证券公司信息关键技术管理详细规定草案

证券企业信息技术管理要求（草案V1.72）第一章总则【立法目标和依据】为保障证券企业信息系统安全运行，加强证券企业信息安全管理，防范和化解信息技术风险，提升行业信息安全水平，支持证券业务发展，依据《中国证券法》、《证券企业监督管理条例》、《证券期货业信息安全保障管理措施》（已公开征求意见）等相关法律法规制订本要求。【适用范围】本要求适适用于在中国境内依法设置证券企业。【责任主体及标准】证券企业是信息技术管理工作责任主体，对本机构信息系统安全运行负担责任，实施“谁运行、谁负责，谁使用、谁负责”标准。【会机关监管职责】中国证监会负责制订、修订证券企业信息技术相关法规，牵头对证券企业信息技术相关新应用、新情况、新问题进行研究，并牵头对行业发生重大安全事件进行调查处理。【证监局监管职责】证监局负责辖区证券企业信息系统监管，证券企业分支机构信息系统由分支机构所在地证监局负责监管。证券企业分支机构所在地和证券企业住所地证监局之间应建立有效信息沟通和监管协作机制，有效防范、化解和处理分支机构信息技术风险、重大异常情况和突发事件，协调配合做好相关分支机构信息技术检验、信息安全事件处理等事项。【信息技术定义】本要求中证券企业信息技术（英文：InformationTechnology，简称IT）是指证券企业在核准业务范围内，管理和处理业务活动期间产生账户、交易、清算、财务、服务等方面信息所采取多种计算机、通信、软件工程等技术统称。第二章信息技术治理【信息技术治理】信息技术治理是指证券企业在利用信息技术过程中，制订相关信息技术决议权分配和责任负担框架。【责任分工】证券企业法定代表人对证券企业信息安全及信息技术管理负最终责任，证券企业章程应明确以下事项：（一）证券企业信息技术管理组织架构和决议机构；（二）证券企业董事长、总经理、分管信息技术高级管理人员、信息技术管理部门责任人在信息技术管理工作中职责分工。【决议机构】证券企业应成立信息技术委员会或指定专门机构（如总经理办公会）负责企业信息技术计划、年度信息技术工作计划和预算、重大信息系统项目立项和上线等关键事项审议工作。信息技术委员会或指定专门机构应由企业总经理、分管信息技术高管、分管财务、风控部门高管、合规总监、信息技术管理部门责任人及相关部门责任人等组成，企业可聘用外部专业人士担任信息技术委员会或指定专门机构委员或顾问。【分管高管】证券企业应指定高级管理人员或设置信息技术总监分管企业信息技术管理工作，信息技术总监为证券企业高级管理人员。分管信息技术管理工作高级管理人员应含有信息技术专业知识，并含有5年以上从事金融业信息技术管理或信息技术监管工作经验。信息技术总监应含有证券企业高级管理人员任职资格，含有计算机相关专业大学本科以上学历，和8年以上从事金融业信息技术管理或信息技术监管工作经验。分管信息技术管理工作高级管理人员或信息技术总监不得同时兼任或分管企业财务、审计及和其职责相冲突职务或部门。【IT部门职责】证券企业应设置信息技术管理部门，对证券企业总部、分支机构信息技术计划、项目建设、系统运行维护、信息安全、应急演练及应急处理等工作进行集中、统一管理。证券企业信息技术管理部门应指导并参与审定境内控股子企业信息技术计划、重大项目建设方案。【IT计划】证券企业应结合企业发展战略、经营方针等制订信息技术计划，经信息技术委员会或指定专门机构审议，并报董事会同意后实施。信息技术计划应遵照和企业发展相适应标准，定时进行更新。【制度建设】证券企业应制订信息技术管理制度和操作步骤。包含内容包含但不限于：项目立项及管理、开发测试、升级变更、系统运维、数据管理、信息安全、权限分配、应急处理、信息安全事件调查处理等方面。