证券公司信息技术管理规定(草案).doc

证券公司信息技术管理规定（草案V1.72）第一章 总则第一条 【立法目的和依据】为保障证券公司信息系统安全运行，加强证券公司信息安全管理，防范和化解信息技术风险，提高行业信息安全水平，支持证券业务发展，根据中华人民共和国证券法、证券公司监督管理条例、证券期货业信息安全保障管理办法（已公开征求意见）等有关法律法规制定本规定。第二条 【适用范围】本规定适用于在中华人民共和国境内依法设立的证券公司。第三条 【责任主体及原则】证券公司是信息技术管理工作的责任主体，对本机构信息系统安全运行承担责任，实行“谁运行、谁负责，谁使用、谁负责”原则。第四条 【会机关监管职责】中国证监会负责制定、修订证券公司信息技术相关法规，牵头对证券公司信息技术相关新应用、新情况、新问题进行研究，并牵头对行业发生的重大安全事件进行调查处理。第五条 【证监局监管职责】证监局负责辖区证券公司信息系统监管，证券公司分支机构信息系统由分支机构所在地证监局负责监管。证券公司分支机构所在地和证券公司住所地证监局之间应建立有效的信息沟通和监管协作机制，有效防范、化解和处置分支机构的信息技术风险、重大异常情况和突发事件，协调配合做好有关分支机构的信息技术检查、信息安全事件处置等事项。第六条 【信息技术定义】本规定中的证券公司信息技术（英文：Information Technology，简称IT）是指证券公司在核准的业务范围内，管理和处理业务活动期间产生的账户、交易、清算、财务、服务等方面信息所采用的各种计算机、通信、软件工程等技术的统称。第二章 信息技术治理第七条 【信息技术治理】信息技术治理是指证券公司在运用信息技术过程中，制定的有关信息技术决策权分配和责任承担的框架。第八条 【责任分工】证券公司法定代表人对证券公司信息安全及信息技术管理负最终责任，证券公司章程应明确以下事项：（一）证券公司信息技术管理的组织架构和决策机构；（二）证券公司董事长、总经理、分管信息技术的高级管理人员、信息技术管理部门负责人在信息技术管理工作中的职责分工。第九条 【决策机构】证券公司应成立信息技术委员会或指定专门机构（如总经理办公会）负责公司信息技术规划、年度信息技术工作计划和预算、重大信息系统项目立项和上线等重要事项的审议工作。信息技术委员会或指定专门机构应由公司总经理、分管信息技术高管、分管财务、风控部门高管、合规总监、信息技术管理部门负责人及相关部门负责人等组成，公司可聘请外部专业人士担任信息技术委员会或指定专门机构的委员或顾问。第十条 【分管高管】证券公司应指定高级管理人员或设立信息技术总监分管公司信息技术管理工作，信息技术总监为证券公司高级管理人员。分管信息技术管理工作的高级管理人员应具备信息技术专业知识，并具有5年以上从事金融业信息技术管理或信息技术监管工作经验。信息技术总监应具备证券公司高级管理人员任职资格，具有计算机相关专业大学本科以上学历，以及8年以上从事金融业信息技术管理或信息技术监管工作经验。分管信息技术管理工作的高级管理人员或信息技术总监不得同时兼任或分管公司财务、审计及与其职责相冲突的职务或部门。第十一条 【IT部门职责】证券公司应设立信息技术管理部门，对证券公司总部、分支机构的信息技术规划、项目建设、系统运行维护、信息安全、应急演练及应急处置等工作进行集中、统一管理。 证券公司信息技术管理部门应指导并参与审定境内控股子公司的信息技术规划、重大项目建设方案。第十二条 【IT规划】证券公司应结合公司发展战略、经营方针等制定信息技术规划，经信息技术委员会或指定专门机构审议，并报董事会批准后实施。信息技术规划应遵循与公司发展相适应的原则，定期进行更新。第十三条 【制度建设】证券公司应制定信息技术管理制度和操作流程。涉及内容包括但不限于：项目立项及管理、开发测试、升级变更、系统运维、数据管理、信息安全、权限分配、应急处置、信息安全事件调查处理等方面。