《證券期貨經(jīng)營機(jī)構(gòu)信息技術(shù)治理工作指引(試行)》于2008年9月3日公布,自公布之日起施行。
第一條 為加強(qiáng)證券期貨經(jīng)營機(jī)構(gòu)信息技術(shù)管理與規(guī)范,完善各機(jī)構(gòu)的治理結(jié)構(gòu),提高證券期貨經(jīng)營機(jī)構(gòu)信息技術(shù)治理水平,保障信息系統(tǒng)安全運(yùn)行,特制定本指引。
第二條 信息技術(shù)治理(IT治理)是指公司在運(yùn)用信息技術(shù)(以下簡稱IT)過程中,制定的有關(guān)IT決策權(quán)分配和責(zé)任承擔(dān)的框架,主要包括在IT原則、IT架構(gòu)、IT基礎(chǔ)設(shè)施、IT應(yīng)用和IT投入5個方面制定相關(guān)制度并建立有效的工作機(jī)制,實(shí)現(xiàn)IT決策的責(zé)任和權(quán)力的有效分配與控制,提高IT資源的有效性、可用性和安全性。
第三條 IT治理是公司治理的重要組成部分,IT能力是證券期貨經(jīng)營機(jī)構(gòu)的核心競爭力之一,有效的IT治理可以持續(xù)鞏固和提升IT能力。各證券期貨經(jīng)營機(jī)構(gòu)應(yīng)建立有效的IT治理機(jī)制,保持IT與業(yè)務(wù)目標(biāo)一致,合理利用IT資源,有效管理IT風(fēng)險(xiǎn),確保信息系統(tǒng)的建設(shè)和運(yùn)行安全、高效、穩(wěn)定。
第四條 本指引適用于各證券期貨經(jīng)營機(jī)構(gòu),包括證券公司、基金管理公司和期貨公司(以下簡稱公司)。全資子公司的IT治理工作可納入母公司統(tǒng)籌實(shí)施。
第二章 IT原則和治理目標(biāo)
第五條 公司應(yīng)制定明確的IT原則。IT原則是指公司為實(shí)現(xiàn)經(jīng)營目標(biāo)而運(yùn)用IT的基本思路,對IT在公司運(yùn)營中所起的作用和IT投入等主要方面做出明確的規(guī)定。
第六條 公司應(yīng)根據(jù)其經(jīng)營規(guī)劃制定IT治理目標(biāo),利用IT增強(qiáng)公司的核心競爭力,使公司從IT投入中獲得更大收益。IT治理目標(biāo)應(yīng)包括:
(一)明確IT決策的權(quán)力和責(zé)任;
(二)實(shí)現(xiàn)技術(shù)和業(yè)務(wù)的有效匹配;
(三)實(shí)現(xiàn)IT資源的最優(yōu)配置;
(四)實(shí)現(xiàn)IT風(fēng)險(xiǎn)的可管可控。
第七條 公司應(yīng)制定公開、可行的IT治理流程,建立公司業(yè)務(wù)與IT之間清晰的聯(lián)系框架,采取有效措施,使公司管理層和各相關(guān)部門的人員了解并認(rèn)同公司的IT原則和治理目標(biāo)。
第八條 公司應(yīng)根據(jù)其發(fā)展需要制定IT規(guī)劃。IT規(guī)劃應(yīng)與公司發(fā)展保持一致,符合公司經(jīng)營對IT的要求,并使技術(shù)和業(yè)務(wù)部門能正確地理解和把握公司對IT的要求。
第九條 公司在制定IT規(guī)劃時,應(yīng)征求相關(guān)業(yè)務(wù)部門、財(cái)務(wù)管理部門和內(nèi)部控制部門的意見,并報(bào)公司管理層批準(zhǔn)實(shí)施。
第十條 IT規(guī)劃在有效性、可用性和安全性方面應(yīng)滿足行業(yè)和公司可預(yù)見的業(yè)務(wù)發(fā)展要求,在容量、性能和安全保障方面做出規(guī)定。
第十一條 公司是IT系統(tǒng)建設(shè)、管理及安全運(yùn)營的責(zé)任主體,公司應(yīng)建立有效的IT治理組織和工作機(jī)制,實(shí)現(xiàn)IT決策的有效授權(quán)和控制,通過制定相關(guān)制度來建立IT的決策、執(zhí)行和監(jiān)督的責(zé)任機(jī)制。
第十二條 公司應(yīng)在總公司、分支機(jī)構(gòu)和全資子公司建立統(tǒng)一協(xié)調(diào)的IT治理機(jī)制,較低層級服從于較高層級。
