证监会－证券行业IT治理工作指引

1、证券公司信息技术治理工作指引（试行）第一章 总则第一条 为加强证券公司（以下简称“证券公司”或“公司”）信息技术监管，维护信息系统安全，提升区证券公司信息技术管理水平，推动行业信息技术进步，制定本指引。第二条 证券公司信息技术治理旨在建立以组织战略为导向、业务与技术融合为核心的证券公司信息技术决策与管理体系，通过信息技术规划落实、决策实施、制度安排、人员管理、设备维护、服务交付、外部监督及责任追究等一系列信息技术管理手段和措施，提升对信息技术的管理定位，整合信息技术资源，加强信息技术风险管理，保障信息安全。第二章 管理层与信息技术治理第三条 公司管理层应充分认识到信息技术是公司核心竞争力的重要

2、组成部分，信息技术治理是公司内部管理和控制的重要组成部分。公司应指定高级管理人员为公司信息技术治理的负责人。第四条 公司管理层对信息技术治理的有效性及信息安全的有效性负最终责任。公司管理层应根据公司实际，通过制度安排确定信息技术的决策权、执行权及相关的责任承担机制，确保公司信息安全和信息技术治理水平与公司业务发展规模一致。第五条 公司管理层应根据公司实际，通过“计划、执行、检查、处理”循环，逐步实现信息技术治理的内部行为流程透明可见、可重复及风险可控。鼓励管理层通过引入服务水平评价机制、成本费用分摊机制、绩效管理等方式提升公司信息技术治理水平。第六条 公司应设立信息技术治理委员会或类似组织负责

3、信息技术治理的推进工作。该组织向公司管理层负责，履行以下职责：（一）审议公司中长期信息技术规划，至少每年一次进行检视和修订，并上报董事会；（二）审议公司年度信息技术治理工作计划及预算，并监督落实情况；（三）审议公司信息技术治理工作报告；（四）审议公司重大信息技术管理制度；（五）审议公司信息安全目标、策略、方针以及分阶段实施计划；（六）根据市场形势及公司业务发展的实际情况，审议调整信息技术治理工作部署的意见；（七）对公司信息技术相关的投资及其优先级做出决策；（八）确保公司提供足够的资源保障信息技术治理工作按既定的目标和方案进行实施，保障公司信息技术治理水平得到持续的改进和提高。3第七条 信息技术

4、治理委员会的委员应至少包括公司信息技术治理负责人、公司合规负责人、公司财务负责人及信息技术总监。公司可适当聘请外部专业人士担任信息技术治理委员会的委员或顾问。第八条 公司应设立信息技术总监，由具备证券公司高级管理人员任职资格的经理层人员担任。如公司不具备条件的，该职位可由信息技术部门负责人兼任。第九条 公司信息技术总监协助公司管理层组织信息技术治理推进工作，并履行尽职责任。信息技术总监的职责包括但不限于：（一）组织制定公司中长期信息技术规划；（二）组织制定公司年度信息技术治理工作计划及预算；（三）组织制定公司信息安全目标、策略、方针及实施计划；（四）组织信息技术治理相关的培训、教育、考核工作；

5、（五）组织对公司信息技术的风险进行评估及控制；（六）组织并协调公司信息化建设工作；（七）向公司管理层、监管部门报告信息技术治理状况及重大事项，并负责与监管部门之间的沟通协调工作；（八）确保公司信息系统的技术合规性；（九）确保公司信息安全管理体系的有效性。第十条 公司应保障信息技术总监具有充分的知情权及履职必需的相关权利。信息技术总监应为上报事项的真实性、准确性、完整性、及时性负责。第三章 信息技术规划第十一条 公司应制定中长期的信息技术规划。信息技术规划应与公司战略发展规划保持一致，为公司战略发展规划服务。第十二条 公司信息技术规划包括但不限于信息化组织架构、业务架构、系统平台架构、应用系统架