证券企业信息技术管理制度和操作步骤应符合国家、监管部门和自律组织相关要求，并依据实际情况立即修订。【合规和风控】证券企业应将合规管理及风险控制要求贯穿在信息技术管理工作各个步骤。证券企业合规管理部门应对企业信息技术管理制度和操作步骤合规性把关并监督实施，对信息技术管理重大决议和关键活动进行合规性审查，对信息技术管理合规情况和其有效性进行监测和检验，立即发觉、查处、汇报违法违规行为。证券企业风险控制部门应对信息系统重大变更、信息安全重大决议、信息安全事故处理等进行事前、事中、事后风险评定和监督控制，防范信息技术重大风险。证券企业可为合规管理及风险控制部门配置熟悉证券业务并含有计算机相关专业学历工作人员。【审计管理】证券企业应指定企业内部审计部门或委托外部审计机构，定时对企业及分支机构信息技术管理工作进行审计，企业总部接收信息技术审计频率不低于每十二个月一次。【IT投入】证券企业信息技术投入应符合监管部门及自律组织相关要求。【职员培训】证券企业应对业务人员进行相关业务信息系统使用和信息安全培训，业务人员每十二个月参与培训时间不少于6课时。第三章信息技术人员管理【人员要求】证券企业信息技术管理部门责任人应含有计算机相关专业大专以上学历或含有8年以上从事证券企业信息技术管理工作经验。证券企业从事信息技术管理工作人员数量应符合监管部门及自律组织相关要求。【人员培训】证券企业应定时组织信息技术管理人员参与职业操守、合规和相关专业技术能力培训，每十二个月参与培训时间应不少于12课时。【岗位备份】证券企业集中交易系统管理、数据库管理、网络管理、安全管理等关键技术岗位应实施双人双岗。【岗位分离】证券企业从事业务及管理信息系统开发、运行维护人员不得从事该项业务具体操作。【人员流动】证券企业应建立信息技术管理人员任职和离职管理制度，证券企业应和信息技术管理关键岗位及任职期间包含敏感数据信息技术人员签署保密协议。第四章基础设施和信息系统基础要求【基础要求】证券企业关键信息系统机房建设、机房环境、供电系统应达成《证券期货业信息系统灾难备份能力标准》相关要求，并符合监管部门及自律组织相关要求。证券企业信息技术基础设施能够采取自建、租赁或外包形式建立，证券企业采取租赁或外包基础设施时，除满足前款所述条件外，还应满足证券企业业务发展和管理需要，和证券企业开展内、外部审计、监管部门及自律组织进行现场检验需要。【布署位置】证券企业用户、交易、清算、财务、合规管理、风险控制等关键数据信息和管理这些信息信息系统应存放并布署在中国境内。【处理能力】证券企业关键信息系统处理能力应满足证券企业业务、管理活动正常运行需要。【网络通信】证券企业网络通信系统应满足业务开展及信息安全需要，应符合国家及行业相关标准及要求。证券企业和证券交易所、中国证券登记结算企业通信连接应建立备份线路，证券企业和分支机构之间应建立不一样运行商、不一样介质通信通道。【数据管理】证券企业应建立数据管理制度，包含不限于分级管理、访问控制、数据安全、数据备份等内容，并充足利用成熟安全技术确保数据保密性、完整性、可用性和可控性。前款所述数据是指证券企业在经营和管理中产生信息资源，关键包含业务数据、系统数据和管理数据等。【备份能力】证券企业应建立关键信息业务数据及关键信息系统备份制度，明确备份范围、频率、方法、责任人、存放地点、有效性检验等内容，并符合国家及行业相关标准及要求。【监控报警】证券企业应使用能够连续监控信息系统性能及运行状态，并能够立即、完整汇报异常情况监控报警系统，证券企业应建立有效机制对监控报警信息进行逐日跟踪和运行评定。【预留监管接口】证券企业信息系统应含有可审计功效，并按要求为监管部门留有接口及查询权限。