《证券期货经营机构信息技术治理工作指引》解读.doc

证券期货经营机构信息技术治理工作指引(试行)解读主讲人：刘云清课程名称课程编号学习期限课程学时有效期是否必修价格证券期货经营机构信息技术治理工作指引(试行)解读C0901890天3学时2010-12-31必修60重要提示只有完成课程学习并通过课程测验后，才能获得相应培训学时。请您回答题目描述为在今后的培训中确认您的身份，请认真回答以下问题。开始测试1.在去年全年中，您参加的由单位举办的行业培训活动总计有多长时间？（B）A、10小时以内B、10-30小时C、30-80小时D、80-200小时E、200小时以上2.在繁忙的工作之余，您通常采用以下什么方法来放松身心？（）A、运动B、读书，听音乐，看电影C、和朋友聚会D、参观，浏览E、其他方式目 录第一部分 指引的起草说明第二部分 证券期货经营机构信息技术治理工作指引(试行)解读 第一章 总则第二章 IT原则和治理目标第三章 IT治理组织和工作机制第四章 IT架构与IT基础设施第五章 IT应用第六章 IT投入第七章 IT人力资源第八章 IT安全和风险控制第九章 附则第三部分 小结与案例第一部分 指引的起草说明一、IT治理理论的产生背景和引入证券业的情况1.IT治理产生背景上世纪90年代末开始逐渐发展起来的一门管理科学，主要研究在高度信息化的时代，如何将企业的IT资产转化为企业的重要战略资产之一。2.IT治理核心三个关键的问题：（1）需要制定哪些IT决策（2）应该由谁来制定这些IT决策（3）如何制定和监控这些IT决策3.IT治理引入证券业二、指引起草过程从2006年开始，中国证券业协会信息技术委员会着手起草该指引。并与期货业协会共同研究，针对期货公司的情况，对指引内容错了相应的修改和增减。2008年8月3人由中国证券业协会联合中国期货业协会共同发布了该指引。第二部分 证券期货经营机构信息技术治理工作指引(试行)解读第一章 总则第一条 为加强证券期货经营机构信息技术管理与规范，完善各机构的治理结构，提高证券期货经营机构信息技术治理水平，保障信息系统安全运行，特制定本指引。解读：本条提出了制定本指引的目的 1.加强经营机构信息技术管理与规范；2.完善各机构的治理结构；3.提高经营机构IT治理水平；4.保障信息系统安全运行。第二条 信息技术治理(IT 治理)是指公司在运用信息技术(以下简称IT)过程中,制定的有关IT决策权分配和责任承担的框架，主要包括在IT原则、IT架构、IT基础设施、IT应用和IT投入5 个方面制定相关制度并建立有效的工作机制，实现IT决策的责任和权力的有效分配与控制，提高IT资源的有效性、可用性和安全性。解读： 1.定义：实际上是IT责权利方面的一个分配策略；2.五个方面的决策：IT原则、IT架构、IT基础设施、IT应用和IT投入；3.建立一个有效的工作机制，以实现IT决策的责任和权力的有效分配与控制，确保IT管理的方向的正确性；4.提高IT管理的效率和IT资源的三个特性：有效性、可用性和安全性。补充一：IT治理与IT管理的关系IT管理一般是从具体的操作层面出发，针对信息系统具体目标的实现所采取的行动，是一种过程控制，COBIT、ITIL是IT管理工具。IT治理则是决策、制度、机制等更高层面的东西，是在宏观层面上战略角度上，对IT战略上的过程、机构和联系进行梳理和监控，做一些制度安排并建立相应的保证制度执行的机制，以确保IT的建设、运营管理能够始终沿着正确的方向进行。补充二：IT治理与公司治理的关系1.IT治理是公司治理的重要组成部分，是公司治理的一个重要方面；2.公司治理（corporate governance）是一组规范公司相关各方的责、权、利的制度安排；3.公司治理内容包括：如何配置和行使控制权，如何监督和评价董事会、经理人和职工，如何设计和实施薪酬和激励机制等；4.