【教材详解】证券法规第二章 证券经营机构管理规范（23）

第六节 证券公司信息技术管理

考点五、数据治理（★★☆）

（一）数据治理的总体要求

证券公司应当结合公司发展战略，建立全面、科学、有效的数据治理组织架构以及数据全生命周期管理机制，确保数据统一管理、持续可控和安全存储，切实履行数据安全及数据质量管理职责，不断提升数据使用价值。

（二）数据分类分级

证券公司应当将经营及客户数据按照重要性和敏感性进行分类分级，并根据不同类别和级别作出差异化数据管理制度安排。

（三）数据安全保障措施

证券公司应当完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施，保护经营数据和客户信息安全，防范信息泄露与损毁。

（四）信息系统权限管理

1. 证券公司应当遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限，并履行审批流程。合规管理和风险管理部门应当对权限管理制度和操作流程进行合规审查及风险控制。

2. 证券公司应当建立对信息系统权限的定期检查与核对机制，确保用户权限与其工作职责相匹配，防止出现授权不当的情形。

3. 证券公司应当对重要信息系统的开发、测试、运维实施必要分离，保证信息技术管理部门内部岗位的相互制衡。

（五）经营数据和客户信息保护

1. 证券公司应当记录经营数据和客户信息的使用情况，并持续监督信息技术服务机构等相关方落实保密协议的情况。

2. 证券公司发现其他机构、个人违规存储或使用自身经营数据和客户信息的，应当排查数据泄露途径、评估影响范围，采取合理可行的整改措施，及时处置风险隐患，并按照中国证监会规定履行报告和调查处理职责。

3. 证券公司发现信息技术服务机构等相关方违规存储或者使用自身经营数据和客户信息的，应当责令其立即改正并销毁已获取的经营数据和客户信息；信息技术服务机构等相关方拒绝配合整改的，证券公司应当立即停止与其合作，并采取措施维护自身及客户的合法权益。

4. 证券公司应当建立健全数据安全管理制度，不得收集与服务无关的客户信息，不得购买或使用非法获取的或来源不明的数据。

5. 在收集使用客户信息之前，证券公司应当公开收集、使用的规则和目的，并征得客户同意。

6. 除法律法规和中国证监会另有规定外，证券公司不得允许或者配合其他机构、个人截取、留存客户信息，不得以任何方式向其他机构、个人提供客户信息。

考点六、应急管理（★★☆）

（一）应急管理职责

证券公司应当落实下列应急管理职责：

1. 信息技术管理部门为信息技术应急管理的牵头组织部门，组织开展信息技术应急预案的制定、演练、评估与改进工作，并负责信息系统的应急响应与恢复；

2. 各业务部门负责评估本业务条线信息技术突发事件相关风险，开展业务影响分析，确定并实施重要业务恢复目标和恢复策略；

3. 风险管理部门负责评估信息系统与相关业务恢复目标和恢复策略制定的合理性，确保与公司整体风险管理策略保持一致。

（二）应急预案

1. 应急预案的内容

证券公司应当制定并持续完善应急预案，包括应急管理建设目标、备份信息系统建设和恢复机制、备份数据恢复机制、业务恢复或替代措施、应急联系方式、与客户沟通方式、向监管部门及有关单位的报告路径、应急预案披露与更新机制等内容。

2. 应急预案的重要事项

证券公司应急预案应当充分考虑重要信息系统故障、相关信息技术服务机构无法继续提供服务、证券公司信息技术高管或重要技术团队发生重大变动以及自然灾害等可能影响重要信息系统平稳运行的事件。

3. 应急预案的持续更新

证券公司应当根据系统变更、业务变化等情况，持续更新应急预案。证券公司应当根据应急预案定期组织关键岗位人员开展应急演练，演练频率不低于每年 1 次，并确保应急演练在 2 年内覆盖全部重要信息系统。应急演练应当形成报告，保存期限不得少于 5 年。

（三）应急信息公示

证券公司应当在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式等信息，提示客户防范和应对可能出现的风险。

