中华人民共和国审计署令第1号
作者:法律资料网 时间:2024-07-24 08:04:22 浏览:9181
来源:法律资料网
中华人民共和国审计署令第1号
审计署
中华人民共和国审计署令第1号
中华人民共和国审计署
《中华人民共和国国家审计基本准则》、《审计机关审计处理处罚的规定》、《审计机关审计听证的规定》、《审计机关审计复议的规定》、《审计机关审计项目质量检查暂行规定》已经审计署审计长会议通过,现予发布施行。
中国国家审计准则序言
本序言旨在说明中国国家审计准则的制定依据、目标、体系、法律效力、适用范围、制定与发布程序、修订和解释权等问题。
一、制定中国国家审计准则的依据与目标
依据《中华人民共和国审计法》(以下简称《审计法》)和《中华人民共和国审计法实施条例》,结合中国审计机关审计工作实践,借鉴国际公认审计准则经验,制定中国国家审计准则。
制定中国国家审计准则的目标是:
(一)全面落实《审计法》,推进依法治国,促进依法行政,实现审计工作的法制化、制度化和规范化。
(二)促使审计机关和审计人员按照统一的审计准则开展审计工作,规范审计行为,提高审计质量,明确审计责任。
(三)促进审计机关和审计人员依法履行职责,维护国家财政经济秩序,促进廉政建设,保障国民经济健康发展。
二、中国国家审计准则的体系
中国国家审计准则体系是中国审计法律规范体系的组成部分,它由中华人民共和国国家审计基本准则(以下简称国家审计基本准则)、通用审计准则和专业审计准则、审计指南三个层次组成。
(一)国家审计基本准则。是制定其他审计准则和审计指南的依据,是中国国家审计准则的总纲,是审计机关和审计人员依法办理审计事项时应当遵循的行为规范,是衡量审计质量的基本尺度。
(二)通用审计准则与专业审计准则。
通用审计准则是依据国家审计基本准则制定的,是审计机关和审计人员在依法办理审计事项,提交审计报告,评价审计事项,出具审计意见书,作出审计决定时,应当遵循的一般具体规范。
专业审计准则是依据国家审计基本准则制定的,是审计机关和审计人员依法办理不同行业的审计事项时,在遵循通用审计准则的基础上,同时应当遵循的特殊具体规范。
(三)审计指南。是对审计机关和审计人员办理审计事项提出的审计操作规程和方法,为审计机关和审计人员从事专门审计工作提供可操作的指导性意见。
三、中国国家审计准则的法律效力
(一)国家审计基本准则、通用审计准则和专业审计准则,是审计署依照《审计法》规定制定的部门规章,具有行政规章的法律效力,全国审计机关和审计人员依法开展审计工作时必须遵照执行。
(二)审计指南,是指导审计机关和审计人员办理审计事项的操作规程和方法,全国审计机关和审计人员应当参照执行,不具有行政规章的法律效力。
四、中国国家审计准则的适用范围
中国国家审计准则是审计署制定的规范全国审计机关依法审计的部门规章,适用于各级审计机关和审计人员依法开展的审计工作。其他审计组织承办国家审计机关审计事项也应当遵守本准则。
五、中国国家审计准则的制定、发布与修订
审计署成立审计准则体系构建工作领导小组。领导小组下设办公室,具体承担制定审计准则的日常组织管理等工作。审计署有关司局及有关特派员办事处、省(自治区、直辖市)审计厅(局)分别承担审计准则的草拟工作,向审计准则体系构建工作领导小组办公室提交审计准则草稿。
审计准则体系构建工作领导小组办公室聘请审计机关的专家成立内部专家组,聘请审计机关以外的专家成立外部专家组,负责对审计准则的草稿进行讨论及修改。讨论、修改后的审计准则草稿经广泛征求全国审计机关及社会有关方面意见后,由审计准则体系构建工作领导小组办公室进一步
修改、审核,报审计署审计长会议审定,由审计署批准发布施行。
中国国家审计准则由审计署修订并解释。
第一章 总则
第一条 为了规范审计工作,保证审计质量,明确审计责任,根据《中华人民共和国审计法》(以下简称《审计法》)及其实施条例,制定本准则。
第二条 本准则是规范审计机关及其审计人员依法办理审计事项时应当遵循的行为规范,是衡量审计质量的基本尺度。
第三条 审计机关依法对国务院各部门和地方人民政府及其各部门的财政收支,国有的金融机构和企业事业组织的财务收支,以及其他依法应当接受审计的财政收支、财务收支的真实、合法、效益进行审计监督时,适用本准则。
第四条 审计机关应当依照《审计法》及其实施条例,以及其他有关法律、法规规定的职责、权限和程序,独立行使审计监督权。
审计机关办理审计事项必须由具备相应的资格和业务能力的审计人员承担。
第五条 审计机关实施审计后,应当以法律、法规和国家其他有关财政收支、财务收支的规定为审计评价和处理、处罚依据,出具审计意见书、作出审计决定。
第二章 一般准则
第六条 一般准则是审计机关及其审计人员应当具备的基本资格条件和职业要求。
第七条 审计机关办理审计事项,应当具备下列条件:
(一)独立的审计组和具备相应业务能力的审计人员;
(二)法定的职责和权限;
(三)健全的审计质量控制制度和执法过错责任追究制度;
(四)必需的经费保证。
第八条 承办审计业务的审计人员应当具备下列条件:
(一)熟悉有关的法律、法规和政策;
(二)掌握审计及相关专业知识;
(三)有一定的审计或者其他相关专业工作经验;
(四)具有调查研究、综合分析、专业判断和文字表达能力。
第九条 审计机关和审计人员办理审计事项,应当客观公正,实事求是,保持应有的独立性和职业谨慎。
第十条 审计机关和审计人员不得参与被审计单位的行政或者经营管理活动。在审计过程中,必须遵守有关廉政纪律的规定。
第十一条 审计人员办理审计事项,与被审计单位或者审计事项有直接利害关系的,应当回避。
第十二条 审计人员应当保持严谨的职业态度,保守其在执行业务中知悉的国家秘密和商业秘密。在执行业务中取得的相关资料不得用于与审计工作无关的目的。
第十三条 审计机关录用的审计人员,应当经过专业培训,考核合格后才能承办审计业务。
审计机关应当建立和实施继续教育、培训制度,保证审计人员具有较高的政治素质、必要的专业知识和业务能力。
第十四条 审计署和省级审计机关应当建立审计专业技术资格考试、评审制度。
第三章 作业准则
第十五条 作业准则是审计机关和审计人员在审计计划、准备和实施阶段应当遵循的行为规范。
第十六条 审计机关根据法律、法规和国家其他有关规定,按照上级审计机关和本级人民政府规定的职责,确定审计工作重点,编制年度审计项目计划。
地方审计机关的年度审计项目计划,应当报送上一级审计机关备案。
第十七条 审计机关根据年度审计项目计划确定的审计事项,选派审计人员组成审计组,并指定审计组组长。审计组实行审计组组长或者主审负责制。
第十八条 审计组在实施审计前应当熟悉与审计事项有关的法律、法规和政策,了解被审计单位的基本情况,编制审计方案。
编制审计方案应当运用重要性原则、谨慎性原则,在评估审计风险的基础上,围绕审计目标确定审计的范围、内容、方法和步骤。
第十九条 审计方案经审计组所在部门领导审核,报审计机关主管领导批准后,由审计组负责实施。
第二十条 审计机关应当在实施审计三日前,向被审计单位送达审计通知书。
第二十一条 审计机关应当建立健全承诺制度。
审计机关向被审计单位送达审计通知书时,应当书面要求被审计单位法定代表人和财务主管人员就与审计事项有关的会计资料的真实、完整和其他相关情况作出承诺。在审计过程中,审计组还应当根据情况向被审计单位提出书面承诺要求。
审计组及其审计人员应当将被审计单位交回的承诺书作为审计证据编入审计工作底稿。
第二十二条 审计组实施审计时,应当深入调查了解被审计单位的情况,对其内部控制制度进行测试,以进一步确定审计重点和审计方法。必要时,可以按照规定及时修改审计方案。
第二十三条 审计组和审计人员实施审计时,可以利用经核实确认后的内部审计机构或者社会审计机构的审计结果。
第二十四条 审计组和审计人员实施审计时,可以运用检查、监盘、观察、查询及函证、计算、分析性复核等方法,审查被审计单位银行开户、会计凭证、会计账簿、会计报表,查阅与审计事项有关的文件、资料,检查现金、实物、有价证券和被审计单位运用电子计算机管理财政收支
、财务收支的财务会计核算系统,取得审计证据。
审计人员向有关单位和个人进行调查询问时,应当出示审计人员的工作证件和审计通知书副本。
第二十五条 审计组和审计人员在审计中如有特殊需要,可以聘请专门机构或者有专门知识且符合审计人员条件的人员参与某些特殊项目的审计。
第二十六条 审计组和审计人员在计算机信息系统环境下进行审计,不应改变审计方案确定的审计目标和范围。
第二十七条 审计人员实施审计时,应当对审计工作中的重要事项以及审计人员的专业判断进行记录,编制审计工作底稿,并对审计工作底稿的真实性负责。
第二十八条 审计组对实施审计过程中遇到的重大问题,应当及时向审计机关请示汇报。
第二十九条 审计机关应当对审计组的审计工作情况进行监督检查,对审计组及其审计人员在审计过程中的重大过失和违法行为,应当追究其责任。
第四章 报告准则
第三十条 报告准则是审计组反映审计结果、提出审计报告以及审计机关审定审计报告时应当遵循的行为规范。
第三十一条 审计组向审计机关提交审计报告前,应当征求被审计单位对审计报告的意见。被审计单位自收到审计报告之日起十日内提出书面意见;在规定期限内没有提出书面意见的,视同无异议,并由审计人员予以注明。
被审计单位对审计报告有异议的,审计组应当进一步研究、核实。如有必要,应当修改审计报告。
第三十二条 审计组对审计事项实施审计结束后,应当及时向审计机关提出审计报告;提出的时间一般不得超过六十日。
审计组应当将审计报告、被审计单位对审计报告的书面意见及审计组的书面说明,一并报送审计机关。
第三十三条 审计机关应当建立健全审计报告的复核制度,设立专门机构或者配备专门人员,对审计报告进行复核。
