证券公司信息技术应急管理(★★)
(1)组织架构
①信息技术管理部门:信息技术应急管理的牵头组织部门,组织开展信息技术应急预案的制定、演练、评估与改进工作,并负责信息系统的应急响应与恢复;
②各业务部门:负责评估本业务条线信息技术突发事件相关风险,开展业务影响分析,确定并实施重要业务恢复目标和恢复策略;
③风险管理部门:负责评估信息系统与相关业务恢复目标和恢复策略制定的合理性,确保与公司整体风险管理策略保持一致。
(2)应急预案:证券公司应当根据应急预案定期组织关键岗位人员开展应急演练,演练频率不低于每年一次,并确保应急演练在2年内覆盖全部重要信息系统。应急演练应当形成报告,保存期限不得少于5年。
(3)应急信息公示:证券公司应在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式等信息,提示客户防范和应对可能出现的风险。
(4)信息系统备份:证券公司应确保备份系统与生产系统具备同等的处理能力,保持备份数据与原始数据的一致性。
(5)信息安全事件分级响应机制:证券公司应按照中国证监会有关规定,建立信息安全事件的分级响应机制,明确内部处置工作流程,确保相关信息系统及时恢复运行。
信息技术服务机构管理(★★)
(1)信息技术服务的范围
①重要信息系统的开发、测试、集成及测评;
②重要信息系统的运维及日常安全管理;
③中国证监会规定的其他情形。
(2)委托信息技术服务机构提供信息技术服务的责任划分
证券公司借助信息技术手段从事证券基金业务活动的,可以委托信息技术服务机构提供产品或服务,但证券公司依法应当承担的责任不因委托而免除或减轻。
