it治理工作指引v5.3端午版

证券期货经营机构信息技术治理工作指引（试行） 一一一 总则 一一一 IT 原则与治理目标 一一一 IT 治理组织与工作机制 一一一 IT 架构与基础设施 一一一 IT 应用 一一一 IT 投入 一一一 IT 人力资源 一一一 IT 安全与风险控制 一一一 附则 第一章 总则 第一条 为加强证券期货经营机构信息技术管理与规范， 完善各机构的治理结构，提高证券期货经营机构信息技术治理 （以下简称 IT 治理）水平，保障信息系统安全运行，特制定本指 引。 第二条 IT 治理是指企 业在信息技术应用过程中,为实现 企业总体战略目标而制定有关 IT 的决策 权归属和责任担当框 架，主要包括在 IT 原则、IT 架构、IT 基础设施、IT 应用和 IT 投 入 5 个方面制定相关制度并建立有效的工作机制，实现 IT 决策 的责任与权力有效分配与控制，提高 IT 资源的有效性、可用性 2 和安全性。 第三条 IT 能力是 证券期货经营机构的核心竞争力之一， IT 治理是信息化时 代公司治理的重要 组成部分。各证券期货经 营机构应建立有效的 IT 治理机制，保持 IT 与业务目标一致， 合理利用 IT 资源，有效管理 IT 风险，确保信息系 统的建设和 运行安全、高效、稳定。 第四条 本指引适用于各证券期货经营机构，包括证券 公司、基金管理公司和期货公司（以下简称公司）。 第二章 IT 原则和治理目标 第五条 公司应制定明确的 IT 原则，阐明本公司为实现 战略目标所运用 IT 的基本思路，对 IT 如何支持公司期望的运 行模式和公司如何进行 IT 投入做出规 定。 第六条 公司应根据其战略规划制定 IT 治理目标，利用 IT 增 强公司的核心竞争力,使公司从 IT 投入中获得更大收益。 IT 治理目标应包括： （一）IT 决策 权力和 责任明确； （二）技术和业务有效匹配； （三）IT 资 源的最优 配置； （四）IT 风险 的可管可控。 第七条 公司应制定公开、可行的 IT 治理流程，建立公 司业务与信息技术之间清晰的联系框架，采取有效措施，使公 司管理层和各相关部门的人员了解并认同公司的 IT 原则和治 3 理目标。 第八条 公司应根据其战略目标制定 IT 规划。IT 规划应 与公司战略变化动态保持一致 ，符合公司战略对 IT 的期望和要 求，并使得技术和业务部门能正确地理解和把握公司对 IT 的期 望。 第九条 公司在制定 IT 规划时，应征求相关业务部门、 财务管理部门和内部控制部门的意见，并报公司管理层批准实 施。 第十条 公司应根据业务变化情况对 IT 规划适时更新。 IT 规 划在有效性、可用性和安全性方面 应满足行业和公司可预 见的业务发展要求，在容量、性能和安全保障方面应做出规定。 第三章 IT 治理组织与工作机制 第十一条 公司应建立有效的 IT 治理组织和工作机制，实 现 IT 决策的有效授权和控制，通过制定相关制度来确定 IT 的 决策、执行和监督的责任担当框架。 第十二条 公司总经理对 IT 治理的有效性及信息技术安全 负最终责任，公司应指定具有 IT 专业 工作经验的高级管理人员 作为公司 IT 治理的直接 责任人。 第十三条 公司应设立 IT 治理委员会或类似机构，负责公 司 IT 治理工作。 IT 治理委员会向公司管理 层负责，公司管理层 应为 IT 治理委 员会履行 职责和行使职权 提供必要的制度和机 制保障。 4 第十四条 公司应在公司、分公司和子公司等下属机构建 立统一协调的 IT 治理机制， 较低层级 服从于较高层级。 第十五条 IT 治理委 员会应由公司 IT 治理负责人、相关业 务负责人、信息技术负责人、财务负责人、内部控制负责人以及 部分技术骨干等人员组成，其中信息技术人员的比例应在 30% 以上；公司可聘请外部专业人士担任委员或顾问。 