复核机构或者复核人员复核审计报告后,应当提出复核意见,并作出复核工作记录。
第三十四条 审计报告经复核后,由审计机关审定。一般审计事项的审计报告,可以由审计机关主管领导审定;重大事项的审计报告,应当由审计机关审计业务会议审定。
第三十五条 审计机关对审计报告中的下列事项进行审定:
(一)与审计事项有关的事实是否清楚,证据是否确凿;
(二)被审计单位对审计报告的意见和复核机构或者复核人员提出的复核意见是否正确;
(三)审计评价意见是否恰当;
(四)定性、处理、处罚意见是否准确、合法、适当。
第五章 审计报告处理准则
第三十六条 审计报告处理准则是审计机关审定审计报告后,对审计事项作出评价,出具审计意见书,对违反国家规定的财政收支、财务收支行为以及违反《审计法》的行为,作出处理、处罚的审计决定,或者提出审计建议以及报告审计工作时应当遵循的行为规范。
第三十七条 审计机关审定审计报告后,应当根据不同情况,分别作出以下处理:
(一)对被审计单位财政收支、财务收支的真实性、合法性、效益性作出评价,提出被审计单位的自行纠正事项和改进建议,出具审计意见书。
(二)对有违反国家规定的财政收支、财务收支行为需要依法给予处理、处罚的,还应当对违反国家规定的财政收支、财务收支行为,依法作出处理、处罚的审计决定,制作审计决定书。
对被审计单位违反国家规定的财政收支、财务收支行为在二年内未被发现的,审计机关不再给予处罚,但可以依法作出处理。
(三)对被审计单位违反国家规定的财政收支、财务收支行为及其负有直接责任的主管人员和其他直接责任人员,审计机关认为应当由有关主管机关处理、处罚的,作出审计建议书,由有关机关给予处理、处罚。
(四)对被审计单位的财政收支、财务收支行为和负有直接责任的主管人员、其他直接责任人员违反法律、行政法规的规定,涉嫌犯罪的,作出移送处理书,由司法机关追究责任人的刑事责任。
(五)对审计工作中发现的与宏观经济管理有关的重要问题和重大的违法违纪问题,审计机关应当向本级人民政府和上一级审计机关提出专题报告。
第三十八条 审计机关对被审计单位和有关责任人员违反国家规定的财政收支、财务收支行为,作出较大数额罚款的审计决定之前,应当告知被审计单位和有关责任人员有权在三日内要求举行听证;被审计单位和有关责任人员要求听证的,审计机关应当组织听证。
第三十九条 审计机关出具审计意见书、作出审计决定前,应当由复核机构或者专职复核人员对审计意见书、审计决定书、审计建议书和移送处理书代拟稿进行复核。
第四十条 审计处理的种类:
(一)责令限期缴纳、上缴应当缴纳或者上缴的财政收入;
(二)责令限期退还违法所得;
(三)责令限期退还被侵占的国有资产;
(四)责令冲转或者调整有关会计账目;
(五)依法采取的其他处理措施。
第四十一条 审计处罚的种类:
(一)警告、通报批评;
(二)罚款;
(三)没收违法所得;
(四)依法采取的其他处罚措施。
第四十二条 审计机关应当自收到审计报告之日起三十日内,将审计意见书和审计决定书送达被审计单位和有关单位。
审计决定自送达之日起生效,一般应于九十日内执行完毕。特殊情况下,审计决定执行完毕的时间可以适当延长,但必须报经审计机关批准。
审计机关应当自审计意见书和审计决定书送达之日起九十日内,了解审计意见的采纳情况,监督检查审计决定的执行情况;如发现被审计单位超过九十日未执行审计决定的,审计机关应当报告人民政府或者提请有关主管部门在法定职权范围内依法作出处理,或者向人民法院提出强制执
行的申请。
第四十三条 被审计单位对审计机关作出的具体行政行为不服的,可以申请复议。
被审计单位对地方审计机关作出的具体行政行为不服的,应当先向上一级审计机关或者本级人民政府申请复议;但对地方性法规规定或者本级人民政府交办的事项审计不服的,应当先向本级人民政府申请复议;对审计署作出的具体行政行为不服的,应当先向审计署申请复议。
审计机关按照有关规定,办理审计复议事项。
第四十四条 审计机关每年应当向本级人民政府和上一级审计机关提出对上一年度本级预算执行情况和其他财政收支的审计结果报告。
第四十五条 审计机关应当按照本级人民代表大会常务委员会的安排,受本级人民政府的委托,每年向本级人民代表大会常务委员会提出审计机关对上一年度本级预算执行和其他财政收支的审计工作报告。
第六章 附则
第四十六条 本准则由审计署负责解释。
第四十七条 本准则自发布之日起施行。审计署于1996年12月6日发布的《中华人民共和国国家审计基本准则》同时废止。
第一条 为了规范审计处理、处罚行为,发挥审计监督的作用,维护公民、法人或者其他组织的合法权益,根据《中华人民共和国审计法》(以下简称《审计法》)、《中华人民共和国行政处罚法》(以下简称《行政处罚法》)以及其他有关法律、法规的规定,制定本规定。
第二条 审计机关对违反国家规定的财政收支、财务收支行为以及违反《审计法》的行为进行处理、处罚时,应当遵循本规定。
第三条 审计处理是指审计机关对违反国家规定的财政收支、财务收支行为采取的纠正措施。
审计处理的种类有:
(一)责令限期缴纳、上缴应当缴纳或上缴的财政收入;
(二)责令限期退还被侵占的国有资产;
(三)责令限期退还违法所得;
(四)责令冲转或者调整有关会计账目;
(五)依法采取的其他处理措施。
第四条 审计处罚是指审计机关依法对违反国家规定的财政收支、财务收支行为和违反《审计法》的行为采取的处罚措施。
审计处罚的种类有:
(一)警告、通报批评;
(二)罚款;
(三)没收违法所得;
(四)依法采取的其他处罚措施。
第五条 审计机关作出审计处理、处罚决定,应当遵循公正、公开的原则。
第六条 审计处理、处罚由审计机关依法实施,审计机关不得委托其他组织或者个人实施审计处理、处罚。
第七条 审计终结后,审计机关应对审计事项作出评价,出具审计意见书;对违反国家规定的财政收支、财务收支行为,需要依法给予处理、处罚的,依法作出审计决定,制作审计决定书;或者向有关主管机关提出处理、处罚建议。
第八条 审计意见书应当包括以下内容:
(一)审计的范围、内容、方式和时间;
(二)对审计事项的评价意见和评价依据;
(三)责令被审计单位自行纠正的事项;
(四)改进被审计单位财政收支、财务收支管理和提高效益的意见和建议。
第九条 审计决定应当包括以下内容:
(一)审计的范围、内容、方式和时间;
(二)被审计单位违反国家规定的财政收支、财务收支的行为;
(三)定性、处理、处罚决定及其依据;
(四)处理、处罚决定执行的期限和要求;
(五)依法申请复议的期限和复议机关。
第十条 审计机关出具审计意见书、作出审计决定或者向有关主管机关提出处理、处罚建议前,应当由复核机构或者专职复核人员进行复核。
第十一条 审计机关应当依照法律、法规和国家其他有关财政收支、财务收支的规定作出审计处理、处罚决定。
第十二条 审计机关在进行审计处理、处罚前,应当充分听取被审计单位和有关责任人员的陈述和申辩。审计机关不得因被审计单位和有关责任人员的申辩而加重处罚。
第十三条 审计机关在进行审计处罚前,对符合审计听证条件的,应当告知被审计单位或者有关责任人员有要求审计听证的权利;被审计单位或者有关责任人要求审计听证的,审计机关应当组织审计听证。
审计听证会的工作应当依照《行政处罚法》和《审计机关审计听证的规定》的有关规定办理。
第十四条 对有下列情形之一的违法行为,审计机关应当依法从重处罚:
(一)单位负责人强制下属人员违反财经法规的;
(二)挪用或者克扣救灾、防灾、抚恤、救济、扶贫、教育、养老、下岗再就业等专项资金和物资的;
(三)违反国家规定的财政收支、财务收支行为的数额较大、情节严重的;
(四)阻挠、抗拒审计或者拒不纠正错误的;
(五)拒不提供或者故意提供虚假会计资料的;
(六)屡查屡犯的;
(七)其他依法应当从重处罚的。
第十五条 审计机关对有下列情形之一的违反国家规定的行为,应当依法从轻、减轻或者免予处罚:
(一)违反国家规定的财政收支、财务收支行为,经审计查出后,认真检查错误并及时纠正的;
(二)违反国家规定的财政收支、财务收支行为的款额较小、情节轻微,自行纠正的;
(三)能够认真自查,并主动消除或者减轻违反财经法规行为危害后果的;
(四)受他人胁迫有违反国家规定的财政收支、财务收支行为的;
(五)法律、法规和规章规定可以从轻、减轻或者免予处罚的其他行为。
第十六条 除法律另有规定外,被审计单位违反国家规定的财政收支、财务收支行为在二年内未被发现的,审计机关不再给予审计处罚。但审计机关应当对该违反国家规定的财政收支、财务收支行为依法予以审计处理。
前款规定的期限,从违法行为终了之日起计算。
第十七条 对有下列情形之一的,审计机关应当依法作出审计建议,要求有关主管部门纠正或者对有关责任人给予处理、处罚;有关主管部门不予纠正或者不予处理、处罚的,审计机关应当提请有权处理的机关依法处理:
(一)被审计单位所执行的规定与法律、行政法规相抵触的;
(二)被审计单位及其负有直接责任的有关责任人员违反国家规定的财政收支、财务收支行为或者违反《审计法》的行为,应当由有关主管部门处理、处罚的;
(三)应当由有关主管部门对社会审计组织审计质量问题及其责任人实施处理、处罚的;
(四)有关主管部门侵害被审计单位经营自主权和合法利益的;
(五)应当由有关主管部门纠正或者处理、处罚的其他事项。
第十八条 对被审计单位违反国家规定的财政收支、财务收支行为负有直接责任的主管人员和其他直接责任人员,审计机关认为应当给予行政处分的,应当向被审计单位或者其上级机关、监察机关提出给予行政处分的建议。
第十九条 审计机关认为有关单位或者有关责任人员违反法律、行政法规的规定,依法应当构成犯罪的,移送有关司法机关追究刑事责任。
第二十条 审计机关对被审计单位违反《审计法》的规定,拒绝或者拖延提供与审计事项有关的资料的,或者拒绝、阻碍检查的,依法作出审计处罚决定,制作审计处罚决定书。
