《證券期貨經營機構信息技術治理工作指引(試行)》于2008年9月3日公布,自公布之日起施行。
第一條 為加強證券期貨經營機構信息技術管理與規范,完善各機構的治理結構,提高證券期貨經營機構信息技術治理水平,保障信息系統安全運行,特制定本指引。
第二條 信息技術治理(IT治理)是指公司在運用信息技術(以下簡稱IT)過程中,制定的有關IT決策權分配和責任承擔的框架,主要包括在IT原則、IT架構、IT基礎設施、IT應用和IT投入5個方面制定相關制度并建立有效的工作機制,實現IT決策的責任和權力的有效分配與控制,提高IT資源的有效性、可用性和安全性。
第三條 IT治理是公司治理的重要組成部分,IT能力是證券期貨經營機構的核心競爭力之一,有效的IT治理可以持續鞏固和提升IT能力。各證券期貨經營機構應建立有效的IT治理機制,保持IT與業務目標一致,合理利用IT資源,有效管理IT風險,確保信息系統的建設和運行安全、高效、穩定。
第四條 本指引適用于各證券期貨經營機構,包括證券公司、基金管理公司和期貨公司(以下簡稱公司)。全資子公司的IT治理工作可納入母公司統籌實施。
第二章 IT原則和治理目標
第五條 公司應制定明確的IT原則。IT原則是指公司為實現經營目標而運用IT的基本思路,對IT在公司運營中所起的作用和IT投入等主要方面做出明確的規定。
第六條 公司應根據其經營規劃制定IT治理目標,利用IT增強公司的核心競爭力,使公司從IT投入中獲得更大收益。IT治理目標應包括:
(一)明確IT決策的權力和責任;
(二)實現技術和業務的有效匹配;
(三)實現IT資源的最優配置;
(四)實現IT風險的可管可控。
第七條 公司應制定公開、可行的IT治理流程,建立公司業務與IT之間清晰的聯系框架,采取有效措施,使公司管理層和各相關部門的人員了解并認同公司的IT原則和治理目標。
第八條 公司應根據其發展需要制定IT規劃。IT規劃應與公司發展保持一致,符合公司經營對IT的要求,并使技術和業務部門能正確地理解和把握公司對IT的要求。
第九條 公司在制定IT規劃時,應征求相關業務部門、財務管理部門和內部控制部門的意見,并報公司管理層批準實施。
第十條 IT規劃在有效性、可用性和安全性方面應滿足行業和公司可預見的業務發展要求,在容量、性能和安全保障方面做出規定。
第十一條 公司是IT系統建設、管理及安全運營的責任主體,公司應建立有效的IT治理組織和工作機制,實現IT決策的有效授權和控制,通過制定相關制度來建立IT的決策、執行和監督的責任機制。
第十二條 公司應在總公司、分支機構和全資子公司建立統一協調的IT治理機制,較低層級服從于較高層級。
第十三條 公司總經理對IT治理的有效性及IT安全負有最終責任,公司應指定具有IT專業工作經驗的高級管理人員作為公司IT治理的直接責任人,并設立IT總監或其它類似職位的IT專職負責人。
第十四條 公司應設立IT治理委員會或類似機構,負責公司IT治理工作。IT治理委員會向公司管理層負責,公司管理層應為IT治理委員會履行職責和行使職權提供必要的制度和機制保障。
第十五條 IT治理委員會應由公司IT治理直接責任人、IT總監、IT部門負責人、相關業務負責人、財務負責人、內部控制負責人以及部分技術骨干等人員組成,其中IT人員的比例應在30%以上。公司可聘請外部專業人士擔任委員或顧問。
第十六條 IT治理委員會應建立明確的工作制度,應至少每季度召開一次例會或根據需要召開臨時委員會會議。
第十七條 IT治理委員會應履行以下職責:
(一)擬訂公司IT治理目標和IT治理工作計劃;
(二)審議公司IT發展規劃;
(三)審議公司年度IT工作計劃和IT預算;
(四)審議公司重大IT項目立項、投入和優先級;
(五)審議公司IT管理制度和重要流程;
(六)制訂與IT治理相關的培訓和教育工作計劃;
(七)檢查所擬訂和審議事項的落實和執行情況;
(八)組織評估公司IT重大事項并提出處置意見;
(九)向公司管理層報告IT治理狀況。
第十八條 IT總監的職責包括但不限于:
(一)組織擬定公司中長期IT發展規劃;
(二)組織擬定公司年度IT工作計劃及預算;
(三)組織擬定公司信息系統安全目標、策略、方針及實施計劃;
(四)組織對公司IT的風險進行評估及控制;
(五)組織并協調公司信息化建設工作;
(六)組織擬定IT管理制度、IT建設標準;
(七)組織落實IT治理委員會所制定和審議的有關事項;
(八)向公司管理層和IT治理委員會報告IT重大事項,并對上報事項的真實性、準確性、完整性、及時性負責;
(九)對公司信息系統的安全管理體系的有效性負技術責任。
第十九條 公司應建立對IT管理和IT運行維護的考核機制。
第四章 IT架構與IT基礎設施
第二十條 公司應根據IT原則和治理目標制定相應的IT架構,確定IT基礎設施、IT應用系統的整體框架。
第二十一條 公司IT架構應包括業務應用架構、系統平臺架構、數據信息架構等,不同架構的范圍和邊界應明確定義。
第二十二條 IT架構應遵循全局、開放、共享的原則,通過數據、流程、技術的標準化和一體化工作,建立業務應用、系統平臺、數據信息等完整、清晰的組織關系。
