證券企業信息技術管理要求（草案V1.72）第一章總則【立法目標和依據】為保障證券企業信息系統安全運行，加強證券企業信息安全管理，防范和化解信息技術風險，提升行業信息安全水平，支持證券業務發展，依據《中國證券法》、《證券企業監督管理條例》、《證券期貨業信息安全保障管理措施》（已公開征求意見）等相關法律法規制訂本要求。【適用范圍】本要求適適用于在中國境內依法設置證券企業。【責任主體及標準】證券企業是信息技術管理工作責任主體，對本機構信息系統安全運行負擔責任，實施“誰運行、誰負責，誰使用、誰負責”標準。【會機關監管職責】中國證監會負責制訂、修訂證券企業信息技術相關法規，牽頭對證券企業信息技術相關新應用、新情況、新問題進行研究，并牽頭對行業發生重大安全事件進行調查處理。【證監局監管職責】證監局負責轄區證券企業信息系統監管，證券企業分支機構信息系統由分支機構所在地證監局負責監管。證券企業分支機構所在地和證券企業住所地證監局之間應建立有效信息溝通和監管協作機制，有效防范、化解和處理分支機構信息技術風險、重大異常情況和突發事件，協調配合做好相關分支機構信息技術檢驗、信息安全事件處理等事項。【信息技術定義】本要求中證券企業信息技術（英文：InformationTechnology，簡稱IT）是指證券企業在核準業務范圍內，管理和處理業務活動期間產生賬戶、交易、清算、財務、服務等方面信息所采取多種計算機、通信、軟件工程等技術統稱。第二章信息技術治理【信息技術治理】信息技術治理是指證券企業在利用信息技術過程中，制訂相關信息技術決議權分配和責任負擔框架。【責任分工】證券企業法定代表人對證券企業信息安全及信息技術管理負最終責任，證券企業章程應明確以下事項：（一）證券企業信息技術管理組織架構和決議機構；（二）證券企業董事長、總經理、分管信息技術高級管理人員、信息技術管理部門責任人在信息技術管理工作中職責分工。【決議機構】證券企業應成立信息技術委員會或指定專門機構（如總經理辦公會）負責企業信息技術計劃、年度信息技術工作計劃和預算、重大信息系統項目立項和上線等關鍵事項審議工作。信息技術委員會或指定專門機構應由企業總經理、分管信息技術高管、分管財務、風控部門高管、合規總監、信息技術管理部門責任人及相關部門責任人等組成，企業可聘用外部專業人士擔任信息技術委員會或指定專門機構委員或顧問。【分管高管】證券企業應指定高級管理人員或設置信息技術總監分管企業信息技術管理工作，信息技術總監為證券企業高級管理人員。分管信息技術管理工作高級管理人員應含有信息技術專業知識，并含有5年以上從事金融業信息技術管理或信息技術監管工作經驗。信息技術總監應含有證券企業高級管理人員任職資格，含有計算機相關專業大學本科以上學歷，和8年以上從事金融業信息技術管理或信息技術監管工作經驗。分管信息技術管理工作高級管理人員或信息技術總監不得同時兼任或分管企業財務、審計及和其職責相沖突職務或部門。【IT部門職責】證券企業應設置信息技術管理部門，對證券企業總部、分支機構信息技術計劃、項目建設、系統運行維護、信息安全、應急演練及應急處理等工作進行集中、統一管理。證券企業信息技術管理部門應指導并參與審定境內控股子企業信息技術計劃、重大項目建設方案。【IT計劃】證券企業應結合企業發展戰略、經營方針等制訂信息技術計劃，經信息技術委員會或指定專門機構審議，并報董事會同意后實施。信息技術計劃應遵照和企業發展相適應標準，定時進行更新。【制度建設】證券企業應制訂信息技術管理制度和操作步驟。包含內容包含但不限于：項目立項及管理、開發測試、升級變更、系統運維、數據管理、信息安全、權限分配、應急處理、信息安全事件調查處理等方面。