第二十一条 审计机关在作出审计决定和审计处罚决定时,应当告知被审计单位和有关责任人员作出审计处罚的事实、理由和依据,并告知被审计单位和有关责任人员依法享有的申请审计复议的权利。
第二十二条 审计机关实施审计处理、处罚,有下列情形之一的,由上级审计机关责令改正,并可以依照审计执法过错责任追究制度的规定追究有关责任人员的责任:
(一)违反有关法律、法规规定的审计处理、处罚程序的;
(二)擅自改变审计处理、处罚种类和裁量幅度的;
(三)没有审计处理、处罚的法律依据的;
(四)应当移送有关部门处理而没有移送的。
第二十三条 审计机关和审计人员的其他法律责任,依照《审计法》、《行政处罚法》和其他法律、法规的规定办理。
第二十四条 被审计单位应当执行审计决定和审计处罚决定,并将应当缴纳的款项按照财政管理体制和国家有关规定缴入专门账户;依法没收的违法所得和罚款,全部缴入国库。
第二十五条 本规定由审计署负责解释。
第二十六条 本规定自发布之日起施行。审计署于1996年12月16日发布的《审计机关审计处理处罚的规定》(审法发〔1996〕360号)同时废止。
附件:1、审计意见书格式
2、审计决定书格式
3、审计处罚决定书格式
4、审计建议书格式
5、移送处理书格式
----------------------------
| |
|附件1: |
| |
| ******(审计机关全称) |
| 审 计 意 见 书 |
| 审 * 意〔* * * *〕* 号 |
|--------------------------|
|* * * 关于 * * * * * * 的审计意见|
|_____: |
| |
| 自 * 年 * 月 * 日至 * 年 * 月 *|
|日,我 *(署、厅、局、办)对你单位 * * * *|
|* * * * 进行了审计。现出具以下审计意见: |
|--------------------------|
|--------------------------|
| |
| (审计机关全称印章) |
| * * * * 年 * * 月 * * 日|
| |
|主题词:* * * * * * |
|抄 送:* * * * * * |
----------------------------
----------------------------
| |
|附件2: |
| |
| * * * * * *(审计机关全称) |
| 审 计 决 定 书 |
| 审 * 决〔* * * *〕* 号 |
| |
|--------------------------|
| * * 关于 * * * * * * 的审计决定|
|_____: |
| |
| 自 * 年 * 月 * 日至 * 年 * 月 *|
|日,我 *(署、厅、局、办)对你单位 * * * *|
|进行了审计。现根据《中华人民共和国审计法》第 |
|四十条和其他有关法律法规,作出如下审计决定: |
| |
|--------------------------|
|--------------------------|
|--------------------------|
| |
| 本决定自送达之日起生效。如果对本决定不 |
|服,可以在收到本决定之日起60日内,向 * * |
|* 申请复议。复议期间本决定照常执行。 |
| 本决定在 * * * * 年 * * 月 * *|
|日前执行完毕。 |
| |
| (审计机关全称印章) |
| * * * * 年 * * 月 * * 日|
| |
|主题词:* * * * * * |
|抄 送:* * * * * * |
----------------------------
----------------------------
| |
|附件3: |
| |
| * * * * * * (审计机关全称) |
| 审 计 处 罚 决 定 书 |
| 审 * 罚〔 * * * * 〕 * 号 |
| |
|--------------------------|
| * * * 关于 * * * * * * 的 |
| 审计处罚决定 |
|_____: |
| |
| 你单位的 * * * * * *行为,违反了 |
|* * * 第 * * 条的规定,根据 * * * |
|第 * * 条的规定,决定给予你单位 * * * |
|* * * 的处罚。 |
| 本决定自送达之日起生效。如果对本决定不 |
|服,可以在收到本决定之日起60日内,向* * * |
|申请审计复议。复议期间本决定照常执行。 |
| |
| |
| (审计机关全称印章) |
| * * * * 年 * * 月 * * 日|
| |
|主题词:* * * * * * |
|抄 送:* * * * * * |
----------------------------
----------------------------
| |
|附件4: |
| |
| * * * * * * (审计机关全称) |
| 审 计 建 议 书 |
| 审 * 建〔 * * * * 〕 * 号 |
| |
|--------------------------|
|* * * 关于 * * * * * * 的审计建议|
|_____: |
| |
| 我们在对 * * * * * * 的审计过程 |
|中,发现下列事实: |
| |
|--------------------------|
|--------------------------|
|--------------------------|
| 根据《中华人民共和国审计法》第 * 条的规 |
|定,建议你单位 |
| |
|--------------------------|
|--------------------------|
| 并将结果及时书面告知我 * (署、厅、局、办)。|
| 附件:证明材料 * * 份 |
| |
| (审计机关全称印章) |
| * * * * 年 * * 月 * * 日|
| |
|主题词:* * * * * * |
|抄 送:* * * * * * |
| |
----------------------------
----------------------------
| |
|附件5: |
| |
| * * * * * * (审计机关全称) |
| 移 送 处 理 书 |
| 审 * 移〔 * * * * 〕 * 号 |
| |
|--------------------------|
|* * * 关于 * * * * * * 的移送处理|
|书 |
|_____: |
| |
| 我们在对 * * * * * * 的审计过程 |
|中,发现 * * * 有下列行为: |
| |
|--------------------------|
|--------------------------|
| 我们认为 * * * 的行为涉嫌犯罪,依法 |
|应当追究刑事责任。现移送你 *(院、厅、局)依法 |
|处理。请将结果及时书面告知我 *(署、厅、局、 |
|办)。 |
| 附件:证明材料 * * 份 |
| |
| (审计机关全称印章) |
| * * * * 年 * * 月 * * 日|
| |
|主题词:* * * * * * |
|抄 送:* * * * * * |
| |
----------------------------
第一条 为规范审计机关的审计处罚程序,保证审计质量,维护公民、法人或者其他组织的合法权益,根据《中华人民共和国行政处罚法》和《中华人民共和国审计法》,制定本规定。
第二条 审计机关进行审计听证应当遵循公正、公平、公开的原则。
第三条 审计机关对被审计单位和有关责任人员(以下简称当事人)作出下列审计处罚前,应当向当事人送达审计听证告知书,告知当事人在收到审计听证告知书之后三日内有权要求举行审计听证会:
(一)对被审计单位处以违反国家规定的财务收支金额百分之五以上且金额在十万元以上罚款;
(二)对违反国家规定的财务收支行为负有直接责任的有关责任人员处以二千元以上罚款。
第四条 审计听证告知书主要包括以下内容:
(一)当事人的名称或姓名;
(二)建议作出的审计处罚;
(三)审计处罚的事实依据;
(四)审计处罚的法律依据;
(五)当事人有要求审计听证的权利;
(六)当事人申请审计听证的期限;
(七)审计听证主持人的姓名;
(八)审计机关的名称(印章)和日期。
第五条 审计听证告知书可以直接送达、委托送达或者邮寄送达。
第六条 当事人要求举行审计听证会的,应当自收到审计听证告知书之日起三日内,向审计机关提出书面申请,列明听证要求,并由申请人签名或者盖章。逾期不提出审计听证要求的,视为放弃审计听证权利。
当事人直接送达、委托送达审计听证申请的,以审计机关收到审计听证申请之日为送达日;当事人邮寄送达审计听证申请的,以该申请寄出的邮戳日期为送达日。
第七条 审计机关收到审计听证申请后,应当进行审核。对符合审计听证条件的,应当组织审计听证;对不符合审计听证条件的,裁定不予审计听证。
第八条 审计机关应当在举行审计听证会七日前向当事人送达审计听证会通知书,告知当事人举行审计听证会的时间、地点。
裁定不予审计听证的,审计机关应当作出不予审计听证裁定书,载明理由告知当事人。
第九条 除涉及国家秘密、商业秘密或者个人隐私外,审计听证会应当公开举行。
第十条 审计听证会应当由审计机关指定的非本案审计人员主持。
第十一条 审计机关应当根据实际情况确定审计听证会的主持人、书记员。