证券公司信息技术管理制度和操作流程应符合国家、监管部门和自律组织的有关规定，并根据实际情况及时修订。第十四条 【合规与风控】证券公司应将合规管理及风险控制的要求贯穿在信息技术管理工作的各个环节。证券公司合规管理部门应对公司信息技术管理制度和操作流程合规性把关并监督执行，对信息技术管理的重大决策和主要活动进行合规性审查，对信息技术管理的合规状况以及其有效性进行监测和检查，及时发现、查处、报告违法违规行为。证券公司风险控制部门应对信息系统重大变更、信息安全重大决策、信息安全事故处理等进行事前、事中、事后的风险评估和监督控制，防范信息技术重大风险。 证券公司可为合规管理及风险控制部门配备熟悉证券业务并具备计算机相关专业学历的工作人员。第十五条 【审计管理】证券公司应指定公司内部审计部门或委托外部审计机构，定期对公司及分支机构信息技术管理工作进行审计，公司总部接受信息技术审计的频率不低于每年一次。第十六条 【IT投入】证券公司信息技术投入应符合监管部门及自律组织的有关要求。第十七条 【员工培训】证券公司应对业务人员进行相关业务信息系统使用和信息安全培训，业务人员每年参加培训时间不少于6学时。第三章 信息技术人员管理第十八条 【人员要求】证券公司信息技术管理部门负责人应具有计算机相关专业大专以上学历或具有8年以上从事证券公司信息技术管理工作经验。证券公司从事信息技术管理工作人员数量应符合监管部门及自律组织的有关要求。第十九条 【人员培训】证券公司应定期组织信息技术管理人员参加职业操守、合规和相关专业技术能力培训，每年参加培训时间应不少于12学时。 第二十条 【岗位备份】证券公司集中交易系统管理、数据库管理、网络管理、安全管理等重要技术岗位应实行双人双岗。第二十一条 【岗位分离】证券公司从事业务及管理信息系统开发、运行维护人员不得从事该项业务的具体操作。第二十二条 【人员流动】证券公司应建立信息技术管理人员任职和离职管理制度，证券公司应与信息技术管理关键岗位及任职期间涉及敏感数据的信息技术人员签订保密协议。第四章 基础设施与信息系统基本要求第二十三条 【基本要求】证券公司重要信息系统机房建设、机房环境、供电系统应达到证券期货业信息系统灾难备份能力标准相关要求，并符合监管部门及自律组织的有关规定。证券公司信息技术基础设施可以采用自建、租赁或外包的形式建立，证券公司采用租赁或外包基础设施时，除满足前款所述条件外，还应满足证券公司业务发展与管理的需要，以及证券公司开展内、外部审计、监管部门及自律组织进行现场检查的需要。第二十四条 【部署位置】证券公司客户、交易、清算、财务、合规管理、风险控制等重要数据信息以及管理这些信息的信息系统应存放并部署在中华人民共和国境内。第二十五条 【处理能力】证券公司重要信息系统处理能力应满足证券公司业务、管理活动正常运行的需要。第二十六条 【网络通信】证券公司网络通信系统应满足业务开展及信息安全的需要，应符合国家及行业有关标准及要求。 证券公司与证券交易所、中国证券登记结算公司的通信连接应建立备份线路，证券公司与分支机构之间应建立不同运营商、不同介质的通信通道。第二十七条 【数据管理】证券公司应建立数据管理制度，包括不限于分级管理、访问控制、数据安全、数据备份等内容，并充分利用成熟的安全技术确保数据的保密性、完整性、可用性和可控性。 前款所述数据是指证券公司在经营和管理中产生的信息资源，主要包括业务数据、系统数据和管理数据等。第二十八条 【备份能力】证券公司应建立重要信息业务数据及重要信息系统的备份制度，明确备份范围、频率、方法、责任人、存放地点、有效性检查等内容，并符合国家及行业有关标准及要求。第二十九条 【监控报警】证券公司应使用能够连续监控信息系统性能及运行状态，并能够及时、完整报告异常情况的监控报警系统，证券公司应建立有效机制对监控报警信息进行逐日跟踪和运行评估。第三十条 【预留监管接口】证券公司信息系统应具有可审计功能，并按要求为监管部门留有接口及查询权限。