第五章信息系统开发和运维管理【需求管理】证券企业应建立并连续完善用户需求管理制度及工作步骤，包含但不限于需求提出、分析、评审、变更、跟踪、用户确定等步骤。证券企业应组织信息技术管理部门和相关部门共同对包含证券企业关键信息系统需求进行确定。【系统开发】证券企业应对信息系统项目立项、招标、评标、开发、验收、运行和维护整个过程实施有效管理，严格划分信息系统开发、管理和使用职责，防范利益冲突。证券企业应含有一定自主开发能力，加强关键技术掌控能力建设，防范系统开发外包风险，满足企业发展需要。【测试管理】信息系统上线或变更上线前，应经过证券企业信息技术管理部门及使用部门联合测试，使用部门应提供具体完整测试方案及预期测试结果，信息技术管理部门及使用部门应共同对测试结果进行统计、评定和确定。【上线及变更管理】证券企业应建立信息系统上线、系统变更管理相关制度和工作步骤，包含但不限于上线（变更）需求、测试内容、结果确定、系统回归测试、操作步骤、应急预案及回退方案等方面内容。证券企业应在关键信息系统上线或发生重大变更之前制订专题实施方案、应急预案和回退方案。信息技术管理部门及使用部门应对变更操作进行事前审查，并统计变更实施过程。实施变更操作人员应严格根据制度及步骤实施，不得私自删除、修改系统软件或改变系统配置。证券企业应在变更实施完成后，对变更结果进行跟踪和确定。【容量管理】证券企业应建立符合证券市场及证券企业业务发展需要和和市场关键机构容量相适应系统容量计划和容量评定机制，容量计划范围应包含生产系统、备份系统及相关软、硬件设备，容量评定应定时进行，立即处理系统容量瓶颈。【运维管理】证券企业应加强信息系统运行和维护，按摄影关工作制度、步骤和操作指南要求，立即跟踪、发觉和处理系统运行中存在问题，确保信息系统根据要求程序、制度和操作规范连续稳定运行。证券企业应在日常运维管理基础上，定时对系统进行专题检验和维护。【外购系统管理】证券企业关键信息系统软件选择和管理应充足考虑安全性、可靠性、稳定性和健壮性，使用符合安全要求正版软件。证券企业使用操作系统软件应关闭无须要服务和端口，在充足测试前提下，立即安装操作系统补丁程序。【事故管理】证券企业应建立信息安全事故管理制度和工作步骤，包含但不限于事故描述、类型、等级、影响、原因分析、处理方法及防范方法等方面内容。证券企业发生信息安全事件后，应立即对事故进行处理、统计和汇报，事后应对事故进行总结。【日志留痕】证券企业应加强关键信息系统及关键设备日志管理，设置必需日志统计模块并建立定时分析日志工作机制。其中，证券企业集中交易及网上交易系统日志应统计服务请求方身份信息。日志应该能够满足各类内部和外部审计需要，关键信息系统日志应保留1年以上。【外包服务】证券企业在确保系统安全、风险可控前提下，可选择行业软硬件产品或技术服务供给商（以下简称“供给商”）提供产品或服务。应该确保选择软硬件产品和技术服务符合国家及证券期货业信息安全相关技术管理要求和标准。供给商关键包含为证券企业提供软硬件产品或信息技术服务信息系统集成商、硬件供给商、软件供给商、系统开发商、运行服务商及相关代理商等。【供给商选择】证券企业选择供给商应符合监管部门资质要求，并建立完善供给商选择标准及业务步骤，充足评定供给商财务稳定性、管理步骤、专业经验等相关风险，明确双方权利义务。【协议管理】证券企业和供给商签署协议应符合监管部门及自律组织相关要求，明确双方权利、义务及责任。