證券企業信息技術管理制度和操作步驟應符合國家、監管部門和自律組織相關要求，并依據實際情況立即修訂。【合規和風控】證券企業應將合規管理及風險控制要求貫穿在信息技術管理工作各個步驟。證券企業合規管理部門應對企業信息技術管理制度和操作步驟合規性把關并監督實施，對信息技術管理重大決議和關鍵活動進行合規性審查，對信息技術管理合規情況和其有效性進行監測和檢驗，立即發覺、查處、匯報違法違規行為。證券企業風險控制部門應對信息系統重大變更、信息安全重大決議、信息安全事故處理等進行事前、事中、事后風險評定和監督控制，防范信息技術重大風險。證券企業可為合規管理及風險控制部門配置熟悉證券業務并含有計算機相關專業學歷工作人員。【審計管理】證券企業應指定企業內部審計部門或委托外部審計機構，定時對企業及分支機構信息技術管理工作進行審計，企業總部接收信息技術審計頻率不低于每十二個月一次。【IT投入】證券企業信息技術投入應符合監管部門及自律組織相關要求。【職員培訓】證券企業應對業務人員進行相關業務信息系統使用和信息安全培訓，業務人員每十二個月參與培訓時間不少于6課時。第三章信息技術人員管理【人員要求】證券企業信息技術管理部門責任人應含有計算機相關專業大專以上學歷或含有8年以上從事證券企業信息技術管理工作經驗。證券企業從事信息技術管理工作人員數量應符合監管部門及自律組織相關要求。【人員培訓】證券企業應定時組織信息技術管理人員參與職業操守、合規和相關專業技術能力培訓，每十二個月參與培訓時間應不少于12課時。【崗位備份】證券企業集中交易系統管理、數據庫管理、網絡管理、安全管理等關鍵技術崗位應實施雙人雙崗。【崗位分離】證券企業從事業務及管理信息系統開發、運行維護人員不得從事該項業務具體操作。【人員流動】證券企業應建立信息技術管理人員任職和離職管理制度，證券企業應和信息技術管理關鍵崗位及任職期間包含敏感數據信息技術人員簽署保密協議。第四章基礎設施和信息系統基礎要求【基礎要求】證券企業關鍵信息系統機房建設、機房環境、供電系統應達成《證券期貨業信息系統災難備份能力標準》相關要求，并符合監管部門及自律組織相關要求。證券企業信息技術基礎設施能夠采取自建、租賃或外包形式建立，證券企業采取租賃或外包基礎設施時，除滿足前款所述條件外，還應滿足證券企業業務發展和管理需要，和證券企業開展內、外部審計、監管部門及自律組織進行現場檢驗需要。【布署位置】證券企業用戶、交易、清算、財務、合規管理、風險控制等關鍵數據信息和管理這些信息信息系統應存放并布署在中國境內。【處理能力】證券企業關鍵信息系統處理能力應滿足證券企業業務、管理活動正常運行需要。【網絡通信】證券企業網絡通信系統應滿足業務開展及信息安全需要，應符合國家及行業相關標準及要求。證券企業和證券交易所、中國證券登記結算企業通信連接應建立備份線路，證券企業和分支機構之間應建立不一樣運行商、不一樣介質通信通道。【數據管理】證券企業應建立數據管理制度，包含不限于分級管理、訪問控制、數據安全、數據備份等內容，并充足利用成熟安全技術確保數據保密性、完整性、可用性和可控性。前款所述數據是指證券企業在經營和管理中產生信息資源，關鍵包含業務數據、系統數據和管理數據等。【備份能力】證券企業應建立關鍵信息業務數據及關鍵信息系統備份制度，明確備份范圍、頻率、方法、責任人、存放地點、有效性檢驗等內容，并符合國家及行業相關標準及要求。【監控報警】證券企業應使用能夠連續監控信息系統性能及運行狀態，并能夠立即、完整匯報異常情況監控報警系統，證券企業應建立有效機制對監控報警信息進行逐日跟蹤和運行評定。【預留監管接口】證券企業信息系統應含有可審計功效，并按要求為監管部門留有接口及查詢權限。