第五章 信息系统开发与运维管理第三十一条 【需求管理】证券公司应建立并持续完善用户需求管理制度及工作流程，包括但不限于需求的提出、分析、评审、变更、跟踪、用户确认等环节。证券公司应组织信息技术管理部门与相关部门共同对涉及证券公司重要信息系统的需求进行确认。第三十二条 【系统开发】证券公司应对信息系统的项目立项、招标、评标、开发、验收、运行和维护整个过程实施有效管理，严格划分信息系统开发、管理与使用的职责，防范利益冲突。证券公司应具备一定的自主开发能力，加强核心技术掌控能力建设，防范系统开发外包风险，满足公司发展的需要。第三十三条 【测试管理】信息系统上线或变更上线前，应经过证券公司信息技术管理部门及使用部门的联合测试，使用部门应提供详细完整的测试方案及预期测试结果，信息技术管理部门及使用部门应共同对测试结果进行记录、评估和确认。第三十四条 【上线及变更管理】证券公司应建立信息系统上线、系统变更管理的相关制度和工作流程，包括但不限于上线（变更）需求、测试内容、结果确认、系统回归测试、操作流程、应急预案及回退方案等方面内容。证券公司应在重要信息系统上线或发生重大变更之前制定专项实施方案、应急预案和回退方案。信息技术管理部门及使用部门应对变更操作进行事前审查，并记录变更执行过程。执行变更操作的人员应严格按照制度及流程执行，不得擅自删除、修改系统软件或改变系统配置。证券公司应在变更实施完成后，对变更结果进行跟踪和确认。第三十五条 【容量管理】证券公司应建立符合证券市场及证券公司业务发展需要以及与市场核心机构容量相适应的系统容量规划和容量评估机制，容量规划的范围应包括生产系统、备份系统及相关软、硬件设备，容量评估应定期进行，及时解决系统容量瓶颈。第三十六条 【运维管理】证券公司应加强信息系统运行与维护，按照相关工作制度、流程和操作指南的要求，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。证券公司应在日常运维管理的基础上，定期对系统进行专项检查与维护。第三十七条 【外购系统管理】证券公司重要信息系统软件的选择和管理应充分考虑安全性、可靠性、稳定性和健壮性，使用符合安全要求的正版软件。证券公司使用的操作系统软件应关闭不必要的服务和端口，在充分测试的前提下，及时安装操作系统的补丁程序。第三十八条 【事故管理】证券公司应建立信息安全事故管理制度和工作流程，包括但不限于事故描述、类型、等级、影响、原因分析、解决方法及防范措施等方面内容。证券公司发生信息安全事件后，应及时对事故进行处理、记录和报告，事后应对事故进行总结。第三十九条 【日志留痕】证券公司应加强重要信息系统及关键设备的日志管理，设置必要的日志记录模块并建立定期分析日志的工作机制。其中，证券公司集中交易及网上交易系统日志应记录服务请求方身份信息。日志应当能够满足各类内部和外部审计的需要，重要信息系统日志应保留1年以上。第四十条 【外包服务】证券公司在确保系统安全、风险可控的前提下，可选择行业软硬件产品或者技术服务的供应商（以下简称“供应商”）提供的产品或服务。应当保证选择的软硬件产品和技术服务符合国家及证券期货业信息安全相关技术管理规定和标准。供应商主要包括为证券公司提供软硬件产品或信息技术服务的信息系统集成商、硬件供应商、软件供应商、系统开发商、运营服务商及相关代理商等。第四十一条 【供应商的选择】证券公司选择的供应商应符合监管部门的资质要求，并建立完善的供应商选择标准及业务流程，充分评估供应商财务稳定性、管理流程、专业经验等相关风险，明确双方权利义务。第四十二条 【合同管理】证券公司与供应商签订的合同应符合监管部门及自律组织的有关要求，明确双方权利、义务及责任。合同内容应包括但不限于：（一）在产品开发和上线期间，供应商应提供完整的系统设计方案，定期提供开发和上线进度计划、测试结果等文档，并对其提供的产品或服务在测试及使用过程中的问题及时进行跟踪与修复；（二）在产品正常使用期间，供应商应当承担的技术支持、定期维护、系统健康检查及产品使用培训的责任；（三）因产品或服务原因导致证券公司发生信息安全事件等情况时，供应商应承担的违约及赔偿责任；（四）有关客户资料等敏感信息的保密约定。