通过治理构架，确定公司的目标以及实现这些目标的手段；5.治理的实质：授权、控制、监督、评估、激励。第三条 IT治理是公司治理的重要组成部分，IT能力是证券期货经营机构的核心竞争力之一，有效的IT治理可以持续巩固和提升IT能力。各证券期货经营机构应建立有效的IT治理机制，保持IT与业务目标一致，合理利用IT资源，有效管理IT风险，确保信息系统的建设和运行安全、高效、稳定。解读：本条提出了IT治理的作用和意义1.IT治理和公司治理、核心竞争力、IT能力的关系；2.作用：有效的IT治理机制，可以持续巩固和提升IT能力，能使得公司合理利用IT资源，能保持IT与业务目标一致；3.最终意义：有效管理IT风险，确保信息系统的建设和运行安全、高效、稳定。第四条 本指引适用于各证券期货经营机构，包括证券公司、基金管理公司和期货公司(以下简称公司)。全资子公司的IT治理工作可纳入母公司统筹实施。解读：本条讲解了指引的适用范围1.证券公司2.基金管理公司3.期货公司全资子公司的IT治理工作可纳入母公司统筹实施。第二章 IT原则和治理目标第五条 公司应制定明确的IT原则。IT原则是指公司为实现经营目标而运用IT的基本思路，对IT在公司运营中所起的作用和IT投入等主要方面做出明确的规定。解读：本条提出了IT原则的概念1.IT在公司运营中的地位和作用（1）如用安全、高效的IT系统大力提高公司网上交易系统的性能，扩大公司市场份额，降低运营成本；（2）利用IT系统指出公司业务稳定发展，推动业务创新；（3）利用IT系统实现公司集中控制、管理，降低公司运营风险。2.IT投入的指导思想3.IT系统的建设公司1：在公司的战略发展规划中，对IT的要求是“通过构建先进适用的业务运作平台和管理平台，发挥基础支持作用”。公司2：IT在公司战略规划体系中，始终占有重要的地位，IT被定为在为业务和管理提供支持和服务商。公司3：IT原则（1）技术领先原则；（2）技术和信息集中原则；（3）对业务的全过程风险控制原则；第六条 公司应根据其经营规划制定IT治理目标，利用IT增强公司的核心竞争力,使公司从IT投入中获得更大收益。IT治理目标应包括：(一)明确IT决策的权力和责任；(二)实现技术和业务的有效匹配；(三)实现IT资源的最优配置；(四)实现IT风险的可管可控。第七条 公司应制定公开、可行的IT治理流程，建立公司业务与IT之间清晰的联系框架，采取有效措施，使公司管理层和各相关部门的人员了解并认同公司的IT原则和治理目标。解读：应当统一思想和认识 关键措施1.业务与IT之间清晰的联系框架；2.IT治理的手段之一是通过宣传、培训、沟通等措施，使整个公司相关人员统一思想、形成共识，才能保障IT目标最终实现。IT规划：IT与业务的关系（第8-10条）第八条 公司应根据其发展需要制定IT规划。IT规划应与公司发展保持一致，符合公司经营对IT的要求，并使技术和业务部门能正确地理解和把握公司对IT的要求。第九条 公司在制定IT规划时，应征求相关业务部门、财务管理部门和内部控制部门的意见，并报公司管理层批准实施。第十条 IT规划在有效性、可用性和安全性方面应满足行业和公司可预见的业务发展要求，在容量、性能和安全保障方面做出规定。第三章 IT治理组织和工作机制第十一条 公司是IT系统建设、管理及安全运营的责任主体，公司应建立有效的IT治理组织和工作机制，实现IT决策的有效授权和控制，通过制定相关制度来建立IT的决策、执行和监督的责任机制。解读：1.责任主体2.建立IT治理组织和工作机制3.建立IT的决策、执行和监督的责任机制第十二条 公司应在总公司、分支机构和全资子公司建立统一协调的IT治理机制，较低层级服从于较高层级。