国内精品伊人久久久久妇,精品国产一区二区三区在线,99久热国产精品视频尤物不卡,欧美系列在线播放

第一條  為加強證券期貨經(jīng)營機構(gòu)信息技術(shù)管理與規(guī)范，完善各機構(gòu)的治理結(jié)構(gòu)，提高證券期貨經(jīng)營機構(gòu)信息技術(shù)治理水平，保障信息系統(tǒng)安全運行，特制定本指引。

第二條  信息技術(shù)治理（IT治理）是指公司在運用信息技術(shù)（以下簡稱IT）過程中,制定的有關(guān)IT決策權(quán)分配和責(zé)任承擔(dān)的框架，主要包括在IT原則、IT架構(gòu)、IT基礎(chǔ)設(shè)施、IT應(yīng)用和IT投入5個方面制定相關(guān)制度并建立有效的工作機制，實現(xiàn)IT決策的責(zé)任和權(quán)力的有效分配與控制，提高IT資源的有效性、可用性和安全性。

第三條  IT治理是公司治理的重要組成部分，IT能力是證券期貨經(jīng)營機構(gòu)的核心競爭力之一，有效的IT治理可以持續(xù)鞏固和提升IT能力。各證券期貨經(jīng)營機構(gòu)應(yīng)建立有效的IT治理機制，保持IT與業(yè)務(wù)目標一致，合理利用IT資源，有效管理IT風(fēng)險，確保信息系統(tǒng)的建設(shè)和運行安全、高效、穩(wěn)定。

第四條  本指引適用于各證券期貨經(jīng)營機構(gòu)，包括證券公司、基金管理公司和期貨公司（以下簡稱公司）。全資子公司的IT治理工作可納入母公司統(tǒng)籌實施。

第二章  IT原則和治理目標

第五條  公司應(yīng)制定明確的IT原則。IT原則是指公司為實現(xiàn)經(jīng)營目標而運用IT的基本思路，對IT在公司運營中所起的作用和IT投入等主要方面做出明確的規(guī)定。

第六條  公司應(yīng)根據(jù)其經(jīng)營規(guī)劃制定IT治理目標，利用IT增強公司的核心競爭力,使公司從IT投入中獲得更大收益。IT治理目標應(yīng)包括：

（一）明確IT決策的權(quán)力和責(zé)任；

（二）實現(xiàn)技術(shù)和業(yè)務(wù)的有效匹配；

（三）實現(xiàn)IT資源的最優(yōu)配置；

（四）實現(xiàn)IT風(fēng)險的可管可控。

第七條  公司應(yīng)制定公開、可行的IT治理流程，建立公司業(yè)務(wù)與IT之間清晰的聯(lián)系框架，采取有效措施，使公司管理層和各相關(guān)部門的人員了解并認同公司的IT原則和治理目標。

第八條  公司應(yīng)根據(jù)其發(fā)展需要制定IT規(guī)劃。IT規(guī)劃應(yīng)與公司發(fā)展保持一致，符合公司經(jīng)營對IT的要求，并使技術(shù)和業(yè)務(wù)部門能正確地理解和把握公司對IT的要求。

第九條  公司在制定IT規(guī)劃時，應(yīng)征求相關(guān)業(yè)務(wù)部門、財務(wù)管理部門和內(nèi)部控制部門的意見，并報公司管理層批準實施。

第十條  IT規(guī)劃在有效性、可用性和安全性方面應(yīng)滿足行業(yè)和公司可預(yù)見的業(yè)務(wù)發(fā)展要求，在容量、性能和安全保障方面做出規(guī)定。

第十一條  公司是IT系統(tǒng)建設(shè)、管理及安全運營的責(zé)任主體，公司應(yīng)建立有效的IT治理組織和工作機制，實現(xiàn)IT決策的有效授權(quán)和控制，通過制定相關(guān)制度來建立IT的決策、執(zhí)行和監(jiān)督的責(zé)任機制。

