首页 证券基金经营机构信息技术管理办法(2018年) 第四章 证券基金经营机构信息技术管理办法(2018年) 第四章 第四章 信息技术安全 第一节 信息系统安全 第二十一条 证券基金经营机构应当建立独立于生产环境的专用开发测试环境,避免风险传导;开发测试环境使用未脱敏数据的,应当采取与生产环境同等的安全控制措施。 第二十二条 证券基金经营机构重要信息系统上线或发生重大变更的,应当制定专项实施方案,并对信息系统上线或变更操作行为进行审查、确认和跟踪。 第二十三条 证券基金经营机构应当结合公司发展战略、市场交易规模等因素定期对重要信息系统开展压力测试和评估分析,确保其容量满足业务开展需要。 第二十四条 证券基金经营机构应当建立健全信息系统安全监测机制,设定监测指标并持续监测重要信息系统的运行状况。 第二十五条 证券基金经营机构应当妥善保存信息系统开发、测试、上线、变更及运维过程中产生的文档,并根据业务开展情况以及信息系统的重要程度建立与监测工作相适应的日志留痕机制,确… 第二十六条 证券基金经营机构重要信息系统部署以及所承载数据的管理,应当遵循法律法规等规定。 第二十七条 证券基金经营机构可以在安全、合规的前提下为子公司提供机房、通信网络及其他信息技术基础设施,并协助开展相关运维工作。 第二十八条 证券基金经营机构应当确保重要信息系统具备可审计功能,并可以根据监管部门的要求转换、提供数据。 第二节 数据治理 第二十九条 证券基金经营机构应当结合公司发展战略,建立全面、科学、有效的数据治理组织架构以及数据全生命周期管理机制,确保数据统一管理、持续可控和安全存储,切实履行数据安全及… 第三十条 证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。 第三十一条 证券基金经营机构应当完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施,保护经营数据和客户信息安全,… 第三十二条 证券基金经营机构应当遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限,并履行审批流程。合规管理和风险管理部门应当对权限管理制度和操作流程进行合规审… 第三十三条 证券基金经营机构应当记录经营数据和客户信息的使用情况,并持续监督信息技术服务机构等相关方落实保密协议的情况。 第三十四条 证券基金经营机构应当建立健全数据安全管理制度,不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据。在收集使用客户信息之前,证券基金经营机构应当… 第三十五条 证券基金经营机构应当充分挖掘、梳理和分析数据内容,提高管理精细化程度,在业务经营、风险管理与内部控制中加强数据应用,实现同一客户、同类业务统一管理,充分发挥数据… 第三节 应急管理 第三十六条 证券基金经营机构借助信息技术手段从事证券基金业务活动的,应当建立信息技术应急管理的组织架构,确定重要业务及其恢复目标,制定应急预案,配置充足资源,稳妥处置信息技… 第三十七条 证券基金经营机构应当落实下列应急管理职责: 第三十八条 证券基金经营机构应当制定并持续完善应急预案,包括应急管理建设目标、备份信息系统建设和恢复机制、备份数据恢复机制、业务恢复或替代措施、应急联系方式、与客户沟通方式… 第三十九条 证券基金经营机构应当根据系统变更、业务变化等情况,持续更新应急预案。 第四十条 证券基金经营机构应当在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式等信息,提示客户防范和应对可能出现的风险。 第四十一条 证券基金经营机构应当确保备份系统与生产系统具备同等的处理能力,保持备份数据与原始数据的一致性。重要信息系统应当符合下列信息系统备份能力等级要求: 第四十二条 证券基金经营机构应当按照中国证监会有关规定,建立信息安全事件的分级响应机制,明确内部处置工作流程,确保相关信息系统及时恢复运行。 第二十条 目录 第一节