解读：IT治理的原则要求之一是不留短板第十三条 公司总经理对IT治理的有效性及IT安全负有最终责任，公司应指定具有IT专业工作经验的高级管理人员作为公司IT治理的直接责任人，并设立IT总监或其它类似职位的IT专职负责人。解读：责任界定3方面1.总经理负责制2.直接责任人应为高官3.设立IT总监第十四条 公司应设立IT治理委员会或类似机构，负责公司IT治理工作。IT治理委员会向公司管理层负责，公司管理层应为IT治理委员会履行职责和行使职权提供必要的制度和机制保障。解读：本条强调IT治理委员会隶属于公司管理层第十五条 IT治理委员会应由公司IT治理直接责任人、IT总监、IT部门负责人、相关业务负责人、财务负责人、内部控制负责人以及部分技术骨干等人员组成，其中IT人员的比例应在30%以上。公司可聘请外部专业人士担任委员或顾问。解读：本条规定了IT治理委员会组成，IT人员的比例应在30%以上。第十六条 IT治理委员会应建立明确的工作制度，应至少每季度召开一次例会或根据需要召开临时委员会会议。解读：本条规定工作制度，避免有组织无工作第十七条 IT治理委员会应履行以下职责：(一)拟订公司IT治理目标和IT治理工作计划；(二)审议公司IT发展规划；(三)审议公司年度IT工作计划和IT预算；(四)审议公司重大IT项目立项、投入和优先级；(五)审议公司IT管理制度和重要流程；(六)制订与IT治理相关的培训和教育工作计划；(七)检查所拟订和审议事项的落实和执行情况；(八)组织评估公司IT重大事项并提出处置意见；(九)向公司管理层报告IT治理状况。第十八条 IT总监的职责包括但不限于：(一)组织拟定公司中长期IT发展规划；(二)组织拟定公司年度IT工作计划及预算；(三)组织拟定公司信息系统安全目标、策略、方针及实施计划；(四)组织对公司IT的风险进行评估及控制；(五)组织并协调公司信息化建设工作；(六)组织拟定IT管理制度、IT建设标准；(七)组织落实IT治理委员会所制定和审议的有关事项；(八)向公司管理层和IT治理委员会报告IT重大事项，并对上报事项的真实性、准确性、完整性、及时性负责；(九)对公司信息系统的安全管理体系的有效性负技术责任。解读：IT治理委员会的职责主要是审议和监督、检查、评估，IT总监的责任是组织、落实相关的工作第十九条 公司应建立对IT管理和IT运行维护的考核机制。解读：IT治理要有激励制度和奖惩机制保障第四章 IT架构与IT基础设施IT构架（第20-24条）第二十条 公司应根据IT原则和治理目标制定相应的IT架构，确定IT基础设施、IT应用系统的整体框架。讲解：IT构架无论从整体还是从细节上都涉及到公司IT系统的方方面面，系统的建设一定要从全面的结构来着手考虑，特别是安全体系。第二十一条 公司IT架构应包括业务应用架构、系统平台架构、数据信息架构等，不同架构的范围和边界应明确定义。解读：1.业务应用构架：有哪些业务应用？各种业务应用系统的逻辑组织关系？对应的业务部门？如何使用这些应用？2.系统平台构架：操作系统、数据库、网络，及其对应硬件平台；3.数据信息构架：各类数据信息的逻辑组织关系，数据结构微观架构第二十二条 IT架构应遵循全局、开放、共享的原则，通过数据、流程、技术的标准化和一体化工作，建立业务应用、系统平台、数据信息等完整、清晰的组织关系。解读：1.IT架构的原则：全局、开放、共享；2.如何建立IT架构约束下的各个部分完整、清晰的组织关系？通过标准化和一体化，主要体现在数据、流程、技术方面。第二十三条 IT架构在保证数据和基础设施相对稳定的前提下，应具备良好的可扩展性和灵活性以支持不断变化的业务需求和应用。解读：IT构架的特性、与业务需求的关系第二十四条 公司应定期或在有重大变化时对IT架构进行评估，保证IT架构的适应性和合理性。解读：1.通过评估来保证IT构架的特性：适应性和合理性2.