主持人负责审计听证会的组织、主持工作。一般审计事项的审计听证会由一人主持;重大审计事项的审计听证会由三人主持,但审计机关应指定首席主持人。
书记员负责审计听证会的记录工作,可以由一至二人组成。
第十二条 当事人认为主持人或者书记员与本案有直接利害关系的,有权申请其回避并说明理由。
当事人申请主持人回避应当在审计听证会举行之前提出;申请书记员回避可以在审计听证会举行时提出。
当事人申请回避可以以书面形式提出,也可以以口头形式提出。以口头形式提出的,由书记员记录在案。
第十三条 主持人的回避,由听证机关决定;书记员的回避,由主持人决定。
主持人应当回避,需要重新确定主持人的,听证机关可以裁定延期审计听证;主持人不需回避的,听证机关裁定审计听证如期举行。
第十四条 当事人可以亲自参加审计听证,也可以委托一至二人代理参加审计听证。委托他人代理参加审计听证会的,代理人应当出具当事人的授权委托书。
当事人的授权委托书应当载明代理人的代理权限。
第十五条 当事人接到审计听证通知书后,不能按时参加审计听证会的,应当及时告知听证机关。
当事人无正当理由不按时参加审计听证会的,视为放弃听证权利,听证机关予以书面记载。在审计听证会举行过程中当事人放弃申辩或者无故退出审计听证会的,听证机关可以宣布终止听证,并记入审计听证笔录。
第十六条 审计听证会应当制作笔录。笔录应当交当事人确认无误后,由当事人签字或者盖章。当事人如认为笔录有差错,可以要求补正。
具备条件的审计机关应当对审计听证会情况进行录音、录像。
第十七条 审计听证会参加人和旁听人员应当遵守以下听证纪律:
(一)审计听证会参加人应当在主持人的主持下发言、提问、辩论;
(二)未经主持人允许,审计听证会参加人不得提前退席;
(三)未经主持人允许,任何人不得录音、录像或摄影;
(四)旁听人员要保持肃静,不得发言、提问或者议论。
第十八条 主持人在审计听证会主持过程中,有以下权利:
(一)对审计听证会参加人的不当辩论或者其他违反审计听证会纪律的行为予以制止、警告;
(二)对违反审计听证会纪律的旁听人员予以制止、警告、责令退席;
(三)对违反审计听证纪律的人员制止无效的,移交公安机关依法处置。
第十九条 审计听证会应当按照下列程序进行:
(一)主持人宣布审计听证会开始;
(二)主持人宣布案由并宣读参加审计听证会的主持人、书记员、听证参加人的姓名、工作单位和职务;
(三)主持人宣读审计听证会的纪律和应注意的事项;
(四)主持人告知当事人或其代理人有申请书记员回避的权利,并询问当事人或其代理人是否申请回避;
(五)参与审计的人员提出当事人违法违规的事实、证据、建议作出的审计处罚及其法律依据;
(六)当事人进行陈述、申辩;
(七)在主持人允许下,双方进行质证、辩论;
(八)双方作最后陈述;
(九)书记员将所作的笔录交听证双方当场确认并签字或者盖章;
(十)主持人宣布审计听证会结束。
第二十条 在听证会举行过程中当事人申请书记员回避的,由主持人当场作出是否回避的裁定。
第二十一条 有下列情形之一的,可以延期举行审计听证会:
(一)当事人有正当理由未到场的;
(二)需要通知新的证人到场,或者有新的事实需要重新调查核实的;
(三)其他需要延期的情形。
第二十二条 审计听证会结束后,听证主持人应当根据审计听证情况和有关法律、法规的规定,向审计机关提交审计听证报告。审计听证报告连同审计听证笔录、案卷材料一并报送审计机关。
第二十三条 审计听证报告主要包括以下内容:
(一)听证案由;
(二)主持人、书记员和听证参加人的姓名、工作单位和职务;
(三)审计听证的时间、地点;
(四)审计听证建议;
(五)听证主持人签名或盖章。
审计听证建议主要包括以下内容:
(一)确有应受审计处罚的违法行为的,根据情节轻重及具体情况,建议作出审计处罚;
(二)违法事实不成立或者没有处罚的法律、法规依据的,建议不给予审计处罚;
(三)违法行为情节轻微,依法可以不予审计处罚的,建议不予审计处罚。
第二十四条 审计机关应当对听证主持人提出的审计听证建议进行审查,作出决定。
审计机关不得因当事人要求审计听证、在审计听证中进行申辩和质证而加重处罚。
第二十五条 审计听证笔录和审计听证报告应当归入审计档案。
第二十六条 本规定由审计署负责解释。
第二十七条 本规定自发布之日起施行。
附件:1、审计听证告知书格式
2、审计听证会通知书格式
3、不予审计听证裁定书格式
-------------------------
|附件1: |
| |
| ****(审计机关全称) |
| 审 计 听 证 告 知 书 |
| 审*听告〔****〕**号 |
|-----------------------|
|***关于*****的审计听证告知书 |
| |
|______: |
| 经审计发现*****行为违反了国 |
|家有关规定,拟依法对*****处以* |
|***元的罚款,现根据《中华人民共和国行政 |
|处罚法》第四十二条的规定和《审计机关审计听证 |
|的规定》第**条的规定,***有权要求 |
|举行听证。***自收到本告知书之日起3 |
|日内,可以向***提出审计听证要求。 |
| 附件:审计处罚依据的事实和适用的法律、 |
|法规 |
| |
| (审计机关全称印章) |
| ****年*月*日 |
| |
|主题词:****** |
|抄 送:***** |
-------------------------
-------------------------
|附件2: |
| |
| ****(审计机关全称) |
| 审 计 听 证 会 通 知 书 |
| 审*听通〔****〕**号 |
|-----------------------|
| ***关于*****的审计听证会通知书 |
| |
|______: |
| 你单位于**年**月**日 |
|提出的听证要求收悉。经研究,决定于*** |
|*(时间)在***(地点)举行审计听证会, |
|请届时参加。 |
| 审计听证会的主持人为***,你单位法 |
|定代表人可以亲自参加听证,也可以委托一至二人 |
|代理,如果你单位认为主持人与本案有直接利害关 |
|系,有权在举行审计听证会之前申请其回避。 |
| |
| (审计机关全称印章) |
| ****年*月*日 |
| |
|主题词:****** |
|抄 送:***** |
-------------------------
不分页显示 总共2页 1 [2]
下一页
青海省科学技术奖励办法
青海省人民政府
青海省科学技术奖励办法
第36号
《青海省科学技术奖励办法》已经2003年11月18日省人民政府第5次常务会议审议通过,现予公布,自2004年2月1日起施行。
代省长:杨传堂
二○○三年十二月三日
第一章 总则
第一条 为奖励在科学技术创新活动中做出突出贡献的公民、组织,依据《国家科学技术奖励条例》,结合本省实际,制定本办法。
第二条 青海省科学技术奖(以下简称省科技奖)由省人民政府设立并依照本办法规定予以奖励。
各州(地、市)人民政府可根据当地科学技术进步和社会经济发展状况,设立一项科学技术奖。具体办法由州(地、市)人民政府制定,报省人民政府科技行政主管部门备案。
省人民政府各部门不再设立政府科学技术奖。
第三条 省人民政府设立省科学技术奖励委员会(以下简称省科技奖励委员会),其成员由省人民政府科技行政主管部门提出,报省人民政府批准。
省人民政府科技行政主管部门负责省科技奖评审的组织工作。
第四条 省科技奖贯彻尊重劳动、尊重知识、尊重人才、尊重创造的方针,坚持公开、公平、公正的评审原则。
第五条 省科技奖实行公告异议制度,接受社会监督。
省科技奖的申报、推荐、评审和授予,不受任何组织或个人的非法干涉。
第六条 省科技奖奖励经费在省人民政府奖励基金中专项列支,奖励评审工作经费列入部门预算。
第二章 省科技奖的设置
第七条 省科技奖设以下三类:
(一)科学技术重大贡献奖;
(二)科学技术进步奖;
(三)科学技术国际合作奖。
第八条 科学技术重大贡献奖授予下列公民:
(一)在工程技术领域开发研究中做出重大技术发明,引起该技术领域的跨越发展,促进产业结构变革,创造出重大经济效益或社会效益的;
(二)在自然科学研究中获得重大科学发现,取得创造性研究成果,引起本科学领域或相关科学领域的突破性发展,被国内外同行所公认的。
第九条 科学技术进步奖授予下列公民或组织:
(一)在新产品、新工艺、新材料、生物新品种等的研究开发中,做出重大科技创新,推动科技成果转化,创造显著经济效益的;
(二)引进、吸收、转化新技术,推广、应用已有科技成果,做出突出贡献,取得显著经济效益或者社会效益的;
(三)长期从事社会公益性科技工作和科技基础性工作,获得重大成果,创造显著社会效益的;
(四)实施重大工程项目,在技术和系统管理方面有重大创新,取得显著经济效益、社会效益和生态效益的。
第十条 科学技术国际合作奖授予对我省科技事业做出突出贡献的下列外国人:
(一)同在青的中国公民或者组织合作研究、开发,取得重大科技成果的;
(二)向在青的中国公民或者组织传授先进技术、培养人才成效特别显著的;
(三)促进我省与外国的科技交流与合作,做出重要贡献的。
第十一条 科学技术重大贡献奖、科学技术国际合作奖不设等级;科学技术进步奖设一等奖、二等奖两个等级。
省科技奖的奖励标准为:科学技术重大贡献奖50万元;科学技术进步奖:一等奖每项8万元,二等奖每项4万元;科学技术国际合作奖只颁发证书。
第三章 省科技奖的评审和授予
第十二条 省科技奖每年评审一次。科学技术重大贡献奖不超过1项,授奖人数一般为1名;科学技术进步奖奖励项目不超过15项;科学技术国际合作奖不超过2项。
第十三条 省科技奖候选人由下列单位推荐:
(一)各州(地、市)人民政府;
(二)省人民政府各部门;