第十三條 公司總經(jīng)理對IT治理的有效性及IT安全負(fù)有最終責(zé)任,公司應(yīng)指定具有IT專業(yè)工作經(jīng)驗(yàn)的高級管理人員作為公司IT治理的直接責(zé)任人,并設(shè)立IT總監(jiān)或其它類似職位的IT專職負(fù)責(zé)人。
第十四條 公司應(yīng)設(shè)立IT治理委員會或類似機(jī)構(gòu),負(fù)責(zé)公司IT治理工作。IT治理委員會向公司管理層負(fù)責(zé),公司管理層應(yīng)為IT治理委員會履行職責(zé)和行使職權(quán)提供必要的制度和機(jī)制保障。
第十五條 IT治理委員會應(yīng)由公司IT治理直接責(zé)任人、IT總監(jiān)、IT部門負(fù)責(zé)人、相關(guān)業(yè)務(wù)負(fù)責(zé)人、財(cái)務(wù)負(fù)責(zé)人、內(nèi)部控制負(fù)責(zé)人以及部分技術(shù)骨干等人員組成,其中IT人員的比例應(yīng)在30%以上。公司可聘請外部專業(yè)人士擔(dān)任委員或顧問。
第十六條 IT治理委員會應(yīng)建立明確的工作制度,應(yīng)至少每季度召開一次例會或根據(jù)需要召開臨時委員會會議。
第十七條 IT治理委員會應(yīng)履行以下職責(zé):
(一)擬訂公司IT治理目標(biāo)和IT治理工作計(jì)劃;
(二)審議公司IT發(fā)展規(guī)劃;
(三)審議公司年度IT工作計(jì)劃和IT預(yù)算;
(四)審議公司重大IT項(xiàng)目立項(xiàng)、投入和優(yōu)先級;
(五)審議公司IT管理制度和重要流程;
(六)制訂與IT治理相關(guān)的培訓(xùn)和教育工作計(jì)劃;
(七)檢查所擬訂和審議事項(xiàng)的落實(shí)和執(zhí)行情況;
(八)組織評估公司IT重大事項(xiàng)并提出處置意見;
(九)向公司管理層報(bào)告IT治理狀況。
第十八條 IT總監(jiān)的職責(zé)包括但不限于:
(一)組織擬定公司中長期IT發(fā)展規(guī)劃;
(二)組織擬定公司年度IT工作計(jì)劃及預(yù)算;
(三)組織擬定公司信息系統(tǒng)安全目標(biāo)、策略、方針及實(shí)施計(jì)劃;
(四)組織對公司IT的風(fēng)險(xiǎn)進(jìn)行評估及控制;
(五)組織并協(xié)調(diào)公司信息化建設(shè)工作;
(六)組織擬定IT管理制度、IT建設(shè)標(biāo)準(zhǔn);
(七)組織落實(shí)IT治理委員會所制定和審議的有關(guān)事項(xiàng);
(八)向公司管理層和IT治理委員會報(bào)告IT重大事項(xiàng),并對上報(bào)事項(xiàng)的真實(shí)性、準(zhǔn)確性、完整性、及時性負(fù)責(zé);
(九)對公司信息系統(tǒng)的安全管理體系的有效性負(fù)技術(shù)責(zé)任。
第十九條 公司應(yīng)建立對IT管理和IT運(yùn)行維護(hù)的考核機(jī)制。
第四章 IT架構(gòu)與IT基礎(chǔ)設(shè)施
第二十條 公司應(yīng)根據(jù)IT原則和治理目標(biāo)制定相應(yīng)的IT架構(gòu),確定IT基礎(chǔ)設(shè)施、IT應(yīng)用系統(tǒng)的整體框架。
第二十一條 公司IT架構(gòu)應(yīng)包括業(yè)務(wù)應(yīng)用架構(gòu)、系統(tǒng)平臺架構(gòu)、數(shù)據(jù)信息架構(gòu)等,不同架構(gòu)的范圍和邊界應(yīng)明確定義。
第二十二條 IT架構(gòu)應(yīng)遵循全局、開放、共享的原則,通過數(shù)據(jù)、流程、技術(shù)的標(biāo)準(zhǔn)化和一體化工作,建立業(yè)務(wù)應(yīng)用、系統(tǒng)平臺、數(shù)據(jù)信息等完整、清晰的組織關(guān)系。
第二十三條 IT架構(gòu)在保證數(shù)據(jù)和基礎(chǔ)設(shè)施相對穩(wěn)定的前提下,應(yīng)具備良好的可擴(kuò)展性和靈活性以支持不斷變化的業(yè)務(wù)需求和應(yīng)用。
第二十四條 公司應(yīng)定期或在有重大變化時對IT架構(gòu)進(jìn)行評估,保證IT 架構(gòu)的適應(yīng)性和合理性。
