第十节 信息系统内部控制
第一百一十四条 证券公司应建立信息系统的管理制度、操作流程、岗位手册和风险控制制度,加强信息技术人员、设备、软件、数据、机房安全、病毒防范、防黑客攻击、技术资料、操作安全、事故防范与处理、系统网络等的管理。
第一百一十五条 证券公司应设立专门的信息技术部门,统一归口管理信息技术工作,加强对立项、设计、开发、测试、运行与维护等环节的管理,并定期对信息系统的可靠性和安全性进行检查。
证券公司信息系统的立项审批与开发、运行与维护、开发测试与日常运转之间应适当分离。
第一百一十六条 证券公司应严格系统进入控制以及信息系统的权限、密码管理,权限的审批、设置、变动以及密码的使用、修改应有严格的控制措施并保留完备的记录。
用户权限设置应当遵循权限最小化原则。
第一百一十七条 证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记录,确保开启审计留痕功能。
证券公司信息系统日志应至少保存15年。
第一百一十八条 证券公司应建立可靠完备的灾难备份计划和应急处理机制;数据和重要资料做到异地备份,条件允许应建设异地计算机灾难备份中心;制定详细的信息系统安全应急方案并定期修订、演练。
第一百一十九条 证券公司应建立系统安全和病毒防范制度,实时监控信息系统的安全,严防黑客或病毒入侵系统。
第一百二十条 证券公司与交易结算相关的技术系统应符合中国证监会、证券交易所及登记结算公司相关技术规范的要求。
第十一节 人力资源管理内部控制
第一百二十一条 证券公司应当高度重视聘用人员的诚信记录,确保其具有与业务岗位要求相适应的专业能力和道德水准。
证券公司应当要求聘用人员以恰当形式进行诚信承诺。
第一百二十二条 证券公司应建立职能管理部门和派出人员的工作联络机制,强化对分支机构负责人及电脑、财务等关键岗位人员的垂直管理。
第一百二十三条 证券公司关键岗位人员应当实行定期或不定期的轮换和强制休假制度。
第一百二十四条 证券公司关键岗位人员任期届满、工作调动或离职,应当进行任期经济责任审计及专项审计。证券公司对高级管理人员、分支机构负责人的相关稽核审计报告应当向中国证监会及派出机构备案。
第一百二十五条 证券公司应当培育良好的内部控制文化,建立健全员工持续教育制度,加强对员工的法规及业务培训,确保所有从业人员及时获得充分的法律法规、内部控制和行为规范的最新文件和资料,确保员工书面承诺收到相关资料并理解其内容。
第一百二十六条 证券公司应当加强业务人员的从业资格管理,上岗人员应当符合相关资格管理的规定。
第一百二十七条 证券公司应当建立合理有效的激励约束机制,建立严格的责任追究制度。
证券公司对员工的绩效考核、评价制度应当达到鼓励员工守法经营的目的。
第一百二十八条 证券公司应当制定严谨、公开、合理的人事选拔制度,任免程序中应明确规定任免决定权的归属。人事任免应有完备的决策记录。
第一百二十九条 证券公司应建立高级管理人员、分支机构负责人及其他关键岗位人员的年度述职报告及定期谈话制度。
第一百三十条 证券公司应加强对高级管理人员、分支机构负责人及其他关键岗位人员的档案(包括外事档案)管理。
第一百三十一条 证券公司高级管理人员离职,证券公司应当向中国证监会及注册地派出机构和主要办事机构在地派出机构及时报告,并对离职原因作出说明。
分支机构负责人及其他关键岗位人员离职,证券公司应当向主要办事机构所在地中国证监会派出机构及时报告,并对离职原因作出说明。