(三)中央驻青单位;
(四)各类企事业单位及社会团体。
第十四条 省科技奖励工作办公室应在评审前60日,通过报纸、广播、电视等大众传媒向社会公告省科技奖评审申报、推荐时间、方式等事项,并设立咨询电话,回答社会各界询问。
第十五条 省科技奖申报、推荐、评审等工作依照下列程序进行:
(一)申报、推荐单位填写统一格式的申报、推荐书,并提供客观的评价证明材料;
(二)省科技奖励工作机构负责对申报、推荐材料进行审查,并将合格的申报、推荐材料提交省科技奖励委员会组织评审;
(三)省科技奖励委员会依照本办法的规定,负责聘请有关方面专家、学者组成评审委员会,开展省科技奖的评审工作;
(四)评审委员会作出认定科学技术成果的结论,并向省科技奖励委员会提出获奖种类、项目、人员、等级的建议;
(五)省科技奖励委员会根据评审委员会的建议,作出获奖种类、项目、人员、等级的决议。
第十六条 省人民政府科技行政主管部门对省科技奖励委员会作出的决议进行审核,报省人民政府批准。
第十七条 科学技术重大贡献奖和科学技术进步奖由省人民政府颁发荣誉证书和奖金;科学技术国际合作奖由省人民政府颁发证书。
第四章 法律责任
第十八条 剽窃、侵吞他人的发现、发明或其他科技成果,或以其他不正当手段骗取省科技奖的,由省科技行政主管部门报省人民政府批准后,撤销奖励、追回奖金。
第十九条 推荐单位或个人提供虚假数据、材料和证明,协助他人骗取省科技奖的,由省科技行政主管部门通报批评;情节严重的,暂停或取销其推荐资格;对负有直接责任的主管人员和其他直接责任人员,依法给予行政处分。
第二十条 参与省科技奖评审活动的有关工作人员在评审活动中弄虚作假、徇私舞弊的,依法给予行政处分。
第五章 附则
第二十一条 省科技奖的评审标准和实施细则由省人民政府科技行政主管部门制定。
第二十二条 鼓励社会力量面向社会设立科学技术奖,具体办法参照《社会力量设立科学技术奖励管理办法》执行。
第二十三条 推荐申报国家科学技术奖,依照《国家科学技术奖励条例》的规定执行。
第二十四条 本办法自2004年2月1日起施行。2001年1月4日省人民政府第21次常务会议审议通过的《青海省科学技术奖励办法》同时废止。
证券期货业信息系统运维管理规范
中国证券监督管理委员会
中国证券监督管理委员会公告
〔2013〕7号
现公布金融行业推荐性标准《证券期货业信息系统运维管理规范》(JR/T 0099—2012),自公布之日起施行。
中国证监会
2013年1月31日
附件:《证券期货业信息系统运维管理规范》.doc
http://www.csrc.gov.cn/pub/zjhpublic/G00306201/201302/P020130208511872656209.doc
ICS 03.060
A11
备案号JR
中华人民共和国金融行业标准
JR/T 0099—2012
证券期货业信息系统运维管理规范
Information system operation and maintenance management specification for securities and futures industry
2013 - 1-31发布
2013 - 1-31实施
中国证券监督管理委员会 发布
目 次
前言 II
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 基本要求 4
4.1 运维组织 4
4.2 经费管理 4
4.3 制度和流程管理 4
4.4 文档管理 4
4.5 设备和软件管理 4
4.6 供应商管理 5
4.7 关联单位关系管理 5
4.8 督促检查 5
5 运行保障 6
5.1 值班管理 6
5.2 日常操作 6
5.3 监控分析 6
5.4 数据与介质管理 7
5.5 机房管理 8
5.6 网络与系统管理 9
5.7 安全管理 10
5.8 事件与问题管理 10
6 系统维护 11
6.1 交付管理 11
6.2 系统测试 11
6.3 系统变更 11
6.4 配置管理 12
7 应急管理 12
7.1 应急准备 12
7.2 应急处置 14
7.3 调查处理 14
参考文献 15
前 言
本标准依据GB/T 1.1-2009给出的规则起草。
本标准由全国金融标准化技术委员会提出并归口。
本标准起草单位:中国证监会信息中心、上海证券交易所、深圳证券交易所、上海期货交易所、中国金融期货交易所、中信建投证券股份有限公司、国泰君安证券股份有限公司、海通证券股
份有限公司、长城证券有限责任公司、兴业证券股份有限公司、南方基金管理有限公司。
本标准主要起草人:张野、罗凯、严少辉、黎峰、马晨、赵亮、张斗刚、支晓繁、杨威、戴晖、肖钢、黄韦、王洪涛、兰朝晖、王伟强、葛峰、张引。
证券期货行业信息系统运维管理规范
1 范围
本标准规定了证券期货业信息系统运维管理工作的要求。
本标准适用于证券期货机构,包括:承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),
以及证券公司、基金管理公司、期货公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20269—2006 信息安全技术 信息系统安全管理要求
GB/T 22080—2008 信息技术 安全技术 信息安全管理体系 要求
GB/T 24405.1—2009 信息技术 服务管理 第1部分 规范
ISO 31000:2009 风险管理 原则和指南(Risk management -- Principles and guidelines)
3 术语和定义
下列术语和定义适用于本文件。
3.1
交易业务系统 trading business system
承载证券期货交易、结算相关的各类业务系统。按照其重要性,交易业务系统可分为核心交易业务系统和非核心交易业务系统。
3.2
核心交易业务系统 core trading business system
承载面向客户和对外服务的最基本、最核心交易业务的系统。
注:这类业务对运维保障的要求很高,一旦出现中断,将直接影响证券期货市场。如:证券公司的集中交易系统、网上交易系统、银证(第三方存管)系统、结算系统、行情系统、融资融券
系统等;期货公司的集中交易系统、网上交易系统、银期转账系统、结算系统、行情系统、风控系统等;基金管理公司的注册登记系统、基金估值系统、直销与网上交易系统、投资交易系统
等。
3.3
非核心交易业务系统 non-core trading business system
承载除核心交易业务外与交易业务有数据交换的其他业务的系统。
注:这类业务重要性相对较低,一旦出现中断,可能间接或不一定影响证券期货市场。如:稽核系统、呼叫中心系统、客户关系管理系统、证券公司的风控系统等。
3.4
交易业务网 trading business network
承载交易业务系统的计算机网络统称交易业务网,承载核心交易业务系统的计算机网络统称核心交易业务网,承载非核心交易业务系统的计算机网络统称非核心交易业务网。
3.5
生产环境 production environment
支持日常业务活动的基础设施、网络、主机、存储、数据库及应用等。
3.6
在线数据 online data
在生产环境中使用的所有数据。
3.7
离线数据 offline data
脱离生产环境用于存储备份的所有数据。
3.8
事件 incident
不属于某项服务的标准操作,导致或可能导致服务中断或服务质量降低的任一事态。
[GB/T 24405.1—2009,定义2.7]
3.9
问题 problem
一个或多个事件的未知的潜在原因。
[GB/T 24405.1—2009,定义2.8]
3.10
交付 delivery
负责规划、安排、控制发布的构建、测试和部署,以及在保护现有服务完整性的同时,提供业务所需新功能的流程。
3.11
关键岗位 key position
负责交易业务系统运行维护的机房管理员、系统管理员、网络管理员、数据库管理员、安全管理员等岗位。
3.12
配置项 configuration item
处于或将处于配置管理之下的基础设施部件或项。
[GB/T 24405.1-2009,定义2.4]
注:配置项在复杂性、规模和类型方面变化可能很大,配置项可以是整个系统包括所有的硬件、软件和文档,也可以是单个模块或很小的硬件部件。
3.13
风险 risk
对目标不确定性的影响。
[ISO 31000:2009,定义2.1]
3.14
技术风险 technical risk
因信息技术发展、信息系统变更、人员操作失误等导致的风险。
3.15
业务风险 business risk
因流程变化、业务发展、市场环境改变等导致的风险。
3.16
信息安全事态 information security event
信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。
[GB/T 22080-2008,定义3.5]
3.17
网络与信息安全事件 network and information security incident
网络与信息安全事件是突发事件的一种,也被称为信息安全事件,一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大可能性。
注:改写 GB/T 22080-2008,定义3.6。
3.18
敏感性 sensitivity
表征资源价值或重要性的特征,也可能包含这一资源的脆弱性。
[GB/T 20269—2006,定义3.6]
4 基本要求
4.1 运维组织
4.1.1 证券期货机构应设立信息系统运维组织,负责信息系统的运行维护工作。
