证券公司信息技术治理工作指引


          证券公司信息技术治理工作指引

     第一章总则

     第一条为加强证券公司(以下简称“证券公司”或“公司”)信息技术监管,维护信息系统安全,提升区证券公司信息技术管理水平,推动行业信息技术进步,制定本指引

     第二条证券公司信息技术治理旨在建立以组织战略为导向、业务与技术融合为核心的证券公司信息技术决策与管理体系,通过信息技术规划落实、决策实施、制度安排、人员管理设备维护、服务交付、外部监督及责任追究等一系列信息技术管理手段和措施,提升对信息技术的管理定位,整合信息技术资源加强信息技术风险管理,保障信息安全

     第二章管理层与信息技术治理

     第三条公司管理层应充分认识到信息技术是公司核心竞争力的重要组成部分,信息技术治理是公司内部管理和控制的重要组成部分。公司应指定高级管理人员为公司信息技术治理的负责

     第四条公司管理层对信息技术治理的有效性及信息安全的有效性负最终责任。公司管理层应根据公司实际,通过制度安排确定信息技术的决策权、执行权及相关的责任承担机制,确保公司信息安全和信息技术治理水平与公司业务发展规模一致。

     第五条公司管理层应根据公司实际,通过“计划、执行、检查、处理”循环,逐步实现信息技术治理的内部行为流程透明、可重复及风险可控。鼓励管理层通过引入服务水平评价机制、成本费用分摊机制、绩效管理等方式提升公司信息技术治理
 
     第六条公司应设立信息技术治理委员会或类似组织负责信息技术治理的推进工作。该组织向公司管理层负责,履行以下

       (一)审议公司中长期信息技术规划,至少每年一次进行检视和修订,并上报董事会

       (二)审议公司年度信息技术治理工作计划及预算,并监督落实情况

       (三)审议公司信息技术治理工作报告;

       (四)审议公司重大信息技术管理制度

       (五)审议公司信息安全目标、策略、方针以及分阶段实施

       (六)根据市场形势及公司业务发展的实际情况,审议调整信息技术治理工作部署的意见

       (七)对公司信息技术相关的投资及其优先级做出决策

       (八)确保公司提供足够的资源保障信息技术治理工作按既定的目标和方案进行实施,保障公司信息技术治理水平得到持续的改进和提高

      第七条信息技术治理委员会的委员应至少包括公司信息技术治理负责人、公司合规负责人、公司财务负责人及信息技术总监。公司可适当聘请外部专业人士担任信息技术治理委员会的委
员或顾问。

      第八条公司应设立信息技术总监,由具备证券公司高级管理人员任职资格的经理层人员担任。如公司不具备条件的,该职位可由信息技术部门负责人兼任。

      第九条公司信息技术总监协助公司管理层组织信息技术治理推进工作,并履行尽职责任。信息技术总监的职责包括但不限于

       (一)组织制定公司中长期信息技术规划:

       (二)组织制定公司年度信息技术治理工作计划及预算
  
       (三)组织制定公司信息安全目标、策略、方针及实施计划

       (四)组织信息技术治理相关的培训、教育、考核工作

       (五)组织对公司信息技术的风险进行评估及控制

       (六)组织并协调公司信息化建设工作;

       (七)向公司管理层、监管部门报告信息技术治理状况及重事项,并负责与监管部门之间的沟通协调工作:
 
       (八)确保公司信息系统的技术合规性;

       (九)确保公司信息安全管理体系的有效性。

     第十条公司应保障信息技术总监具有充分的知情权及履职必需的相关权利。信息技术总监应为上报事项的真实性、准确性完整性、及时性负责

     第三章信息技术规划

     第十一条公司应制定中长期的信息技术规划。信息技术规划应与公司战略发展规划保持一致,为公司战略发展规划服务。

     第十二条公司信息技术规划包括但不限于信息化组织架构、业务架构、系统平台架构、应用系统架构、网络与硬件基础设施架构、信息安全架构、架构间的接口标准等整体框架以及与
上述架构相关的项目管理、投资预算、分期实施计划、资源配置效益评价和风险规避措施等一系列策略方针

     第十三条证券公司设有下属子公司的,子公司信息技术规划应与证券公司信息技术规划保持一致。证券公司作为集团公司独立子公司的,公司信息技术规划应在考虑证券业务特点的前提
下与集团公司信息技术规划保持一致

     第十四条公司制定信息技术规划,应事先征求相关业务部门以及内部控制部门的意见。信息技术规划应经过公司管理层或公司董事会批准后正式发布、实施。

     第四章信息技术人员

     第十五条公司应当设立信息技术部门负责公司的信息技术工作。公司分支机构应当设立信息技术部门负责分支机构的信息技术工作

     第十六条分支机构的信息技术部门应实行垂直管理,由总部信息技术部门直接管理。垂直管理的内容至少包括

       (一)分支机构信息技术工作的指导、考核

       (二)分支机构信息技术人员的招聘、培训、考核、定级、奖励、处罚、解聘等;

       (三)分支机构信息技术人员薪酬的核定。

     第十七条信息技术部门应当配备足够的信息技术人员,人员配置应满足下列要求:

       (一)实现集中交易的证券公司,其总部应设立专门的部门负责信息技术的运行维护工作,应设立专门的部门负责公司网络的管理维护工作

       (二)公司应确保关键信息系统的软硬件运行维护具备足够业务熟练的技术人员

       (三)营业部信息技术人员应不少于2人

       (四)鼓励公司配备适当软件开发人员增强公司的自主研发能力、提高公司信息化水平。

       (五)公司可根据实际情况确定信息技术人员的人员数量及配置,但必须满足岗位内部制衡的有关要求。

     第十八条信息技术部门应当建立设置合理、职责明确的位责任制,具体应满足以下要求

     (一)岗位职责至少应包括:工作内容、工作权限、考核要求、任职条件;
.
     (二)对于关键岗位,应分别设置操作岗位和复核岗位;

     (三)对于关键岗位,应至少设置一名备岗

     (四)重要系统运行维护与工程项目管理岗位应分离

     (五)重要系统运行维护与软件系统开发岗位应分离

     (六)操作系统管理员与数据库管理员岗位应分离
总12页显示3页