首页 证券基金经营机构信息技术管理办法 证券基金经营机构信息技术管理办法(2018年) 发布机关 中国证监会 效力 已失效 第一章 总则 第一条 为加强证券基金经营机构信息技术管理,保障证券基金行业信息系统安全、合规运行,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《证券公司监督管理条例》等法… 第二条 证券基金经营机构借助信息技术手段从事证券基金业务活动,信息技术服务机构为证券基金业务活动提供信息技术服务,适用本办法。 第三条 本办法所称证券基金经营机构,是指经中国证监会批准在境内设立的证券公司和管理公开募集基金的基金管理公司(以下简称基金管理公司)。 第四条 证券基金经营机构是从事证券基金业务活动的责任主体,应当保障充足的信息技术投入,在依法合规、有效防范风险的前提下,充分利用现代信息技术手段完善客户服务体系、改进业… 第五条 中国证监会及其派出机构依法对证券基金经营与服务机构借助信息技术手段从事证券基金业务活动或提供相关服务实施监督管理。 第二章 信息技术治理 第六条 证券基金经营机构应当完善信息技术运用过程中的权责分配机制,建立健全信息技术管理制度和操作流程,保障与业务活动规模及复杂程度相适应的信息技术投入水平,持续满足信息… 第七条 证券基金经营机构董事会负责审议本公司的信息技术管理目标,对信息技术管理的有效性承担责任,履行下列职责: 第八条 证券基金经营机构经营管理层负责落实信息技术管理目标,对信息技术管理工作承担责任,履行下列职责: 第九条 证券基金经营机构应当在公司管理层下设立信息技术治理委员会或指定专门委员会(以下统称信息技术治理委员会)负责制定信息技术战略并审议下列事项: 第十条 证券基金经营机构应当指定一名熟悉证券、基金业务,具有信息技术相关专业背景、任职经历、履职能力的高级管理人员为首席信息官,由其负责信息技术管理工作,并具备下列任职… 第十一条 证券基金经营机构应当设立信息技术管理部门或指定专门机构(以下统称信息技术管理部门)负责实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理等… 第三章 信息技术合规与风险管理 第十二条 证券基金经营机构应当将信息技术运用情况纳入合规与风险管理体系,为合规管理部门和风险管理部门配备与业务活动规模、复杂程度相适应的信息技术资源,并建立相应的审查、监… 第十三条 证券基金经营机构借助信息技术手段从事证券基金业务活动的,应当在业务系统上线时,同步上线与业务活动复杂程度和风险状况相适应的风险管理系统或相关功能(以下统称风险管… 第十四条 证券基金经营机构借助信息技术手段从事证券基金业务活动前,应当开展内部审查,验证下列事项并建立存档记录: 第十五条 证券基金经营机构应当识别借助信息技术手段从事证券基金业务活动的各类风险,建立持续有效的风险监测机制。证券基金经营机构应当及时、稳妥处置发现的风险问题,并至少每年… 第十六条 证券基金经营机构应当定期开展信息技术管理工作专项审计,频率不低于每年一次,确保三年内完成信息技术管理全部事项的审计工作,包括但不限于信息技术治理、信息技术合规与… 第十七条 除法律法规及中国证监会另有规定外,证券基金经营机构应当通过自身运营管理的信息系统直接接收客户交易指令,并记录客户交易指令接收时间。 第十八条 证券基金经营机构应当按照中国证监会有关规定采集、记录、存储、报送客户交易终端信息,并采取有效的技术措施,保障相关信息真实、准确、完整。 第十九条 证券基金经营机构使用电子合同从事证券基金业务活动的,应当将电子合同存储在指定的信息系统,并提供可供投资者及合同其他相关方查询、下载的公开渠道。 第二十条 证券基金经营机构从事证券交易相关业务,应当按照监管规定及自律管理规则的要求,确保风险管理系统具备审查账户资金及证券是否充足、监控交易及资金划转是否异常等功能。 第四章 信息技术安全 第一节 信息系统安全 第二十一条 证券基金经营机构应当建立独立于生产环境的专用开发测试环境,避免风险传导;开发测试环境使用未脱敏数据的,应当采取与生产环境同等的安全控制措施。 