中國證券業(yè)協(xié)會

　中國期貨業(yè)協(xié)會

 

第一章  總則

　　第一條  為加強證券期貨經(jīng)營機構信息技術管理與規(guī)范，完善各機構的治理結構，提高證券期貨經(jīng)營機構信息技術治理水平，保障信息系統(tǒng)安全運行，特制定本指引。
　　第二條  信息技術治理（IT治理）是指公司在運用信息技術（以下簡稱IT）過程中,制定的有關IT決策權分配和責任承擔的框架，主要包括在IT原則、IT架構、IT基礎設施、IT應用和IT投入5個方面制定相關制度并建立有效的工作機制，實現(xiàn)IT決策的責任和權力的有效分配與控制，提高IT資源的有效性、可用性和安全性。
　　第三條  IT治理是公司治理的重要組成部分，IT能力是證券期貨經(jīng)營機構的核心競爭力之一，有效的IT治理可以持續(xù)鞏固和提升IT能力。各證券期貨經(jīng)營機構應建立有效的IT治理機制，保持IT與業(yè)務目標一致，合理利用IT資源，有效管理IT風險，確保信息系統(tǒng)的建設和運行安全、高效、穩(wěn)定。
　　第四條  本指引適用于各證券期貨經(jīng)營機構，包括證券公司、基金管理公司和期貨公司（以下簡稱公司）。全資子公司的IT治理工作可納入母公司統(tǒng)籌實施。

第二章  IT原則和治理目標

　　第五條  公司應制定明確的IT原則。IT原則是指公司為實現(xiàn)經(jīng)營目標而運用IT的基本思路，對IT在公司運營中所起的作用和IT投入等主要方面做出明確的規(guī)定。
　　第六條  公司應根據(jù)其經(jīng)營規(guī)劃制定IT治理目標，利用IT增強公司的核心競爭力,使公司從IT投入中獲得更大收益。IT治理目標應包括：
　?。ㄒ唬┟鞔_IT決策的權力和責任；
　?。ǘ崿F(xiàn)技術和業(yè)務的有效匹配；
　?。ㄈ崿F(xiàn)IT資源的最優(yōu)配置；
　?。ㄋ模崿F(xiàn)IT風險的可管可控。
　　第七條  公司應制定公開、可行的IT治理流程，建立公司業(yè)務與IT之間清晰的聯(lián)系框架，采取有效措施，使公司管理層和各相關部門的人員了解并認同公司的IT原則和治理目標。
　　第八條  公司應根據(jù)其發(fā)展需要制定IT規(guī)劃。IT規(guī)劃應與公司發(fā)展保持一致，符合公司經(jīng)營對IT的要求，并使技術和業(yè)務部門能正確地理解和把握公司對IT的要求。
　　第九條  公司在制定IT規(guī)劃時，應征求相關業(yè)務部門、財務管理部門和內(nèi)部控制部門的意見，并報公司管理層批準實施。
　　第十條  IT規(guī)劃在有效性、可用性和安全性方面應滿足行業(yè)和公司可預見的業(yè)務發(fā)展要求，在容量、性能和安全保障方面做出規(guī)定。

