《证券基金经营机构信息技术管理办法》由会员分享,可在线阅读,更多相关《证券基金经营机构信息技术管理办法(21页珍藏版)》请在金锄头文库上搜索。
1、- 1 - 证券基金经营机构信息技术管理办法证券基金经营机构信息技术管理办法 第一章 总则 第一条第一条为加强证券基金经营机构信息技术管理,保障 证券基金行业信息系统安全、合规运行,保护投资者合法权 益,根据证券法 、 证券投资基金法 、 证券公司监督管 理条例等法律法规,制定本办法。 第二条第二条证券基金经营机构借助信息技术手段从事证 券基金业务活动,信息技术服务机构为证券基金业务活动提 供信息技术服务,适用本办法。 第三条第三条本办法所称证券基金经营机构,是指经中国证 监会批准在境内设立的证券公司和管理公开募集基金的基 金管理公司(以下简称基金管理公司) 。 本办法所称信息技术服务机构,是
2、指为证券基金业务活 动提供信息技术服务的机构。信息技术服务的范围如下: (一)重要信息系统的开发、测试、集成及测评; (二)重要信息系统的运维及日常安全管理; (三)中国证监会规定的其他情形。 以上机构统称证券基金经营与服务机构。 第四条第四条证券基金经营机构是从事证券基金业务活动 的责任主体,应当保障充足的信息技术投入,在依法合规、 - 2 - 有效防范风险的前提下,充分利用现代信息技术手段完善客 户服务体系、改进业务运营模式、提升内部管理水平、增强 合规风控能力,持续强化现代信息技术对证券基金业务活动 的支撑作用。 第五条第五条中国证监会及其派出机构依法对证券基金经 营与服务机构借助信息技
3、术手段从事证券基金业务活动或 提供相关服务实施监督管理。 中国证券业协会及中国证券投资基金业协会依照本办 法制定和完善相关自律规则,对证券基金经营机构借助信息 技术手段从事证券基金业务活动或提供相关服务实施自律 管理。 中证信息技术服务有限责任公司(以下简称中证信息) 在中国证监会指导下制定相关配套业务规则,协助开展信息 技术相关备案、监测、检测和检查等工作。 第二章 信息技术治理 第六条第六条证券基金经营机构应当完善信息技术运用过 程中的权责分配机制,建立健全信息技术管理制度和操作流 程,保障与业务活动规模及复杂程度相适应的信息技术投入 水平,持续满足信息技术资源的可用性、安全性与合规性要
4、求。 第七条第七条证券基金经营机构董事会负责审议本公司的 信息技术管理目标,对信息技术管理的有效性承担责任, 履 - 3 - 行下列职责: (一)审议信息技术战略,确保与本公司的发展战略、 风险管理策略、资本实力相一致; (二)建立信息技术人力和资金保障方案; (三)评估年度信息技术管理工作的总体效果和效率; (四)公司章程规定的其他信息技术管理职责。 第八条第八条证券基金经营机构经营管理层负责落实信息 技术管理目标,对信息技术管理工作承担责任,履行下列职 责: (一)组织实施董事会相关决议; (二)建立责任明确、程序清晰的信息技术管理组织架 构,明确管理职责、工作程序和协调机制; (三)完善
5、绩效考核和责任追究机制; (四)公司章程规定或董事会授权的其他信息技术管理 职责。 第九条第九条证券基金经营机构应当在公司管理层下设立 信息技术治理委员会或指定专门委员会(以下统称信息技术 治理委员会)负责制定信息技术战略并审议下列事项: (一) 信息技术规划, 包括但不限于信息技术建设规划、 信息安全规划、数据治理规划等; (二)信息技术投入预算及分配方案; (三)重要信息系统建设或重大改造立项、重大变更方 案; (四)信息技术应急预案; - 4 - (五)使用信息技术手段开展相关业务活动的审查报告 以及年度评估报告; (六)信息技术治理委员会委员提请审议的事项; (七)其他对信息技术管理产