第十六条 IT 治理委 员会应履行以下职责： （一）制订公司 IT 治理目 标和 IT 治理工作 计划; （二）审核公司 IT 发 展规划； （三）审核公司年度 IT 工作计划和 IT 预 算； （四）审核公司重大 IT 项目立项、投入和优先级； （五）审核公司信息技术管理制度和关键流程； （六）制订与 IT 治理相关的培 训和教育工作计划； （七）检查所制定和审核事项的落实和执行情况； （八）组织评估公司 IT 重大事项并提出处置意见； （九）向公司管理层报告 IT 治理状况。 第十七条 IT 治理委 员会应建立明确的议事规则，应至少 每季度召开一次例会或根据需要召开临时委员会会议。 第十八条 公司应制定与 IT 治理目标和绩效相联系的奖惩 机制。 第十九条 公司应设立信息技术总监或其它类似职位的信 息技术专职负责人，其职责包括但不限于： 5 （一）组织制订公司中长期信息技术发展规划； （二）组织制订公司年度 IT 工作计划及预算； （三）组织制订公司信息系统安全目标、策略、方针及实施 计划； （四）组织对公司信息技术的风险进行评估及控制； （五）组织并协调公司信息化建设工作； （六）组织制订信息技术管理制度、信息技术建设标准； （七）组织落实 IT 治理委 员会所制定和审核的有关事项； (八) 向公司管理层 和 IT 治理委员会报告 IT 重大事项，并 对上报事项的真实性、准确性、完整性、及时性负责； （九）对公司信息系统的安全管理体系的有效性负技术责任。 第四章 IT 架构与基础设施 第二十条 公司应根据 IT 原则和治理目标制定相应的 IT 架构，确定 IT 基础设 施、IT 应用系统的整体框架。 第二十一条 公司 IT 架构应包括业务应用架构、系统平台 架构、数据信息架构等；不同架构的范围和边界应明确定义。 第二十二条 IT 架构 应遵循全局、开放、共享的原则，通过 数据、流程、技术的标准化和一体化工作，建立业务应用、系统 平台、数据信息等部件的完整、清晰的组织逻辑。 第二十三条 IT 架构在保 证数据和基础设施相对稳定的前 提下，应具备良好的灵活性以支持不断变化的业务需求和应用。 6 第二十四条 公司应定期或在有重大变化时对 IT 架构进 行评估，保证 IT 架构的适 应性和合理性。 第二十五条 IT 基 础设施应包括技术标准、基础组织、基 础数据、基础软件、技术设备、通讯网络、安全系统、机房物理 环境等，其中每一项都包含一系列整合的服务。 第二十六条 IT 基 础设施建设应遵循可靠、安全、共享和 可管理的原则，能为多种 IT 应用提供支持和服务，并根据成本 效益与安全控制等要求确定 IT 资源的集中度。 第二十七条 IT 基 础设施应具有统一、安全、可靠、灵活、 可扩展的特点，应科学地设计和管理 IT 基础设施的容量，以适 应业务增长和创新的需要，有利于业务扩展和创新应用的快速、 高效地实施和部署。公司应定期评估 IT 基础设施的容量和适应 能力。 第五章 IT 应用 第二十八条 公司应建立技术部门和业务部门之间有效的 沟通协调机制，制定 IT 应用的需求提出、立项决策、系统建设、 系统验收和上线运行的制度与流程，通过 IT 应用实现和传递商 业价值。 第二十九条 IT 应 用需求应充分考虑业务与技术之间协同 发展的互动关系。重大 IT 应用需求应 由相应的使用部门或信息 技术部门在需求调研的基础上提出，由内部控制部门、财务管 7 理部门和信息技术部门会商后报公司 IT 治理委员会审核立项， 由使用部门、运维部门和内部控制部门负责验收。 第三十条 IT 应用建 设应在确保安全的前提下平衡技 术创新 和 IT 架构完整性； IT 应用应促进和改善 IT 架构，避免或最小程度 地破坏既定的 IT 架构，尽可能保 证 IT 架构的完整性和 稳定性。 