证券公司信息技术合规与风险管理机制(★★★)
事前审查 |
①业务系统的流程设计、功能设置、参数配置和技术实现应当遵循业务合规的原则; ②风险管理系统功能完备、权限清晰,能够与业务系统同步上线运行; ③具备完善的信息安全防护措施,能够保障经营数据和客户信息的安全、完整; ④具备符合要求的信息系统备份及运维管理能力。 |
事中风险监测 |
①识别借助信息技术手段从事证券基金业务活动的各类风险,建立持续有效的风险监测机制。 ②及时、稳妥处置发现的风险问题,至少每年开展一次风险监测机制及执行情况的有效性评估。 |
事后评估审计 |
①证券公司应当定期开展信息技术管理工作专项审计,频率不低于每年一次,确保3年内完成信息技术管理全部事项的审计1作。 ②证券公司应当委托外部专业机构开展信息技术管理工作的全面审计、频率不低于每3年一次; 未能有效实施信息技术管理被采取行政处罚措施、监管措施或者自律管理措施的,应当在3个月内完成对有关事项的专项审计。 ③证券公司应当跟踪审计发现问题的整改情况,相关问题未能及时整改的,应当说明理由,并将审计报告提交信息技术治理委员会审议。证券公司应当妥善保存审计报告,保存期限不得少于20年。 |
证券公司信息技术治理属于自律管理的范畴,由中国证监会和中国证券投资基金业协会对证券基金经营机构实施自律管理,中国证监会及其派出机构实施监督管理。
证券公司信息技术治理中的权责分配机制(★★★)
部门 |
责任 |
董事会 |
①审议信息技术战略,确保与本公司的发展战略、风险管理策略、资本实力相一致;②建立信息技术人力和资金保障方案;③评估年度信息技术管理工作的总体效果和效率;④公司章程规定的其他信息技术管理职责。 |
经营管理层 |
①组织实施董事会相关会议;②建立责任明确、程序清晰的信息技术管理组织架构,明确管理职责、工作程序和协调机制;③完善绩效考核和责任追究机制;④公司章程规定或董事会授权的其他信息技术管理职责。 |
信息技术治理委员会 |
①信息技术规划,包括但不限于信息技术建设规划、信息安全规划、数据治理规划等;②信息技术投入预算及分配方案;③重要信息系统建设或重大改造立项、重大变更方案;④信息技术应急预案;⑤使用信息技术手段开展相关业务活动的审查报告以及年度评估报告;⑥信息技术治理委员会提请审议的事项;⑦其他对信息技术管理产生重大影响的事项。 |
首席信息官 |
①从事信息技术相关工作10年以上,其中证券、基金行业信息技术相关工作年限不少于3年;或者在证券监督机构、证券基金业资料组织任职8年以上;②最近3年未被金融监管机构实施行政处罚或采取重大行政监管措施;③中国证监会规定的其他条件。 |
信息技术管理部门 |
负责实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理等工作。 |
证券公司信息系统运行各环节的安全管理要求(★★★)
信息系统的开发、测试、上线、变更与停止使用 |
①开发、测试:建立独立于生产环境的专用开发测试环境; ②上线、变更:制定专项实施方案、对信息系统上线或变更操作行为进行审查、确认和跟踪; ③停止使用:开展技术和业务影响评估,制定完整的系统通用和数据迁移保管方案,组织必要的评审及停用后的安全检查。 |
信息系统运行维护 |
①定期压力测试;②指定专人跟踪监测发现的异常情形,及时处置并定期开展评估分析。 |
信息技术应用相关文档、日志及数据的管理 |
①文档妥善保存;②日志留痕机制;③数据管理遵循法律法规。 |
提供信息技术服务 |
①证券公司可以在安全、合规的前提下为子公司提供信息技术服务; ②可以设立信息技术专业子公司,为母公司提供信息技术服务。 |
重要信息系统的审计功能 |
确保重要信息系统具备可审计功能,可根据监管部门的要求转换、提供数据。 |
证券公司数据全生命周期管理机制(★★)
(1)数据分类分级:将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。
(2)数据安全保障措施:完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施,保护经营数据和客户信息安全,防范信息泄露与损毁。
(3)信息系统权限管理
①证券公司应当遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限,并履行审批流程。
②证券公司应当建立对信息系统权限的定期检查与核对机制,确保用户权限与其工作职责相匹配,防止出现授权不当的情形。
③证券公司应当对重要信息系统的开发、测试、运维实施必要分离,保证信息技术管理部门内部岗位的相互制衡。
(4)经营数据和客户信息保护:证券公司应当记录经营数据和客户信息的使用情况,证券公司应建立健全数据安全管理制度,不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据。
证券公司信息技术应急管理(★★)
(1)组织架构
①信息技术管理部门:信息技术应急管理的牵头组织部门,组织开展信息技术应急预案的制定、演练、评估与改进工作,并负责信息系统的应急响应与恢复;
②各业务部门:负责评估本业务条线信息技术突发事件相关风险,开展业务影响分析,确定并实施重要业务恢复目标和恢复策略;
③风险管理部门:负责评估信息系统与相关业务恢复目标和恢复策略制定的合理性,确保与公司整体风险管理策略保持一致。
(2)应急预案:证券公司应当根据应急预案定期组织关键岗位人员开展应急演练,演练频率不低于每年一次,并确保应急演练在2年内覆盖全部重要信息系统。应急演练应当形成报告,保存期限不得少于5年。
(3)应急信息公示:证券公司应在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式等信息,提示客户防范和应对可能出现的风险。
(4)信息系统备份:证券公司应确保备份系统与生产系统具备同等的处理能力,保持备份数据与原始数据的一致性。
(5)信息安全事件分级响应机制:证券公司应按照中国证监会有关规定,建立信息安全事件的分级响应机制,明确内部处置工作流程,确保相关信息系统及时恢复运行。
信息技术服务机构管理(★★)
(1)信息技术服务的范围
①重要信息系统的开发、测试、集成及测评;
②重要信息系统的运维及日常安全管理;
③中国证监会规定的其他情形。
(2)委托信息技术服务机构提供信息技术服务的责任划分
证券公司借助信息技术手段从事证券基金业务活动的,可以委托信息技术服务机构提供产品或服务,但证券公司依法应当承担的责任不因委托而免除或减轻。