第三章  IT治理組織和工作機制

　　第十一條  公司是IT系統(tǒng)建設、管理及安全運營的責任主體，公司應建立有效的IT治理組織和工作機制，實現(xiàn)IT決策的有效授權和控制，通過制定相關制度來建立IT的決策、執(zhí)行和監(jiān)督的責任機制。
　　第十二條  公司應在總公司、分支機構和全資子公司建立統(tǒng)一協(xié)調的IT治理機制，較低層級服從于較高層級。
　　第十三條  公司總經(jīng)理對IT治理的有效性及IT安全負有最終責任，公司應指定具有IT專業(yè)工作經(jīng)驗的高級管理人員作為公司IT治理的直接責任人，并設立IT總監(jiān)或其它類似職位的IT專職負責人。
　　第十四條  公司應設立IT治理委員會或類似機構，負責公司IT治理工作。IT治理委員會向公司管理層負責，公司管理層應為IT治理委員會履行職責和行使職權提供必要的制度和機制保障。
　　第十五條  IT治理委員會應由公司IT治理直接責任人、IT總監(jiān)、IT部門負責人、相關業(yè)務負責人、財務負責人、內(nèi)部控制負責人以及部分技術骨干等人員組成，其中IT人員的比例應在30%以上。公司可聘請外部專業(yè)人士擔任委員或顧問。
　　第十六條  IT治理委員會應建立明確的工作制度，應至少每季度召開一次例會或根據(jù)需要召開臨時委員會會議。
　　第十七條  IT治理委員會應履行以下職責：
　　（一）擬訂公司IT治理目標和IT治理工作計劃;
　?。ǘ徸h公司IT發(fā)展規(guī)劃；
　　（三）審議公司年度IT工作計劃和IT預算；
　?。ㄋ模徸h公司重大IT項目立項、投入和優(yōu)先級；
　　（五）審議公司IT管理制度和重要流程；
　　（六）制訂與IT治理相關的培訓和教育工作計劃；
　?。ㄆ撸z查所擬訂和審議事項的落實和執(zhí)行情況；
　?。ò耍┙M織評估公司IT重大事項并提出處置意見；
　?。ň牛┫蚬竟芾韺訄蟾鍵T治理狀況。
　　第十八條  IT總監(jiān)的職責包括但不限于：
　?。ㄒ唬┙M織擬定公司中長期IT發(fā)展規(guī)劃；
　?。ǘ┙M織擬定公司年度IT工作計劃及預算；
　?。ㄈ┙M織擬定公司信息系統(tǒng)安全目標、策略、方針及實施計劃；
　?。ㄋ模┙M織對公司IT的風險進行評估及控制；
　　（五）組織并協(xié)調公司信息化建設工作；
　?。┙M織擬定IT管理制度、IT建設標準；
　?。ㄆ撸┙M織落實IT治理委員會所制定和審議的有關事項；
　?。ò耍┫蚬竟芾韺雍虸T治理委員會報告IT重大事項，并對上報事項的真實性、準確性、完整性、及時性負責；
　?。ň牛拘畔⑾到y(tǒng)的安全管理體系的有效性負技術責任。
　　第十九條  公司應建立對IT管理和IT運行維護的考核機制。

第四章  IT架構與IT基礎設施

　　第二十條  公司應根據(jù)IT原則和治理目標制定相應的IT架構，確定IT基礎設施、IT應用系統(tǒng)的整體框架。
　　第二十一條  公司IT架構應包括業(yè)務應用架構、系統(tǒng)平臺架構、數(shù)據(jù)信息架構等，不同架構的范圍和邊界應明確定義。
　　第二十二條  IT架構應遵循全局、開放、共享的原則，通過數(shù)據(jù)、流程、技術的標準化和一體化工作，建立業(yè)務應用、系統(tǒng)平臺、數(shù)據(jù)信息等完整、清晰的組織關系。
　　第二十三條  IT架構在保證數(shù)據(jù)和基礎設施相對穩(wěn)定的前提下，應具備良好的可擴展性和靈活性以支持不斷變化的業(yè)務需求和應用。
　　第二十四條  公司應定期或在有重大變化時對IT架構進行評估，保證IT 架構的適應性和合理性。
　　第二十五條  IT基礎設施應包括技術標準、基礎組織、基礎數(shù)據(jù)、基礎軟件、技術設備、通信網(wǎng)絡、安全系統(tǒng)、機房物理環(huán)境等，其中每一項都包含一系列整合的服務。
　　第二十六條  IT基礎設施建設應遵循可靠、安全、共享和可管理的原則，能為多種IT應用提供支持和服務，并根據(jù)成本效益與安全控制等要求確定IT資源的集中度。
　　第二十七條  IT基礎設施應具有統(tǒng)一、安全、可靠、靈活、可擴展的特點，應科學地設計和管理IT基礎設施的容量，以適應業(yè)務增長和創(chuàng)新的需要，有利于業(yè)務擴展和創(chuàng)新應用的快速、高效的實施和部署。公司應定期評估IT基礎設施的容量和適應能力。

 

第五章  IT應用

　　第二十八條  公司應建立技術部門和業(yè)務部門之間有效的溝通協(xié)調機制，制定IT應用貫穿需求分析、立項決策、系統(tǒng)建設、系統(tǒng)驗收和上線運行等階段完整的工作制度與工作流程，通過IT應用實現(xiàn)公司的經(jīng)營目標。
　　第二十九條  IT應用需求應充分考慮業(yè)務與技術之間協(xié)同發(fā)展的互動關系。重大IT應用需求應由相應的使用部門或IT部門在需求調研的基礎上提出，由內(nèi)部控制部門、財務管理部門和IT部門會商后報公司IT治理委員會審議立項，由使用部門、運維部門和內(nèi)部控制部門參與驗收工作。
　　第三十條  IT應用建設應在確保安全的前提下平衡技術創(chuàng)新和IT架構完整性；IT應用應促進和改善IT架構，盡可能保證IT架構的完整性和穩(wěn)定性。
　　第三十一條  公司應為IT應用實現(xiàn)提供必需的財力和人力資源，并在制定工作計劃時充分考慮軟件開發(fā)、測試及部署實施所需要的時間周期。
　　第三十二條  重要IT應用系統(tǒng)包括但不限于核心交易系統(tǒng)、結算系統(tǒng)、風險控制系統(tǒng)、財務系統(tǒng)、安全系統(tǒng)、災難備份系統(tǒng)。
　　第三十三條  公司重要IT應用系統(tǒng)和基礎設施的建設、管理和運行維護應滿足行業(yè)的有關規(guī)范并達到安全技術標準要求，沒有行業(yè)規(guī)范和標準的應盡可能參照已有的國家或國際相關技術規(guī)范和標準。 

