《证券期货经营机构信息技术治理工作指引(试行)原文》由会员分享,可在线阅读,更多相关《证券期货经营机构信息技术治理工作指引(试行)原文(7页珍藏版)》请在金锄头文库上搜索。
1、证券期货经营机构信息技术治理工作指引(试行)第一章 总则 第一条 为加强证券期货经营机构信息技术管理与规范,完善各机构的治理结构,提高证券期货经营机构信息技术治理水平,保障信息系统安全运行,特制定本指引。第二条 信息技术治理(IT 治理)是指公司在运用信息技术(以下简称 IT)过程中,制定的有关 IT 决策权分配和责任承担的框架,主要包括在 IT 原则、IT 架构、IT 基础设施、IT 应用和 IT 投入 5 个方面制定相关制度并建立有效的工作机制,实现 IT 决策的责任和权力的有效分配与控制,提高 IT 资源的有效性、可用性和安全性。第三条 IT 治理是公司治理的重要组成部分,IT 能力是证
2、券期货经营机构的核心竞争力之一,有效的 IT 治理可以持续巩固和提升 IT 能力。各证券期货经营机构应建立有效的 IT 治理机制,保持 IT 与业务目标一致,合理利用 IT 资源,有效管理 IT 风险,确保信息系统的建设和运行安全、高效、稳定。第四条 本指引适用于各证券期货经营机构,包括证券公司、基金管理公司和期货公司(以下简称公司)。全资子公司的 IT 治理工作可纳入母公司统筹实施。第二章 IT 原则和治理目标第五条 公司应制定明确的 IT 原则。IT 原则是指公司为实现经营目标而运用 IT 的基本思路,对 IT 在公司运营中所起的作用和 IT 投入等主要方面做出明确的规定。第六条 公司应根
3、据其经营规划制定 IT 治理目标,利用 IT 增强公司的核心竞争力,使公司从 IT 投入中获得更大收益。IT 治理目标应包括:(一)明确 IT 决策的权力和责任;(二)实现技术和业务的有效匹配;(三)实现 IT 资源的最优配置;(四)实现 IT 风险的可管可控。第七条 公司应制定公开、可行的 IT 治理流程,建立公司业务与 IT 之间清晰的联系框架,采取有效措施,使公司管理层和各相关部门的人员了解并认同公司的 IT 原则和治理目标。第八条 公司应根据其发展需要制定 IT 规划。IT 规划应与公司发展保持一致,符合公司经营对 IT 的要求,并使技术和业务部门能正确地理解和把握公司对 IT 的要求
4、。第九条 公司在制定 IT 规划时,应征求相关业务部门、财务管理部门和内部控制部门的意见,并报公司管理层批准实施。第十条 IT 规划在有效性、可用性和安全性方面应满足行业和公司可预见的业务发展要求,在容量、性能和安全保障方面做出规定。第三章 IT 治理组织和工作机制第十一条 公司是 IT 系统建设、管理及安全运营的责任主体,公司应建立有效的 IT 治理组织和工作机制,实现 IT 决策的有效授权和控制,通过制定相关制度来建立 IT 的决策、执行和监督的责任机制。第十二条 公司应在总公司、分支机构和全资子公司建立统一协调的 IT 治理机制,较低层级服从于较高层级。第十三条 公司总经理对 IT 治理
5、的有效性及 IT 安全负有最终责任,公司应指定具有 IT 专业工作经验的高级管理人员作为公司 IT 治理的直接责任人,并设立 IT 总监或其它类似职位的 IT 专职负责人。第十四条 公司应设立 IT 治理委员会或类似机构,负责公司 IT 治理工作。IT 治理委员会向公司管理层负责,公司管理层应为 IT 治理委员会履行职责和行使职权提供必要的制度和机制保障。第十五条 IT 治理委员会应由公司 IT 治理直接责任人、IT 总监、IT 部门负责人、相关业务负责人、财务负责人、内部控制负责人以及部分技术骨干等人员组成,其中 IT 人员的比例应在 30%以上。公司可聘请外部专业人士担任委员或顾问。第十六