6、生重大影响的事项。 信息技术治理委员会应当由高级管理人员以及合规管 理部门、风险管理部门、稽核审计部门、主要业务部门、信 息技术管理部门等部门负责人组成,可聘请外部专业人员担 任信息技术治理委员会委员或顾问。 第十条第十条证券基金经营机构应当指定一名熟悉证券、基 金业务,具有信息技术相关专业背景、任职经历、履职能力 的高级管理人员为首席信息官,由其负责信息技术管理工 作,并具备下列任职条件: (一)从事信息技术相关工作十年以上,其中证券、基 金行业信息技术相关工作年限不少于三年;或者在证券监管 机构、证券基金业自律组织任职八年以上; (二)最近三年未被金融监管机构实施行政处罚或采取 重大行政监
7、管措施; (三)中国证监会规定的其他条件。 第十一条第十一条证券基金经营机构应当设立信息技术管理 部门或指定专门机构(以下统称信息技术管理部门)负责实 施信息技术规划、信息系统建设、信息技术质量控制、信息 安全保障、运维管理等工作。 第三章 信息技术合规与风险管理 - 5 - 第十二条第十二条证券基金经营机构应当将信息技术运用情 况纳入合规与风险管理体系,为合规管理部门和风险管理部 门配备与业务活动规模、复杂程度相适应的信息技术资源, 并建立相应的审查、监测和检查机制,确保合规与风险管理 覆盖信息技术运用的各个环节。 第十三条第十三条证券基金经营机构借助信息技术手段从事 证券基金业务活动的,应
8、当在业务系统上线时,同步上线与 业务活动复杂程度和风险状况相适应的风险管理系统或相 关功能(以下统称风险管理系统) ,对风险进行识别、监控、 预警和干预。 第十四条第十四条证券基金经营机构借助信息技术手段从事 证券基金业务活动前,应当开展内部审查,验证下列事项并 建立存档记录: (一)业务系统的流程设计、功能设置、参数配置和技 术实现应当遵循业务合规的原则,不得违反法律法规及中国 证监会的规定; (二)风险管理系统功能完备、权限清晰,能够与业务 系统同步上线运行; (三)具备完善的信息安全防护措施,能够保障经营数 据和客户信息的安全、完整; (四)具备符合要求的信息系统备份及运维管理能力, 能
9、够保障相关系统安全、平稳运行。 第十五条第十五条证券基金经营机构应当识别借助信息技术 - 6 - 手段从事证券基金业务活动的各类风险,建立持续有效的风 险监测机制。证券基金经营机构应当及时、稳妥处置发现的 风险问题,并至少每年开展一次风险监测机制及执行情况的 有效性评估。 第十六条第十六条证券基金经营机构应当定期开展信息技术 管理工作专项审计,频率不低于每年一次,确保三年内完成 信息技术管理全部事项的审计工作,包括但不限于信息技术 治理、信息技术合规与风险管理、信息技术安全管理、应急 管理。 证券基金经营机构应当委托外部专业机构开展信息技 术管理工作的全面审计,频率不低于每三年一次;未能有效
10、实施信息技术管理被采取行政处罚措施、监管措施或者自律 管理措施的,应当在三个月内完成对有关事项的专项审计。 证券基金经营机构应当跟踪审计发现问题的整改情况, 相关问题未能及时整改的,应当说明理由,并将审计报告提 交信息技术治理委员会审议。证券基金经营机构应当妥善保 存审计报告,保存期限不得少于二十年。 第十七条第十七条除法律法规及中国证监会另有规定外,证券 基金经营机构应当通过自身运营管理的信息系统直接接收 客户交易指令,并记录客户交易指令接收时间。 第十八条第十八条证券基金经营机构应当按照中国证监会有 关规定采集、记录、存储、报送客户交易终端信息,并采取 有效的技术措施,保障相关信息真实、准
11、确、完整。 证券基金经营机构借助专业化交易信息系统向特定客 - 7 - 户提供交易服务的,应当要求客户登记交易终端信息;信息 发生变更的,应当要求客户履行变更程序,确保客户真实使 用的客户交易终端信息与登记内容一致。 第第十九十九条条证券基金经营机构使用电子合同从事证券 基金业务活动的,应当将电子合同存储在指定的信息系统, 并提供可供投资者及合同其他相关方查询、下载的公开渠 道。 第二十条第二十条证券基金经营机构从事证券交易相关业务, 应当按照监管规定及自律管理规则的要求,确保风险管理系 统具备审查账户资金及证券是否充足、监控交易及资金划转 是否异常等功能。 第四章第四章信息技术安全信息技术安
