RM新时代官网网址

證券基金經(jīng)營(yíng)機構信息技術(shù)管理辦法

（2018年12月19日證監會(huì )令第152號公布 根據2021年1月15日證監會(huì )令第179號《關(guān)于修改、廢止部分證券期貨規章的決定》修訂）

 

 

 

第一章 總  則

 

    第一條  為加強證券基金經(jīng)營(yíng)機構信息技術(shù)管理，保障證券基金行業(yè)信息系統安全、合規運行，保護投資者合法權益，根據《證券法》、《證券投資基金法》、《證券公司監督管理條例》等法律法規，制定本辦法。

    第二條  證券基金經(jīng)營(yíng)機構借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動(dòng)，信息技術(shù)服務(wù)機構為證券基金業(yè)務(wù)活動(dòng)提供信息技術(shù)服務(wù)，適用本辦法。

    第三條  本辦法所稱(chēng)證券基金經(jīng)營(yíng)機構，是指經(jīng)中國證監會(huì )批準在境內設立的證券公司和管理公開(kāi)募集基金的基金管理公司（以下簡(jiǎn)稱(chēng)基金管理公司）。

    本辦法所稱(chēng)信息技術(shù)服務(wù)機構，是指為證券基金業(yè)務(wù)活動(dòng)提供信息技術(shù)服務(wù)的機構。信息技術(shù)服務(wù)的范圍如下：

（一）重要信息系統的開(kāi)發(fā)、測試、集成及測評；

（二）重要信息系統的運維及日常安全管理；

（三）中國證監會(huì )規定的其他情形。

以上機構統稱(chēng)證券基金經(jīng)營(yíng)與服務(wù)機構。    

    第四條  證券基金經(jīng)營(yíng)機構是從事證券基金業(yè)務(wù)活動(dòng)的責任主體，應當保障充足的信息技術(shù)投入，在依法合規、有效防范風(fēng)險的前提下，充分利用現代信息技術(shù)手段完善客戶(hù)服務(wù)體系、改進(jìn)業(yè)務(wù)運營(yíng)模式、提升內部管理水平、增強合規風(fēng)控能力，持續強化現代信息技術(shù)對證券基金業(yè)務(wù)活動(dòng)的支撐作用。

    第五條  中國證監會(huì )及其派出機構依法對證券基金經(jīng)營(yíng)與服務(wù)機構借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動(dòng)或提供相關(guān)服務(wù)實(shí)施監督管理。

中國證券業(yè)協(xié)會(huì )及中國證券投資基金業(yè)協(xié)會(huì )依照本辦法制定和完善相關(guān)自律規則，對證券基金經(jīng)營(yíng)機構借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動(dòng)或提供相關(guān)服務(wù)實(shí)施自律管理。

中證信息技術(shù)服務(wù)有限責任公司（以下簡(jiǎn)稱(chēng)中證信息）在中國證監會(huì )指導下制定相關(guān)配套業(yè)務(wù)規則，協(xié)助開(kāi)展信息技術(shù)相關(guān)備案、監測、檢測和檢查等工作。

 

第二章 信息技術(shù)治理

 

    第六條  證券基金經(jīng)營(yíng)機構應當完善信息技術(shù)運用過(guò)程中的權責分配機制，建立健全信息技術(shù)管理制度和操作流程，保障與業(yè)務(wù)活動(dòng)規模及復雜程度相適應的信息技術(shù)投入水平，持續滿(mǎn)足信息技術(shù)資源的可用性、安全性與合規性要求。

    第七條  證券基金經(jīng)營(yíng)機構董事會(huì )負責審議本公司的信息技術(shù)管理目標，對信息技術(shù)管理的有效性承擔責任, 履行下列職責：

（一）審議信息技術(shù)戰略，確保與本公司的發(fā)展戰略、風(fēng)險管理策略、資本實(shí)力相一致；

（二）建立信息技術(shù)人力和資金保障方案；

（三）評估年度信息技術(shù)管理工作的總體效果和效率；

（四）公司章程規定的其他信息技術(shù)管理職責。

    第八條  證券基金經(jīng)營(yíng)機構經(jīng)營(yíng)管理層負責落實(shí)信息技術(shù)管理目標，對信息技術(shù)管理工作承擔責任，履行下列職責：

（一）組織實(shí)施董事會(huì )相關(guān)決議；

（二）建立責任明確、程序清晰的信息技術(shù)管理組織架構，明確管理職責、工作程序和協(xié)調機制；

（三）完善績(jì)效考核和責任追究機制；

（四）公司章程規定或董事會(huì )授權的其他信息技術(shù)管理職責。

    第九條  證券基金經(jīng)營(yíng)機構應當在公司管理層下設立信息技術(shù)治理委員會(huì )或指定專(zhuān)門(mén)委員會(huì )（以下統稱(chēng)信息技術(shù)治理委員會(huì )）負責制定信息技術(shù)戰略并審議下列事項：

（一）信息技術(shù)規劃，包括但不限于信息技術(shù)建設規劃、信息安全規劃、數據治理規劃等；

（二）信息技術(shù)投入預算及分配方案；

（三）重要信息系統建設或重大改造立項、重大變更方案；

（四）信息技術(shù)應急預案；

（五）使用信息技術(shù)手段開(kāi)展相關(guān)業(yè)務(wù)活動(dòng)的審查報告以及年度評估報告；

（六）信息技術(shù)治理委員會(huì )委員提請審議的事項；

（七）其他對信息技術(shù)管理產(chǎn)生重大影響的事項。

信息技術(shù)治理委員會(huì )應當由高級管理人員以及合規管理部門(mén)、風(fēng)險管理部門(mén)、稽核審計部門(mén)、主要業(yè)務(wù)部門(mén)、信息技術(shù)管理部門(mén)等部門(mén)負責人組成，可聘請外部專(zhuān)業(yè)人員擔任信息技術(shù)治理委員會(huì )委員或顧問(wèn)。