第二十三條 IT架構在保證數據和基礎設施相對穩定的前提下,應具備良好的可擴展性和靈活性以支持不斷變化的業務需求和應用。
第二十四條 公司應定期或在有重大變化時對IT架構進行評估,保證IT 架構的適應性和合理性。
第二十五條 IT基礎設施應包括技術標準、基礎組織、基礎數據、基礎軟件、技術設備、通信網絡、安全系統、機房物理環境等,其中每一項都包含一系列整合的服務。
第二十六條 IT基礎設施建設應遵循可靠、安全、共享和可管理的原則,能為多種IT應用提供支持和服務,并根據成本效益與安全控制等要求確定IT資源的集中度。
第二十七條 IT基礎設施應具有統一、安全、可靠、靈活、可擴展的特點,應科學地設計和管理IT基礎設施的容量,以適應業務增長和創新的需要,有利于業務擴展和創新應用的快速、高效的實施和部署。公司應定期評估IT基礎設施的容量和適應能力。
第二十八條 公司應建立技術部門和業務部門之間有效的溝通協調機制,制定IT應用貫穿需求分析、立項決策、系統建設、系統驗收和上線運行等階段完整的工作制度與工作流程,通過IT應用實現公司的經營目標。
第二十九條 IT應用需求應充分考慮業務與技術之間協同發展的互動關系。重大IT應用需求應由相應的使用部門或IT部門在需求調研的基礎上提出,由內部控制部門、財務管理部門和IT部門會商后報公司IT治理委員會審議立項,由使用部門、運維部門和內部控制部門參與驗收工作。
第三十條 IT應用建設應在確保安全的前提下平衡技術創新和IT架構完整性;IT應用應促進和改善IT架構,盡可能保證IT架構的完整性和穩定性。
第三十一條 公司應為IT應用實現提供必需的財力和人力資源,并在制定工作計劃時充分考慮軟件開發、測試及部署實施所需要的時間周期。
第三十二條 重要IT應用系統包括但不限于核心交易系統、結算系統、風險控制系統、財務系統、安全系統、災難備份系統。
第三十三條 公司重要IT應用系統和基礎設施的建設、管理和運行維護應滿足行業的有關規范并達到安全技術標準要求,沒有行業規范和標準的應盡可能參照已有的國家或國際相關技術規范和標準。
第三十五條 公司最近三個財政年度IT投入平均數額原則上應不少于最近三個財政年度平均凈利潤的6%或不少于最近三個財政年度平均營業收入的3%。
第三十六條 IT建設應有前瞻性,同時要避免盲目超前的IT規劃帶來過大的IT投入。公司應從財務風險、市場風險、組織風險和技術風險上對IT投入風險進行評估,并做出分析和權衡。
第三十七條 公司應建立可量化的指標體系對IT投入進行管理,加強IT項目的成本核算。
第三十八條 IT投入應優先保證為投資者提供安全、可靠的交易服務。
第三十九條 公司應將IT基礎設施作為一種重要資產進行管理,并逐年對各項基礎設施進行審慎投入。
第四十條 公司應設立IT部門具體負責IT系統的開發、運維和管理工作,公司分支機構應當設立相應的IT部門或崗位負責分支機構的IT工作。
第四十一條 公司應根據實際情況配備足夠的IT工作人員,并滿足安全和崗位設置的有關要求。公司的IT工作人員總數原則上應不少于公司員工總人數的6%,并且期貨公司IT工作人員總數應不少于3人。
第四十二條 公司應為IT部門提供足夠的資金支持,為IT人員提供履行其崗位職責所需要的崗位技能培訓及業務培訓,制定合理的激勵機制和獎懲措施。
第四十三條 鼓勵公司設立IT專業職級體系,建立公平、公開、公正的晉升機制,為IT人員提供相應的發展空間。
第四十四條 公司宜配備適當IT研發人員增強公司重要IT應用系統的自主研發能力。
第八章 IT安全和風險控制
第四十五條 公司應通過管理機制和技術手段確保公司的IT系統安全與信息安全,保障業務活動的連續性,保證重要信息的保密、完整及可用,確保信息內容符合法律法規的要求。
第四十六條 公司的系統開發、系統運維管理、系統的合規檢查原則上應實現相互分離。
第四十七條 公司應建立有效的災難備份系統和應急預案,明確應急預案的激活條件、緊急事件處理流程、報告流程、撤銷流程、恢復流程以及人員責任等。災難備份系統的各項技術指標應符合監管機構的要求。
第四十八條 公司應充分重視客戶資料等公司商業信息安全問題,制定相關制度、采取相應措施確保在開放的市場環境中公司的商業機密和投資者信息安全。
第四十九條 公司應對全體員工開展必要的信息安全培訓、教育和考核,對合作方服務人員提出明確的信息安全要求。公司與合作方簽訂合同應包含保密和誠信協議,明確各自承擔的安全義務和責任,并要求合作方在提供產品或服務的同時承諾產品不存在惡意代碼或未授權的連接功能(軟件后門),不提供違反法律法規的操作模塊、功能和手段。
第五十條 公司應規范IT外包服務管理,對重要的外包服務要明確服務商資質要求、服務等級、服務流程、責任義務和服務質量標準。
第五十一條 公司應制定IT風險管理的策略和相關制度,對信息系統的合規性進行檢查,對IT風險進行評估。
第五十二條 公司應建立內部IT審計制度,至少每兩年進行一次IT審計。建議對重要IT項目的建設和運行進行專項審計,鼓勵公司聘請外部有資質的機構對公司進行IT審計和IT風險評估。
第九章 附則
第五十三條 本指引由中國證券業協會和中國期貨業協會負責解釋。
第五十四條 本指引自發布之日起實施。