6、条 IT 治理委员会应建立明确的工作制度,应至少每季度召开一次例会或根据需要召开临时委员会会议。第十七条 IT 治理委员会应履行以下职责:(一)拟订公司 IT 治理目标和 IT 治理工作计划;(二)审议公司 IT 发展规划;(三)审议公司年度 IT 工作计划和 IT 预算;(四)审议公司重大 IT 项目立项、投入和优先级;(五)审议公司 IT 管理制度和重要流程;(六)制订与 IT 治理相关的培训和教育工作计划;(七)检查所拟订和审议事项的落实和执行情况;(八)组织评估公司 IT 重大事项并提出处置意见;(九)向公司管理层报告 IT 治理状况。第十八条 IT 总监的职责包括但不限于:(一)组织
7、拟定公司中长期 IT 发展规划;(二)组织拟定公司年度 IT 工作计划及预算;(三)组织拟定公司信息系统安全目标、策略、方针及实施计划;(四)组织对公司 IT 的风险进行评估及控制;(五)组织并协调公司信息化建设工作;(六)组织拟定 IT 管理制度、IT 建设标准;(七)组织落实 IT 治理委员会所制定和审议的有关事项;(八)向公司管理层和 IT 治理委员会报告 IT 重大事项,并对上报事项的真实性、准确性、完整性、及时性负责;(九)对公司信息系统的安全管理体系的有效性负技术责任。第十九条 公司应建立对 IT 管理和 IT 运行维护的考核机制。第四章 IT 架构与 IT 基础设施第二十条 公司
8、应根据 IT 原则和治理目标制定相应的 IT 架构,确定 IT 基础设施、IT 应用系统的整体框架。第二十一条 公司 IT 架构应包括业务应用架构、系统平台架构、数据信息架构等,不同架构的范围和边界应明确定义。第二十二条 IT 架构应遵循全局、开放、共享的原则,通过数据、流程、技术的标准化和一体化工作,建立业务应用、系统平台、数据信息等完整、清晰的组织关系。第二十三条 IT 架构在保证数据和基础设施相对稳定的前提下,应具备良好的可扩展性和灵活性以支持不断变化的业务需求和应用。第二十四条 公司应定期或在有重大变化时对 IT 架构进行评估,保证 IT 架构的适应性和合理性。第二十五条 IT 基础设
9、施应包括技术标准、基础组织、基础数据、基础软件、技术设备、通信网络、安全系统、机房物理环境等,其中每一项都包含一系列整合的服务。第二十六条 IT 基础设施建设应遵循可靠、安全、共享和可管理的原则,能为多种 IT 应用提供支持和服务,并根据成本效益与安全控制等要求确定 IT 资源的集中度。第二十七条 IT 基础设施应具有统一、安全、可靠、灵活、可扩展的特点,应科学地设计和管理 IT 基础设施的容量,以适应业务增长和创新的需要,有利于业务扩展和创新应用的快速、高效的实施和部署。公司应定期评估 IT 基础设施的容量和适应能力。第五章 IT 应用第二十八条 公司应建立技术部门和业务部门之间有效的沟通协
10、调机制,制定 IT 应用贯穿需求分析、立项决策、系统建设、系统验收和上线运行等阶段完整的工作制度与工作流程,通过 IT 应用实现公司的经营目标。第二十九条 IT 应用需求应充分考虑业务与技术之间协同发展的互动关系。重大 IT 应用需求应由相应的使用部门或 IT 部门在需求调研的基础上提出,由内部控制部门、财务管理部门和 IT 部门会商后报公司 IT 治理委员会审议立项,由使用部门、运维部门和内部控制部门参与验收工作。第三十条 IT 应用建设应在确保安全的前提下平衡技术创新和 IT 架构完整性;IT 应用应促进和改善 IT 架构,尽可能保证 IT 架构的完整性和稳定性。第三十一条 公司应为 IT
