【冲关笔记】证券法律法规第二章第六节

证券公司借助信息技术手段从事证券基金业务活动，应遵循《证券基金经营机构信息技术管理办法》等相关规定。证券公司是从事证券基金业务活动的责任主体，应当保障充足的信息技术投入，在依法合规、有效防范风险的前提下，充分利用现代信息技术手段完善客户服务体系、改进业务运营模式、提升内部管理水平、增强合规风控能力，持续强化现代信息技术对证券基金业务活动的支撑作用。

中国证监会及其派出机构依法对证券经营与服务机构借助信息技术手段从事证券基金业务活动或提供相关服务实施监督管理。

中国证券业协会及中国证券投资基金业协会依照《证券基金经管机构信息技术管理办法》制定和完善相关自律规则，对证券基金经营机构借助信息技术手段从事证券基金业务活动或提供相关服务实施自律管理。

证券公司应当完善信息技术运用过程中的权责分配机制，建立健全信息技术管理制度和操作流程，保障与业务活动规模及复杂程度相适应的信息技术投入水平，持续满足信息技术资源的可用性、安全性与合规性要求。

（一）董事会的职责

证券公司董事会负责审议本公司的信息技术管理目标，对信息技术管理的有效性承担责任，履行下列职责：

1. 审议信息技术战略，确保与本公司的发展战略、风险管理策略、资本实力相一致；

2. 建立信息技术人力和资金保障方案；

3. 评估年度信息技术管理工作的总体效果和效率；

4. 公司章程规定的其他信息技术管理职责。

（二）经营管理层的职责

证券公司经营管理层负责落实信息技术管理目标，对信息技术管理工作承担责任，履行下列职责：

1. 组织实施董事会相关决议；

2. 建立责任明确、程序清晰的信息技术管理组织架构，明确管理职责、工作程序和协调机制；

3. 完善绩效考核和责任追究机制；

4. 公司章程规定或董事会授权的其他信息技术管理职责。

（三）信息技术治理委员会的职责

证券公司应当在公司管理层下设立信息技术治理委员会或指定专门委员会（以下统称“信息技术治理委员会”）负责制定信息技术战略并审议下列事项：

1. 信息技术规划，包括但不限于信息技术建设规划、信息安全规划、数据治理规划等；

2. 信息技术投入预算及分配方案；

3. 重要信息系统建设或重大改造立项、重大变更方案；

4. 信息技术应急预案；

5. 使用信息技术手段开展相关业务活动的审查报告以及年度评估报告；

6. 信息技术治理委员会委员提请审议的事项；

7. 其他对信息技术管理产生重大影响的事项。

信息技术治理委员会应当由高级管理人员以及合规管理部门、风险管理部门、稽核审计部门、主要业务部门、信息技术管理部门等部门负责人组成，可聘请外部专业人员担任信息技术治理委员会委员或顾问。

（四）首席信息官的职责及其任职条件

证券公司应当指定一名熟悉证券、基金业务，具有信息技术相关专业背景、任职经历、  履职能力的高级管理人员为首席信息官，由其负责信息技术管理工作，并具备下列任职条件：

1. 从事信息技术相关工作10年以上，其中证券、基金行业信息技术相关工作年限不少于3年；或者在证券监管机构、证券基金业自律组织任职8年以上；

2. 最近3年未被金融监管机构实施行政处罚或采取重大行政监管措施；

3. 中国证监会规定的其他条件。

（五）信息技术管理部门的职责

证券公司应当设立信息技术管理部门或指定专门机构（以下统称“信息技本管理部门”）负责实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理等工作。

证券公司应当将信息技术运用情况纳入合规与风险管理体系，为合规管理部门和风险管理部门配备与业务活动规模、复杂程度相适应的信息技术资源，并建立相应的审查、监测和检查机制，确保合规与风险管理覆盖信息技术运用的各个环节。

（一）信息技术应用与风险控制措施的同步机制

证券公司借助信息技术手段从事证券基金业务活动的，应当在业务系统上线时，同步上线与业务活动复杂程度和风险状况相适应的风险管理系统或相关功能（以下统称“风险管理系统”），对风险进行识别、监控、预警和干预。

（二）信息技术合规与风险管理机制

1. 事前审查

证券公司借助信息技术手段从事证券基金业务活动前，应当开展内部审查，验证下列事项并建立存档记录：

（1）业务系统的流程设计、功能设置、参数配置和技术实现应当遵循业务合规的原则， 不得违反法律法规及中国证监会的规定；

（2）风险管理系统功能完备、权限清晰，能够与业务系统同步上线运行；

（3）具备完善的信息安全防护措施，能够保障经营数据和各户信息的安全、完整；

（4）具备符合要求的信息系统备份及运维管理能力，能够保障相关系统安全、平稳运行。

2. 事中风险监测

证券公司应当识别借助信息技术手段从事证券基金业务活动的各类风险，建立持续有效的风险监测机制。证券公司应当及时、稳妥处置发现的风险问题，并至少每年开展一次风险监测机制及执行情况的有效性评估。

3. 事后评估审计

证券公司应当定期开展信息技术管理工作专项审计，频率不低于每年一次，确保 3 年内完成信息技术管理全部事项的审计工作，包括但不限于信息技术治理、信息技术合规与风险管理、信息技术安全管理、应急管理。

证券公司应当委托外部专业机构开展信息技术管理工作的全面审计，频率不低于每 3年一次；未能有效实施信息技术管理被采取行政处罚措施、监管措施或者自律管理措施的，应当在 3 个月内完成对有关事项的专项审计。

证券公司应当跟踪审计发现问题的整改情况，相关问题未能及时整改的，应当说明理由，并将审计报告提交信息技术治理委员会审议。证券公司应当妥善保存审计报告，保存期限不得少于 20 年。