 

第六章  IT投入

　　第三十四條  公司在制定IT年度預算時應保障公司業(yè)務正常運轉所需IT投入，并確定IT項目投入的優(yōu)先順序以及投入的金額。
　　第三十五條  公司最近三個財政年度IT投入平均數(shù)額原則上應不少于最近三個財政年度平均凈利潤的6%或不少于最近三個財政年度平均營業(yè)收入的3%。
　　第三十六條  IT建設應有前瞻性，同時要避免盲目超前的IT規(guī)劃帶來過大的IT投入。公司應從財務風險、市場風險、組織風險和技術風險上對IT投入風險進行評估，并做出分析和權衡。
　　第三十七條  公司應建立可量化的指標體系對IT投入進行管理，加強IT項目的成本核算。
　　第三十八條  IT投入應優(yōu)先保證為投資者提供安全、可靠的交易服務。
　　第三十九條  公司應將IT基礎設施作為一種重要資產(chǎn)進行管理，并逐年對各項基礎設施進行審慎投入。

 

第七章 IT人力資源

　　第四十條  公司應設立IT部門具體負責IT系統(tǒng)的開發(fā)、運維和管理工作，公司分支機構應當設立相應的IT部門或崗位負責分支機構的IT工作。
　　第四十一條  公司應根據(jù)實際情況配備足夠的IT工作人員，并滿足安全和崗位設置的有關要求。公司的IT工作人員總數(shù)原則上應不少于公司員工總人數(shù)的6％，并且期貨公司IT工作人員總數(shù)應不少于3人。
　　第四十二條  公司應為IT部門提供足夠的資金支持，為IT人員提供履行其崗位職責所需要的崗位技能培訓及業(yè)務培訓，制定合理的激勵機制和獎懲措施。
　　第四十三條  鼓勵公司設立IT專業(yè)職級體系，建立公平、公開、公正的晉升機制，為IT人員提供相應的發(fā)展空間。
　　第四十四條  公司宜配備適當IT研發(fā)人員增強公司重要IT應用系統(tǒng)的自主研發(fā)能力。

第八章 IT安全和風險控制

　　第四十五條  公司應通過管理機制和技術手段確保公司的IT系統(tǒng)安全與信息安全，保障業(yè)務活動的連續(xù)性，保證重要信息的保密、完整及可用，確保信息內(nèi)容符合法律法規(guī)的要求。
　　第四十六條  公司的系統(tǒng)開發(fā)、系統(tǒng)運維管理、系統(tǒng)的合規(guī)檢查原則上應實現(xiàn)相互分離。
　　第四十七條  公司應建立有效的災難備份系統(tǒng)和應急預案，明確應急預案的激活條件、緊急事件處理流程、報告流程、撤銷流程、恢復流程以及人員責任等。災難備份系統(tǒng)的各項技術指標應符合監(jiān)管機構的要求。
　　第四十八條  公司應充分重視客戶資料等公司商業(yè)信息安全問題，制定相關制度、采取相應措施確保在開放的市場環(huán)境中公司的商業(yè)機密和投資者信息安全。
　　第四十九條  公司應對全體員工開展必要的信息安全培訓、教育和考核，對合作方服務人員提出明確的信息安全要求。公司與合作方簽訂合同應包含保密和誠信協(xié)議，明確各自承擔的安全義務和責任，并要求合作方在提供產(chǎn)品或服務的同時承諾產(chǎn)品不存在惡意代碼或未授權的連接功能（軟件后門），不提供違反法律法規(guī)的操作模塊、功能和手段。
　　第五十條  公司應規(guī)范IT外包服務管理，對重要的外包服務要明確服務商資質要求、服務等級、服務流程、責任義務和服務質量標準。
　　第五十一條  公司應制定IT風險管理的策略和相關制度，對信息系統(tǒng)的合規(guī)性進行檢查,對IT風險進行評估。
　　第五十二條  公司應建立內(nèi)部IT審計制度，至少每兩年進行一次IT審計。建議對重要IT項目的建設和運行進行專項審計，鼓勵公司聘請外部有資質的機構對公司進行IT審計和IT風險評估。

第九章  附則

　　第五十三條  本指引由中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會負責解釋。
　　第五十四條  本指引自發(fā)布之日起實施。