第十二條  公司應(yīng)在總公司、分支機構(gòu)和全資子公司建立統(tǒng)一協(xié)調(diào)的IT治理機制，較低層級服從于較高層級。

第十三條  公司總經(jīng)理對IT治理的有效性及IT安全負有最終責(zé)任，公司應(yīng)指定具有IT專業(yè)工作經(jīng)驗的高級管理人員作為公司IT治理的直接責(zé)任人，并設(shè)立IT總監(jiān)或其它類似職位的IT專職負責(zé)人。

第十四條  公司應(yīng)設(shè)立IT治理委員會或類似機構(gòu)，負責(zé)公司IT治理工作。IT治理委員會向公司管理層負責(zé)，公司管理層應(yīng)為IT治理委員會履行職責(zé)和行使職權(quán)提供必要的制度和機制保障。

第十五條  IT治理委員會應(yīng)由公司IT治理直接責(zé)任人、IT總監(jiān)、IT部門負責(zé)人、相關(guān)業(yè)務(wù)負責(zé)人、財務(wù)負責(zé)人、內(nèi)部控制負責(zé)人以及部分技術(shù)骨干等人員組成，其中IT人員的比例應(yīng)在30%以上。公司可聘請外部專業(yè)人士擔(dān)任委員或顧問。

第十六條  IT治理委員會應(yīng)建立明確的工作制度，應(yīng)至少每季度召開一次例會或根據(jù)需要召開臨時委員會會議。

第十七條  IT治理委員會應(yīng)履行以下職責(zé)：

（一）擬訂公司IT治理目標和IT治理工作計劃;

（二）審議公司IT發(fā)展規(guī)劃；

（三）審議公司年度IT工作計劃和IT預(yù)算；

（四）審議公司重大IT項目立項、投入和優(yōu)先級；

（五）審議公司IT管理制度和重要流程；

（六）制訂與IT治理相關(guān)的培訓(xùn)和教育工作計劃；

（七）檢查所擬訂和審議事項的落實和執(zhí)行情況；

（八）組織評估公司IT重大事項并提出處置意見；

（九）向公司管理層報告IT治理狀況。

第十八條  IT總監(jiān)的職責(zé)包括但不限于：

（一）組織擬定公司中長期IT發(fā)展規(guī)劃；

（二）組織擬定公司年度IT工作計劃及預(yù)算；

（三）組織擬定公司信息系統(tǒng)安全目標、策略、方針及實施計劃；

（四）組織對公司IT的風(fēng)險進行評估及控制；

（五）組織并協(xié)調(diào)公司信息化建設(shè)工作；

（六）組織擬定IT管理制度、IT建設(shè)標準；

（七）組織落實IT治理委員會所制定和審議的有關(guān)事項；

（八）向公司管理層和IT治理委員會報告IT重大事項，并對上報事項的真實性、準確性、完整性、及時性負責(zé)；

（九）對公司信息系統(tǒng)的安全管理體系的有效性負技術(shù)責(zé)任。

第十九條  公司應(yīng)建立對IT管理和IT運行維護的考核機制。

第四章  IT架構(gòu)與IT基礎(chǔ)設(shè)施

第二十條  公司應(yīng)根據(jù)IT原則和治理目標制定相應(yīng)的IT架構(gòu)，確定IT基礎(chǔ)設(shè)施、IT應(yīng)用系統(tǒng)的整體框架。

第二十一條  公司IT架構(gòu)應(yīng)包括業(yè)務(wù)應(yīng)用架構(gòu)、系統(tǒng)平臺架構(gòu)、數(shù)據(jù)信息架構(gòu)等，不同架構(gòu)的范圍和邊界應(yīng)明確定義。

第二十二條  IT架構(gòu)應(yīng)遵循全局、開放、共享的原則，通過數(shù)據(jù)、流程、技術(shù)的標準化和一體化工作，建立業(yè)務(wù)應(yīng)用、系統(tǒng)平臺、數(shù)據(jù)信息等完整、清晰的組織關(guān)系。

第二十三條  IT架構(gòu)在保證數(shù)據(jù)和基礎(chǔ)設(shè)施相對穩(wěn)定的前提下，應(yīng)具備良好的可擴展性和靈活性以支持不斷變化的業(yè)務(wù)需求和應(yīng)用。

