IT治理工作指引V53端午版.doc

证券期货经营机构信息技术治理工作指引（试行）第一章 总则第二章 IT原则与治理目标第三章 IT治理组织与工作机制第四章 IT架构与基础设施第五章 IT应用第六章 IT投入第七章 IT人力资源第八章 IT安全与风险控制第九章 附则第一章 总则第一条 为加强证券期货经营机构信息技术管理与规范，完善各机构的治理结构，提高证券期货经营机构信息技术治理（以下简称IT治理）水平，保障信息系统安全运行，特制定本指引。第二条 IT治理是指企业在信息技术应用过程中,为实现企业总体战略目标而制定有关IT的决策权归属和责任担当框架，主要包括在IT原则、IT架构、IT基础设施、IT应用和IT投入5个方面制定相关制度并建立有效的工作机制，实现IT决策的责任与权力有效分配与控制，提高IT资源的有效性、可用性和安全性。第三条 IT能力是证券期货经营机构的核心竞争力之一，IT治理是信息化时代公司治理的重要组成部分。各证券期货经营机构应建立有效的IT治理机制，保持IT与业务目标一致，合理利用IT资源，有效管理IT风险，确保信息系统的建设和运行安全、高效、稳定。第四条 本指引适用于各证券期货经营机构，包括证券公司、基金管理公司和期货公司（以下简称公司）。第二章 IT原则和治理目标第五条 公司应制定明确的IT原则，阐明本公司为实现战略目标所运用IT的基本思路，对IT如何支持公司期望的运行模式和公司如何进行IT投入做出规定。第六条 公司应根据其战略规划制定IT治理目标，利用IT增强公司的核心竞争力,使公司从IT投入中获得更大收益。IT治理目标应包括：（一）IT决策权力和责任明确；（二）技术和业务有效匹配；（三）IT资源的最优配置；（四）IT风险的可管可控。第七条 公司应制定公开、可行的IT治理流程，建立公司业务与信息技术之间清晰的联系框架，采取有效措施，使公司管理层和各相关部门的人员了解并认同公司的IT原则和治理目标。第八条 公司应根据其战略目标制定IT规划。IT规划应与公司战略变化动态保持一致，符合公司战略对IT的期望和要求，并使得技术和业务部门能正确地理解和把握公司对IT的期望。第九条 公司在制定IT规划时，应征求相关业务部门、财务管理部门和内部控制部门的意见，并报公司管理层批准实施。第十条 公司应根据业务变化情况对IT规划适时更新。IT规划在有效性、可用性和安全性方面应满足行业和公司可预见的业务发展要求，在容量、性能和安全保障方面应做出规定。第三章 IT治理组织与工作机制第十一条 公司应建立有效的IT治理组织和工作机制，实现IT决策的有效授权和控制，通过制定相关制度来确定IT的决策、执行和监督的责任担当框架。 第十二条 公司总经理对IT治理的有效性及信息技术安全负最终责任，公司应指定具有IT专业工作经验的高级管理人员作为公司IT治理的直接责任人。第十三条 公司应设立IT治理委员会或类似机构，负责公司IT治理工作。IT治理委员会向公司管理层负责，公司管理层应为IT治理委员会履行职责和行使职权提供必要的制度和机制保障。第十四条 公司应在公司、分公司和子公司等下属机构建立统一协调的IT治理机制，较低层级服从于较高层级。第十五条 IT治理委员会应由公司IT治理负责人、相关业务负责人、信息技术负责人、财务负责人、内部控制负责人以及部分技术骨干等人员组成，其中信息技术人员的比例应在30%以上；公司可聘请外部专业人士担任委员或顾问。第十六条 IT治理委员会应履行以下职责：（一）制订公司IT治理目标和IT治理工作计划;（二）审核公司IT发展规划；（三）审核公司年度IT工作计划和IT预算；（四）审核公司重大IT项目立项、投入和优先级； （五）审核公司信息技术管理制度和关键流程；（六）制订与IT治理相关的培训和教育工作计划； （七）检查所制定和审核事项的落实和执行情况；（八）组织评估公司IT重大事项并提出处置意见；（九）向公司管理层报告IT治理状况。第十七条 IT治理委员会应建立明确的议事规则，应至少每季度召开一次例会或根据需要召开临时委员会会议。第十八条 公司应制定与IT治理目标和绩效相联系的奖惩机制。第十九条 公司应设立信息技术总监或其它类似职位的信息技术专职负责人，其职责包括但不限于：（一）组织制订公司中长期信息技术发展规划；（二）组织制订公司年度IT工作计划及预算；（三）组织制订公司信息系统安全目标、策略、方针及实施计划；（四）组织对公司信息技术的风险进行评估及控制；（五）组织并协调公司信息化建设工作；（六）组织制订信息技术管理制度、信息技术建设标准； （七）组织落实IT治理委员会所制定和审核的有关事项； (八) 向公司管理层和IT治理委员会报告IT重大事项，并对上报事项的真实性、准确性、完整性、及时性负责；（九）对公司信息系统的安全管理体系的有效性负技术责任。第四章 IT架构与基础设施第二十条 公司应根据IT原则和治理目标制定相应的IT架构，确定IT基础设施、IT应用系统的整体框架。第二十一条 公司IT架构应包括业务应用架构、系统平台架构、数据信息架构等；不同架构的范围和边界应明确定义。