【正文】 防御思路，整合各類安全技術(shù)手段，建立多層次逐級(jí)防護(hù)體系，加強(qiáng)輔助系統(tǒng)及關(guān)聯(lián)系統(tǒng)等薄弱環(huán)節(jié)的安全防護(hù)與監(jiān)測，增強(qiáng)重大網(wǎng)絡(luò)攻擊事件的發(fā)現(xiàn)、分析、決策和處置能力。（13） 增強(qiáng)敏感數(shù)據(jù)保護(hù)能力。加強(qiáng)以數(shù)據(jù)安全為核心的防護(hù)體系建設(shè)，提升行業(yè)機(jī)構(gòu)對重大網(wǎng)絡(luò)攻擊的響應(yīng)和處置能力。（11） 推進(jìn)托管設(shè)施及數(shù)據(jù)備份中心建設(shè)。（9） 推進(jìn)信息系統(tǒng)運(yùn)維精細(xì)化管理。（7） 建立行業(yè)軟件開發(fā)與安全測試基礎(chǔ)設(shè)施。推動(dòng)行業(yè)機(jī)構(gòu)加強(qiáng)信息系統(tǒng)運(yùn)維團(tuán)隊(duì)建設(shè)，提升運(yùn)維精細(xì)化管理水平。引導(dǎo)行業(yè)機(jī)構(gòu)研究設(shè)計(jì)符合自身特點(diǎn)的信息技術(shù)新架構(gòu)，逐步建立行業(yè)共享的基礎(chǔ)架構(gòu)庫，為提升行業(yè)自主開發(fā)能力奠定基礎(chǔ)。推動(dòng)行業(yè)機(jī)構(gòu)設(shè)立首席信息官，促進(jìn)行業(yè)機(jī)構(gòu)建立和完善信息技術(shù)決策機(jī)制與職責(zé)擔(dān)當(dāng)機(jī)制。優(yōu)化信息技術(shù)基礎(chǔ)架構(gòu)、數(shù)據(jù)架構(gòu)、應(yīng)用架構(gòu)、安全架構(gòu)，提高信息技術(shù)系統(tǒng)的可用性、靈活性和可擴(kuò)展性，以滿足業(yè)務(wù)高速發(fā)展的需要。堅(jiān)持行業(yè)協(xié)作互助原則，促進(jìn)資源整合與共享，探索建立信息安全服務(wù)和信息技術(shù)產(chǎn)品行業(yè)聯(lián)盟，實(shí)現(xiàn)合作共贏，增進(jìn)共同利益。結(jié)合新形勢下業(yè)務(wù)和技術(shù)發(fā)展趨勢，從戰(zhàn)略高度把握信息安全發(fā)展方向，增強(qiáng)信息安全工作的前瞻性與執(zhí)行力，促進(jìn)信息安全工作持續(xù)改進(jìn)，有效防范信息安全風(fēng)險(xiǎn)。第二節(jié) 基本原則信息安全工作堅(jiān)持“穩(wěn)定可靠、促進(jìn)發(fā)展、安全可控、協(xié)作共贏”的原則。第一章 總體戰(zhàn)略第一節(jié) 指導(dǎo)思想和規(guī)劃目標(biāo)（1） 指導(dǎo)思想。證券期貨業(yè)在當(dāng)前的互聯(lián)網(wǎng)金融浪潮中，信息系統(tǒng)建設(shè)與安全運(yùn)行的壓力越來越大，所面臨的信息安全形勢日趨復(fù)雜。近年來，隨著移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)等新興技術(shù)的蓬勃興起，層出不窮的創(chuàng)新業(yè)務(wù)，在商業(yè)模式應(yīng)用、技術(shù)風(fēng)險(xiǎn)控制等方面對金融業(yè)造成了巨大的沖擊，對金融監(jiān)管部門的監(jiān)管模式也形成了挑戰(zhàn)。規(guī)劃期為2015年至2020年。