6、构、网络与硬件基础设施架构、信息安全架构、架构间的接口标准等整体框架以及与上述架构相关的项目管理、投资预算、分期实施计划、资源配置、效益评价和风险规避措施等一系列策略方针。第十三条 证券公司设有下属子公司的，子公司信息技术规划应与证券公司信息技术规划保持一致。证券公司作为集团公司独立子公司的，公司信息技术规划应在考虑证券业务特点的前提下与集团公司信息技术规划保持一致。第十四条 公司制定信息技术规划，应事先征求相关业务部门以及内部控制部门的意见。信息技术规划应经过公司管理层或公司董事会批准后正式发布、实施。第四章 信息技术人员第十五条 公司应当设立信息技术部门负责公司的信息技术工作。公司分支机构

7、应当设立信息技术部门负责分支机构的信息技术工作。第十六条 分支机构的信息技术部门应实行垂直管理，由总部信息技术部门直接管理。垂直管理的内容至少包括：（一）分支机构信息技术工作的指导、考核；（二）分支机构信息技术人员的招聘、培训、考核、定级、奖励、处罚、解聘等；（三）分支机构信息技术人员薪酬的核定。第十七条 信息技术部门应当配备足够的信息技术人员，人员配置应满足下列要求：（一）实现集中交易的证券公司，其总部应设立专门的部门负责信息技术的运行维护工作，应设立专门的部门负责公司网络的管理维护工作；（二）公司应确保关键信息系统的软硬件运行维护具备足够的、业务熟练的技术人员；（三）营业部信息技术人员应不

8、少于2人；（四）鼓励公司配备适当软件开发人员增强公司的自主研发能力、提高公司信息化水平。（五）公司可根据实际情况确定信息技术人员的人员数量及配置，但必须满足岗位内部制衡的有关要求。第十八条 信息技术部门应当建立设置合理、职责明确的岗位责任制，具体应满足以下要求：（一）岗位职责至少应包括：工作内容、工作权限、考核要求、任职条件；（二）对于关键岗位，应分别设置操作岗位和复核岗位；（三）对于关键岗位，应至少设置一名备岗；（四）重要系统运行维护与工程项目管理岗位应分离；（五）重要系统运行维护与软件系统开发岗位应分离；（六）操作系统管理员与数据库管理员岗位应分离；（七）信息技术岗位与清算、复核、业务操作

9、岗位应分离。第十九条 公司应针对需访问关键信息系统的内部及外部人员建立相应的背景验证检查机制。在上述人员离开公司或者岗位发生变动时，公司应移除相关系统的访问权限或根据变动情况进行权限调整。第二十条 公司应依据信息技术人员岗位职责，定期对信息技术人员进行考核，且每年不少于一次。第二十一条 公司应为信息技术部门提供足够的资金支持，制定相应的奖惩措施，为信息技术人员提供合理的薪酬以及完成其岗位职责所需要的岗位技能培训及业务培训。第二十二条 鼓励公司设立信息技术专业职称体系，建立公平、公开、公正的晋升体系，为信息技术人员提供相应的发展空间。第五章 信息技术管理制度第二十三条 公司应建立一套完备、可行的

10、信息技术管理制度，至少满足以下要求：（一）信息技术管理制度应涵盖公司信息技术工作的主要内容，包括但不限于人员管理、系统运行管理、设备管理、制度管理、信息系统建设、信息系统审计、责任追究等方面。公司应通过信息技术管理制度将信息技术工作规范化和流程化；（二）信息技术管理制度和信息技术规范应包括检查办法及奖惩条款，具备可操作性，并兼顾效率与安全；第二十四条 信息技术管理制度应划分层次。建议划分的层次包括:（一）公司信息技术管理制度总则；（二）各项具体制度或规范、规定；（三）各项具体制度、规范、规定的具体实施办法、指引等。每项制度应有相应的办法、指引或操作规范与之相适应。第二十五条 公司应制定信息技术

