序,包括基于计算机和手机等终端的前端软件。
第二十八条 网上证券客户端应提供技术手段协助用户检查、清除木马等恶意程序,并提供验证码、强制口令图形键盘、安全的口令输入安全控件、客户端电脑或手机特征码绑定、软硬件证书、动态口令等多种用户认证方式,防范不法分子利用木马等黑客程序窃取客户账号和口令信息,进行证券盗买盗卖非法活动。
第二十九条 网上证券客户端应具备反调试能力。
第三十条 网上证券客户端的客户身份信息和交易数据等重要数据传输应采用国家信息安全机构认可的加密技术和加密强度,并最低达到SSL协议128位的加密强度。
第三十一条 网上证券客户端应能向客户提示最近一次登录的日期、时间、地址等信息。
第三十二条 网上证券客户端应能在指定的闲置时间间隔到期后,自动锁定客户端的使用。
第三十三条 网上证券客户端应具有唯一连接到本证券公司网上证券接入系统的保障机制。网上证券客户端应提供足够的识别信息,以保证网上证券服务端能够对发出连接请求的客户端与证券公司所提供下载的程序进行一致性验证。
第三十四条 当客户访问网上证券服务端时,未经客户许可,不得以任何方式在客户端系统中安装插件。
第三十五条 网上证券客户端在本地计算机储存客户账户、交易数据等重要信息,应提示客户,经客户确认后以加密方式存储。
第五章 网上证券服务端
第三十六条 网上证券服务端是指证券公司通过互联网向客户提供网上交易、网上行情、数据查询等服务的信息系统,包括互联网接入子系统、安全防护与监控子系统、应用服务子系统、身份认证子系统和后台隔离子系统。
第三十七条 证券公司应提供预留验证信息服务,在客户登录时向客户显示预留的验证信息,帮助客户识别仿冒的网上证券信息系统,防范不法分子利用仿冒的网上证券信息系统进行诈骗活动或盗取用户账号、口令等信息。
第三十八条 证券公司应提供可靠的用户身份认证机制,支持网上证券客户端采用多种认证方式与服务端进行身份认证。除输入账户名、口令、验证码的身份认证方式之外,还应向客户提供一种以上强度更高的身份认证方式,如,客户端电脑或手机特征码绑定、软硬件证书、动态口令等认证方式,确认网上交易客户的身份和登录的合法性,防止非法接入。用户身份认证信息应当在服务器上加密存放。
第三十九条 证券公司应提供可靠的访问控制和权限管理机制,防止客户的授权被恶意提升或转授,防止客户使用未经授权的功能,防止客户进行访问未经授权的数据等非法访问活动。
第四十条 网上证券信息系统采用的认证授权和加密体系应通过国家信息安全机构的安全性测评,具备足够的强度和抗攻击能力,并根据在网上开展证券业务的安全性需要和信息技术的发展,定期检查、评估和及时调整。
第四十一条 网上证券信息系统未经证券公司授权不得与第三方进行任何形式的数据交换,并具备经过认证后仅向授权的第三方指定地址发送信息的功能。
第四十二条 证券公司应保证网上证券数据传输的保密性、完整性、真实性和可稽核性,对网上交易委托的客户信息、交易指令及其他敏感信息进行可靠的加密,加解密应在投资者与证券公司实际控制的设备中进行,不得存在任何中间环节对数据进行加解密。
第四十三条 网上证券服务端应防止用户使用简单口令,应能够抵御连续猜测等对客户账户恶意攻击行为。
第四十四条 网上证券服务端应对不完整、被篡改、重发的数据包进行监控,对登录、委托方式、品种、价格、数量、操作频率、转账等异常行为进行跟踪、监控和限制,记录其账号、IP地址等相关信息,并通过短信、电话等方式及时提示客户,必要时进行用户临时锁定。监控和处置情况应形成记录备查。
第四十五条 网上证券服务端应能监控并避免攻击者通过群体大规模对合法证券账户进行非法用户登陆的请求,导致大量用户账户被异常锁定,正常用户无法登陆。
第四十六条 网上证券服务端应能在指定的时间间隔到期后,自动中止用户对系统的访问权。
第四十七条 网上交易服务端应能产生、记录并集中存储必要的日志信息,其中应包含能识别服务请求方身份的内容、登录终端的IP地址、MAC地址、手机号码和终端特征码等,并确保数据的可审计性,满足监管部门现场检查要求及司法机构调查取证的要求。