第五章信息系統開發和運維管理【需求管理】證券企業應建立并連續完善用戶需求管理制度及工作步驟，包含但不限于需求提出、分析、評審、變更、跟蹤、用戶確定等步驟。證券企業應組織信息技術管理部門和相關部門共同對包含證券企業關鍵信息系統需求進行確定。【系統開發】證券企業應對信息系統項目立項、招標、評標、開發、驗收、運行和維護整個過程實施有效管理，嚴格劃分信息系統開發、管理和使用職責，防范利益沖突。證券企業應含有一定自主開發能力，加強關鍵技術掌控能力建設，防范系統開發外包風險，滿足企業發展需要。【測試管理】信息系統上線或變更上線前，應經過證券企業信息技術管理部門及使用部門聯合測試，使用部門應提供具體完整測試方案及預期測試結果，信息技術管理部門及使用部門應共同對測試結果進行統計、評定和確定。【上線及變更管理】證券企業應建立信息系統上線、系統變更管理相關制度和工作步驟，包含但不限于上線（變更）需求、測試內容、結果確定、系統回歸測試、操作步驟、應急預案及回退方案等方面內容。證券企業應在關鍵信息系統上線或發生重大變更之前制訂專題實施方案、應急預案和回退方案。信息技術管理部門及使用部門應對變更操作進行事前審查，并統計變更實施過程。實施變更操作人員應嚴格根據制度及步驟實施，不得私自刪除、修改系統軟件或改變系統配置。證券企業應在變更實施完成后，對變更結果進行跟蹤和確定。【容量管理】證券企業應建立符合證券市場及證券企業業務發展需要和和市場關鍵機構容量相適應系統容量計劃和容量評定機制，容量計劃范圍應包含生產系統、備份系統及相關軟、硬件設備，容量評定應定時進行，立即處理系統容量瓶頸。【運維管理】證券企業應加強信息系統運行和維護，按攝影關工作制度、步驟和操作指南要求，立即跟蹤、發覺和處理系統運行中存在問題，確保信息系統根據要求程序、制度和操作規范連續穩定運行。證券企業應在日常運維管理基礎上，定時對系統進行專題檢驗和維護。【外購系統管理】證券企業關鍵信息系統軟件選擇和管理應充足考慮安全性、可靠性、穩定性和健壯性，使用符合安全要求正版軟件。證券企業使用操作系統軟件應關閉無須要服務和端口，在充足測試前提下，立即安裝操作系統補丁程序。【事故管理】證券企業應建立信息安全事故管理制度和工作步驟，包含但不限于事故描述、類型、等級、影響、原因分析、處理方法及防范方法等方面內容。證券企業發生信息安全事件后，應立即對事故進行處理、統計和匯報，事后應對事故進行總結。【日志留痕】證券企業應加強關鍵信息系統及關鍵設備日志管理，設置必需日志統計模塊并建立定時分析日志工作機制。其中，證券企業集中交易及網上交易系統日志應統計服務請求方身份信息。日志應該能夠滿足各類內部和外部審計需要，關鍵信息系統日志應保留1年以上。【外包服務】證券企業在確保系統安全、風險可控前提下，可選擇行業軟硬件產品或技術服務供給商（以下簡稱“供給商”）提供產品或服務。應該確保選擇軟硬件產品和技術服務符合國家及證券期貨業信息安全相關技術管理要求和標準。供給商關鍵包含為證券企業提供軟硬件產品或信息技術服務信息系統集成商、硬件供給商、軟件供給商、系統開發商、運行服務商及相關代理商等。【供給商選擇】證券企業選擇供給商應符合監管部門資質要求，并建立完善供給商選擇標準及業務步驟，充足評定供給商財務穩定性、管理步驟、專業經驗等相關風險，明確雙方權利義務。【協議管理】證券企業和供給商簽署協議應符合監管部門及自律組織相關要求，明確雙方權利、義務及責任。