11、运行管理制度，规范下列事项：系统运行维护人员、网络管理人员的岗位职责；信息系统（含网络系统）的上线和升级维护流程；异常事件的处理流程及应急预案的启动流程；机房安全管理等。第二十六条 公司应制定信息技术权限管理制度，规范信息技术权限的规划、审批、设置、复核等工作，至少包括应用系统权限分级、超级用户与访客管理、日志留痕、权限更新、报告权限、存档等。第二十七条 公司应制定信息技术事故认定与处理制度，规范信息技术事故的认定主体、认定标准、认定程序、处理标准、处理程序。第二十八条 公司应制定信息技术项目建设管理制度，规范信息技术项目的立项程序、招标采购程序、建设程序、上线程序、验收程序。第二十九条 建议

12、采取自主研发策略的公司制定信息技术开发管理制度，规范信息技术开发相关工作。第三十条 公司应制定信息技术档案及数据管理制度，规范信息技术档案及数据的备份、存放、借阅、归还、销毁等。第三十一条 公司应制定信息系统口令管理制度，明确口令的设置规则、口令的重置程序、关键用户口令的管理办法。第三十二条 公司应制定网站管理相关制度，明确网站的负责人及管理职责。第三十三条 公司应制定办公电脑使用管理办法，明确办公电脑的病毒防护、软件安装和升级、网络设置、网站访问等使用注意事项。第三十四条 公司应制定设备管理制度，规范信息技术相关设备的入库、登记、领用、借用、报废、注销等工作。第三十五条 公司应制定摄录监控器

13、材及资料管理制度，规范运行维护、监控、存档、借阅工作。第三十六条 公司应建立信息技术协调沟通机制。信息技术部门在满足公司业务需求的同时，技术实现应符合合规性要求。第三十七条 公司制定信息技术管理制度和技术规范，应听取业务部门的意见，并经过内部控制部门及信息技术总监确认。第三十八条 公司应确定不同层级的信息技术管理制度的发布效力，并保证制度的有效实施。涉及公司其它部门的信息技术管理制度应通过正式行文的方式予以发布。第三十九条 信息技术管理制度和信息技术规范应根据业务、管理及技术的需要及时进行修订。公司应至少每两年一次对需要修订、废弃或新增的信息技术管理制度和规范进行梳理。第六章 对技术部门的外部

14、监督第四十条 公司风险控制部门应协助、督促公司信息技术部门制定信息技术风险管理的策略和相关制度，评估信息技术风险，建立健全信息技术风险监控、应对、报告等流程，关注信息技术系统的运行风险，最终将信息技术的风险控制在公司可承受的范围内。第四十一条 公司风险控制部门应对重大信息技术项目的事前、事中的风险情况发表意见，有效控制信息系统项目建设风险。第四十二条 公司合规部门应定期对信息系统的合规性进行检视。第四十三条 公司应对信息技术开展内部审计工作，且至少每两年一次。鼓励公司通过聘请外部专业评估机构或会计师事务所开展信息技术审计和评估工作。对公司开展信息技术审计或评估的人员应具备相应资质和专业技能。第

15、四十四条 公司开展的信息技术审计应包含对信息技术部门在技术合规、内部控制、信息安全体系建设、信息风险评估等方面的评价。审计内容至少应包括信息技术规划与制度的制定和落实、机房与设备管理、网络通信、软件系统、数据管理、运行管理、信息安全组织、资产分类与控制、访问控制、系统开发与外包、业务连续性计划等方面。鼓励公司对信息技术特定专项开展审计工作。第四十五条 公司相关部门应对信息技术年度预算的制定、重大信息技术工程、硬件设备、软件的选型和采购进行事中监督，对信息系统的规划、开发、采购、工程实施、运行维护等环节进行事后审计。第四十六条 公司应对下属分支机构的信息技术工作至少每三年进行一次检查。建议公司相