第四十八条 网上证券服务端应能向客户提供可证明服务端自身身份的信息,以确保客户能查验所使用服务的真实性。
第四十九条 网上证券服务端应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户。
第五十条 网上证券服务端应能够提供系统运行健康状况信息(如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等)、错误信息、安全警告等。
第五十一条 基于浏览器的网上证券下单网页应当使用HTTPS等加密方式与服务端交互,服务端应具备防范SQL注入式攻击、跨站脚本攻击等网页攻击的能力,同时关闭HTTP服务器的Web远程维护功能。
第六章 移动证券
第五十二条 移动证券指客户通过手机或其他具备无线数据通讯能力的移动设备,经无线公众网络获取证券公司提供的行情信息、资讯信息服务或进行交易、转账、查询等证券自助业务。
第五十三条 证券公司应使用安全、可靠的移动证券系统。移动证券系统宜自主运营,实现数据从用户终端到网上证券服务端之间的加密传送和控制,并随着技术的发展,不断提高加密强度,完善认证算法。
第五十四条 证券公司应建立确认机制以保证客户获得正确的移动证券客户端软件。
第五十五条 移动证券客户端应具备一定加密强度的用户认证功能,保护客户账号和口令信息。
第五十六条 证券公司应在门户网站或固定营业场所公告短信服务号码、移动证券门户网站地址等信息,提醒客户防范他人利用移动通讯设备进行欺诈。
第五十七条 证券公司应根据移动证券业务的网络延迟时间、链路稳定状况、信号衰减程度等风险因素,对行情或交易数据可能出现明显滞后或产生数据丢失的情况,事先对客户进行风险提示。
第七章 安全管理
第五十八条 证券公司网上证券信息系统的管理、开发、测试应与运营人员及生产环境分离。开发、测试和运营人员未经授权不得访问、修改非职责范围内的网上证券信息系统。
第五十九条 证券公司应制定在网上开展证券业务连续性计划,保证在网上开展证券业务的连续正常运营。在网上开展证券业务连续性计划应充分评估第三方服务供应商对业务连续性的影响,并应采取适当的预防措施。
第六十条 客户使用的网上证券委托软件应由证券公司管理和授权发布,证券公司应对其授权第三方发布的证券委托软件进行审核、监管。
第六十一条 证券公司应采取有效措施对门户网站上提供下载的网上证券客户端软件程序进行保护,客户端软件程序编译封装、形成下载文件后,应安排专人对其进行严格的病毒扫描和木马检查,并通过专用安全手段传输至网站文件下载服务器。
第六十二条 证券公司网上证券应用系统上线或重大版本升级,应进行安全测试和评估。
第六十三条 原则上不允许通过互联网对网上证券信息系统(如防火墙、网络设备、服务器等)进行远程管理和日常维护等操作,对网上证券信息系统的访问控制应做到:
(一)关闭网上证券信息系统所有与业务和维护无关的服务及端口,严格控制防火墙中的权限设置,确保按“最小权限原则”进行设置;
(二)对于网上证券信息系统的内部访问,应严格限制访问源。
(三)特殊紧急情况下需要通过互联网进行远程操作时,应通过限制登录IP、使用数字证书或动态口令、全程监控等措施确保安全,并在操作完成后,及时关闭相关端口。
第六十四条 证券公司应部署有效的网上证券信息系统安全防护与监控子系统,包括防火墙,防病毒、防木马系统,入侵检测系统或入侵防护系统,并正确配置。应及时更新病毒库,定期对系统进行全面的病毒扫描,加强相关系统的日志审查工作,提高网上证券信息系统的防护能力。
第六十五条 证券公司制定的安全措施,应定期检查、测试,并根据实际情况及时调整,保证安全措施的持续有效。
第六十六条 证券公司应建立定期的网上证券信息系统安全风险评估机制和整改的工作制度,及时发现SQL注入漏洞、弱口令账户、绕过验证、目录遍历、文件上传、跨站脚本等系统存在的安全隐患和漏洞,并进行改进和完善。风险评估应通过内部评估与外部评估相结合的方式进行。