协议内容应包含但不限于：（一）在产品开发和上线期间，供给商应提供完整系统设计方案，定时提供开发和上线进度计划、测试结果等文档，并对其提供产品或服务在测试及使用过程中问题立即进行跟踪和修复；（二）在产品正常使用期间，供给商应该负担技术支持、定时维护、系统健康检验及产品使用培训责任；（三）因产品或服务原因造成证券企业发生信息安全事件等情况时，供给商应负担违约及赔偿责任；（四）相关用户资料等敏感信息保密约定。【供给商管理】证券企业应对供给商提供产品或服务进行测试验收，并对其提供产品或服务实施全方面质量控制管理。证券企业应建立定时评定机制和应急方法，有效应对供给商在服务中可能出现重大缺失。重大缺失包含但不限于供给商重大资源损失、重大财务损失、关键人员变动，和协议意外终止等。第六章业务连续性管理【业务连续性计划内容】证券企业应依据本身业务性质、规模和复杂程度制订合适业务连续性计划（BusinessContinuityPlanning,缩写为BCP），以确保在出现无法预见系统故障时，将故障对业务影响降低到最小。业务连续性计划内容应包含但不限于：备份数据恢复机制、备份信息系统恢复机制、替换交易方法、应急联络方法、和相关单位通报机制、向监管部门汇报机制、业务连续性计划披露和更新机制等。业务连续性计划考虑情形应包含不限于：因自然灾难等原因造成机房不可用、机房电力中止；网络、通信中止或拥堵至不可用；关键业务信息系统软件、硬件故障；关键业务信息数据损毁或遭到破坏等。【业务连续性管理】证券企业应指定关键责任人为业务连续性计划第一责任人，负责审批、实施、更新业务连续性计划。证券企业信息技术委员会或其它专门机构负责对业务连续性计划进行审议。证券企业应依据业务结构改变、系统升级变更等原因立即更新业务连续性计划，并组织业务连续性计划所包含关键岗位及人员定时演练。演练频率不低于每十二个月1次，演练后应形成演练汇报，演练统计应最少保留2年。【业务连续性计划披露】证券企业应在证券企业开户协议、证券企业网站等渠道向用户提醒业务连续性计划中所包含重大突发事件可能性，和事件发生时证券企业应对方法、用户可采取替换方法等信息。【事件响应】证券企业发生信息安全事件后，应立即开启应急预案，做好相关事件应急处理工作，并根据要求立即向监管部门汇报。【事故调查和汇报】证券企业或分支机构发生信息安全事件后，证券企业应根据监管部门及自律组织公布信息安全事故认定标准进行评定认定。对于属于信息安全事故信息安全事件，证券企业应成立由合规部门、内部审计部门及信息技术管理部门组成联合调查小组开展调查处理工作，并于调查完成后10个工作日内将事故经过、原因、等级、影响、责任认定和后续处理方法等情况以书面形式汇报证券企业或分支机构住所地证监局。【责任认定】因信息技术管理制度不健全、违反信息技术管理制度及操作步骤、操作失误、应急处理不妥等原因造成信息安全事故属于信息安全责任事故。证券企业应依据《证券企业信息安全事件调查处理措施》（拟公布）相关要求对信息安全责任事故进行内部责任追究，并在采取内部责任追究方法10个工作日内将相关情况汇报证券企业住所地证监局。【事后整改】证券企业应依据事故调查结论制订后续整改计划，并在事故发生后1个月内将整改计划汇报住所地证监局。证券企业应在事故发生后逐月向住所地证监局汇报整改完成情况，直至整改完成。信息技术安全管理【基础设施安全管理】证券企业应加强服务器等关键信息设备管理，建立良好物理环境，指定专员负责定时检验，立即处理异常情况。未经授权，任何人不得接触关键信息设备。【网络安全】证券企业不一样网段之间应进行有效隔离，证券企业应综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术和远程访问安全策略等手段，加强网络安全，防范来自网络攻击和非法入侵。【用户资料保密】证券企业应做好用户资料、交易数据等电子信息分类、公布、使用、保留、归档和销毁等安全管理工作，防范敏感信息数据外泄和不正当使用事件发生。