16、关部门对信息技术垂直管理的情况做出评价。第四十七条 信息技术相关的内部审计报告及外部审计报告应及时抄送当地证券监督管理部门。第四十八条 公司相关部门应针对审计报告反映的问题及时提出整改方案，并进行整改。内部审计部门应对整改落实情况进行后续跟踪。第四十九条 公司内部控制部门未能对信息技术监督勤勉尽责的，应承担相应的责任。第七章 信息技术基础设施第五十条 公司信息技术的架构应符合证券交易业务发展的特点，并具备可扩展性以适应未来业务增长的需要。有条件的公司可通过统一门户平台、统一操作平台、统一数据平台等方式实现信息技术效用的最大化。第五十一条 公司关键信息系统包括但不限于证券交易系统、投资管理系统、

17、清算系统、营销管理系统、风险管理系统、监控系统、审计稽核系统、外围渠道接入系统、财务系统、办公自动化系统、知识管理系统及其软硬件网络设备。第五十二条 公司关键信息系统应达到中国证监会有关规范要求，并按照有关规范指引的要求开展系统建设、运行维护工作。系统的性能及容量应满足公司业务需要，应与公司业务发展规模相适应。第五十三条 公司应制定关键信息系统升级改造规划，明确相关系统的性能要求以及升级改造的触发条件与目标。第五十四条 公司关键信息系统应避免单点故障，根据重要程度通过双工、热备、冷备、灾备等备份手段，提高系统可用性。关键设备如交换机、路由器和防火墙应有热备份，公司与交易所的通信连接应做到地面线

18、路和卫星通信相互备份，与中国证券登记结算公司的通信连接应有备份线路。第五十五条 公司关键信息系统的主机以及主交换机应有冗余备份。重要环节如报盘系统、重要数据库服务器和中间件服务器等应采取冗余备份措施。备份设备的架构应与生产用机保持一致，性能与生产用机相当。建议公司在条件允许时尽可能采用热备份措施。第五十六条 公司核心信息系统应包括投资者交易相关的信息系统，至少应包括证券交易系统、清算系统、风险管理系统。核心信息系统的设计应实现交易功能和清算功能相对独立、交易功能和管理功能相对独立。建议公司整合清算相关的信息系统，实现统一的清算结算职能。第五十七条 公司核心信息系统应采用技术手段保障网络、数据传

19、输、数据存储、数据库系统等各环节的信息安全，并通过多层应用体系架构、权限管理、用户安全登陆、影像管理、指纹识别等其他辅助安全手段确保核心信息系统的安全性。第五十八条 公司核心信息系统及相关网络系统性能应满足近期业务的需要。核心信息系统架构应具备可扩展性，性能应留有一定的冗余度以适应业务增长的需要。证券交易系统应满足公司信息技术规划期望达到的投资者数量的处理能力，支持724小时交易，保证投资者交易、查询等业务及时、正常进行，确保委托与成交回报处理的快速、安全、完整。系统处理能力应至少满足下列条件：（一）正常交易时段证券交易系统主机CPU 峰值利用率超过80%的时间小于5分钟；（二）保证对投资者委

20、托、交易的快速响应：系统登陆响应时间小于2秒，系统查询响应时间小于2秒，从客户端登陆请求响应时间小于3秒，支持证券交易时段的统计查询，且响应时间小于60秒；（三）满足公司10%投资者同时登陆在线证券交易系统的要求，且能支持公司1%投资者同时发起交易委托请求；（四）系统日终清算时间不超过120分钟；（五）公司应充分掌握证券交易系统的性能，留存系统最大支持投资者数、每秒最大处理委托笔数、每日最大可处理委托笔数、每日最大可处理查询笔数等各指标及指标间关联关系的图表、文档等技术资料。第五十九条 公司证券交易系统采用“小核心大外延”设计的，应满足投资者账户多层次的管理模式，为多市场、多品种、多币种金融产