協議內容應包含但不限于：（一）在產品開發和上線期間，供給商應提供完整系統設計方案，定時提供開發和上線進度計劃、測試結果等文檔，并對其提供產品或服務在測試及使用過程中問題立即進行跟蹤和修復；（二）在產品正常使用期間，供給商應該負擔技術支持、定時維護、系統健康檢驗及產品使用培訓責任；（三）因產品或服務原因造成證券企業發生信息安全事件等情況時，供給商應負擔違約及賠償責任；（四）相關用戶資料等敏感信息保密約定。【供給商管理】證券企業應對供給商提供產品或服務進行測試驗收，并對其提供產品或服務實施全方面質量控制管理。證券企業應建立定時評定機制和應急方法，有效應對供給商在服務中可能出現重大缺失。重大缺失包含但不限于供給商重大資源損失、重大財務損失、關鍵人員變動，和協議意外終止等。第六章業務連續性管理【業務連續性計劃內容】證券企業應依據本身業務性質、規模和復雜程度制訂合適業務連續性計劃（BusinessContinuityPlanning,縮寫為BCP），以確保在出現無法預見系統故障時，將故障對業務影響降低到最小。業務連續性計劃內容應包含但不限于：備份數據恢復機制、備份信息系統恢復機制、替換交易方法、應急聯絡方法、和相關單位通報機制、向監管部門匯報機制、業務連續性計劃披露和更新機制等。業務連續性計劃考慮情形應包含不限于：因自然災難等原因造成機房不可用、機房電力中止；網絡、通信中止或擁堵至不可用；關鍵業務信息系統軟件、硬件故障；關鍵業務信息數據損毀或遭到破壞等。【業務連續性管理】證券企業應指定關鍵責任人為業務連續性計劃第一責任人，負責審批、實施、更新業務連續性計劃。證券企業信息技術委員會或其它專門機構負責對業務連續性計劃進行審議。證券企業應依據業務結構改變、系統升級變更等原因立即更新業務連續性計劃，并組織業務連續性計劃所包含關鍵崗位及人員定時演練。演練頻率不低于每十二個月1次，演練后應形成演練匯報，演練統計應最少保留2年。【業務連續性計劃披露】證券企業應在證券企業開戶協議、證券企業網站等渠道向用戶提醒業務連續性計劃中所包含重大突發事件可能性，和事件發生時證券企業應對方法、用戶可采取替換方法等信息。【事件響應】證券企業發生信息安全事件后，應立即開啟應急預案，做好相關事件應急處理工作，并根據要求立即向監管部門匯報。【事故調查和匯報】證券企業或分支機構發生信息安全事件后，證券企業應根據監管部門及自律組織公布信息安全事故認定標準進行評定認定。對于屬于信息安全事故信息安全事件，證券企業應成立由合規部門、內部審計部門及信息技術管理部門組成聯合調查小組開展調查處理工作，并于調查完成后10個工作日內將事故經過、原因、等級、影響、責任認定和后續處理方法等情況以書面形式匯報證券企業或分支機構住所地證監局。【責任認定】因信息技術管理制度不健全、違反信息技術管理制度及操作步驟、操作失誤、應急處理不妥等原因造成信息安全事故屬于信息安全責任事故。證券企業應依據《證券企業信息安全事件調查處理措施》（擬公布）相關要求對信息安全責任事故進行內部責任追究，并在采取內部責任追究方法10個工作日內將相關情況匯報證券企業住所地證監局。【事后整改】證券企業應依據事故調查結論制訂后續整改計劃，并在事故發生后1個月內將整改計劃匯報住所地證監局。證券企業應在事故發生后逐月向住所地證監局匯報整改完成情況，直至整改完成。信息技術安全管理【基礎設施安全管理】證券企業應加強服務器等關鍵信息設備管理，建立良好物理環境，指定專員負責定時檢驗，立即處理異常情況。未經授權，任何人不得接觸關鍵信息設備。【網絡安全】證券企業不一樣網段之間應進行有效隔離，證券企業應綜合利用防火墻、路由器等網絡設備，漏洞掃描、入侵檢測等軟件技術和遠程訪問安全策略等手段，加強網絡安全，防范來自網絡攻擊和非法入侵。【用戶資料保密】證券企業應做好用戶資料、交易數據等電子信息分類、公布、使用、保留、歸檔和銷毀等安全管理工作，防范敏感信息數據外泄和不正當使用事件發生。