第二十四條  公司應(yīng)定期或在有重大變化時對IT架構(gòu)進行評估，保證IT 架構(gòu)的適應(yīng)性和合理性。

第二十五條  IT基礎(chǔ)設(shè)施應(yīng)包括技術(shù)標準、基礎(chǔ)組織、基礎(chǔ)數(shù)據(jù)、基礎(chǔ)軟件、技術(shù)設(shè)備、通信網(wǎng)絡(luò)、安全系統(tǒng)、機房物理環(huán)境等，其中每一項都包含一系列整合的服務(wù)。

第二十六條  IT基礎(chǔ)設(shè)施建設(shè)應(yīng)遵循可靠、安全、共享和可管理的原則，能為多種IT應(yīng)用提供支持和服務(wù)，并根據(jù)成本效益與安全控制等要求確定IT資源的集中度。

第二十七條  IT基礎(chǔ)設(shè)施應(yīng)具有統(tǒng)一、安全、可靠、靈活、可擴展的特點，應(yīng)科學(xué)地設(shè)計和管理IT基礎(chǔ)設(shè)施的容量，以適應(yīng)業(yè)務(wù)增長和創(chuàng)新的需要，有利于業(yè)務(wù)擴展和創(chuàng)新應(yīng)用的快速、高效的實施和部署。公司應(yīng)定期評估IT基礎(chǔ)設(shè)施的容量和適應(yīng)能力。

第二十八條  公司應(yīng)建立技術(shù)部門和業(yè)務(wù)部門之間有效的溝通協(xié)調(diào)機制，制定IT應(yīng)用貫穿需求分析、立項決策、系統(tǒng)建設(shè)、系統(tǒng)驗收和上線運行等階段完整的工作制度與工作流程，通過IT應(yīng)用實現(xiàn)公司的經(jīng)營目標。

第二十九條  IT應(yīng)用需求應(yīng)充分考慮業(yè)務(wù)與技術(shù)之間協(xié)同發(fā)展的互動關(guān)系。重大IT應(yīng)用需求應(yīng)由相應(yīng)的使用部門或IT部門在需求調(diào)研的基礎(chǔ)上提出，由內(nèi)部控制部門、財務(wù)管理部門和IT部門會商后報公司IT治理委員會審議立項，由使用部門、運維部門和內(nèi)部控制部門參與驗收工作。

第三十條  IT應(yīng)用建設(shè)應(yīng)在確保安全的前提下平衡技術(shù)創(chuàng)新和IT架構(gòu)完整性；IT應(yīng)用應(yīng)促進和改善IT架構(gòu)，盡可能保證IT架構(gòu)的完整性和穩(wěn)定性。

第三十一條  公司應(yīng)為IT應(yīng)用實現(xiàn)提供必需的財力和人力資源，并在制定工作計劃時充分考慮軟件開發(fā)、測試及部署實施所需要的時間周期。

第三十二條  重要IT應(yīng)用系統(tǒng)包括但不限于核心交易系統(tǒng)、結(jié)算系統(tǒng)、風(fēng)險控制系統(tǒng)、財務(wù)系統(tǒng)、安全系統(tǒng)、災(zāi)難備份系統(tǒng)。

第三十三條  公司重要IT應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)施的建設(shè)、管理和運行維護應(yīng)滿足行業(yè)的有關(guān)規(guī)范并達到安全技術(shù)標準要求，沒有行業(yè)規(guī)范和標準的應(yīng)盡可能參照已有的國家或國際相關(guān)技術(shù)規(guī)范和標準。 

第三十五條  公司最近三個財政年度IT投入平均數(shù)額原則上應(yīng)不少于最近三個財政年度平均凈利潤的6%或不少于最近三個財政年度平均營業(yè)收入的3%。

第三十六條  IT建設(shè)應(yīng)有前瞻性，同時要避免盲目超前的IT規(guī)劃帶來過大的IT投入。公司應(yīng)從財務(wù)風(fēng)險、市場風(fēng)險、組織風(fēng)險和技術(shù)風(fēng)險上對IT投入風(fēng)險進行評估，并做出分析和權(quán)衡。

