《证券有限责任公司信息技术治理管理办法模版.docx》由会员分享,可在线阅读,更多相关《证券有限责任公司信息技术治理管理办法模版.docx(17页珍藏版)》请在金锄头文库上搜索。
1、证券有限责任公司信息技术治理管理办法第一章 总则第一条 为加强公司信息技术管理与规范,保持信息系统与业务目标的一致性,合理利用IT资源,有效管理IT风险,确保信息系统的建设和运行安全稳定,根据证券期货经营机构信息技术治理工作指引(试行)的要求,制定本办法。第二条 做好信息技术治理工作是公司全体员工的共同责任,公司全体员工应严格遵守信息技术治理方面的相关制度规定。公司各部门、各分支机构应在符合信息技术治理相关制度规定的前提下开展经营管理活动。第三条 信息技术治理(IT治理)是指公司在运用信息技术(以下简称IT)过程中,制定的有关IT决策权分配和责任承担的框架,主要包括在IT原则、IT架构、IT基
2、础设施、IT应用和IT投入5个方面制定相关制度并建立有效的工作机制,实现IT决策的责任和权力的有效分配与控制,提高IT资源的有效性、可用性和安全性。第四条 公司IT治理的原则是:按照IT治理的方法论,循序渐进地推进IT治理,即在业务目标的驱动下,制定IT战略,并保证IT战略与业务战略目标的匹配;挖掘业务需求,完善信息系统建设,使IT真正为业务提升、管理创新贡献价值;实施IT项目管理与风险管理;保证IT的合理投入,进行IT绩效评估。第五条 本办法适用于公司总部及所有营业部。全资子公司的IT治理工作可纳入公司统筹实施。第二章IT治理目标与IT规划第六条IT治理作为公司治理的重要组成部分,是公司信息
3、系统的基础性建设,利用IT增强公司的核心竞争力,使公司从IT投入中获得更大收益。IT治理的具体目标是:(一) 以公司战略和业务需求为导向,不断完善信息技术体系,实现IT治理水平的整体提升;(二) 持续优化和完善IT基础架构,满足业务和信息技术不断发展的要求,实现技术和业务的有效匹配;(三) 在经营管理和技术支持之间建立建设性关系,确保公司总体战略和信息技术战略得到有效执行,实现IT资源的最优配置;(四) 在IT决策过程中实行部门间联合决策和公司管理层统筹决策机制,本着结合需求、适度前瞻、统一领导、通力合作的原则,保证IT决策高效、职责划分清晰。(五) 对信息技术工作进行有效测评和审计,实现对信
4、息系统风险的有效控制。第七条 根据公司经营管理战略目标,IT总监组织拟定信息技术规划。信息技术规划应充分体现公司长期发展的战略思想。第八条IT规划应满足国家、监管部门、行业自律组织对相关系统的技术标准。第九条信息技术规划应包括但不限于以下内容:(一) IT规划参照的标准;(二) IT基础设施体系规划;(三) IT业务应用架构规划;(四) 数据信息架构规划;(五) IT安全体系架构规划;(六) IT系统管理办法;(七) IT系统定期评估办法;第十条信息技术规划的制定和修订流程如下:(一) 公司各部门将本部门的经营管理发展规划抄送信息技术部;(二) IT总监依据各部门经营发展规划组织起草信息技术规
5、划(征求意见稿);(三) 将信息技术规划(征求意见稿)送各业务部门、财务管理部门和内部控制部门征求意见;(四) IT总监根据各部门反馈意见组织修订信息技术规划;(五) 将信息技术规划送IT治理委员会审议;(六) 根据IT治理委员会审议意见修订信息技术规划,直至信息技术规划通过IT治理委员会审议;(七) IT治理委员会将信息技术规划送公司管理层核批;第十一条 以公司行文方式正式发布信息技术规划。第三章IT治理组织和工作机制第十二条 公司总部、营业部建立统一协调的IT治理机制,较低层级服从于较高层级。第十三条 公司总经理对IT治理的有效性及IT安全负有最终责任,公司指定具有IT专业工作经验的高级管
