【教材详解】证券法规第二章 证券经营机构管理规范（22）

第六节 证券公司信息技术管理

考点一、证券公司信息技术管理一般规定（★☆☆）

证券公司是从事证券基金业务活动的责任主体，应当保障充足的信息技术投入，在依法合规、有效防范风险的前提下，充分利用现代信息技术手段完善客户服务体系、改进业务运营模式、提升内部管理水平、增强合规风控能力，持续强化现代信息技术对证券基金业务活动的支撑作用。

中国证监会及其派出机构依法对证券经营与服务机构借助信息技术手段从事证券基金业务活动或提供相关服务实施监督管理。

中国证券业协会及中国证券投资基金业协会依照《证券基金经管机构信息技术管理办法》制定和完善相关自律规则，对证券基金经营机构借助信息技术手段从事证券基金业务活动或提供相关服务实施自律管理。

考点二、证券公司信息技术治理（★★★）

（一）董事会的职责

证券公司董事会负责审议本公司的信息技术管理目标，对信息技术管理的有效性承担责任，履行下列职责：

1. 审议信息技术战略，确保与本公司的发展战略、风险管理策略、资本实力相一致；

2. 建立信息技术人力和资金保障方案；

3. 评估年度信息技术管理工作的总体效果和效率；

4. 公司章程规定的其他信息技术管理职责。

（二）经营管理层的职责

证券公司经营管理层负责落实信息技术管理目标，对信息技术管理工作承担责任，履行下列职责：

1. 组织实施董事会相关决议；

2. 建立责任明确、程序清晰的信息技术管理组织架构，明确管理职责、工作程序和协调机制；

3. 完善绩效考核和责任追究机制；

4. 公司章程规定或董事会授权的其他信息技术管理职责。

（三）信息技术治理委员会的职责

证券公司应当在公司管理层下设立信息技术治理委员会或指定专门委员会（以下统称“信息技术治理委员会”）负责制定信息技术战略并审议下列事项：

1. 信息技术规划，包括但不限于信息技术建设规划、信息安全规划、数据治理规划等；

2. 信息技术投入预算及分配方案；

3. 重要信息系统建设或重大改造立项、重大变更方案；

4. 信息技术应急预案；

5. 使用信息技术手段开展相关业务活动的审查报告以及年度评估报告；

6. 信息技术治理委员会委员提请审议的事项；

7. 其他对信息技术管理产生重大影响的事项。

信息技术治理委员会应当由高级管理人员以及合规管理部门、风险管理部门、稽核审计部门、主要业务部门、信息技术管理部门等部门负责人组成，可聘请外部专业人员担任信息技术治理委员会委员或顾问。

（四）首席信息官的职责及其任职条件

证券公司应当指定一名熟悉证券、基金业务，具有信息技术相关专业背景、任职经历、履职能力的高级管理人员为首席信息官，由其负责信息技术管理工作，并具备下列任职条件：

1. 从事信息技术相关工作 10 年以上，其中证券、基金行业信息技术相关工作年限不少于 3 年；或者在证券监管机构、证券基金业自律组织任职 8 年以上；

2. 最近 3 年未被金融监管机构实施行政处罚或采取重大行政监管措施；

3. 中国证监会规定的其他条件。

（五）信息技术管理部门的职责

证券公司应当设立信息技术管理部门或指定专门机构（以下统称“信息技术管理部门”）负责实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理等工作。

【真题链接】证券公司经营管理层负责落实信息技术管理目标，对信息技术管理工作承担责任，履行的职责包括（ ）。【2019 年 11 月】

Ⅰ . 组织实施董事会相关决议

Ⅱ . 建立责任明确、程序清晰的信息技术管理组织架构

Ⅲ . 明确管理职责、工作程序和协调机制

Ⅳ . 完善绩效考核和责任追究机制

A. Ⅰ、Ⅱ、Ⅳ 

B. Ⅰ、Ⅱ、Ⅲ

C. Ⅰ、Ⅱ、Ⅲ、Ⅳ 

D. Ⅰ、Ⅱ、Ⅳ

【答案】C

【解析】本题考查经营管理层信息技术管理的职责。证券公司经营管理层负责落实信息技术管理目标，对信息技术管理工作承担责任，履行下列职责：（1）组织实施董事会相关决议；（2）建立责任明确、程序清晰的信息技术管理组织架构，明确管理职责、工作程序和协调机制；（3）完善绩效考核和责任追究机制；（4）公司章程规定或董事会授权的其他信息技术其他管理职责。故本题选C 选项。