第二十五條 IT基礎(chǔ)設(shè)施應(yīng)包括技術(shù)標(biāo)準(zhǔn)、基礎(chǔ)組織、基礎(chǔ)數(shù)據(jù)、基礎(chǔ)軟件、技術(shù)設(shè)備、通信網(wǎng)絡(luò)、安全系統(tǒng)、機(jī)房物理環(huán)境等,其中每一項(xiàng)都包含一系列整合的服務(wù)。
第二十六條 IT基礎(chǔ)設(shè)施建設(shè)應(yīng)遵循可靠、安全、共享和可管理的原則,能為多種IT應(yīng)用提供支持和服務(wù),并根據(jù)成本效益與安全控制等要求確定IT資源的集中度。
第二十七條 IT基礎(chǔ)設(shè)施應(yīng)具有統(tǒng)一、安全、可靠、靈活、可擴(kuò)展的特點(diǎn),應(yīng)科學(xué)地設(shè)計(jì)和管理IT基礎(chǔ)設(shè)施的容量,以適應(yīng)業(yè)務(wù)增長和創(chuàng)新的需要,有利于業(yè)務(wù)擴(kuò)展和創(chuàng)新應(yīng)用的快速、高效的實(shí)施和部署。公司應(yīng)定期評估IT基礎(chǔ)設(shè)施的容量和適應(yīng)能力。
第二十八條 公司應(yīng)建立技術(shù)部門和業(yè)務(wù)部門之間有效的溝通協(xié)調(diào)機(jī)制,制定IT應(yīng)用貫穿需求分析、立項(xiàng)決策、系統(tǒng)建設(shè)、系統(tǒng)驗(yàn)收和上線運(yùn)行等階段完整的工作制度與工作流程,通過IT應(yīng)用實(shí)現(xiàn)公司的經(jīng)營目標(biāo)。
第二十九條 IT應(yīng)用需求應(yīng)充分考慮業(yè)務(wù)與技術(shù)之間協(xié)同發(fā)展的互動關(guān)系。重大IT應(yīng)用需求應(yīng)由相應(yīng)的使用部門或IT部門在需求調(diào)研的基礎(chǔ)上提出,由內(nèi)部控制部門、財(cái)務(wù)管理部門和IT部門會商后報(bào)公司IT治理委員會審議立項(xiàng),由使用部門、運(yùn)維部門和內(nèi)部控制部門參與驗(yàn)收工作。
第三十條 IT應(yīng)用建設(shè)應(yīng)在確保安全的前提下平衡技術(shù)創(chuàng)新和IT架構(gòu)完整性;IT應(yīng)用應(yīng)促進(jìn)和改善IT架構(gòu),盡可能保證IT架構(gòu)的完整性和穩(wěn)定性。
第三十一條 公司應(yīng)為IT應(yīng)用實(shí)現(xiàn)提供必需的財(cái)力和人力資源,并在制定工作計(jì)劃時充分考慮軟件開發(fā)、測試及部署實(shí)施所需要的時間周期。
第三十二條 重要IT應(yīng)用系統(tǒng)包括但不限于核心交易系統(tǒng)、結(jié)算系統(tǒng)、風(fēng)險(xiǎn)控制系統(tǒng)、財(cái)務(wù)系統(tǒng)、安全系統(tǒng)、災(zāi)難備份系統(tǒng)。
第三十三條 公司重要IT應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)施的建設(shè)、管理和運(yùn)行維護(hù)應(yīng)滿足行業(yè)的有關(guān)規(guī)范并達(dá)到安全技術(shù)標(biāo)準(zhǔn)要求,沒有行業(yè)規(guī)范和標(biāo)準(zhǔn)的應(yīng)盡可能參照已有的國家或國際相關(guān)技術(shù)規(guī)范和標(biāo)準(zhǔn)。
第三十五條 公司最近三個財(cái)政年度IT投入平均數(shù)額原則上應(yīng)不少于最近三個財(cái)政年度平均凈利潤的6%或不少于最近三個財(cái)政年度平均營業(yè)收入的3%。
第三十六條 IT建設(shè)應(yīng)有前瞻性,同時要避免盲目超前的IT規(guī)劃帶來過大的IT投入。公司應(yīng)從財(cái)務(wù)風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、組織風(fēng)險(xiǎn)和技術(shù)風(fēng)險(xiǎn)上對IT投入風(fēng)險(xiǎn)進(jìn)行評估,并做出分析和權(quán)衡。
第三十七條 公司應(yīng)建立可量化的指標(biāo)體系對IT投入進(jìn)行管理,加強(qiáng)IT項(xiàng)目的成本核算。
第三十八條 IT投入應(yīng)優(yōu)先保證為投資者提供安全、可靠的交易服務(wù)。