第六十七条 安全风险评估应包括漏洞扫描、攻击测试、病毒扫描、木马检测等,针对不同的威胁设置相应的检查频率。
第六十八条 证券公司应对网上证券信息系统进行实时监控,建立异常事件的甄别、报警、处理和报告机制。网上证券信息系统实时监控范围应包括各种安全设备、网络设备、服务器设备及操作系统、通讯线路状态及应用软件等。监控内容包括其运行状况、日志内容、安全警告等,并统一记录保存监控信息,保存期至少为6个月。
第六十九条 证券公司应通过多种技术手段加强对投资者账户异动情况的监控,如委托的方式、品种、价格、数量异常等,并及时提醒客户,以保护客户资产安全。
第七十条 证券公司应对网上证券信息系统中包括网络安全设备、服务器以及应用系统在内的账户进行严格管理,账户权限应按最小权限原则设置,清除所有冗余、与应用无关的账户,并严格限制各管理员账户的使用,禁止用最高权限账户执行一般操作,尽量避免以最高权限账户运行网上信息系统服务端应用软件。
第七十一条 管理员账户和口令应由专人负责,口令长度应在12位以上,且含有字符和数字,区分大小写,并定期更改。
第七十二条 证券公司应严格限制人工对数据库操作的账户权限,并应分别使用不同权限的账户执行查询、插入、更新、删除等操作。
第七十三条 网上证券信息系统各环节应有可靠的热备或冷备措施,保证整个系统的高可用性。
第七十四条 证券公司应根据自身实际情况制订网上证券信息系统的数据备份计划并落实执行。备份的数据应包括:系统程序、配置参数、系统日志、安全审计数据、门户网站信息、客户数据等。
第七十五条 证券公司应保证备份数据的准确性、完整性、可用性。备份数据的管理应符合相关技术管理规定,有严格的保管、使用、检查管理制度。
第七十六条 证券公司应当保障网上证券信息系统运营设施、设备以及安全控制设施、设备的安全。对重要设施、设备的接触、检查、维修和应急处理,应有明确的权限规定、责任划分和操作流程,并建立日志文件管理制度,如实记录并妥善保管相关记录。
第七十七条 证券公司应定期评估可供客户使用的网上证券信息系统的资源状况,并根据实时监控信息、可预见的业务发展需求进行容量的需求预测,确保有充足的处理能力、存储容量和通讯带宽,满足业务增长的需要,保证网上证券服务的可用性,并能抵御一定程度的拒绝服务攻击和缓冲区溢出攻击。
第七十八条 在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备足够的冗余,以应对网站及网上交易可能出现的突发峰值;在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备良好的可扩充性,以应对业务增长和市场的变化。
第七十九条 证券公司应建立严格的变更管理流程,对包括网络安全设备、服务器、应用系统等软硬件系统和配置变更实行规范化的变更管理,完整、真实地记录和反映系统所涉及的软硬件配置及相互影响关系,并保持与实际生产环境同步更新。
第八十条 证券公司应建立网上证券信息系统应急处理组织体系,并制定相应的应急预案,应急预案应纳入证券公司和行业的应急预案体系内,并按照有关规定进行演练。
第八十一条 证券公司应根据网上证券信息系统故障的影响和损失情况对应急组织体系和应急预案进行分级管理和执行,并遵循统一领导、快速响应、协调配合、最小损失的原则。
第八十二条 证券公司网上证券信息系统应急预案应针对电力、通信等基础设施故障、计算机硬件或网络设备故障、操作系统或应用系统故障、操作系统或应用系统漏洞、病毒入侵、恶意攻击、误操作、不可抗力等可能的故障原因制定对应的应急恢复操作流程或步骤。
第八十三条 证券公司在发现假冒本公司网上证券服务的非法活动或者网上证券信息系统出现重大安全事件后,应及时向监管部门、公安机关报告。在启动实施网上证券信息系统应急预案时应及时向投资者公告。对于假冒本公司的非法活动应及时通过证券公司网站、网上证券客户端、电话语音系统或短信平台等提醒投资者注意。
第八章 附则
第八十四条 本指引由中国证券业协会负责解释。
第八十五条 本指引自发布之日起施行。