證券企業及其職員不得將本企業投資者個人信息出售或非法提供給她人。【用戶端保護】證券企業應加強投資者非現場交易終端安全保護,采取身份認證、數據傳輸加密等多個安全手段，并建立配套制度和工作步驟，確保信息傳輸保密性、正確性和完整性。【密碼管理】證券企業應采取加密技術，防范涉密信息在傳輸、處理、存放過程中出現泄漏或被篡改風險，并建立信息系統安全保密和泄密責任追究制度，確保涉密設備、人員、密碼強度、密碼管理滿足國家及行業相關要求。【權限管理】證券企業應對信息系統實施有效用戶認證和訪問控制管理，權限管理應遵照最小功效標準及最小權限策略，信息技術人員不得從事業務相關操作或擁有相關操作權限，不相容職務用戶賬戶不得交叉操作。證券企業應建立定時檢驗和查對機制，避免授權不妥或存在非授權賬戶，確保系統用戶對數據和系統訪權限應和其工作職責相匹配。【病毒防護】證券企業應采取布署防火墻設備、安裝安全軟件等方法防范信息系統受到病毒等惡意軟件感染和破壞，并指定專員定時維護安全設備或軟件，確保其安全可靠。【其它相關工作】證券企業應根據監管部門相關要求，配合國家信息安全管理部門做好信息安全相關工作。第八章信息技術審計【內部審計】證券企業應依據企業信息技術發展情況定時開展內部信息技術審計。負責內部審計部門應設置充足信息技術審計崗位，其中，含有經紀業務資格證券企業信息技術審計崗位應最少不少于2名。證券企業可聘用外部信息技術教授幫助開展信息技術審計工作。【外部審計】證券企業可委托含有良好職業操守、勤勉盡責、熟悉證券企業業務及相關法律法規，并含有相關資質外部審計機構對證券企業進行信息技術審計。【審計目標】證券企業應經過信息技術審計工作，有效提升信息系統運行及安全保障合規性、有效性和穩定性，確保信息系統建設能夠有效滿足企業日常經營、內部控制和業務創新需要。【責任分工】證券企業應指定關鍵責任人為信息技術審計工作第一責任人，稽核部門對信息技術審計工作質量負責，信息技術部門和合規管理部門對信息技術審計工作后續整改負責。【審計內容】證券企業信息技術全方面審計內容應包含但不限于：信息技術治理、信息技術管理制度、信息技術預算實施情況、信息系統計劃建設、信息系統運維管理情況、信息系統安全情況、信息安全事件應急響應和事故處理、應急演練情況、營業部信息系統管理和其它需要審計事項。【審計頻率】證券企業應組織內部審計部門進行信息技術全方面審計，頻率不低于每十二個月一次，證券企業可依據需要進行信息技術專題審計。發生重大信息安全事件證券企業，應在信息安全事件發生后3個月內對其信息系統進行全方面審計。【審計匯報】證券企業應在每十二個月1月底前向住所地證監局報送當年信息技術審計工作計劃。審計工作計劃應包含審計目標、審計內容、審計關鍵、審計人員、審計時間安排等。證券企業應在信息技術審計結束后20個工作日內形成審計匯報并報送住所地證監局。審計匯報應最少包含審計工作實施情況、對企業信息系統運行和安全保障總體評價、存在問題及整改意見等，審計匯報應附審計工作底稿。【后續整改】證券企業應依據審計中發覺問題及意見，在不影響信息系統穩定運行情況下，制訂合理、可行整改方法及實施步驟。第九章監督管理【企業及分支機構設置】申請設置證券企業或分支機構時，相關單位應向中國證監會提交信息技術管理相關材料，包含不限于組織架構、管理制度、基礎環境建設情況、關鍵信息系統建設及測試驗收匯報、業務連續性計劃、信息技術責任人介紹等。中國證監會及派出機構應對信息技術基礎環境建設、關鍵信息系統運行及人員、制度準備情況進行現場核查，并出具現場核查匯報。【增加業務種類】證券企業申請增加業務種類時，應該向中國證監會提