第四十三条 【供应商管理】证券公司应对供应商提供的产品或服务进行测试验收，并对其提供的产品或服务实施全面质量控制管理。第四十四条 证券公司应建立定期评估机制与应急措施，有效应对供应商在服务中可能出现的重大缺失。重大缺失包括但不限于供应商的重大资源损失、重大财务损失、重要人员变动，以及合同意外终止等。第六章 业务连续性管理第四十五条 【业务连续性计划内容】证券公司应根据自身业务的性质、规模和复杂程度制定适当的业务连续性计划（Business Continuity Planning,缩写为BCP），以确保在出现无法预见的系统故障时，将故障对业务的影响降低到最小。业务连续性计划内容应包括但不限于：备份数据恢复机制、备份信息系统恢复机制、替代交易方式、应急联系方式、与相关单位通报机制、向监管部门报告机制、业务连续性计划披露与更新机制等。业务连续性计划考虑的情形应包括不限于：因自然灾害等原因导致机房不可用、机房电力中断；网络、通信中断或拥堵至不可用；重要业务信息系统软件、硬件故障；重要业务信息数据损毁或遭到破坏等。第四十六条 【业务连续性管理】证券公司应指定主要负责人为业务连续性计划的第一责任人，负责审批、执行、更新业务连续性计划。证券公司信息技术委员会或其他专门机构负责对业务连续性计划进行审议。证券公司应根据业务结构变化、系统升级变更等原因及时更新业务连续性计划，并组织业务连续性计划所涉及关键岗位及人员定期演练。演练频率不低于每年1次，演练后应形成演练报告，演练记录应至少保存2年。第四十七条 【业务连续性计划披露】证券公司应在证券公司开户协议、证券公司网站等渠道向客户提示业务连续性计划中所涉及重大突发事件的可能性，以及事件发生时证券公司的应对措施、客户可采取的替代方式等信息。第四十八条 【事件响应】证券公司发生信息安全事件后，应立即启动应急预案，做好相关事件应急处置工作，并按照要求及时向监管部门报告。第四十九条 【事故调查与报告】证券公司或分支机构发生信息安全事件后，证券公司应按照监管部门及自律组织发布的信息安全事故认定标准进行评估认定。对于属于信息安全事故的信息安全事件，证券公司应成立由合规部门、内部审计部门及信息技术管理部门组成的联合调查小组开展调查处理工作，并于调查完成后的10个工作日内将事故经过、原因、级别、影响、责任认定与后续处理措施等情况以书面形式报告证券公司或分支机构住所地证监局。第五十条 【责任认定】因信息技术管理制度不健全、违反信息技术管理制度及操作流程、操作失误、应急处置不当等原因造成的信息安全事故属于信息安全责任事故。证券公司应依据证券公司信息安全事件调查处理办法（拟发布）的有关要求对信息安全责任事故进行内部责任追究，并在采取内部责任追究措施的10个工作日内将有关情况报告证券公司住所地证监局。第五十一条 【事后整改】证券公司应根据事故调查结论制定后续整改计划，并在事故发生后的1个月内将整改计划报告住所地证监局。证券公司应在事故发生后逐月向住所地证监局报告整改完成情况，直至整改完成。第七章 信息技术安全管理第五十二条 【基础设施安全管理】证券公司应加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责定期检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备。第五十三条 【网络安全】证券公司不同网段之间应进行有效隔离，证券公司应综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法入侵。第五十四条 【客户资料保密】证券公司应做好客户资料、交易数据等电子信息的分类、发布、使用、保存、归档和销毁等安全管理工作，防范敏感信息数据的外泄和不正当使用的事件发生。