证券公司信息技术管理规定(草案).docVIP

PAGE2

-PAGE5-

证券公司信息技术管理规定（草案V1.72）

第一章总则

【立法目的和依据】为保障证券公司信息系统安全运行，加强证券公司信息安全管理，防范和化解信息技术风险，提高行业信息安全水平，支持证券业务发展，根据《中华人民共和国证券法》、《证券公司监督管理条例》、《证券期货业信息安全保障管理办法》（已公开征求意见）等有关法律法规制定本规定。

【适用范围】本规定适用于在中华人民共和国境内依法设立的证券公司。

【责任主体及原则】证券公司是信息技术管理工作的责任主体，对本机构信息系统安全运行承担责任，实行“谁运行、谁负责，谁使用、谁负责”原则。

【会机关监管职责】中国证监会负责制定、修订证券公司信息技术相关法规，牵头对证券公司信息技术相关新应用、新情况、新问题进行研究，并牵头对行业发生的重大安全事件进行调查处理。

【证监局监管职责】证监局负责辖区证券公司信息系统监管，证券公司分支机构信息系统由分支机构所在地证监局负责监管。

证券公司分支机构所在地和证券公司住所地证监局之间应建立有效的信息沟通和监管协作机制，有效防范、化解和处置分支机构的信息技术风险、重大异常情况和突发事件，协调配合做好有关分支机构的信息技术检查、信息安全事件处置等事项。

【信息技术定义】本规定中的证券公司信息技术（英文：InformationTechnology，简称IT）是指证券公司在核准的业务范围内，管理和处理业务活动期间产生的账户、交易、清算、财务、服务等方面信息所采用的各种计算机、通信、软件工程等技术的统称。

第二章信息技术治理

【信息技术治理】信息技术治理是指证券公司在运用信息技术过程中，制定的有关信息技术决策权分配和责任承担的框架。

【责任分工】证券公司法定代表人对证券公司信息安全及信息技术管理负最终责任，证券公司章程应明确以下事项：

（一）证券公司信息技术管理的组织架构和决策机构；

（二）证券公司董事长、总经理、分管信息技术的高级管理人员、信息技术管理部门负责人在信息技术管理工作中的职责分工。

【决策机构】证券公司应成立信息技术委员会或

务并具备计算机相关专业学历的工作人员。

【审计管理】证券公司应指定公司内部审计部门或委托外部审计机构，定期对公司及分支机构信息技术管理工作进行审计，公司总部接受信息技术审计的频率不低于每年一次。

【IT投入】证券公司信息技术投入应符合监管部门及自律组织的有关要求。

【员工培训】证券公司应对业务人员进行相关业务信息系统使用和信息安全培训，业务人员每年参加培训时间不少于6学时。

第三章信息技术人员管理

【人员要求】证券公司信息技术管理部门负责人应具有计算机相关专业大专以上学历或具有8年以上从事证券公司信息技术管理工作经验。证券公司从事信息技术管理工作人员数量应符合监管部门及自律组织的有关要求。

【人员培训】证券公司应定期组织信息技术管理人员参加职业操守、合规和相关专业技术能力培训，每年参加培训时间应不少于12学时。

【岗位备份】证券公司集中交易系统管理、数据库管理、网络管理、安全管理等重要技术岗位应实行双人双岗。

【岗位分离】证券公司从事业务及管理信息系统开发、运行维护人员不得从事该项业务的具体操作。

【人员流动】证券公司应建立信息技术管理人员任职和离职管理制度，证券公司应与信息技术管理关键岗位及任职期间涉及敏感数据的信息技术人员签订保密协议。

第四章基础设施与信息系统基本要求

【基本要求】证券公司重要信息系统机房建设、机房环境、供电系统应达到《证券期货业信息系统灾难备份能力标准》相关要求，并符合监管部门及自律组织的有关规定。

证券公司信息技术基础设施可以采用自建、租赁或外包的形式建立，证券公司采用租赁或外包基础设施时，除满足前款所述条件外，还应满足证券公司业务发展与管理的需要，以及证券公司开展内、外部审计、监管部门及自律组织进行现场检查的需要。

【部署位置】证券公司客户、交易、清算、财务、合规管理、风险控制等重要数据信息以及管理这些信息的信息系统应存放并部署在中华人民共和国境内。

【处理能力】证券公司重要信息系统处理能力应满足证券公司业务、管理活动正常运行的需要。

【网络通信】证券公司网络通信系统应满足业务开展及信息安全的需要，应符合国家及行业有关标准及要求。

证券公司与证券交易所、中国证券登记结算公司的通信连接应建立备份线路，证券公司与分支机构之间应建立不同运营商、不同介质的通信通道。

【数据管理】证券公司应建立数据管理制度，包括不限于分级管理、访问控制、数据安全、数据备份等内容，并充分利用成熟的安全技术确保数据的保密性、完整性、可用性和可控性。

前款所述数据是指证券公司在经营和管理中产生的信息资源，主要包括业务数据、系统数据和管理数据等。

【备份能力】证券公司