21、品交易服务。未取得相关业务资格的，应屏蔽相应的系统模块。第六十条 公司证券交易系统应支持多种认证方式接入。建议公司建立统一、完整的投资者身份认证系统。第六十一条 公司应建立与证券交易系统相适应的业务体系，满足总部对集中清算、集中权限控制、集中业务授权、集中监控等管理需求，并实现业务审核、业务复核、业务稽核等风险控制要求。第六十二条 公司核心交易系统在正式运行前必须进行完备、详细的测试。测试环境的各项软件、硬件及网络参数应和生产环境保持完全一致，测试应在证券公司现场进行。第六十三条 测试包括但不限于系统功能测试、系统性能压力测试、系统扩展性测试及网络性能压力测试等。测试完成后应出具相应的测试报告

22、。测试报告应包括但不限于下列内容：（一）测试硬件环境（机器型号、数量、配置等）；（二）测试软件环境（操作系统及应用系统的版本、配置）；（三）测试网络环境以及拓扑（各网络配置及软硬件互连的有关参数）；（四）测试的数据规模；（五）测试工具名称及版本；（六）测试工具选用的模型、参数、数据依据等；测试结果达到公司提出的各项技术指标后，公司核心交易系统方可进入正式运行阶段。第六十四条 公司在核心信息系统正式运行前，应充分评估相关风险，制定相应的备份计划及应急预案，并做好投资者宣传工作。第六十五条 公司应采取多种措施保障中心机房的安全性。建议采用远程终端的维护方式以提高中心机房的物理安全性。对中心机房的选

23、址应充分考虑安全性、可扩充性，选址分析需形成书面材料，并由相关部门以及高级管理人员签字确认。第六十六条 公司交易业务数据应定期、完整、真实、准确地转储到不可更改的介质上，集中、异地保存，数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施，保存期限至少20 年；备份数据不得更改，并应定期进行完整性和可恢复性校验；备份数据应指定专人负责保管，严格执行数据交接管理规定和登记管理规定。第六十七条 公司应建立灾难备份系统，且灾备系统处理能力应不低于主用系统指标要求处理能力的80，主备系统实际切换时间应少于30 分钟，通信线路应分别连接主备系统。灾难备份应满足以下要求：（一）公司灾难备份中心与中心机房

24、应有足够的安全距离；（二）公司灾难备份中心与交易所之间的通信连接必须符合交易所的接入管理要求与技术标准；灾难备份中心与中心机房、各分支机构之间的应建立主用线路、备用线路的通信连接；（三）公司灾难备份的三个具体指标RPO（恢复点目标）、RTO（恢复时间目标）、DOO（运行性能降低预期）应分别达到： RPO 10分钟，RTO 30分钟，DOO20%；（四）公司应制定完善的灾难备份应急预案、应急计划并配备足够的运行管理人员，定期组织灾难备份应急预案和应急计划的演练，至少每年二次，并根据演练的结果和发现的问题进行总结，对系统和应急方案进行优化及完善。第六十八条 公司应对关键信息系统建立完整的监控体系。

25、监控体系应覆盖机房的硬件设备、操作系统、应用软件、网络设施等，能及时发现和预测系统的运行故障，保障业务系统平稳运行。第六十九条 公司应建立对关键信息系统重要参数的变更管理制度。建议通过双人复核、备岗、参数备份等机制保障关键信息系统的正常运行。第七十条 公司关键信息系统应具备授权、确认、功能复核、强制留痕等功能，同时不存在违法违规模块或导致违法违规功能的模块组合。第七十一条 公司信息技术部应对日常运行维护工作进行完整记录。建议通过统计分析跟踪寻找故障的成因，落实故障的处理，从而降低信息技术故障率。第七十二条 公司应对自主开发或外包的信息技术项目进行管理。项目管理人员应具备相应的知识技能并接受相关

26、的培训。建议设立统一的、分级别的项目管理库以使项目文档得到有效管理。鼓励通过实施项目管理相关规范或引入项目质量保证体系以确保项目质量得到有效控制。第七十三条 公司应规范信息技术项目外包的管理流程。建议在项目招标中引入准入条件，在项目推进中实施进度控制，在项目完成后实施评估反馈工作。第七十四条 公司应建立项目的内部测试规范和管理流程，对信息技术项目的测试重要性进行分类。重要的测试结果应经有关部门以及有关人员审核确认。信息技术测试应由相对独立的第三方参与，杜绝信息技术部门或小组内部自我设计、自我实施、自我报告的情况。第七十五条 公司应加强对清算、技术等中后台部门相关业务操作的自动化监控。第七十六条