第三十一条 公司应为 IT 应用实现提供必需的财力和人 力资源，并应充分考虑软件开发、测试及部署实施所需要的时 间周期。 第三十二条 关键 IT 应用系统包括但不限于核心交易系 统、结算系统、风险控制系统、财务系统、安全系统、灾难备份 系统等。 第三十三条 公司关键 IT 应用系统和基础设施应达到行 业的有关规范和安全技术标准要求，并按照有关规范和标准开 展系统建设、管理和运行维护工作。没有行业规范和标准的应 尽可能参照已有的国家或国际相关技术规范和标准建设、管理 和运行维护。 第六章 IT 投入 第三十四条 公司在制定 IT 年度预算时应保障公司业务 正常运转所需 IT 投入，并确定 IT 项目投入的 优先顺序以及投 入的金额。 第三十五条 公司最近三个财政年度 IT 投入平均数额应 不少于最近三个财政年度平均净利润的 6%或不少于最近三个 8 财政年度平均营业收入的 3%，取二者数额较大者。 第三十六条 IT 建 设应有前瞻性，同时要避免盲目超前的 IT 规划带来 过大的 IT 投入。公司应从财务风险 、市场风险、组织 风险和技术风险上对 IT 投入风险进行 评估，并做出分析和权衡。 第三十七条 公司应建立可量化的指标体系对 IT 投入进 行管理，鼓励公司在内部的 IT 投入部 门和 IT 使用部门之间建 立成本分摊和内部核算机制。 第三十八条 IT 投入 应优先保证为投资者提供安全、可靠 的交易服务。 第三十九条 公司应将 IT 基础设施作为一种关键资产进 行管理，并逐年对各项基础设施进行审慎投入。 第七章 IT 人力资源 第四十条 公司应设立信息技术部门具体负责信息技术系 统的开发、运维和管理工作，公司分支机构应当设立相应的信息 技术部门或岗位负责分支机构的信息技术工作。 第 四 十 一 条 公 司 应 配 备 足 够 的 IT 工 作 人 员 ，可 根 据 实 际 情 况 确 定 IT 工 作 人 员 的 数 量 及 配 置 ，但 应 满 足 安 全 和 岗 位 设 置 的 有 关 要 求 。公 司 的 IT 工 作 人 员 总 数 应 不 少 于 公 司 员 工 总 人 数 的 6 。 第四十二条 公司应为信息技术部门提供足够的资金支持， 为信息技术人员提供履行其岗位职责所需要的岗位技能培训及 9 业务培训，制定合理的激励机制和奖惩措施。 第四十三条 鼓励公司设立信息技术专业职级体系，建立 公平、公开、公正的晋升机制，为信息技术人员提供相应的发展 空间。 第四十四条 公司宜配备适当 IT 研发人员增强公司关键 IT 应 用系 统的自主研 发能力。 第八章 IT 安全和风险控制 第四十五条 公司应通过管理机制和技术手段确保公司的 IT 系 统与信息安全，保障业务活动的连续 性，保证重要信息的 保密、完整及可用，确保信息内容符合法律法规的要求。 第四十六条 公司应建立有效的灾难备份系统和应急方案， 明确应急方案的激活条件、紧急事件处理流程、报告流程、撤销 流程、恢复流程以及人员责任等。灾难备份系统的各项技术指 标应符合监管机构的要求。 第四十七条 公司应充分重视客户资料等公司商业信息安 全问题，制定相关制度、采取相应措施确保在开放的市场环境 中公司的商业机密和投资者信息安全。 第四十八条 公司应对全体员工开展必要的信息安全培训、 教育和考核，对合作方服务人员提出明确的信息安全要求。公 司与合作方签订合同应包含保密和诚信协议，明确各自承担的 安全义务和责任，并要求合作方在提供产品或服务的同时承诺 不存在恶意代码或“ 后门” ，不提供违反法律法 规的操作模块、 10 功能和手段。 第四十九条 公司应规范 IT 外包服务管理，对重要的外包 服务要明确服务商资质要求、服务等级、服务流程和服务质量 标准。 第五十