（四）信息系统备份能力要求

证券公司应当确保备份系统与生产系统具备同等的处理能力，保持备份数据与原始数据的一致性。

（五）信息安全事件分级响应机制

证券公司应当按照中国证监会有关规定，建立信息安全事件的分级响应机制，明确内部处置工作流程，确保相关信息系统及时恢复运行。

考点七、信息技术服务机构管理（★★☆）

信息技术服务机构是指为证券基金业务活动提供信息技术服务的机构。

（一）信息技术服务的范围

1. 重要信息系统的开发、测试、集成及测评；

2. 重要信息系统的运维及日常安全管理；

3. 中国证监会规定的其他情形。

（二）委托信息技术服务机构提供信息技术服务的责任划分

证券公司借助信息技术手段从事证券基金业务活动的，可以委托信息技术服务机构提供产品或服务，但证券公司依法应当承担的责任不因委托而免除或减轻。

证券公司应当清晰、准确、完整地掌握重要信息系统的技术架构、业务逻辑和操作流程等内容，确保重要信息系统运行始终处于自身控制范围。除法律法规及中国证监会另有规定外，不得将重要信息系统的运维、日常安全管理交由信息技术服务机构独立实施。

（三）信息技术服务机构的选取条件

1. 开展合作的机构

证券公司应当选择符合下列条件的信息技术服务机构开展合作：

（1）近3年未因从事非法金融活动，违反金融监管部门有关规定展业，为非法金融活动提供信息发布服务等情形受到监管部门行政处罚或重大监管措施；

（2）信息技术服务机构及其控股股东、实际控制人、实际控制人控制的其他信息技术服务机构最近 1 年内不存在证券期货重大违法违规记录；

（3）具备安全、稳定的信息技术服务能力；

（4）具备及时、高效的应急响应能力；

（5）熟悉相关证券基金业务，具备持续评估信息技术产品及服务是否符合监管要求的能力；

（6）中国证监会规定的其他情形。

2. 对证券公司选择服务机构的要求

证券公司委托信息技术服务机构提供服务，应当按照《证券基金经营机构信息技术管理办法》的相关规定对信息技术服务机构及相关信息系统进行内部审查，并向中国证监会及其派出机构报送审查意见及相关资料。

证券公司应当在选择信息技术服务机构之前，制定更换服务提供方的流程及预案，确保在特定情况下可更换服务提供方。

（四）信息技术服务协议和保密协议的签署

证券公司应当与信息技术服务机构签订服务协议和保密协议，明确各方权利、义务和责任，约定质量考核标准、持续监控机制、异常处理机制、服务变更或者终止的处置流程以及现场服务人员保密要求等内容，并持续监督信息技术服务机构及相关人员落实服务协议和保密协议的情况。

考点八、证券公司信息技术管理的监管要求及监管措施（★☆☆）

（一）新建或更换重要信息系统的信息报送

证券公司新建或更换重要信息系统所在机房、证券基金交易相关信息系统，应当在开展相关业务活动的 5 个工作日内向中国证监会报送有关资料，包括内部审查意见、机房基本信息、技术架构设计、操作流程、信息安全管理资料、业务管理制度、合规管理及风险管理制度等。

（二）信息技术管理专项报告

1. 证券公司应当在报送年度报告的同时报送年度信息技术管理专项报告，说明报告期内信息技术治理、信息技术合规与风险管理、信息技术安全管理、信息技术审计等方面执行规定的情况。

2. 证券公司提交报告的内容应当真实、准确、完整。

3. 证券公司应当按照中国证监会有关规定履行信息安全事件报告和调查处理职责。

（三）信息技术管理的监督检查

1. 中国证监会及其派出机构在对证券公司信息技术管理及服务活动的监管过程中，可以采用渗透测试、漏洞扫描及信息技术风险评估等方式开展现场检查及非现场检查。

2. 证券公司应当予以配合，如实提供有关文件、资料，不得拒绝、阻碍或隐瞒。

（四）证券公司违反信息技术管理规定的监管措施

证券公司违反《证券基金经营机构信息技术管理办法》规定的，中国证监会及其派出机构可以依法对其采取责令改正、暂停业务、出具警示函、责令定期报告、责令增加合规检查次数、公开谴责等行政监管措施；对直接负责的主管人员和其他责任人员采取责令改正、监管谈话、出具警示函、公开谴责等行政监管措施。

证券公司违反《证券基金经营机构信息技术管理办法》规定，反映公司治理混乱、内控失效的，中国证监会及其派出机构可以按照《证券投资基金法》和《证券公司监督管理条例》的规定，采取责令暂停部分或全部业务、责令更换董事、监事、高级管理人员或者限制其权利等行政监管措施。