证券企业及其职员不得将本企业投资者个人信息出售或非法提供给她人。【用户端保护】证券企业应加强投资者非现场交易终端安全保护,采取身份认证、数据传输加密等多个安全手段，并建立配套制度和工作步骤，确保信息传输保密性、正确性和完整性。【密码管理】证券企业应采取加密技术，防范涉密信息在传输、处理、存放过程中出现泄漏或被篡改风险，并建立信息系统安全保密和泄密责任追究制度，确保涉密设备、人员、密码强度、密码管理满足国家及行业相关要求。【权限管理】证券企业应对信息系统实施有效用户认证和访问控制管理，权限管理应遵照最小功效标准及最小权限策略，信息技术人员不得从事业务相关操作或拥有相关操作权限，不相容职务用户账户不得交叉操作。证券企业应建立定时检验和查对机制，避免授权不妥或存在非授权账户，确保系统用户对数据和系统访权限应和其工作职责相匹配。【病毒防护】证券企业应采取布署防火墙设备、安装安全软件等方法防范信息系统受到病毒等恶意软件感染和破坏，并指定专员定时维护安全设备或软件，确保其安全可靠。【其它相关工作】证券企业应根据监管部门相关要求，配合国家信息安全管理部门做好信息安全相关工作。第八章信息技术审计【内部审计】证券企业应依据企业信息技术发展情况定时开展内部信息技术审计。负责内部审计部门应设置充足信息技术审计岗位，其中，含有经纪业务资格证券企业信息技术审计岗位应最少不少于2名。证券企业可聘用外部信息技术教授帮助开展信息技术审计工作。【外部审计】证券企业可委托含有良好职业操守、勤勉尽责、熟悉证券企业业务及相关法律法规，并含有相关资质外部审计机构对证券企业进行信息技术审计。【审计目标】证券企业应经过信息技术审计工作，有效提升信息系统运行及安全保障合规性、有效性和稳定性，确保信息系统建设能够有效满足企业日常经营、内部控制和业务创新需要。【责任分工】证券企业应指定关键责任人为信息技术审计工作第一责任人，稽核部门对信息技术审计工作质量负责，信息技术部门和合规管理部门对信息技术审计工作后续整改负责。【审计内容】证券企业信息技术全方面审计内容应包含但不限于：信息技术治理、信息技术管理制度、信息技术预算实施情况、信息系统计划建设、信息系统运维管理情况、信息系统安全情况、信息安全事件应急响应和事故处理、应急演练情况、营业部信息系统管理和其它需要审计事项。【审计频率】证券企业应组织内部审计部门进行信息技术全方面审计，频率不低于每十二个月一次，证券企业可依据需要进行信息技术专题审计。发生重大信息安全事件证券企业，应在信息安全事件发生后3个月内对其信息系统进行全方面审计。【审计汇报】证券企业应在每十二个月1月底前向住所地证监局报送当年信息技术审计工作计划。审计工作计划应包含审计目标、审计内容、审计关键、审计人员、审计时间安排等。证券企业应在信息技术审计结束后20个工作日内形成审计汇报并报送住所地证监局。审计汇报应最少包含审计工作实施情况、对企业信息系统运行和安全保障总体评价、存在问题及整改意见等，审计汇报应附审计工作底稿。【后续整改】证券企业应依据审计中发觉问题及意见，在不影响信息系统稳定运行情况下，制订合理、可行整改方法及实施步骤。第九章监督管理【企业及分支机构设置】申请设置证券企业或分支机构时，相关单位应向中国证监会提交信息技术管理相关材料，包含不限于组织架构、管理制度、基础环境建设情况、关键信息系统建设及测试验收汇报、业务连续性计划、信息技术责任人介绍等。中国证监会及派出机构应对信息技术基础环境建设、关键信息系统运行及人员、制度准备情况进行现场核查，并出具现场核查汇报。【增加业务种类】证券企业申请增加业务种类时，应该向中国证监会提