重大变化（1）技术方面：大集中（2）业务方面：新业务融资融券（3）公司组织方面：重组基础设施（第25-27条）第二十五条 IT基础设施应包括技术标准、基础组织、基础数据、基础软件、技术设备、通信网络、安全系统、机房物理环境等，其中每一项都包含一系列整合的服务。解读：IT基础设施列举式定义1.IT基础设施实际上是指IT所有的环境，其中包含：机构组织、标准、数据以及软件和硬件环境等2.基础组织：是在特定基础设施组件上的人员安排和管理，以及由此形成的服务，如对应通讯网络的网络组及其管理3.包含一系列整合的服务第二十六条 IT基础设施建设应遵循可靠、安全、共享和可管理的原则，能为多种IT应用提供支持和服务，并根据成本效益与安全控制等要求确定IT资源的集中度。解读：IT基础设施建设应遵循的原则1.可管理的原则：基础设施要具有可管理性2.集中与共享的问题：“能为多种IT应用提供支持和服务，并根据成本效益与安全控制等要求确定IT资源的集中度。”第二十七条 IT基础设施应具有统一、安全、可靠、灵活、可扩展的特点，应科学地设计和管理IT基础设施的容量，以适应业务增长和创新的需要，有利于业务扩展和创新应用的快速、高效的实施和部署。公司应定期评估IT基础设施的容量和适应能力。解读：IT基础设施建设的特定和重要方面。容量：超前和适应性要整体考虑。第一部分随堂练习题目描述本练习中将包含4道练习题，内容均为前一部分讲座中介绍的知识，请您认真回答，并且只有在答对所有题目之后，才能继续学习后面的内容。提示，下列题目中，凡选项前为圆形符号的为单向选择题，改题目有且只有一个正确选项；凡选项前为方形符号的为多项选择题，该题目有超过一个的正确选项。开始测试题目描述1. 证券期货经营机构信息技术治理工作指引(试行)指定的目的是为了加强证券期货经营机构信息技术管理与规范，完善各机构的治理结构，提高证券期货经营机构（B）水平，保障信息系统安全运行。A、风险控制B、信息系统治理C、信息系统安全D、系统建设2. 证券期货经营机构信息技术治理工作指引(试行)的规定，可用性和安全性方面应满足行业和公司可预见的业务发展要求，在（ABCD）ABD方面做出规定。（本题有超过一个的正确选项）A、容量B、性能C、成本D、安全保障3. 按照证券期货经营机构信息技术治理工作指引(试行)的规定，各公司应设立信息技术总监或其他类似职位的信息技术专职负责人，其职责包括但不限于（ABCE）ABCDE。（本题有超过一个的正确选项）A、组织拟定公司年度IT工作计划及预算B、组织拟定公司信息系统安全目标、策略、方针及实施计划C、组织对公司IT的风险进行评估及控制D、组织并协调公司信息化建设工作E、组织拟定IT管理制度、IT建设标准4. 按照证券期货经营机构信息技术治理工作指引(试行)的规定，IT基础设施应具有（ABCE）的特点，应科学地设计和管理IT基础设施的容量，以适应业务增长和创新的需要，有利于业务扩展和创新应用的快速、高效的实施和部署。（本题有超过一个的正确选项）A、统一B、安全C、可靠D、灵活E、可扩展第五章 IT应用第二十八条 公司应建立技术部门和业务部门之间有效的沟通协调机制，制定IT应用贯穿需求分析、立项决策、系统建设、系统验收和上线运行等阶段完整的工作制度与工作流程，通过IT应用实现公司的经营目标。解读： 1.IT与业务部门的沟通协调机制：IT应用的重要环节2.IT应用的几个重要阶段：需求分析、立项决策、系统建设、系统验收和上线运行；3.完整的工作制度与工作流程；4.IT应用最终实现或传导商业价值：IT治理的重要观念。第二十九条 IT应用需求应充分考虑业务与技术之间协同发展的互动关系。重大IT应用需求应由相应的使用部门或IT部门在需求调研的基础上提出，由内部控制部门、财务管理部门和IT部门会商后报公司IT治理委员会审议立项，由使用部门、运维部门和内部控制部门参与验收工作。解读：1.技术和业务的互动关系2.