建立責(zé)任明確、保障有力的證券期貨業(yè)信息安全治理體系，健全信息技術(shù)治理機(jī)制，提升信息安全地位，突出頂層設(shè)計(jì)能力；加強(qiáng)行業(yè)信息安全公共基礎(chǔ)設(shè)施建設(shè)，促進(jìn)資源整合和安全服務(wù)共享，提升信息安全風(fēng)險(xiǎn)管理水平；大幅提高信息系統(tǒng)風(fēng)險(xiǎn)防范能力和重大網(wǎng)絡(luò)攻擊抵御能力；健全行業(yè)信息安全監(jiān)管體系，提升監(jiān)管效能，形成適應(yīng)資本市場發(fā)展的監(jiān)管機(jī)制；提升信息技術(shù)安全可控水平，增強(qiáng)應(yīng)急響應(yīng)能力，保障行業(yè)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。（2） 促進(jìn)發(fā)展。（4） 協(xié)作共贏。加強(qiáng)信息技術(shù)風(fēng)險(xiǎn)控制，制定和完善信息技術(shù)內(nèi)控制度與流程。（2） 建立首席信息官制度。（4） 推行技術(shù)架構(gòu)革新。第四節(jié) 完善信息安全管理體系，增強(qiáng)信息系統(tǒng)建設(shè)與運(yùn)行安全引導(dǎo)行業(yè)機(jī)構(gòu)完善信息安全管理體系，推動(dòng)行業(yè)機(jī)構(gòu)在信息系統(tǒng)建設(shè)和運(yùn)行等環(huán)節(jié)深入加強(qiáng)安全管理，規(guī)范軟件開發(fā)過程管理，確保信息安全管理體系的全覆蓋。組織制定軟件開發(fā)安全管理標(biāo)準(zhǔn)與規(guī)范，編寫安全開發(fā)測試指南，提供軟件開發(fā)最佳實(shí)踐；建立行業(yè)共享的安全架構(gòu)庫和安全模塊庫，為提升行業(yè)整體開發(fā)安全水平奠定基礎(chǔ)。引導(dǎo)行業(yè)機(jī)構(gòu)加強(qiáng)信息技術(shù)研發(fā)、信息系統(tǒng)運(yùn)維、信息安全專家團(tuán)隊(duì)建設(shè)，建立行之有效的人才培養(yǎng)與激勵(lì)機(jī)制，形成“吸引人才、培養(yǎng)人才、留住人才”的良好氛圍。引導(dǎo)行業(yè)機(jī)構(gòu)正確認(rèn)識(shí)業(yè)務(wù)連續(xù)性的重要性，促進(jìn)行業(yè)機(jī)構(gòu)不斷完善業(yè)務(wù)連續(xù)性計(jì)劃；通過持續(xù)演練，確保業(yè)務(wù)連續(xù)性計(jì)劃的有效性；逐步建立行業(yè)信息系統(tǒng)應(yīng)急知識(shí)庫，規(guī)范信息系統(tǒng)應(yīng)急手段與措施，穩(wěn)步提升行業(yè)應(yīng)急標(biāo)準(zhǔn)化水平；協(xié)調(diào)推動(dòng)行業(yè)機(jī)構(gòu)加強(qiáng)與通信、電力、銀行等相關(guān)單位的溝通與配合，簽訂應(yīng)急處理及服務(wù)協(xié)議。推動(dòng)行業(yè)機(jī)構(gòu)信息安全意識(shí)教育和安全技能培訓(xùn)，提高信息安全管理的專業(yè)化程度與安全防范意識(shí)。加強(qiáng)行業(yè)信息安全培訓(xùn)，督促行業(yè)機(jī)構(gòu)明確崗位安全職責(zé)，開展安全意識(shí)教育，提高從業(yè)人員的安全防范意識(shí)。（14） 提高重大網(wǎng)絡(luò)攻擊防御能力。第六節(jié) 建立安全可控保障機(jī)制，推進(jìn)安全可控能力建設(shè)積極貫徹國家網(wǎng)絡(luò)安全戰(zhàn)略部署要求，深入推進(jìn)行業(yè)信息技術(shù)安全可控能力建設(shè)。