第二十二条 证券基金经营机构重要信息系统上线或发生重大变更的,应当制定专项实施方案,并对信息系统上线或变更操作行为进行审查、确认和跟踪。 第二十三条 证券基金经营机构应当结合公司发展战略、市场交易规模等因素定期对重要信息系统开展压力测试和评估分析,确保其容量满足业务开展需要。 第二十四条 证券基金经营机构应当建立健全信息系统安全监测机制,设定监测指标并持续监测重要信息系统的运行状况。 第二十五条 证券基金经营机构应当妥善保存信息系统开发、测试、上线、变更及运维过程中产生的文档,并根据业务开展情况以及信息系统的重要程度建立与监测工作相适应的日志留痕机制,确… 第二十六条 证券基金经营机构重要信息系统部署以及所承载数据的管理,应当遵循法律法规等规定。 第二十七条 证券基金经营机构可以在安全、合规的前提下为子公司提供机房、通信网络及其他信息技术基础设施,并协助开展相关运维工作。 第二十八条 证券基金经营机构应当确保重要信息系统具备可审计功能,并可以根据监管部门的要求转换、提供数据。 第二节 数据治理 第二十九条 证券基金经营机构应当结合公司发展战略,建立全面、科学、有效的数据治理组织架构以及数据全生命周期管理机制,确保数据统一管理、持续可控和安全存储,切实履行数据安全及… 第三十条 证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。 第三十一条 证券基金经营机构应当完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施,保护经营数据和客户信息安全,… 第三十二条 证券基金经营机构应当遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限,并履行审批流程。合规管理和风险管理部门应当对权限管理制度和操作流程进行合规审… 第三十三条 证券基金经营机构应当记录经营数据和客户信息的使用情况,并持续监督信息技术服务机构等相关方落实保密协议的情况。 第三十四条 证券基金经营机构应当建立健全数据安全管理制度,不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据。在收集使用客户信息之前,证券基金经营机构应当… 第三十五条 证券基金经营机构应当充分挖掘、梳理和分析数据内容,提高管理精细化程度,在业务经营、风险管理与内部控制中加强数据应用,实现同一客户、同类业务统一管理,充分发挥数据… 第三节 应急管理 第三十六条 证券基金经营机构借助信息技术手段从事证券基金业务活动的,应当建立信息技术应急管理的组织架构,确定重要业务及其恢复目标,制定应急预案,配置充足资源,稳妥处置信息技… 第三十七条 证券基金经营机构应当落实下列应急管理职责: 第三十八条 证券基金经营机构应当制定并持续完善应急预案,包括应急管理建设目标、备份信息系统建设和恢复机制、备份数据恢复机制、业务恢复或替代措施、应急联系方式、与客户沟通方式… 第三十九条 证券基金经营机构应当根据系统变更、业务变化等情况,持续更新应急预案。 第四十条 证券基金经营机构应当在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式等信息,提示客户防范和应对可能出现的风险。 第四十一条 证券基金经营机构应当确保备份系统与生产系统具备同等的处理能力,保持备份数据与原始数据的一致性。重要信息系统应当符合下列信息系统备份能力等级要求: 第四十二条 证券基金经营机构应当按照中国证监会有关规定,建立信息安全事件的分级响应机制,明确内部处置工作流程,确保相关信息系统及时恢复运行。 第五章 信息技术服务机构 第四十三条 证券基金经营机构借助信息技术手段从事证券基金业务活动的,可以委托信息技术服务机构提供产品或服务,但证券基金经营机构依法应当承担的责任不因委托而免除或减轻。 