提出、立项、验收涉及的部门3.IT治理的决策模型（1）业务君主制；（2）IT君主制；（3）封建制；（4）联邦制；（5）IT双寡头制；（6）无政府制。第三十条 IT应用建设应在确保安全的前提下平衡技术创新和IT架构完整性；IT应用应促进和改善IT架构，尽可能保证IT架构的完整性和稳定性。解读：主要避免临时的、紧急需求应用开发，破坏IT构架的全局、开放、共享的原则，如不考虑标准、规范和整个系统的兼容性、一致性问题，容易形成系统孤岛和信息孤岛。第三十一条 公司应为IT应用实现提供必需的财力和人力资源，并在制定工作计划时充分考虑软件开发、测试及部署实施所需要的时间周期。解读：1.财力和人力的要求；2.应用开发的时间周期：主要考虑新业务、新规则的推出要给IT开发留出足够的时间，避免太仓促、压力太大。第三十二条 重要IT应用系统包括但不限于核心交易系统、结算系统、风险控制系统、财务系统、安全系统、灾难备份系统。解读：重要IT应用系统包括的内容第三十三条 公司重要IT应用系统和基础设施的建设、管理和运行维护应满足行业的有关规范并达到安全技术标准要求，没有行业规范和标准的应尽可能参照已有的国家或国际相关技术规范和标准。解读：要求行业信息化要走标准化、规范化的道路第六章 IT投入第三十四条 公司在制定IT年度预算时应保障公司业务正常运转所需IT投入，并确定IT项目投入的优先顺序以及投入的金额。解读：优先顺序就是强调要分清轻重缓急第三十五条 公司最近三个财政年度IT投入平均数额原则上应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%。解读：1.“或”与“原则上”的含义2.比例的分子（投入）和分母（利润或收入）两个都是三年平均数，目的是避免牛市和熊市市场震荡造成的两个数值的忽高忽低。3.记入IT投入费用的项目第三十六条 IT建设应有前瞻性，同时要避免盲目超前的IT规划带来过大的IT投入。公司应从财务风险、市场风险、组织风险和技术风险上对IT投入风险进行评估，并做出分析和权衡。解读：本条给出了公司IT项目投入的风险分析办法第三十七条 公司应建立可量化的指标体系对IT投入进行管理，加强IT项目的成本核算。第三十八条 IT投入应优先保证为投资者提供安全、可靠的交易服务。解读：本条强调IT投入应优先保证交易第三十九条 公司应将IT基础设施作为一种重要资产进行管理，并逐年对各项基础设施进行审慎投入。解读：一要有决策，二要有适度的投入，三要有严格管理第七章 IT人力资源第四十条 公司应设立IT部门具体负责IT系统的开发、运维和管理工作，公司分支机构应当设立相应的IT部门或岗位负责分支机构的IT工作。第四十一条 公司应根据实际情况配备足够的IT工作人员，并满足安全和岗位设置的有关要求。公司的IT工作人员总数原则上应不少于公司员工总人数的6%，并且期货公司IT工作人员总数应不少于3 人。解读：1.IT工作人员的含义。包含营业部的IT工作人员2.IT工作人员的比例与数量的要求第四十二条 公司应为IT部门提供足够的资金支持，为IT人员提供履行其岗位职责所需要的岗位技能培训及业务培训，制定合理的激励机制和奖惩措施。解读：岗位培训，解决知识老化和能力提高问题第四十三条 鼓励公司设立IT专业职级体系，建立公平、公开、公正的晋升机制，为IT人员提供相应的发展空间。解读：建议公司对信息技术实行职务序列，建立IT专业职级体系第四十四条 公司宜配备适当IT研发人员增强公司重要IT应用系统的自主研发能力。解读：自主研发能力不足是行业普遍存在的重要问题之一第八章 IT安全和风险控制第四十五条 公司应通过管理机制和技术手段确保公司的IT系统安全与信息安全，保障业务活动的连续性，保证重要信息的保密、完整及可用，确保信息内容符合法律法规的要求。