4.1.2 证券期货机构应任命运维组织负责人,负责组织、协调、管理信息系统的运行维护工作。
4.1.3 证券期货机构应合理设置运维岗位,规定岗位职责及技能要求,并符合如下要求:
a) 运维岗位应至少包括机房管理员、网络管理员、系统管理员、数据库管理员、安全管理员等关键岗位,并设置主备岗;
b) 关键岗位应进行分离,兼岗时应满足岗位相互制约的要求。
4.1.4 证券期货机构应配备足够的运维人员。运维人员应具备一定的计算机基础理论知识和专业技术经验。经营机构运维人员应具有相应的从业资格。
4.1.5 证券期货机构应与运维人员签署保密协议,保密协议应至少包括保密范围、保密期限等内容。
4.1.6 证券期货机构应制定年度培训计划,对运维人员进行必要的技术、业务、安全等培训,并留存培训记录。
4.2 经费管理
4.2.1 证券期货机构应制定信息系统运行维护年度预算计划,每年进行核算。预算和核算应接受监督和审计。
4.2.2 证券期货机构应将信息系统运行维护的各项费用纳入预算管理。费用至少应包括:机房物理环境、信息系统软硬件、网络与通信设施的使用费和维修费,以及应急保障费用、技术服务
费用、人员培训费用等。
4.3 制度和流程管理
4.3.1 证券期货机构应制定覆盖运维工作各个环节的、体系化的运维管理制度和操作流程。运维管理制度应包括但不限于:机房管理、网络与系统管理、数据和介质管理、交付管理、测试管
理、配置管理、安全管理、值班管理、监控管理、文档管理、设备和软件管理、供应商管理、关联单位关系管理、检查审计等制度。运维操作流程应包括但不限于日常操作、事件处理、问题
处理、系统变更、应急处置等流程。
4.3.2 证券期货机构应建立运维管理制度和操作流程的制定、发布、维护和更新的机制。至少每年一次评审、修订运维管理制度和操作流程。
4.4 文档管理
4.4.1 证券期货机构应建立文档管理制度,对文档的分类、命名规则、编写人、审批人、版本、敏感性标识、发布时间、存放方式、修订记录、废止等做出规定。
4.4.2 证券期货机构应明确文档管理的责任人。
4.4.3 证券期货机构应对运维过程中涉及的各类文档进行分类管理,可按照制度文档、技术文档、合同文档、审批记录、日志记录等进行分类,并统一存放。
4.4.4 证券期货机构应规范文档的发布管理,对文档的版本应当进行控制。文档应标识敏感性、使用范围、使用权限、审批权限等。文档在使用时应能读取、使用最新版本,防止作废文件的
逾期使用。
4.4.5 证券期货机构对超范围、超权限使用文档时应保存相关审批、使用记录。
4.5 设备和软件管理
4.5.1 证券期货机构应建立计算机相关设备和软件管理制度,对设备和软件的验证性测试、出入库、安装、盘点、维修(升级)、报废等进行规范。
4.5.2 证券期货机构应明确设备和软件管理责任人。
4.5.3 证券期货机构应在设备和软件投入使用前进行必要的验证性测试,并保留测试记录。
4.5.4 证券期货机构应编制信息系统设备清单,主要包括设备名称、设备编号、入库时间、设备主要参数、设备序列号、设备状态、设备保修期、设备位置、设备用途和设备使用责任人等内
容,并保留设备启用、转移、维修、报废等过程的记录。
4.5.5 证券期货机构应使用正版软件并保存软件授权证书和许可协议,应编制软件清单,主要包括软件名称、软件编号、入库时间、软件版本,授权和许可情况、软件序列号、软件状态、软
件维护期、软件安装设备、用途和使用责任人等内容,并保留软件启用、转移、升级、报废等过程的记录。
4.5.6 证券期货机构应对设备进行标识,标识应放在设备明显位置。
4.5.7 证券期货机构应规定设备和软件的使用年限,定期进行盘点,并对设备状态进行评估和更新。
4.5.8 证券期货机构应对外送设备的维修进行严格管理,防止数据泄露。
4.5.9 证券期货机构应对拟下线和拟报废设备的存储介质中的全部信息进行清除或销毁。对正式下线设备和软件交指定部门统一管理、保存或处置,并保留相应记录。设备和软件报废应符合
资产管理规定。
4.6 供应商管理
4.6.1 证券期货机构应建立供应商管理制度,对供应商支持运维服务的相关活动进行统一管理。
4.6.2 证券期货机构应在与供应商签订的合同中明确其应承担的责任、义务,并约定服务要求和范围等内容。
4.6.3 证券期货机构应与供应商签署保密协议,不得泄露所服务机构的保密信息,并要求供应商签署承诺书,承诺产品不存在恶意代码或未授权的功能,不提供违反我国法律法规的功能模块
,并符合证券期货行业有关技术规范和技术指引。
4.6.4 证券期货机构应在涉及证券期货交易、行情、开户、结算等软件产品或技术服务的采购合同中,明确供应商应接受证券期货行业监管部门的信息安全延伸检查。
4.6.5 证券期货机构应定期收集、更新供应商信息,组织对供应商的服务质量、合同履行情况、人员工作情况等内容进行评价,形成评价报告,并跟踪和记录供应商改进情况。
4.6.6 证券期货机构应加强运维外包服务管理,主要包括:
a) 与外包公司及外包人员签订保密协议;
b) 明确外包公司应当承担的责任及追究方式;
c) 明确界定外包人员的工作职责、活动范围、操作权限;
d) 对外包人员工作情况进行监督和检查,并保留相应记录;
e) 对驻场外包人员的入场和离场进行管理;
f) 定期评估外包的服务质量;
g) 制定外包服务意外终止的应急措施。
4.7 关联单位关系管理
4.7.1 证券期货机构应建立关联单位联系制度。关联单位包括证券期货行业监管部门、协会,当地政府部门,公安机关,交易所等市场核心机构,其他证券期货经营机构,银行机构,电力和
通信设施保障机构,软硬件供应商,技术服务商和物业公司等。
4.7.2 证券期货机构应建立关联单位联系表,表的内容至少包括单位名称、业务事项、联系人、联系方式、备注等,并及时更新。
4.8 督促检查
4.8.1 证券期货机构应建立检查审计制度,对运维制度的执行情况和运维工作开展情况定期进行检查和审计,以督促运维工作持续改进。
4.8.2 证券期货机构应指定人员负责对日常操作执行情况进行每日检查,确保运维管理制度和操作流程有效执行。
4.8.3 证券期货机构应每季组织开展内部检查,形成检查报告。
4.8.4 证券期货机构应在每年审计工作中包含信息系统运维管理工作审计项目,并形成审计报告。
4.8.5 检查和审计范围至少包括对运维管理制度和操作流程的合理性和完整性进行评估,对运维管理制度和操作流程的执行情况进行评估,对文档、配置、数据的有效性进行评估,对整体安
全状况进行评估,对运维人员履职能力进行评估等。
4.8.6 证券期货机构应对检查和审计的结果采取纠正性和预防性的措施。
5 运行保障
5.1 运维值班管理
5.1.1 证券期货机构应建立运维值班管理制度,对日常操作、监控管理、事件处理、问题处理、数据和介质管理、机房管理、安全管理、应急处置进行规范。
5.1.2 证券期货机构应指定运维值班负责人。运维值班负责人负责日常操作的部署、检查、风险控制、业务衔接等工作。运维值班负责人应有备岗。主备岗不得同时离岗。
5.1.3 证券期货机构应制定运维值班安排表,可根据实际情况实施倒班制度。在值班期间值班人员不得擅离岗位。
5.1.4 证券期货机构应制定交接班流程,并严格执行,留存记录。
5.1.5 证券期货机构应设置运维值班电话,并保持畅通。
5.2 日常操作
5.2.1 证券期货机构应制定操作手册。操作手册的内容应至少包括信息系统日常运行操作的各个环节。针对各个操作环节制定操作规程。
5.2.2 交易业务系统的操作规程应至少包括操作的对象、时间、步骤、指令、操作要点、复核要点、操作人、复核人等基本要素。
5.2.3 证券期货机构应严格按照操作手册执行运维操作,对交易业务系统的操作过程应进行记录留痕,记录的保存时间不少于一年。
5.2.4 特殊操作、临时操作应经批准后方可双岗执行。操作过程应进行记录留痕,记录的保存时间不少于一年。
5.2.5 证券期货机构应依据业务、信息系统的变化对操作手册及规程进行及时修订,经审批通过后遵照执行。
5.2.6 证券期货机构应对核心交易业务系统设置独立的操作和监控环境,并与开发、测试等其他操作环境严格分离。
5.3 监控分析
5.3.1 证券期货机构应采取监控措施,配备监控和报警工具,对影响信息系统正常运行的关键对象,包括机房环境、网络、通信线路、主机、存储、数据库、核心交易业务相关的应用系统、
安全设备等进行监控。报警方式可包括声光、电话、短信、邮件等。
5.3.2 证券期货机构应采取人工值守和自动化工具相结合的方式,对交易业务系统进行24小时监控。交易时段应指定人员对交易业务系统进行监控,交易时段以外如无法做到人工监控,应开
启自动监控系统和自动报警系统。
5.3.3 证券期货机构应建立辅助的人工巡检制度,规定巡检内容、频度、人员等。巡检内容应覆盖电力、空调、消防、安防等机房设施,主机、网络、通信、安全等设备的运行状况。巡检结
果应及时记录,如遇异常应及时处理,并按规定要求进行报告。
5.3.4 证券期货机构应正确设置自动化监控工具的预警阈值,并定期进行检查和评估。
5.3.5 主要监控指标具体如下:
a) 机房:电力状态、空调运行状态、消防设施状态、温湿度、漏水、人员及设备进出等;
b) 网络与通信:设备运行状态、中央处理器使用率、通信连接状态、网络流量、核心节点间网络延时、丢包率等;
c) 主机:设备运行状态、中央处理器使用率、内存利用率、磁盘空间利用率、通信端口状态等;
d) 存储:设备运行状态、数据交换延时、存储电池状态等;
e) 安全设备:设备运行状态、中央处理器使用率、内存利用率、端口状态、数据流量、并发连接数、安全事件记录情况等;
f) 数据库:日志信息、表空间使用率、连接数等;