6、理人员作为公司IT治理的直接责任人。第十四条 公司成立信息技术治理委员会(下称:IT治理委员会),公司总经理为公司信息技术治理委员会负责人。第十五条 公司IT治理委员会委员由信息技术治理负责人、IT总监、合规总监、稽核负责人、财务负责人、各业务部门负责人以及部分技术骨干组成,其中IT人员的比例应在30%以上。第十六条 公司根据需要可聘请外部专业人士担任委员或顾问。第十七条 公司在制定IT规划时,征求相关业务部门、财务管理部门和内部控制部门的意见,并报公司管理层批准实施。第十八条 公司IT治理委员会每季度召开一次例会。因信息系统或业务相关原因,可临时召开会议。第十九条 公司IT治理委员会负责信息
7、技术治理的推进工作。IT治理委员会的具体议事办法由xx证券有限责任公司IT治理委员会议事规则规定。IT治理委员会向公司管理层负责,履行以下职责:(一)审议公司年度信息技术治理工作计划和预算,并监督落实情况;(二)审议公司中长期IT发展规划以及IT管理制度和重要流程; (三)审议公司重大IT项目立项、投入,对公司信息技术相关的投资及其优先级做出决策;(四)审议公司信息安全目标、方针、策略以及分阶段实施计划; (五)审议公司信息技术治理工作报告,检查所拟定事项的落实和执行情况,向公司管理层报告IT治理工作情况;(六)拟订公司IT治理目标和IT治理工作计划,制定与IT治理相关的培训和教育工作计划;(
8、七)确保公司提供足够的资源保障信息技术治理工作按既定的目标和方案进行实施,保障公司信息技术治理水平得到持续的改进和提高;(八)根据市场形势及公司业务发展的实际情况,审议、调整IT治理工作部署,评估涉及信息技术的重大决策,并提供咨询和参考意见。第二十条 公司设立IT总监,IT总监的职责包括:(一)组织拟定公司中长期IT发展规划;(二)组织拟定公司年度IT工作计划及预算;(三)组织拟定公司信息系统安全目标、策略、方针及实施计划;(四)组织对公司IT的风险进行评估及控制;(五)组织并协调公司信息化建设工作;(六)组织拟定IT管理制度、IT建设标准;(七)组织拟定IT应急方案;(八)组织落实IT治理委
9、员会所拟定和审议的有关事项; (九)向公司管理层和IT治理委员会报告IT重大事项,并对上报事项的真实性、准确性、完整性、及时性负责; (十)对公司IT安全管理体系的有效性负技术责任。第二十一条 信息技术部对IT总监负责,负责公司的信息系统建设、信息系统运行维护和信息技术管理工作,各部门、各分支机构应予积极配合。 第二十二条 合规部负责对信息系统进行合规审查。第二十三条 稽核部负责信息系统进行审计。第二十四条 财务部负责对信息系统全年的预算进行初审,并提交IT治理委员会审议;财务部根据公司历年的IT投入与产出进行分析,确定业务与信息投入的适当性,为IT长期发展策略决策提供参考依据;对信息系统的投
10、入与公司业务规模是否适当进行初步评估,提交IT治理委员会审议。第二十五条 公司各职能部门和业务部门的职责:(一) 负责将业务应用和需求提交IT治理委员会审议;(二) 负责本部门IT应用系统的参数维护和使用;向IT治理委员会提起需求,在项目验收时同时进行项目的验收工作。(三) 按照IT治理委员会审议通过的IT安全和IT应急制度,履行相关职责。第二十六条 公司建立对IT管理和IT运行维护的考核机制。第四章IT架构与IT基础设施第二十七条 公司根据IT原则和治理目标制定相应的IT架构,确定IT基础设施、IT应用系统的整体框架。第二十八条IT架构应包括业务应用架构、系统平台架构、数据信息架构等,不同架