解读：本条对系统安全与信息安全提出宏观的要求（1）信息的三个重要方面；（2）内容安全第四十六条 公司的系统开发、系统运维管理、系统的合规检查原则上应实现相互分离。解读：三分离原则第四十七条 公司应建立有效的灾难备份系统和应急预案，明确应急预案的激活条件、紧急事件处理流程、报告流程、撤销流程、恢复流程以及人员责任等。灾难备份系统的各项技术指标应符合监管机构的要求。解读：本条对灾难和应急预案提出宏观要求，并指明具体重要环节。第四十八条 公司应充分重视客户资料等公司商业信息安全问题，制定相关制度、采取相应措施确保在开放的市场环境中公司的商业机密和投资者信息安全。解读：本条提出了商业机密和投资者信息安全的问题第四十九条 公司应对全体员工开展必要的信息安全培训、教育和考核，对合作方服务人员提出明确的信息安全要求。公司与合作方签订合同应包含保密和诚信协议，明确各自承担的安全义务和责任，并要求合作方在提供产品或服务的同时承诺产品不存在恶意代码或未授权的连接功能(软件后门)，不提供违反法律法规的操作模块、功能和手段。解读：本条提出了全方位的人员安全教育和安全管理1.对自己员工信息安全培训、教育和考核；2.合作方服务人员；3.服务商的保密和诚信协议。第五十条 公司应规范IT外包服务管理，对重要的外包服务要明确服务商资质要求、服务等级、服务流程、责任义务和服务质量标准。解读：本条对外包提出了具体要求第五十一条 公司应制定IT风险管理的策略和相关制度，对信息系统的合规性进行检查,对IT风险进行评估。解读：完善IT风险管理体系，制定风险管理制度，并检查评估第五十二条 公司应建立内部IT审计制度，至少每两年进行一次IT审计。建议对重要IT项目的建设和运行进行专项审计，鼓励公司聘请外部有资质的机构对公司进行IT审计和IT风险评估。解读：本条对IT审计提出了具体要求第九章 附则第五十三条 本指引由中国证券业协会和中国期货业协会负责解释。第五十四条 本指引自发布之日起实施。第三部分 小结与案例指引的主要内容和作用1.在行业机构中倡导IT治理理念，使IT治理被纳入公司治理范畴，提升机构驾驭IT的能力，保障行业的信息系统安全运行；2.明确IT治理的主要内容，为机构的IT治理实践提供具体的指导；3.提出了确保行业信息系统安全运行的一些基本指标和要求。行业的IT治理实践1.多数机构对IT治理理论还处于认知和学习阶段2.IT治理指引指引在行业发布后，在指引的指导下大部分公司已经开始IT治理实践的探索，进入IT治理工作的初级阶段；3.少数公司对IT治理认识和掌握比较深刻，已经开展了比较深入的IT治理实践，并缺的了阶段性成果。第二部分随堂练习题目描述本练习中将包含4道练习题，内容均为前一部分讲座中介绍的知识，请您认真回答，并且只有在答对所有题目之后，才能继续学习后面的内容。提示，下列题目中，凡选项前为圆形符号的为单向选择题，改题目有且只有一个正确选项；凡选项前为方形符号的为多项选择题，该题目有超过一个的正确选项。开始测试题目描述1. 证券期货经营机构信息技术治理工作指引(试行)的规定，重要IT应用系统包括但不限于（ABCD）、安全备份系统、灾备备份系统。（本题有超过一个的正确选项）A、核心交易系统B、结算系统C、风险控制系统D、财务系统2. 按照证券期货经营机构信息技术治理工作指引(试行)的规定，IT建设应有前瞻性，同时要避免盲目超前的IT规划带来过大的IT投入。公司应从（ABCD）上对IT投入风险进行评估，并做出分析和权衡。（本题有超过一个的正确选项）A、财务风险B、市场风险C、组织风险D、技术风险E、法律风险3. 证券公司应为信息技术部门提供足够的资金支持，为信息技术人员提供旅行其岗位职责做需要的岗位技能培训及业务培训，制定合理的激励机制和奖惩措施。（正确）正确 错误4. 按照证券期货经营机构信息技术治理工作指引(试行)的规定，