第三十七條  公司應(yīng)建立可量化的指標體系對IT投入進行管理，加強IT項目的成本核算。

第三十八條  IT投入應(yīng)優(yōu)先保證為投資者提供安全、可靠的交易服務(wù)。

第三十九條  公司應(yīng)將IT基礎(chǔ)設(shè)施作為一種重要資產(chǎn)進行管理，并逐年對各項基礎(chǔ)設(shè)施進行審慎投入。

第四十條  公司應(yīng)設(shè)立IT部門具體負責(zé)IT系統(tǒng)的開發(fā)、運維和管理工作，公司分支機構(gòu)應(yīng)當設(shè)立相應(yīng)的IT部門或崗位負責(zé)分支機構(gòu)的IT工作。

第四十一條  公司應(yīng)根據(jù)實際情況配備足夠的IT工作人員，并滿足安全和崗位設(shè)置的有關(guān)要求。公司的IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6％，并且期貨公司IT工作人員總數(shù)應(yīng)不少于3人。

第四十二條  公司應(yīng)為IT部門提供足夠的資金支持，為IT人員提供履行其崗位職責(zé)所需要的崗位技能培訓(xùn)及業(yè)務(wù)培訓(xùn)，制定合理的激勵機制和獎懲措施。

第四十三條  鼓勵公司設(shè)立IT專業(yè)職級體系，建立公平、公開、公正的晉升機制，為IT人員提供相應(yīng)的發(fā)展空間。

第四十四條  公司宜配備適當IT研發(fā)人員增強公司重要IT應(yīng)用系統(tǒng)的自主研發(fā)能力。

第八章 IT安全和風(fēng)險控制

第四十五條  公司應(yīng)通過管理機制和技術(shù)手段確保公司的IT系統(tǒng)安全與信息安全，保障業(yè)務(wù)活動的連續(xù)性，保證重要信息的保密、完整及可用，確保信息內(nèi)容符合法律法規(guī)的要求。

第四十六條  公司的系統(tǒng)開發(fā)、系統(tǒng)運維管理、系統(tǒng)的合規(guī)檢查原則上應(yīng)實現(xiàn)相互分離。

第四十七條  公司應(yīng)建立有效的災(zāi)難備份系統(tǒng)和應(yīng)急預(yù)案，明確應(yīng)急預(yù)案的激活條件、緊急事件處理流程、報告流程、撤銷流程、恢復(fù)流程以及人員責(zé)任等。災(zāi)難備份系統(tǒng)的各項技術(shù)指標應(yīng)符合監(jiān)管機構(gòu)的要求。

第四十八條  公司應(yīng)充分重視客戶資料等公司商業(yè)信息安全問題，制定相關(guān)制度、采取相應(yīng)措施確保在開放的市場環(huán)境中公司的商業(yè)機密和投資者信息安全。

第四十九條  公司應(yīng)對全體員工開展必要的信息安全培訓(xùn)、教育和考核，對合作方服務(wù)人員提出明確的信息安全要求。公司與合作方簽訂合同應(yīng)包含保密和誠信協(xié)議，明確各自承擔(dān)的安全義務(wù)和責(zé)任，并要求合作方在提供產(chǎn)品或服務(wù)的同時承諾產(chǎn)品不存在惡意代碼或未授權(quán)的連接功能（軟件后門），不提供違反法律法規(guī)的操作模塊、功能和手段。

第五十條  公司應(yīng)規(guī)范IT外包服務(wù)管理，對重要的外包服務(wù)要明確服務(wù)商資質(zhì)要求、服務(wù)等級、服務(wù)流程、責(zé)任義務(wù)和服務(wù)質(zhì)量標準。

第五十一條  公司應(yīng)制定IT風(fēng)險管理的策略和相關(guān)制度，對信息系統(tǒng)的合規(guī)性進行檢查,對IT風(fēng)險進行評估。

第五十二條  公司應(yīng)建立內(nèi)部IT審計制度，至少每兩年進行一次IT審計。建議對重要IT項目的建設(shè)和運行進行專項審計，鼓勵公司聘請外部有資質(zhì)的機構(gòu)對公司進行IT審計和IT風(fēng)險評估。

第九章  附則

第五十三條  本指引由中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會負責(zé)解釋。

第五十四條  本指引自發(fā)布之日起實施。