以國家網(wǎng)絡(luò)安全審查相關(guān)政策為依據(jù)，出臺(tái)與行業(yè)信息安全需求相適應(yīng)的配套政策，制定行業(yè)信息安全審查標(biāo)準(zhǔn)，借助行業(yè)集中研發(fā)測試中心與信息安全實(shí)驗(yàn)室的力量，加強(qiáng)行業(yè)專用信息技術(shù)、產(chǎn)品和服務(wù)的安全審查和檢測。鼓勵(lì)行業(yè)機(jī)構(gòu)培養(yǎng)與引進(jìn)高端信息技術(shù)人才，加強(qiáng)系統(tǒng)架構(gòu)頂層設(shè)計(jì)，提高核心系統(tǒng)自主研發(fā)、自主運(yùn)維能力，持續(xù)完善信息技術(shù)外包管理，穩(wěn)步實(shí)現(xiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、關(guān)鍵應(yīng)用軟件、安全防護(hù)系統(tǒng)等重點(diǎn)領(lǐng)域的安全可控。程序化交易、國際化、互聯(lián)網(wǎng)金融等業(yè)務(wù)模式創(chuàng)新，要求信息安全適應(yīng)業(yè)務(wù)發(fā)展的需求，以保障資本市場的健康穩(wěn)定和可持續(xù)發(fā)展。（21） 加強(qiáng)云技術(shù)、云服務(wù)應(yīng)用指導(dǎo)。（23） 制定程序化交易技術(shù)標(biāo)準(zhǔn)，控制程序化交易風(fēng)險(xiǎn)。（25） 加強(qiáng)互聯(lián)網(wǎng)金融技術(shù)監(jiān)管，防范互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)。（26） 完善信息安全現(xiàn)場檢查體系。（28） 建立信息安全風(fēng)險(xiǎn)評級(jí)機(jī)制。將信息安全事件納入行業(yè)經(jīng)營機(jī)構(gòu)信息披露范圍，信息安全監(jiān)管部門在事件調(diào)查處理結(jié)束后，將通過信息披露平臺(tái)就信息安全事件相關(guān)原因及處置過程向公眾進(jìn)行披露，以維護(hù)投資者及其他利益相關(guān)方的合法權(quán)益。（1） 組織保障。（3） 技術(shù)保障。第十節(jié) 規(guī)劃實(shí)施監(jiān)督機(jī)制建立行業(yè)信息安全工作規(guī)劃實(shí)施監(jiān)督機(jī)制，通過統(tǒng)籌規(guī)劃、強(qiáng)化管理、全面監(jiān)控、分步實(shí)施等手段，加強(qiáng)行業(yè)參與度與監(jiān)督，認(rèn)真做好各項(xiàng)規(guī)劃任務(wù)實(shí)施進(jìn)度的評議工作，督促證券期貨業(yè)信息安全工作規(guī)劃任務(wù)表逐項(xiàng)落實(shí)完成。（2） 制定規(guī)劃，落實(shí)管理。在信息安全工作規(guī)劃工作實(shí)施過程中，需要將相互關(guān)聯(lián)且需要協(xié)調(diào)管理的項(xiàng)目組成項(xiàng)目群統(tǒng)一管理，以求獲得對單個(gè)項(xiàng)目分別管理所無法實(shí)現(xiàn)的利益和控制。信息安全工作規(guī)劃任務(wù)通過分階段實(shí)施的方式持續(xù)推進(jìn)，在每個(gè)階段都應(yīng)以能獲得階段性的業(yè)務(wù)和技術(shù)收益為出發(fā)點(diǎn)，以降低信息安全工作規(guī)劃的整體實(shí)施風(fēng)險(xiǎn)。什么是奮斗？奮斗就是每天很難，可一年一年卻越來