IT治理工作指引V.3端午版.docVIP

证券期货经营机构信息技术治理工作指引（试行） 总则 IT原则与治理目标 IT治理组织与工作机制 IT架构与基础设施 IT应用 IT投入 IT人力资源 IT安全与风险控制 附则 第一章 总则 为加强证券期货经营机构信息技术管理与规范，完善各机构的治理结构，提高证券期货经营机构信息技术治理（以下简称IT治理）水平，保障信息系统安全运行，特制定本指引。 IT治理是指企业在信息技术应用过程中,为实现企业总体战略目标而制定有关IT的决策权归属和责任担当框架，主要包括在IT原则、IT架构、IT基础设施、IT应用和IT投入5个方面制定相关制度并建立有效的工作机制，实现IT决策的责任与权力有效分配与控制，提高IT资源的有效性、可用性和安全性。 IT能力是证券期货经营机构的核心竞争力之一，IT治理是信息化时代公司治理的重要组成部分。各证券期货经营机构应建立有效的IT治理机制，保持IT与业务目标一致，合理利用IT资源，有效管理IT风险，确保信息系统的建设和运行安全、高效、稳定。 本指引适用于各证券期货经营机构，包括证券公司、基金管理公司和期货公司（以下简称公司）。 第二章 IT原则和治理目标 公司应制定明确的IT原则，阐明本公司为实现战略目标所运用IT的基本思路，对IT如何支持公司期望的运行模式和公司如何进行IT投入做出规定。 公司应根据其战略规划制定IT治理目标，利用IT增强公司的核心竞争力,使公司从IT投入中获得更大收益。IT治理目标应包括： （一）IT决策权力和责任明确； （二）技术和业务有效匹配； （三）IT资源的最优配置； （四）IT风险的可管可控。 公司应制定公开、可行的IT治理流程，建立公司业务与信息技术之间清晰的联系框架，采取有效措施，使公司管理层和各相关部门的人员了解并认同公司的IT原则和治理目标。 公司应根据其战略目标制定IT规划。IT规划应与公司战略变化动态保持一致，符合公司战略对IT的期望和要求，并使得技术和业务部门能正确地理解和把握公司对IT的期望。 公司在制定IT规划时，应征求相关业务部门、财务管理部门和内部控制部门的意见，并报公司管理层批准实施。 公司应根据业务变化情况对IT规划适时更新。IT规划在有效性、可用性和安全性方面应满足行业和公司可预见的业务发展要求，在容量、性能和安全保障方面应做出规定。 第三章 IT治理组织与工作机制 公司应建立有效的IT治理组织和工作机制，实现IT决策的有效授权和控制，通过制定相关制度来确定IT的决策、执行和监督的责任担当框架。 公司总经理对IT治理的有效性及信息技术安全负最终责任，公司应指定具有IT专业工作经验的高级管理人员作为公司IT治理的直接责任人。 公司应设立IT治理委员会或类似机构，负责公司IT治理工作。IT治理委员会向公司管理层负责，公司管理层应为IT治理委员会履行职责和行使职权提供必要的制度和机制保障。 公司应在公司、分公司和子公司等下属机构建立统一协调的IT治理机制，较低层级服从于较高层级。 IT治理委员会应由公司IT治理负责人、相关业务负责人、信息技术负责人、财务负责人、内部控制负责人以及部分技术骨干等人员组成，其中信息技术人员的比例应在30%以上；公司可聘请外部专业人士担任委员或顾问。 IT治理委员会应履行以下职责： （一）制订公司IT治理目标和IT治理工作计划; （二）审核公司IT发展规划； （三）审核公司年度IT工作计划和IT预算； （四）审核公司重大IT项目立项、投入和优先级； （五）审核公司信息技术管理制度和关键流程； （六）制订与IT治理相关的培训和教育工作计划； （七）检查所制定和审核事项的落实和执行情况； （八）组织评估公司IT重大事项并提出处置意见； （九）向公司管理层报告IT治理状况。 IT治理委员会应建立明确的议事规则，应至少每季度召开一次例会或根据需要召开临时委员会会议。 公司应制定与IT治理目标和绩效相联系的奖惩机制。 公司应设立信息技术总监或其它类似职位的信息技术专职负责人，其职责包括但不限于： （一）组织制订公司中长期信息技术发展规划； （二）组织制订公司年度IT工作计划及预算； （三）组织制订公司信息系统安全目标、策略、方针及实施计划； （四）组织对公司信息技术的风险进行评估及控制； （五）组织并协调公司信息化建设工作； （六）组织制订信息技术管理制度、信息技术建设标准； （七）组织落实IT治理委员会所制定和审核的有关事项； 八 向公司管理层和IT治理委员会报告IT重大事项，并对上报事项的真实性、准确性、完整性、及时性负责； （九）对公司信息系统的安全管理体系的有效性负技术责任。 第四章 IT架构与基础设施 公司应根据IT原则和治理目标制定相应的IT架构，确定IT基础设施、IT应用系统的整体框架。 公司IT架构应包括业务