第三十九條 公司應(yīng)將IT基礎(chǔ)設(shè)施作為一種重要資產(chǎn)進(jìn)行管理,并逐年對各項(xiàng)基礎(chǔ)設(shè)施進(jìn)行審慎投入。
第四十條 公司應(yīng)設(shè)立IT部門具體負(fù)責(zé)IT系統(tǒng)的開發(fā)、運(yùn)維和管理工作,公司分支機(jī)構(gòu)應(yīng)當(dāng)設(shè)立相應(yīng)的IT部門或崗位負(fù)責(zé)分支機(jī)構(gòu)的IT工作。
第四十一條 公司應(yīng)根據(jù)實(shí)際情況配備足夠的IT工作人員,并滿足安全和崗位設(shè)置的有關(guān)要求。公司的IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%,并且期貨公司IT工作人員總數(shù)應(yīng)不少于3人。
第四十二條 公司應(yīng)為IT部門提供足夠的資金支持,為IT人員提供履行其崗位職責(zé)所需要的崗位技能培訓(xùn)及業(yè)務(wù)培訓(xùn),制定合理的激勵機(jī)制和獎懲措施。
第四十三條 鼓勵公司設(shè)立IT專業(yè)職級體系,建立公平、公開、公正的晉升機(jī)制,為IT人員提供相應(yīng)的發(fā)展空間。
第四十四條 公司宜配備適當(dāng)IT研發(fā)人員增強(qiáng)公司重要IT應(yīng)用系統(tǒng)的自主研發(fā)能力。
第八章 IT安全和風(fēng)險(xiǎn)控制
第四十五條 公司應(yīng)通過管理機(jī)制和技術(shù)手段確保公司的IT系統(tǒng)安全與信息安全,保障業(yè)務(wù)活動的連續(xù)性,保證重要信息的保密、完整及可用,確保信息內(nèi)容符合法律法規(guī)的要求。
第四十六條 公司的系統(tǒng)開發(fā)、系統(tǒng)運(yùn)維管理、系統(tǒng)的合規(guī)檢查原則上應(yīng)實(shí)現(xiàn)相互分離。
第四十七條 公司應(yīng)建立有效的災(zāi)難備份系統(tǒng)和應(yīng)急預(yù)案,明確應(yīng)急預(yù)案的激活條件、緊急事件處理流程、報(bào)告流程、撤銷流程、恢復(fù)流程以及人員責(zé)任等。災(zāi)難備份系統(tǒng)的各項(xiàng)技術(shù)指標(biāo)應(yīng)符合監(jiān)管機(jī)構(gòu)的要求。
第四十八條 公司應(yīng)充分重視客戶資料等公司商業(yè)信息安全問題,制定相關(guān)制度、采取相應(yīng)措施確保在開放的市場環(huán)境中公司的商業(yè)機(jī)密和投資者信息安全。
第四十九條 公司應(yīng)對全體員工開展必要的信息安全培訓(xùn)、教育和考核,對合作方服務(wù)人員提出明確的信息安全要求。公司與合作方簽訂合同應(yīng)包含保密和誠信協(xié)議,明確各自承擔(dān)的安全義務(wù)和責(zé)任,并要求合作方在提供產(chǎn)品或服務(wù)的同時承諾產(chǎn)品不存在惡意代碼或未授權(quán)的連接功能(軟件后門),不提供違反法律法規(guī)的操作模塊、功能和手段。
第五十條 公司應(yīng)規(guī)范IT外包服務(wù)管理,對重要的外包服務(wù)要明確服務(wù)商資質(zhì)要求、服務(wù)等級、服務(wù)流程、責(zé)任義務(wù)和服務(wù)質(zhì)量標(biāo)準(zhǔn)。
第五十一條 公司應(yīng)制定IT風(fēng)險(xiǎn)管理的策略和相關(guān)制度,對信息系統(tǒng)的合規(guī)性進(jìn)行檢查,對IT風(fēng)險(xiǎn)進(jìn)行評估。
第五十二條 公司應(yīng)建立內(nèi)部IT審計(jì)制度,至少每兩年進(jìn)行一次IT審計(jì)。建議對重要IT項(xiàng)目的建設(shè)和運(yùn)行進(jìn)行專項(xiàng)審計(jì),鼓勵公司聘請外部有資質(zhì)的機(jī)構(gòu)對公司進(jìn)行IT審計(jì)和IT風(fēng)險(xiǎn)評估。
第九章 附則
第五十三條 本指引由中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會負(fù)責(zé)解釋。
第五十四條 本指引自發(fā)布之日起實(shí)施。