机构依照有关法律、行政法规和规章，采取监督管理措施或者实施行政处罚。 　　第二十七条　对于发生存在人为责任的一般信息安全事件的机构，事件发生单位应当对直接负责的主管人员和其他直接责任人员进行内部责任追究。 　　第二十八条　中国证监会及其派出机构和发生信息安全事件的机构应当按照“尽职免责，失职有责”的原则界定信息安全事件的人为责任。 　　第二十九条　对于不存在人为责任的较大及以上信息安全事件，中国证监会及其派出机构依照有关法律、行政法规和规章，对发生信息安全事件的机构采取监督管理措施。 　　第三十条　对于发生重大及特别重大信息安全事件或者频繁发生信息安全事件的机构，中国证监会或者其派出机构应当对其采取责令定期报告等监督管理措施，并可视情况对其进行现场检查。 　　第三十一条　发生信息安全事件的机构有以下情形之一的，中国证监会或者其派出机构依照有关法律、行政法规和规章，对其采取监督管理措施或者实施行政处罚： 　　（一）未按照本办法规定进行事件报告，存在迟报、漏报、谎报或者瞒报的； 　　（二）未妥善保存证据，或者故意隐匿、伪造、篡改、毁损有关文件、资料和证据的； 　　（三）未按照中国证监会信息安全通报要求及时采取风险防控措施，导致信息安全事件发生的； 　　（四）未按照中国证监会或者其派出机构的要求进行整改或者整改不到位，导致信息安全事件发生的； 　　（五）阻碍、拒绝调查工作的； 　　（六）中国证监会及其派出机构认定存在其他恶劣情形的。 　　第五章　附 则 　　第三十二条　本办法自2013年2月1日起施行。 　　附件：信息安全事件情况报告书