g) 核心交易业务相关的应用系统:进程的活动状态、日志信息、中央处理器使用率、内存利用率、并发线程数量、并发处理量、关键业务指标等;
h) 门户网站:网页内容、日均访问量等。
5.3.6 证券期货机构应针对不同系统设置合理的监测频度。
5.3.7 证券期货机构应记录并集中分类存储必要的操作日志、系统日志、应用日志、安全日志等,留存日志应满足审计的需要。
5.3.8 证券期货机构应保存监控产生的日志,保存时间不少于一年。
5.3.9 证券期货机构应每日分析核心交易业务系统监控日志及巡检记录,形成评估记录,跟踪处理日志分析中发现的异常事件。应至少每季度全面评估监控日志和操作记录,分析异常情况,
形成评估报告。
5.4 数据与介质管理
5.4.1 证券期货机构应建立信息系统数据管理制度,对在线和离线数据的使用、备份、存放、保护及恢复验证等活动进行规范。
5.4.2 证券期货机构应明确数据管理责任人,负责数据的收集、使用、备份、检查等策略的制定和执行工作。
5.4.3 证券期货机构应按照国家和监管部门的有关要求,制定数据备份及验证策略,明确备份范围、备份方式、备份频度、存放地点、存放时限、有效性验证方式和管理责任人。
5.4.4 在线数据管理,应做到如下要求:
a) 交易业务系统数据应至少每交易日备份一次;
b) 交易业务系统历史数据至少保留一年;
c) 未经授权不得访问、复制;
d) 对数据的修改应通过审批,双岗操作并记录操作日志。
5.4.5 离线数据管理,应做到如下要求:
a) 离线数据不得更改;
b) 应至少每季度对核心交易业务系统的备份数据进行一次有效性验证,如发现问题应采取措施修复备份数据,并查明原因;
c) 离线数据的调阅、复制、传输、查询,应按照拟定的流程办理审批手续,并进行登记;
d) 备份数据带离存储环境时应采取必要的安全措施。
5.4.6 在线数据和离线数据用于非生产环境时,应进行脱敏处理;用于模拟测试时如无法进行脱敏处理,测试环境应采取与生产环境相当的安全措施。
5.4.7 证券期货机构应建立介质管理制度,对介质的存放、使用、维护和销毁等活动进行规范。
5.4.8 证券期货机构应明确责任人,对介质的使用、转储、送修、销毁及存储环境进行管理。
5.4.9 介质管理,应做到如下要求:
a) 应在安全环境中存放介质,并采取控制和保护措施;
b) 离线备份介质应当在本地机房、同城、异地安全可靠存放;
c) 应对介质在物理传输过程中的打包、交付进行控制;
d) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理,并对介质进行归档登记,对存档介质依目录清单定期核对;
e) 涉及敏感信息的介质送修时应由专人全程陪同,并保证修复过程可控;
f) 介质销毁前应清除介质中的敏感数据;涉密信息的存储介质不得自行销毁,应按国家相关规定另行处理;
g) 在交易业务网使用的移动介质应专网专用,不得接入可以访问互联网的主机。
5.5 机房管理
5.5.1 证券期货机构应建立机房管理制度,对机房环境,供电、空调、消防、安防等基础设施的运行维护,设备和人员出入,机房工作人员等进行规范管理。
5.5.2 证券期货机构应指定机房管理负责人。
5.5.3 证券期货机构应确保机房环境整洁和安全,包括:
a) 应定期检查防水、防雷、防火、防潮、防尘、防鼠、防静电、防电磁辐射等措施的有效性;
b) 应保持机房环境卫生,采取防尘措施,定期进行除尘处理;
c) 交易时间内不得进行机房施工、保洁操作。
5.5.4 证券期货机构应加强用电安全管理。至少包括:
a) 机房管理员应根据国家有关规定和标准进行用电管理,应重点保障核心交易业务系统用电安全。
b) 机房管理员应掌握常规用电安全操作和知识,了解机房内部供电、用电设备的操作规程,掌握机房用电应急处理步骤、措施和要领。有条件的可配备专业电工或与相关电力机构或物
业机构签署服务协议;
c) 应在危险性高的位置张贴相应的用电安全操作方法、警示及指引;
d) 应每季度至少一次对机房供配电、备用电源系统进行全面检查和维护管理,及时更换老化的电路元件及线缆,应定期测试备用供电系统,确保持续供电设施的有效性,并保存相关检
查和维护记录;
e) 未经审批不得接入其它用电设备。
5.5.5 证券期货机构应每季度至少一次对空调设备进行全面检查和维护,保存维护记录。
5.5.6 证券期货机构应制定符合国家规范的机房消防安全管理制度,至少包括:
a) 机房工作人员应熟悉逃生路线和自我保护措施,防止发生人身安全意外;
b) 应将消防安全警示和指示张贴于机房明显位置,将消防设施的操作要点张贴于消防设施旁边;
c) 机房工作人员应熟悉消防设施及操作要点,掌握消防应急措施;
d) 应每季度至少一次对机房内消防报警设备进行检查,保证其有效性;
e) 应定期进行消防设施的使用培训和演习。
5.5.7 证券期货机构应对设备和人员出入进行严格管理,包括:
a) 应指定人员负责控制、鉴别和记录设备和人员的进出情况,记录进出人员、进出时间、工作内容,并留存记录至少90天;
b) 机房出入口的监控录像至少保存90天;
c) 外来人员进入机房应经过申请和审批流程,并限制和监控其活动范围,并有专人陪同;
d) 外来设备未经批准不得接入生产环境。
5.6 网络与系统管理
5.6.1 证券期货机构应建立网络与系统管理制度,对网络、系统的运行维护进行规范。
5.6.2 证券期货机构网络管理应包括:
a) 应合理设置安全域,绘制网络拓扑图,并保持更新;
b) 应定期检查安全隔离情况,确保各安全域之间有效隔离;
c) 应保持网络设备的可用性,及时维修、更换故障设备;
d) 应负责网络系统的参数配置、调优;
e) 应定期对系统容量进行检查和评估,形成评估报告;
f) 应定期检查网络设备的用户、口令及权限设置的正确性;
g) 应定期对整个网络连接进行检查,确保所有交换机端口处于受控状态;
h) 应对网络信息点进行管理,编制信息点使用表,并及时维护和更新,确保与实际情况一致。计算机网络跳线应整齐干净,跳线标识清晰;
i) 应制定网络访问控制策略,应合理设置网络隔离设施上的访问控制列表,关闭与业务无关的端口;编制文档并保持更新;访问控制策略的变更应履行审批手续。
5.6.3 证券期货机构系统管理应包括:
a) 应保持系统的可用性,及时维修、更换故障设备和更新软件;
b) 应负责应用系统、操作系统的参数配置、调优,编制文档并保持更新;
c) 应定期对系统容量进行检查和评估,形成评估报告;
d) 应负责管理系统和应用程序服务进程,并关闭与业务无关的服务;
e) 应定期检查应用系统、操作系统的用户、口令及权限设置的正确性。
5.6.4 证券期货机构数据库管理应包括:
a) 应保持数据库的可用性,及时维护、更新软件;
b) 应负责数据库的参数配置、调优,编制文档并保持更新;
c) 应定期对数据库容量进行检查和评估,形成评估报告;
d) 应负责管理数据库、表、索引、存储过程,数据库的升级、优化、扩容、迁移;
e) 应定期检查数据库的用户、口令及权限设置的正确性。
5.6.5 证券期货机构用户和口令管理应符合如下要求:
a) 不得设置弱口令,若系统条件允许,口令应采用数字、字母、符号混排且无规律的方式,管理员口令长度原则上不低于12位;核心交易业务系统应提示并阻止用户使用弱口令登录;
b) 应每季度对管理员口令进行修改,更新的管理员口令至少5次内不能重复;
c) 应用系统的账户及口令应采用加密方式存储、传输;加密产品的使用应符合国家有关规定;
d) 应重点加强对匿名/默认用户的管理,防止被非法使用;
e) 应及时注销不再使用的账户;
f) 应明确责任人,负责统一保管、安全存放管理员口令,不得泄漏。
5.6.6 证券期货机构权限管理应包括如下要求:
a) 权限分配应履行审批手续,权限设置后应复核;
b) 应按照最小安全访问原则分配用户权限;
c) 应建立权限分配表,对用户的访问权限进行合理分配,对文件系统访问权限进行合理设置,编制文档并保持更新;
d) 应在用户账户变化时,同时变更或撤销其权限;
e) 应定期检查权限设置的有效性。
5.7 安全管理
5.7.1 证券期货机构应建立安全管理制度,覆盖安全策略的制定、实施、检查、评估、改进等全过程。
5.7.2 证券期货机构应指定专人担任安全管理员,负责信息安全管理工作;在自身能力不足的情况下,可外聘安全机构协助完成。
5.7.3 证券期货机构应采取安全防护措施,包括:
a) 应对所有服务器和终端设备安装防木马、病毒软件,建立统一病毒和木马防护机制。因故不能安装防病毒软件的,应采取其他等效的安全防护措施;
b) 应在充分评估的基础上,对所有服务器和终端设备进行补丁升级;补丁升级前进行测试验证;
c) 应综合运用防火墙、入侵检测等安全设备,保护网络与系统;应正确设置安全设备的接口参数和过滤规则;
d) 应对新上线的设备在接入运行网络前进行全面的安全检查;
e) 应采取限制IP登录等手段,控制对交易业务主机、主干网络设备、安全设备等的访问;
f) 原则上不得通过互联网对防火墙、网络设备、服务器进行远程管理和维护,特殊紧急情况下应采取限制登录IP、数字证书或动态口令认证、全程监控等措施,在操作完成后应及时关
闭,并对维护过程进行监控并留存记录;
g) 原则上不得在交易时段对交易业务网的网络设备、安全设备、系统设备进行更换或变更配置;
h) 原则上不允许通过无线网络对交易业务网进行网络管理;
i) 应设置抵御连续猜测等对客户账户恶意攻击行为的策略;
j) 应对门户网站建立防篡改机制,防止网页内容、可下载的客户端软件等被未经授权的修改;
k) 门户网站不得存放客户资料、交易数据等客户敏感数据;
5.7.4 证券期货机构应定期进行安全检查,包括:
a) 应定期对服务器进行全面病毒扫描,但不得在交易时段内进行;
b) 应建立定期扫描并修补漏洞的工作机制,定义扫描检测的内容和程序,明确漏洞扫描工具和扫描频率,记录扫描结果及处理情况;
c) 应按规定开展信息系统安全等级保护自查或测评;
5.7.5 对证券期货行业内通报的重大安全隐患,应立即进行专项安全检查。
5.7.6 证券期货机构应对安全检查情况进行评估,形成评估报告。
5.7.7 证券期货机构安全管理员应督促解决检查、测评、评估中发现的风险隐患。
5.8 事件与问题管理
5.8.1 证券期货机构应建立事件管理流程,对信息系统运维事件的处理进行规范。
5.8.2 证券期货机构应指定人员负责设计和管理事件的记录、分级、分派、处理、监控和结束整个流程。
5.8.3 证券期货机构应记录运维过程中发生的所有事件,根据事件的影响程度和影响范围评估事件处理优先级及时处理。
5.8.4 证券期货机构应对所有事件响应、处理、结束等过程进行跟踪、督促及检查。
5.8.5 证券期货机构应每月回顾、分析事件处理记录,完成事件分析报告。
5.8.6 证券期货机构应将运维过程中重复发生的事件、重大事件纳入问题管理。
5.8.7 证券期货机构应建立问题管理制度,对运维活动中发现的问题进行根本解决,并建立问题库。
5.8.8 证券期货机构应对问题的处理过程进行跟踪和管理,包括问题的识别、提交、分析、处理、升级、解决、结束。
5.8.9 证券期货机构应将监控、分析、自查、检查、测评、评估和事件处理中发现的问题进行汇总,并纳入问题库。
5.8.10 证券期货机构应组织对问题进行分析、提出解决方案、通过变更管理审批后部署实施,并将解决过程归纳整理并纳入问题库。
6 系统维护
6.1 交付管理
6.1.1 证券期货机构应建立交付流程,对建成的信息系统交付运行维护的活动进行规范。
6.1.2 证券期货机构应制定交付工作清单,作为双方交付依据,清单包括信息系统相关的软件、硬件、技术文档、管理手册、使用手册、培训材料、相关工具、协议和合同等。
6.1.3 证券期货机构应对运维人员和所涉及的相关各方进行培训和说明,包括交付事项的目的、范围、背景、测试要求、上线实施要求、验收要求、运维要求等。
6.1.4 证券期货机构应制定交付实施计划,划定交付双方的职责,交付的步骤,并对交付过程留存记录。
6.2 系统测试
6.2.1 证券期货机构应建立系统测试流程,对系统上线前进行的模拟环境测试和生产环境测试进行规范。
6.2.2 证券期货机构应为系统测试配备必要的人员和设备资源,需要时应协调关联单位配合测试。
6.2.3 证券期货机构应根据系统上线要求制定测试方案,确定采用的测试方法和测试流程。测试方案及测试用例应覆盖功能、性能、容量、安全性、稳定性等方面。测试完成后应对测试结果
进行分析评估,并给出测试报告。
6.2.4 模拟环境测试的要求如下:
a) 应建立独立的模拟环境。模拟环境应在逻辑架构上和生产环境一致。模拟环境应与生产环境进行分离,不得对生产环境进行干扰;
b) 应根据测试方案的设计,合理配置测试所需的设备,识别设备不同可能带来的测试结果正确性风险;
c) 可根据需要,要求生产系统运维人员和业务部门组织业务人员参与测试;
d) 模拟环境使用的密码应与生产系统严格区分,系统管理员宜由不同的人员担任。
6.2.5 生产环境测试的要求如下:
a) 测试前应备份当前系统的数据和配置;
b) 应提前发布系统测试公告;
c) 应由生产系统运维人员在生产环境下组织完成;
d) 应根据需要,要求业务部门组织业务人员参与测试;
e) 根据测试的结果设计系统升级过程及应急预案;
f) 如果测试内容涉及其他相关系统,应协调其他系统用户参与测试;
g) 涉及核心交易业务系统的上线测试,应组织全市场或全公司各相关部门测试;
h) 测试后应恢复生产环境并验证恢复的有效性;
i) 交易时段不得使用生产环境进行测试。
6.3 系统变更
6.3.1 证券期货机构应建立系统变更流程,对信息系统的变更活动进行规范。
6.3.2 证券期货机构应明确系统变更中的角色,至少包括:申请人、审批人、实施人、复核人。
6.3.3 变更申请人应提交正式的变更申请,申请中应有明确的变更方案,内容至少包括:目标、对象、时间、人员、紧急程度、操作步骤、测试方案、实施方案、风险防控措施、应急预案、
回退方案等。
6.3.4 变更审批人应在充分评估变更的技术风险和业务风险的基础上进行审批,审批记录应留痕并满足审计需要。
6.3.5 变更审批人应确定变更实施时间窗口,除紧急变更外,不得在交易时段进行变更实施。
6.3.6 应按照测试方案,组织变更前后的测试,测试后应提交测试记录或报告。
6.3.7 变更实施人应按照变更实施方案进行变更,并及时更新配置库。
6.3.8 变更复核人应对变更记录和变更结果进行评估,评估内容应至少包括变更目标的达成情况、对生产环境的影响、配置库更新情况。
6.4 配置管理
6.4.1 证券期货机构应制定配置管理流程,明确配置管理负责人。
6.4.2 证券期货机构应建立配置库,对交易业务系统的服务器、存储、网络、安全设备,操作系统、应用软件、数据库等进行管理。
6.4.3 证券期货机构应合理设置配置库中配置项的属性,要求如下:
a) 配置项属性至少包括编号、名称、描述、维护责任人、运行状态、关联关系等;
b) 配置项编号应唯一;
c) 配置项的添加、修改、替换、删除应有变更记录;
d) 应保存配置项历史记录,确保与事件管理、问题管理、变更管理等流程记录的关联性。
6.4.4 证券期货机构应定期对配置库进行备份。
6.4.5 证券期货机构应及时检查并定期审计配置库,对发现的不一致情况及时纠正,并留存记录。
7 应急管理
7.1 应急准备
7.1.1 证券期货机构应建立健全网络与信息安全事件应急处置组织体系,明确网络与信息安全事件的应急指挥决策机构和执行机构,负责网络与信息安全事件的预防预警、应急处置、报告和
调查处理工作。
7.1.2 证券期货机构网络与信息安全事件应急处置指挥决策机构应由主要领导负责,成员包括但不限于业务、技术、风险控制、结算、财务、客服、安保及综合等有关部门的负责人。
7.1.3 证券期货机构应明确网络与信息安全事件应急决策机制,以及决策递补顺序,确保各种情况下,有人负责决策和报告。
7.1.4 网络与信息安全事件应急管理应遵循“谁主管谁负责、谁运行谁负责”,“统一指挥、密切协同;注重预防、减少风险;科学处置、及时报告;以人为本、公平优先”的原则。
7.1.5 证券期货机构应制定网络与信息安全事件应急预案,内容至少包括:
a) 应急预案编制的目的和依据;
b) 应急预案的适用范围;
c) 应急处置的组织体系及职责;
d) 预防措施、保障措施与应急准备;
e) 预警监测、处置和信息报送;
f) 网络与信息安全事件的分级分类;
g) 网络与信息安全事件的报告流程;
h) 网络与信息安全事件处置的一般原则;
i) 网络与信息安全事件处置的具体方案;
j) 网络与信息安全事件内部调查处理以及分析总结的要求。
7.1.6 应急预案应符合如下要求:
a) 网络与信息安全事件处置的具体方案应包括各种可能发生的技术故障的应急处置流程、报告流程等;
b) 应针对各种技术故障拟定统一的解释口径和通知公告模板;
c) 应每年至少进行一次评估,并及时修订;
d) 应根据应急演练的情况进行评估和更新;
e) 核心机构应向中国证监会报备;经营机构应向住所地证监局报备;
f) 在应急预案发生重大变化时,应及时重新报备。
7.1.7 应急准备应符合如下要求:
a) 值班负责人和信息技术负责人应负责信息安全应急值守;
b) 系统管理员、网络管理员、数据库管理员、安全管理员等关键岗位应熟练掌握应急预案,能有效处置网络与信息安全事件;
c) 在自身力量不足以满足应急要求的情况下,应与相关单位签订通信、消防、电力设备、空调设备、软硬件产品、安全服务等的应急响应及服务保障协议。协议内容应包括双方联系人
、联系方式、服务内容及范围、应急处理方式等。应定期检查和评估协议的执行情况,确保服务保障措施落实到位,确保在应急处置中相关单位能提供及时有效的技术支持;
d) 应建立有效的应急通讯联络系统,确保信息畅通;
e) 应制定应急处置联络手册,明确详细的联络方式,并及时更新,在发生变化时及时通知相关单位。应急处置联络手册至少包括应急处置组织体系及相关关联单位的应急联络方式;
f) 应指定通报联络人,明确联络方式。通报联络人至少包括信息技术负责人及其备岗。通报联络方式至少包括应急值守电话与传真。应将通报联络人及其联络方式及时通知监管部门、
行业协会和相关单位;
g) 应实行7×24小时联络制度,通报联络人必须保持应急值守电话可用;
h) 应对本单位有关领导和员工定制应急工作卡片,明确有关领导和员工在网络与信息安全事件应急处置中的关键任务、主要的应急联络人和联络方式;
i) 应准备信息系统技术资料和软件备份。至少包括网络拓扑图、设备配置参数、各种系统软件和应用程序、安装使用手册、应急操作手册等;
j) 应准备充足的重要设备备品配件,并进行定期评估、检测和维护;
k) 应事先储备一定数量的通讯、消防、应急照明等应急设备或物资并定期盘点,对于有时效性的应急物资应做到及时更新;
l) 应准备应急保障资金,确保应急处置中能及时采购应急设备或物资。
7.1.8 应急演练应符合如下要求:
a) 应根据应急预案的内容,制定详细的应急演练计划。计划至少包括演练的目的、内容、时间、参与方、方式、前期准备情况、统计与记录要求、系统恢复与验证要求等内容;
b) 每半年应至少组织一次网络与信息安全应急演练;
c) 应记录演练情况,演练记录至少保存两年;
不分页显示 总共2页 1 [2]
下一页