证券公司及其员工不得将本公司投资者个人信息出售或非法提供给他人。第五十五条 【客户端保护】证券公司应加强投资者非现场交易终端的安全保护,采取身份认证、数据传输加密等多种安全手段，并建立配套制度和工作流程，确保信息传递的保密性、准确性和完整性。第五十六条 【密码管理】证券公司应采取加密技术，防范涉密信息在传输、处理、存储过程中出现泄漏或被篡改的风险，并建立信息系统安全保密和泄密责任追究制度，确保涉密设备、人员、密码强度、密码管理满足国家及行业的有关要求。第五十七条 【权限管理】证券公司应对信息系统实施有效的用户认证和访问控制管理，权限管理应遵循最小功能原则及最小权限策略，信息技术人员不得从事业务相关操作或拥有相关操作权限，不相容职务用户账户不得交叉操作。证券公司应建立定期检查与核对机制，避免授权不当或存在非授权账户，确保系统用户对数据和系统的访权限应与其工作职责相匹配。第五十八条 【病毒防护】证券公司应采取部署防火墙设备、安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏，并指定专人定期维护安全设备或软件，确保其安全可靠。第五十九条 【其他相关工作】证券公司应按照监管部门的有关要求，配合国家信息安全管理部门做好信息安全相关工作。第八章 信息技术审计第六十条 【内部审计】证券公司应根据公司信息技术发展状况定期开展内部信息技术审计。负责内部审计的部门应设立充足的信息技术审计岗位，其中，具有经纪业务资格的证券公司信息技术审计岗位应至少不少于2名。证券公司可聘请外部信息技术专家协助开展信息技术审计工作。第六十一条 【外部审计】证券公司可委托具有良好职业操守、勤勉尽责、熟悉证券公司业务及相关法律法规，并具备相关资质的外部审计机构对证券公司进行信息技术审计。第六十二条 【审计目标】证券公司应通过信息技术审计工作，有效提升信息系统运行及安全保障的合规性、有效性和稳定性，确保信息系统建设能够有效满足公司日常经营、内部控制和业务创新的需要。第六十三条 【责任分工】证券公司应指定主要负责人为信息技术审计工作的第一责任人，稽核部门对信息技术审计工作质量负责，信息技术部门和合规管理部门对信息技术审计工作的后续整改负责。第六十四条 【审计内容】证券公司信息技术全面审计内容应包括但不限于：信息技术治理、信息技术管理制度、信息技术预算执行情况、信息系统规划建设、信息系统运维管理情况、信息系统安全状况、信息安全事件应急响应与事故处理、应急演练情况、营业部信息系统管理以及其他需要审计的事项。第六十五条 【审计频率】证券公司应组织内部审计部门进行信息技术全面审计，频率不低于每年一次，证券公司可根据需要进行信息技术专项审计。发生重大信息安全事件的证券公司，应在信息安全事件发生后的3个月内对其信息系统进行全面审计。第六十六条 【审计报告】证券公司应在每年1月底前向住所地证监局报送当年信息技术审计工作计划。审计工作计划应包括审计目标、审计内容、审计重点、审计人员、审计时间安排等。证券公司应在信息技术审计结束后20个工作日内形成审计报告并报送住所地证监局。审计报告应至少包括审计工作实施情况、对公司信息系统运行和安全保障的总体评价、存在的问题及整改意见等，审计报告应附审计工作底稿。第六十七条 【后续整改】证券公司应根据审计中发现的问题及意见，在不影响信息系统稳定运行的情况下，制定合理、可行的整改措施及实施步骤。第九章 监督管理第六十八条 【公司及分支机构设立】申请设立证券公司或分支机构时，有关单位应向中国证监会提交信息技术管理相关材料，包括不限于组织架构、管理制度、基础环境建设情况、重要信息系统建设及测试验收报告、业务连续性计划、信息技术负责人简介等。中国证监会及派出机构应对信息技术基础环境建设、重要信息系统运行及人员、制度准备情况进行现场核查，并出具现场核查报告。第六十九条 【增加业务种类】证券公司申请增加业务种类时，应当