11、构的范围和边界明确定义。 第二十九条IT架构遵循全局、开放、共享的原则,通过数据、流程、技术的标准化和一体化,建立业务应用、系统平台、数据信息等完整的组织关系,并根据成本效益与安全控制等要求确定IT资源的集中度。第三十条IT架构在保证数据和基础设施相对稳定的前提下,应具备良好的可扩展性和灵活性,以支持不断变化的业务应用和需求。第三十一条IT基础设施的范围包括技术标准、基础组织、基础数据、技术设备、通讯网络、安全系统、机房环境等,其中每一项都包含一系列整合的服务。第三十二条IT基础设施建设遵循可靠、安全、共享和可管理的原则,为多种IT应用提供支持和服务,并根据成本效益与安全控制等要求确定IT资源
12、的集中度。第三十三条IT基础设施应具有统一、安全、可靠、灵活、可扩展的特点,科学涉及和管理基础设施的容量,以满足业务增长和创新的要求,利于业务发展和创新应用的快速、高效实施和部署。第三十四条IT系统评估:(一) 公司每年或在中道变化时对IT架构进行评估,保证IT机构的适应性和合理性。(二) 公司每年对IT基础设施的容量和适应性能力进行一次评估。第五章IT应用第三十五条 公司应用部门因业务发展,需要新的应用支撑时,技术部门和业务部门之间应有效的沟通协调,包括在应用需求分析、立项决策、系统建设、系统验收和上线运行等阶段的工作,以便更好的实现公司的经营目标。第三十六条IT应用需求的审议,原则上应充分
13、考虑业务与技术之间协同发展的互动关系。重大IT应用需求应由相应的使用部门或IT部门在需求调研的基础上提出,由内部控制部门、财务管理部门和IT部门会商后报公司IT治理委员会审议立项,由使用部门、运维部门和内部控制部门参与验收工作。第三十七条IT应用建设应在确保安全的前提下平衡技术创新和IT架构完整性;IT应用应促进和改善IT架构,尽可能保证IT架构的完整性和稳定性。第三十八条 公司应为IT应用实现提供必需的财力和人力资源,并在制定工作计划时充分考虑软件开发、测试及部署实施所需要的时间周期。第三十九条 重要IT应用系统包括但不限于集中交易、网上交易等核心交易系统、灾备系统、结算系统、风险控制系统、
14、资管系统、财务系统、安全系统。 第四十条 公司重要IT应用系统和基础设施的建设、管理和运行维护按照行业的有关规范并达到安全技术标准要求,没有行业规范和标准的应尽可能参照已有的国家或国际相关技术规范和标准。 第四十一条 公司IT应用按以下流程执行:(一) 应用需求部门因业务需要提起书面的应用需求,提交公司IT治理委员审议;(二) IT治理委员会根据公司发展的长期目标和经营目标,审议业务部门提交的需求,审议通过后按照公司审议流程提交公司管理层审批;(三) 公司管理层批准后,IT总监组织技术部进行立项和预算,并向IT治理委员会提交立项报告,由IT治理委员会审议通过后,按照公司流程经公司管理层通过后实
15、施;(四) 系统建设完毕,由使用部门、技术部和合规部参与共同参与验收工作;(五) 系统投入使用前,使用部门向IT治理委员会提交应用系统的使用、用户、权限分配的分配情况,IT治理委员会审议通过后,按照公司流程经公司管理层通过后执行;(六) 运营人员根据系统的维护说明,制订相关应用的运营流程和安全管理流程,负责日常的系统运营管理工作;(七) 合规部对系统立项、建设、验收、应用系统使用的合规性进行审核。第四十二条 对于重要核心业务系统的上线,IT部门应向IT治理委员会提交系统上线前的评估报告, IT治理委员会在上线前安排应急小组制订上线前的应急方案和上线方案,审议是否上线,并上报公司管理层审批。第四十三条 各部门、各分支机构应当严格遵守公司的信息技术管理制度。 第六章IT人力资源第四十四条 公司信息技术部负责公司IT系统的开发、运维和管理工作,营业部设置电脑部负责营业部信息系统的运营。第四十五条 为满足公司信息系统的建设和维护,IT人员应结构合理、规模适当,以满足不断增长的经营管理需要。IT部门根据实际情况配备足够的IT工作人员。应满足国家、监管部门、自律组织关于人员和岗位设置的相关要求。原则上公司的IT工作人员总数原则上不少于公司员工总人数的6%。关键技术岗位的人员备份和职责分离,以保障系统安全。第四十六条 公司应为I