考点三、证券公司信息技术合规与风险管理（★★★）

（一）信息技术应用范围

证券公司应当将信息技术运用情况纳入合规与风险管理体系，为合规管理部门和风险管理部门配备与业务活动规模、复杂程度相适应的信息技术资源，并建立相应的审查、监测和检查机制，确保合规与风险管理覆盖信息技术运用的各个环节。

（二）信息技术应用与风险控制措施的同步机制

证券公司借助信息技术手段从事证券基金业务活动的，应当在业务系统上线时，同步上线与业务活动复杂程度和风险状况相适应的风险管理系统或相关功能（以下统称“风险管理系统”），对风险进行识别、监控、预警和干预。

（三）信息技术合规与风险管理机制

（点击查看大图）

（四）信息技术应用的合规与风险要点

1. 除法律法规及中国证监会另有规定外，证券公司应当通过自身运营管理的信息系统直接接收客户交易指令，并记录客户交易指令接收时间。

2. 证券公司应当按照中国证监会有关规定采集、记录、存储、报送客户交易终端信息，并采取有效的技术措施，保障相关信息真实、准确、完整。

3. 证券公司借助专业化交易信息系统向特定客户提供交易服务的，应当要求客户登记交易终端信息；信息发生变更的，应当要求客户履行变更程序，确保客户真实使用的客户交易终端信息与登记内容一致。

4. 证券公司使用电子合同从事证券基金业务活动的，应当将电子合同存储在指定的信息系统，并提供可供投资者及合同其他相关方查询、下载的公开渠道。

5. 证券公司从事证券交易相关业务，应当按照监管规定及自律管理规则的要求，确保风险管理系统具备审查账户资金及证券是否充足、监控交易及资金划转是否异常等功能。

考点四、信息系统安全（★★★）

（一）信息系统的开发、测试、上线、变更与停止使用要求

1. 证券公司应当建立独立于生产环境的专用开发测试环境，避免风险传导；开发测试环境使用未脱敏数据的，应当采取与生产环境同等的安全控制措施。证券公司在生产环境开展重要信息系统技术或业务测试的，应对测试流程及结果进行审查。

2. 证券公司重要信息系统上线或发生重大变更的，应当制定专项实施方案，并对信息系统上线或变更操作行为进行审查、确认和跟踪。

3. 证券公司重要信息系统计划停止使用的，应当开展技术和业务影响评估，制定完整的系统停用和数据迁移保管方案，并组织必要的评审及停用后的安全检查。

（二）信息系统运行维护

1. 证券公司应当结合公司发展战略、市场交易规模等因素定期对重要信息系统开展压力测试和评估分析，确保其容量满足业务开展需要。

2. 证券公司应当建立健全信息系统安全监测机制，设定监测指标并持续监测重要信息系统的运行状况。证券公司应当指定专人跟踪监测发现的异常情形，及时处置并定期开展评估分析。

（三）信息技术应用相关文档、日志及数据的管理

1. 证券公司应当妥善保存信息系统开发、测试、上线、变更及运维过程中产生的文档，并根据业务开展情况以及信息系统的重要程度建立与监测工作相适应的日志留痕机制，确保满足应急处置和审计需要。

2. 证券公司重要信息系统部署以及所承载数据的管理，应当遵循法律法规等规定。

（四）提供信息技术服务

1. 证券公司可以在安全、合规的前提下为子公司提供机房、通信网络及其他信息技术基础设施，并协助开展相关运维工作。

2. 证券公司为其子公司提供信息技术服务的，应当充分评估信息技术基础设施的支撑能力与冗余程度，并与子公司签订服务协议，明确合作双方的权利义务，以及建立日常协作、业务隔离和应急管理机制，防范基础设施共用产生的新增风险。

3. 证券公司可以设立信息技术专业子公司，为母公司提供信息技术服务。信息技术专业子公司经中国证监会备案后可为其他金融机构提供信息技术服务。

（五）重要信息系统的审计功能

证券公司应当确保重要信息系统具备可审计功能，并可以根据监管部门的要求转换、提供数据。