11、 应用实现提供必需的财力和人力资源,并在制定工作计划时充分考虑软件开发、测试及部署实施所需要的时间周期。第三十二条 重要 IT 应用系统包括但不限于核心交易系统、结算系统、风险控制系统、财务系统、安全系统、灾难备份系统。第三十三条 公司重要 IT 应用系统和基础设施的建设、管理和运行维护应满足行业的有关规范并达到安全技术标准要求,没有行业规范和标准的应尽可能参照已有的国家或国际相关技术规范和标准。第六章 IT 投入第三十四条 公司在制定 IT 年度预算时应保障公司业务正常运转所需 IT 投入,并确定 IT 项目投入的优先顺序以及投入的金额。第三十五条 公司最近三个财政年度 IT 投入平均数额原
12、则上应不少于最近三个财政年度平均净利润的 6%或不少于最近三个财政年度平均营业收入的 3%。第三十六条 IT 建设应有前瞻性,同时要避免盲目超前的 IT 规划带来过大的 IT 投入。公司应从财务风险、市场风险、组织风险和技术风险上对 IT 投入风险进行评估,并做出分析和权衡。第三十七条 公司应建立可量化的指标体系对 IT 投入进行管理,加强 IT 项目的成本核算。第三十八条 IT 投入应优先保证为投资者提供安全、可靠的交易服务。第三十九条 公司应将 IT 基础设施作为一种重要资产进行管理,并逐年对各项基础设施进行审慎投入。第七章 IT 人力资源第四十条 公司应设立 IT 部门具体负责 IT 系
13、统的开发、运维和管理工作,公司分支机构应当设立相应的 IT 部门或岗位负责分支机构的 IT 工作。第四十一条 公司应根据实际情况配备足够的 IT 工作人员,并满足安全和岗位设置的有关要求。公司的 IT 工作人员总数原则上应不少于公司员工总人数的 6,并且期货公司 IT 工作人员总数应不少于 3 人。第四十二条 公司应为 IT 部门提供足够的资金支持,为 IT 人员提供履行其岗位职责所需要的岗位技能培训及业务培训,制定合理的激励机制和奖惩措施。第四十三条 鼓励公司设立 IT 专业职级体系,建立公平、公开、公正的晋升机制,为 IT 人员提供相应的发展空间。第四十四条 公司宜配备适当 IT 研发人员
14、增强公司重要 IT 应用系统的自主研发能力。第八章 IT 安全和风险控制第四十五条 公司应通过管理机制和技术手段确保公司的 IT 系统安全与信息安全,保障业务活动的连续性,保证重要信息的保密、完整及可用,确保信息内容符合法律法规的要求。第四十六条 公司的系统开发、系统运维管理、系统的合规检查原则上应实现相互分离。第四十七条 公司应建立有效的灾难备份系统和应急预案,明确应急预案的激活条件、紧急事件处理流程、报告流程、撤销流程、恢复流程以及人员责任等。灾难备份系统的各项技术指标应符合监管机构的要求。第四十八条 公司应充分重视客户资料等公司商业信息安全问题,制定相关制度、采取相应措施确保在开放的市场
15、环境中公司的商业机密和投资者信息安全。第四十九条 公司应对全体员工开展必要的信息安全培训、教育和考核,对合作方服务人员提出明确的信息安全要求。公司与合作方签订合同应包含保密和诚信协议,明确各自承担的安全义务和责任,并要求合作方在提供产品或服务的同时承诺产品不存在恶意代码或未授权的连接功能(软件后门),不提供违反法律法规的操作模块、功能和手段。第五十条 公司应规范 IT 外包服务管理,对重要的外包服务要明确服务商资质要求、服务等级、服务流程、责任义务和服务质量标准。第五十一条 公司应制定 IT 风险管理的策略和相关制度,对信息系统的合规性进行检查,对 IT 风险进行评估。第五十二条 公司应建立内部 IT 审计制度,至少每两年进行一次 IT 审计。建议对重要 IT 项目的建设和运行进行专项审计,鼓励公司聘请外部有资质的机构对公司进行 IT 审计和 IT 风险评估。第九章 附则第五十三条 本指引由中国证券业协会和中国期货业协会负责解释。第五十四条 本指引自发布之日起实施。