第四十四条 基金管理公司应当选择已在中国证监会备案的信息技术服务机构,并在备案范围内与其开展合作;证券公司应当选择符合本办法第四十七条所列条件的信息技术服务机构开展合作。 第四十五条 证券基金经营机构应当与信息技术服务机构签订服务协议和保密协议,明确各方权利、义务和责任,约定质量考核标准、持续监控机制、异常处理机制、服务变更或者终止的处置流程… 第四十六条 信息技术服务机构出现异常情形的,证券基金经营机构应当按照应急预案开展内部评估与审查;信息技术服务机构保障能力不足,导致相关产品或服务的可用性、完整性或机密性丧失… 第四十七条 为基金管理公司提供信息技术服务的机构(以下简称基金信息技术服务机构)应当符合下列条件并向中国证监会备案: 第四十八条 基金信息技术服务机构备案材料应当包括本机构基本情况、信息技术服务情况、服务对象情况、内部控制情况等相关资料。备案内容发生变更的,基金信息技术服务机构应当及时更新… 第四十九条 为证券公司、证券投资咨询机构提供信息技术服务的机构(以下简称证券信息技术服务机构)可以自愿接受中证信息业务指导,并遵守相关业务规则。 第五十条 信息技术服务机构应当健全内部质量控制机制,定期监测相关产品或服务,在提供服务过程中出现明显质量问题的,应当立即核实有关情况,采取必要的处理措施,明确修复完成时限… 第五十一条 信息技术服务机构为证券基金业务活动提供信息技术服务,不得有下列行为: 第六章 监督管理 第五十二条 证券基金经营机构新建或更换重要信息系统所在机房、证券基金交易相关信息系统,应当在开展相关业务活动的五个工作日内向中国证监会报送有关资料,包括内部审查意见、机房基… 第五十三条 证券基金经营机构应当在报送年度报告的同时报送年度信息技术管理专项报告,说明报告期内信息技术治理、信息技术合规与风险管理、信息技术安全管理、信息技术审计等执行本办… 第五十四条 证券基金经营机构应当按照中国证监会有关规定履行信息安全事件报告和调查处理职责。 第五十五条 信息技术服务机构出现下列情形的,应当立即报告住所地中国证监会派出机构: 第五十六条 中国证监会及其派出机构在对证券基金经营与服务机构信息技术管理及服务活动的监管过程中,可以采用渗透测试、漏洞扫描及信息技术风险评估等方式开展现场检查及非现场检查。… 第五十七条 证券基金经营机构违反本办法规定的,中国证监会及其派出机构可以依法对其采取责令改正、暂停业务、出具警示函、责令定期报告、责令增加合规检查次数、公开谴责等行政监管措… 第五十八条 证券基金经营机构违反本办法规定,反映公司治理混乱、内控失效的,中国证监会及其派出机构可以按照《证券投资基金法》第二十四条、《证券公司监督管理条例》第七十条的规定… 第五十九条 信息技术服务机构违反本办法规定的,中国证监会及其派出机构可以要求其提交说明材料,并采取责令改正、监管谈话、出具警示函等行政监管措施,情节严重的,中国证监会及其派… 第七章 附则 第六十条 证券基金专项业务服务机构借助信息技术手段从事证券基金业务活动的,参照本办法执行。 第六十一条 证券基金专项业务服务机构违反本办法规定的,中国证监会及其派出机构可以对证券基金专项业务服务机构及其直接负责的主管人员和其他直接责任人员单处或者并处警告、责令停止… 第六十二条 证券基金经营机构、证券基金专项业务服务机构应当按照本办法第五十二条规定,在本办法实施之日起半年内将已投产的重要信息系统所在机房、证券基金交易相关信息系统等相关情… 第六十三条 本办法中下列用语的含义: 第六十四条 本办法自2019年6月1日起实施。《证券投资基金销售机构通过第三方电子商务平台开展业务管理暂行规定》(证监会公告〔2013〕18号)同时废止。 相关版本 证券基金经营机构信息技术管理办法(2021) 关于修改、废止部分证券期货规章的决定(2021) 证券基金经营机构信息技术管理办法(2018) 证券投资基金销售机构通过第三方电子商务平台开展业务管理暂行规定(2013) 证券基金经营机构信息技术管理办法(2018) 证券投资基金销售机构通过第三方电子商务平台开展业务管理暂行规定(2013)