（三）信息技术应用的合规与风险要点

除法律法规及中国证监会另有规定外，证券公司应当通过自身运营管理的信息系统直接接收客户交易指令，并记录客户交易指令接收时间。

证券公司应当按照中国证监会有关规定采集、记录、存储、报送客户交易终端信息， 并采取有效的技术措施，保障相关信息真实、准确、完整。

证券公司借助专业化交易信息系统向特定客户提供交易服务的，应当要求客户登记交易终端信息；信息发生变更的，应当要求客户履行变更程序，确保客户真实使用的客户交易终端信息与登记内容一致。

证券公司使用电子合同从事证券基金业务活动的，应当将电子合同存储在指定的信息系统，并提供可供投资者及合同其他相关方查询、下载的公开渠道。

证券公司从事证券交易相关业务，应当按照监管规定及自律管理规则的要求，确保风险管理系统具备审查账户资金及证券是否充足、监控交易及资金划转是否异常等功能。

（一）信息系统安全

1. 信息系统的开发、测试、上线、变更与停止使用要求

2. 信息系统运行维护

3. 信息技术应用相关文档、日志及数据的管理

4. 提供信息技术服务

5. 重要信息系统的审计功能

（二）数据治理

证券公司应当结合公司发展战略，建立全面、科学、有效的数据治理组织架构以及数据全生命周期管理机制，确保数据统一管理、持续可控和安全存储，切实履行数据安全及数据质量管理职责，不断提升数据使用价值。

1. 数据分类分级

2. 数据安全保障措施

3. 信息系统权限管理

4. 经营数据和客户信息保护

（三）应急管理

证券公司借助信息技术手段从事证券基金业务活动的，应当建立信息技术应急管理的组织架构，确定重要业务及其恢复目标，制定应急预案，配置充足资源，稳妥处置信息技术突发事件，并积极开展应急演练和信息技术应急管理的评估与改进。

1. 应急管理职责

证券公司应当落实下列应急管理职责：

（1）信息技术管理部门为信息技术应急管理的牵头组织部门，组织开展信息技术应急预案的制定、演练、评估与改进工作，并负责信息系统的应急响应与恢复；

（2）各业务部门负责评估本业务条线信息技术突发事件相关风险，开展业务影响分析，确定并实施重要业务恢复目标和恢复策略；

（3）风险管理部门负责评估信息系统与相关业务恢复目标和恢复策略制定的合理性， 确保与公司整体风险管理策略保持一致。

2. 应急预案

证券公司应当制定并持续完善应急预案，包括应急管理建设目标、备份信息系统建设和恢复机制、备份数据恢复机制、业务恢复或替代措施、应急联系方式、与客户沟通方式、向监管部门及有关单位的报告路径、应急预案披露与更新机制等内容。

证券公司应急预案应当充分考虑重要信息系统故障、相关信息技术服务机构无法继续提供服务、证券公司信息技术高管或重要技术团队发生重大变动以及自然灾害等可能影响重要信息系统平稳运行的事件。

证券公司应当根据系统变更、业务变化等情况，持续更新应急预案。证券公司应当根据应急预案定期组织关键岗位人员开展应急演练，演练频率不低于每年一次，并确保应急演练在两年内覆盖全部重要信息系统。应急演练应当形成报告，保存期限不得少于 5年。

3. 应急信息公示

证券公司应当在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式等信息，提示客户防范和应对可能出现的风险。

4. 信息系统备份能力要求

证券公司应当确保备份系统与生产系统具备同等的处理能力，保持备份数据与原始数据的一致性。

5. 信息安全事件分级响应机制

证券公司应当按照中国证监会有关规定，建立信息安全事件的分级响应机制，明确内部处置工作流程，确保相关信息系统及时恢复运行。

信息技术服务机构为证券基金业务活动提供信息技术服务，应遵循《证券基金经营机构信息技术管理办法》等相关规定。信息技术服务机构，是指为证券基金业务活动提供信息技术服务的机构。信息技术服务的范围如下：

1. 重要信息系统的开发、测试、集成及测评；

2. 重要信息系统的运维及日常安全管理；

3. 中国证监会规定的其他情形。

（一）委托信息技术服务机构提供信息技术服务的责任划分

证券公司借助信息技术手段从事证券基金业务活动的，可以委托信息技术服务机构提供产品或服务，但证券公司依法应当承担的责任不因委托而免除或减轻。

（二）信息技术服务机构的选取条件

证券公司应当选择符合下列条件的信息技术服务机构开展合作：

1. 近3年未因从事非法金融活动，违反金融监管部门有关规定展业，为非法金融活动提供信息发布服务等情形受到监管部门行政处罚或重大监管措施；

2. 信息技术服务机构及其控股股东、实际控制人、实际控制人控制的其他信息技术服务机构最近1年内不存在证券期货重大违法违规记录；

3. 具备安全、稳定的信息技术服务能力；

4. 具备及时、高效的应急响应能力；

5. 熟悉相关证券基金业务，具备持续评估信息技术产品及服务是否符合监管要求的能力；

6. 中国证监会规定的其他情形。

（三）信息技术服务协议和保密协议的签署

（一）新建或更换重要信息系统的信息报送

（二）信息技术管理专项报告

（三）信息技术管理的监督检查

（四）证券公司违反信息技术管理规定的监管措施

证券公司违反《证券基金经营机构信息技术管理办法》规定的，中国证监会及其派出机构可以依法对其采取责令改正、暂停业务、出具警示函、责令定期报告、责令增加合规检查次数、公开谴责等行政监管措施；对直接负责的主管人员和其他责任人员采取责令改正、监管谈话、出具警示函、公开谴责等行政监管措施。

热文推荐