27、 建议公司规范信息系统的技术方案、接口以及相关文档，以确保建立统一、灵活、可快速部署的信息技术基础设施。建议公司各信息系统间数据交换采用接口自动获取与转换的方式，减少人为操作带来的风险。第七十七条 公司总部级银证链路应具备不同运营商双线路等备份措施，以降低券商端引发的银证系统故障率。建议公司对银证链路采取自动化监控的措施。第八章 信息技术服务与支持第七十八条 鼓励公司通过引入信息技术服务支持机制和信息技术服务交付机制，提升信息技术服务业务的能力及水准。第七十九条 建议公司设立信息技术服务岗位体系，建立统一的信息技术服务入口。第八十条 公司应确定信息技术服务的范围，并对信息技术服务划分等级，制定

28、、发布并定期更新服务目录。第八十一条 公司应根据服务目录建立标准服务流程，并通过建立和完善事件管理、问题处理、变更管理、发布管理、配置管理等关键流程，提高信息技术服务的能力。第八十二条 建议公司规范信息技术的外包服务管理，明确服务等级、服务流程和质量标准，以获得外部供应商和服务商良好的技术支持。第八十三条 鼓励公司建立信息技术服务质量控制体系，根据服务的对象、范围和内容制定服务质量标准，追踪记录服务过程，建立相关的回访机制，定期检查评估服务质量，以持续改进信息技术服务与支持的质量。第九章 信息技术事故责任与追究第八十四条 公司应建立完善的信息技术管理责任体系，明确信息技术规划、建设、运营等相关

29、工作的责任人及其职责范围和权利义务。第八十五条 公司应对信息技术事故进行分级，应针对不同级别的事故，建立相应的事故报告、应急处理、调查甄别、事故认定、责任追究等机制。第八十六条 公司应完整记录各类信息技术事故的有关情况，并及时启动事故报告流程。第八十七条 公司应于发生重大信息技术故障的五个工作日内，由内部审计部门牵头对事故开展调查，并对事故进行责任追究。调查及处理结果应及时进行内部和外部通报。鼓励有条件的公司组织或委托外部专业机构对事故开展调查。第八十八条 监管部门在必要时可对公司信息技术重大事故进行调查。第十章 信息安全第八十九条 证券公司信息安全是指证券公司通过管理体系及技术手段确保其相关

30、信息的保密、完整及可用。第九十条 公司应把保障投资者信息安全作为信息安全的首要任务，把建立健全信息安全体系作为信息安全的最终目标，包括但不限于以下内容：（一）杜绝大范围影响投资者正常业务或引起大规模投资者不满的重大事故的发生；（二）保障业务活动的连续性。第九十一条 公司应保障投资者信息生命周期内的信息安全。投资者信息生命周期是指投资者在作为证券公司客户的存续期内，证券公司存储、使用、传输投资者主动或被动发生的交易信息及非交易信息所经历的环节，包括但不限于投资者开户销户、业务办理、交易委托、数据归集等。第九十二条 公司应通过主动检测及被动防护工具或技术，对投资者信息安全相关环节进行检查，保障业务安全、交易安全、数据安全三个层级的安全。鼓励公司聘请外部机构对信息安全存在的风险进行审计或评估。第九十三条 公司应确保投资者信息的产生、访问、使用、处理符合相关法律法规及合同约定的要求，以确保投资者业务安全。公司应采取包括但不限于知识产权保护、记录完整留痕、记录安全保证、个人隐私保密以及违法违规功能的杜绝等措施。第九十四条 公司应确保投资者在开户、委托、撮合成交、确认、转账等过程的安全，以确保投资者交易安全。公司应采取的措施包括但不限于身份认证、交易渠道的安全保证、交易保密