第二十二条 IT架构应遵循全局、开放、共享的原则，通过数据、流程、技术的标准化和一体化工作，建立业务应用、系统平台、数据信息等部件的完整、清晰的组织逻辑。第二十三条 IT架构在保证数据和基础设施相对稳定的前提下，应具备良好的灵活性以支持不断变化的业务需求和应用。第二十四条 公司应定期或在有重大变化时对IT架构进行评估，保证IT 架构的适应性和合理性。第二十五条 IT基础设施应包括技术标准、基础组织、基础数据、基础软件、技术设备、通讯网络、安全系统、机房物理环境等，其中每一项都包含一系列整合的服务。第二十六条 IT基础设施建设应遵循可靠、安全、共享和可管理的原则，能为多种IT应用提供支持和服务，并根据成本效益与安全控制等要求确定IT资源的集中度。第二十七条 IT基础设施应具有统一、安全、可靠、灵活、可扩展的特点，应科学地设计和管理IT基础设施的容量，以适应业务增长和创新的需要，有利于业务扩展和创新应用的快速、高效地实施和部署。公司应定期评估IT基础设施的容量和适应能力。第五章 IT应用第二十八条 公司应建立技术部门和业务部门之间有效的沟通协调机制，制定IT应用的需求提出、立项决策、系统建设、系统验收和上线运行的制度与流程，通过IT应用实现和传递商业价值。第二十九条 IT应用需求应充分考虑业务与技术之间协同发展的互动关系。重大IT应用需求应由相应的使用部门或信息技术部门在需求调研的基础上提出，由内部控制部门、财务管理部门和信息技术部门会商后报公司IT治理委员会审核立项，由使用部门、运维部门和内部控制部门负责验收。第三十条 IT应用建设应在确保安全的前提下平衡技术创新和IT架构完整性；IT应用应促进和改善IT架构，避免或最小程度地破坏既定的IT架构，尽可能保证IT架构的完整性和稳定性。第三十一条 公司应为IT应用实现提供必需的财力和人力资源，并应充分考虑软件开发、测试及部署实施所需要的时间周期。第三十二条 关键IT应用系统包括但不限于核心交易系统、结算系统、风险控制系统、财务系统、安全系统、灾难备份系统等。第三十三条 公司关键IT应用系统和基础设施应达到行业的有关规范和安全技术标准要求，并按照有关规范和标准开展系统建设、管理和运行维护工作。没有行业规范和标准的应尽可能参照已有的国家或国际相关技术规范和标准建设、管理和运行维护。第六章 IT投入第三十四条 公司在制定IT年度预算时应保障公司业务正常运转所需IT投入，并确定IT项目投入的优先顺序以及投入的金额。第三十五条 公司最近三个财政年度IT投入平均数额应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%，取二者数额较大者。第三十六条 IT建设应有前瞻性，同时要避免盲目超前的IT规划带来过大的IT投入。公司应从财务风险、市场风险、组织风险和技术风险上对IT投入风险进行评估，并做出分析和权衡。第三十七条 公司应建立可量化的指标体系对IT投入进行管理，鼓励公司在内部的IT投入部门和IT使用部门之间建立成本分摊和内部核算机制。第三十八条 IT投入应优先保证为投资者提供安全、可靠的交易服务。第三十九条 公司应将IT基础设施作为一种关键资产进行管理，并逐年对各项基础设施进行审慎投入。第七章IT人力资源第四十条 公司应设立信息技术部门具体负责信息技术系统的开发、运维和管理工作，公司分支机构应当设立相应的信息技术部门或岗位负责分支机构的信息技术工作。第四十一条 公司应配备足够的IT工作人员，可根据实际情况确定IT工作人员的数量及配置，但应满足安全和岗位设置的有关要求。公司的IT工作人员总数应不少于公司员工总人数的6。第四十二条 公司应为信息技术部门提供足够的资金支持，为信息技术人员提供履行其岗位职责所需要的岗位技能培训及业务培训，制定合理的激励机制和奖惩措施。第四十三条 鼓励公司设立信息技术专业职级体系，建立公平、公开、公正的晋升机制，为信息技术人员提供相应的发展空间。第四十四条 公司宜配备适当IT研发人员增强公司关键IT应用系统的自主研发能力。第八章IT安全和风险控制第四十五条 公司应通过管理机制和技术手段确保公司的IT系统与信息安全，保障业务活动的连续性，保证重要信息的保密、完整及可用，确保信息内容符合法律法规的要求。第四十六条 公司应建立有效的灾难备份系统和应急方案，明确应急方案的激活条件、紧急事件处理流程、报告流程、撤销流程、恢复流程以及人员责任等。灾难备份系统的各项技术指标应符合监管机构的要求。第四十七条 公司应充分重视客户资料等公司商业信息安全问题，制定相关制度、采取相应措施确保在开放的市场环境中公司的商业机密和投资者信息安全。第四十八条 公司应对全体员工开展必要的信息安全培训、教育和考核，对合作方服务人员提出明确的信息安全要求。公司与合作方签订合同应包含保密和诚信协议，明确各自承担的安全义务和责任，并要求合作方在提供产品或服务的同时承诺不存在恶意代码或“后门”，不提供违反法律法规的操作模块、功能和手段。第四十九条 公司应规范IT外包服务管理，对重要的外包服务要明确服务商资质要求、服务等级、服务流程和服务质量标准。第五十条 公司应