12、全 第一节第一节 信息系统安全信息系统安全 第二十一条第二十一条证券基金经营机构应当建立独立于生产 环境的专用开发测试环境,避免风险传导;开发测试环境使 用未脱敏数据的,应当采取与生产环境同等的安全控制措 施。 证券基金经营机构在生产环境开展重要信息系统技术 或业务测试的,应对测试流程及结果进行审查。 第二十第二十二二条条证券基金经营机构重要信息系统上线或 发生重大变更的,应当制定专项实施方案,并对信息系统上 - 8 - 线或变更操作行为进行审查、确认和跟踪。 证券基金经营机构重要信息系统计划停止使用的,应当 开展技术和业务影响评估,制定完整的系统停用和数据迁移 保管方案,并组织必要的评审及停
13、用后的安全检查。 第二十第二十三三条条证券基金经营机构应当结合公司发展战 略、市场交易规模等因素定期对重要信息系统开展压力测试 和评估分析,确保其容量满足业务开展需要。 第二十第二十四四条条证券基金经营机构应当建立健全信息系 统安全监测机制,设定监测指标并持续监测重要信息系统的 运行状况。 证券基金经营机构应当指定专人跟踪监测发现的异常 情形,及时处置并定期开展评估分析。 第二十第二十五五条条证券基金经营机构应当妥善保存信息系 统开发、测试、上线、变更及运维过程中产生的文档,并根 据业务开展情况以及信息系统的重要程度建立与监测工作 相适应的日志留痕机制,确保满足应急处置和审计需要。 第二十第二
14、十六六条条证券基金经营机构重要信息系统部署以 及所承载数据的管理,应当遵循法律法规等规定。 第二十第二十七七条条证券基金经营机构可以在安全、合规的前 提下为子公司提供机房、通信网络及其他信息技术基础设 施,并协助开展相关运维工作。 证券基金经营机构为其子公司提供信息技术服务的,应 当充分评估信息技术基础设施的支撑能力与冗余程度,并与 子公司签订服务协议,明确合作双方的权利义务,以及建立 - 9 - 日常协作、业务隔离和应急管理机制,防范基础设施共用产 生的新增风险。 证券基金经营机构可以设立信息技术专业子公司,为母 公司提供信息技术服务。信息技术专业子公司经中国证监会 备案后可为其他金融机构提
15、供信息技术服务。 第二十第二十八八条条证券基金经营机构应当确保重要信息系 统具备可审计功能,并可以根据监管部门的要求转换、提供 数据。 第二节第二节 数据数据治理治理 第二十第二十九九条条证券基金经营机构应当结合公司发展战 略,建立全面、科学、有效的数据治理组织架构以及数据全 生命周期管理机制,确保数据统一管理、持续可控和安全存 储,切实履行数据安全及数据质量管理职责,不断提升数据 使用价值。 第三十条第三十条证券基金经营机构应当将经营及客户数据 按照重要性和敏感性进行分类分级,并根据不同类别和级别 作出差异化数据管理制度安排。 第三十一条第三十一条证券基金经营机构应当完善网络隔离、用 户认证
16、、访问控制、数据加密、数据备份、数据销毁、日志 记录、病毒防范和非法入侵检测等安全保障措施,保护经营 数据和客户信息安全,防范信息泄露与损毁。 - 10 - 第三十第三十二二条条证券基金经营机构应当遵循最少功能以 及最小权限等原则分配信息系统管理、操作和访问权限,并 履行审批流程。合规管理和风险管理部门应当对权限管理制 度和操作流程进行合规审查及风险控制。 证券基金经营机构应当建立对信息系统权限的定期检 查与核对机制,确保用户权限与其工作职责相匹配,防止出 现授权不当的情形。 证券基金经营机构应当对重要信息系统的开发、测试、 运维实施必要分离,保证信息技术管理部门内部岗位的相互 制衡。 第三十第三十三三条条证券基金经营机构应当记录经营数据和 客户信息的使用情况,并持续监督信息技术服务机构等相关 方落实保密协议的情况。 证券基金经营机构发现其他机构、个人违规存储或使用 自身经营数据和客户信息的,应当排查数据泄露途径、评估 影响范围,采取合理可行的整改措施,及时处置风险隐患, 并按照中国证监会规定履行报告和调查处理职责。 证券基金经营机构发现信息技术服务机构等相关方违 规存储或