    第十條  證券基金經(jīng)營(yíng)機構應當指定一名熟悉證券、基金業(yè)務(wù)，具有信息技術(shù)相關(guān)專(zhuān)業(yè)背景、任職經(jīng)歷、履職能力的高級管理人員為首席信息官，由其負責信息技術(shù)管理工作，并具備下列任職條件：

（一）從事信息技術(shù)相關(guān)工作十年以上，或者在證券監管機構、證券基金業(yè)自律組織任職八年以上；

（二）最近三年未被金融監管機構實(shí)施行政處罰或采取重大行政監管措施；

（三）中國證監會(huì )規定的其他條件。

    第十一條  證券基金經(jīng)營(yíng)機構應當設立信息技術(shù)管理部門(mén)或指定專(zhuān)門(mén)機構（以下統稱(chēng)信息技術(shù)管理部門(mén)）負責實(shí)施信息技術(shù)規劃、信息系統建設、信息技術(shù)質(zhì)量控制、信息安全保障、運維管理等工作。

 

第三章 信息技術(shù)合規與風(fēng)險管理

 

    第十二條  證券基金經(jīng)營(yíng)機構應當將信息技術(shù)運用情況納入合規與風(fēng)險管理體系，為合規管理部門(mén)和風(fēng)險管理部門(mén)配備與業(yè)務(wù)活動(dòng)規模、復雜程度相適應的信息技術(shù)資源，并建立相應的審查、監測和檢查機制，確保合規與風(fēng)險管理覆蓋信息技術(shù)運用的各個(gè)環(huán)節。

    第十三條  證券基金經(jīng)營(yíng)機構借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動(dòng)的，應當在業(yè)務(wù)系統上線(xiàn)時(shí)，同步上線(xiàn)與業(yè)務(wù)活動(dòng)復雜程度和風(fēng)險狀況相適應的風(fēng)險管理系統或相關(guān)功能（以下統稱(chēng)風(fēng)險管理系統），對風(fēng)險進(jìn)行識別、監控、預警和干預。

    第十四條  證券基金經(jīng)營(yíng)機構借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動(dòng)前，應當開(kāi)展內部審查，驗證下列事項并建立存檔記錄：

    （一）業(yè)務(wù)系統的流程設計、功能設置、參數配置和技術(shù)實(shí)現應當遵循業(yè)務(wù)合規的原則，不得違反法律法規及中國證監會(huì )的規定；

（二）風(fēng)險管理系統功能完備、權限清晰，能夠與業(yè)務(wù)系統同步上線(xiàn)運行；

（三）具備完善的信息安全防護措施，能夠保障經(jīng)營(yíng)數據和客戶(hù)信息的安全、完整；

（四）具備符合要求的信息系統備份及運維管理能力，能夠保障相關(guān)系統安全、平穩運行。

    第十五條  證券基金經(jīng)營(yíng)機構應當識別借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動(dòng)的各類(lèi)風(fēng)險，建立持續有效的風(fēng)險監測機制。證券基金經(jīng)營(yíng)機構應當及時(shí)、穩妥處置發(fā)現的風(fēng)險問(wèn)題，并至少每年開(kāi)展一次風(fēng)險監測機制及執行情況的有效性評估。

    第十六條  證券基金經(jīng)營(yíng)機構應當定期開(kāi)展信息技術(shù)管理工作專(zhuān)項審計，頻率不低于每年一次，確保三年內完成信息技術(shù)管理全部事項的審計工作，包括但不限于信息技術(shù)治理、信息技術(shù)合規與風(fēng)險管理、信息技術(shù)安全管理、應急管理。

證券基金經(jīng)營(yíng)機構應當委托外部專(zhuān)業(yè)機構開(kāi)展信息技術(shù)管理工作的全面審計，頻率不低于每三年一次；未能有效實(shí)施信息技術(shù)管理被采取行政處罰措施、監管措施或者自律管理措施的，應當在三個(gè)月內完成對有關(guān)事項的專(zhuān)項審計。

證券基金經(jīng)營(yíng)機構應當跟蹤審計發(fā)現問(wèn)題的整改情況，相關(guān)問(wèn)題未能及時(shí)整改的，應當說(shuō)明理由，并將審計報告提交信息技術(shù)治理委員會(huì )審議。證券基金經(jīng)營(yíng)機構應當妥善保存審計報告，保存期限不得少于二十年。

    第十七條  除法律法規及中國證監會(huì )另有規定外，證券基金經(jīng)營(yíng)機構應當通過(guò)自身運營(yíng)管理的信息系統直接接收客戶(hù)交易指令，并記錄客戶(hù)交易指令接收時(shí)間。

    第十八條  證券基金經(jīng)營(yíng)機構應當按照中國證監會(huì )有關(guān)規定采集、記錄、存儲、報送客戶(hù)交易終端信息，并采取有效的技術(shù)措施，保障相關(guān)信息真實(shí)、準確、完整。

證券基金經(jīng)營(yíng)機構借助專(zhuān)業(yè)化交易信息系統向特定客戶(hù)提供交易服務(wù)的，應當要求客戶(hù)登記交易終端信息；信息發(fā)生變更的，應當要求客戶(hù)履行變更程序，確?？蛻?hù)真實(shí)使用的客戶(hù)交易終端信息與登記內容一致。

    第十九條  證券基金經(jīng)營(yíng)機構使用電子合同從事證券基金業(yè)務(wù)活動(dòng)的，應當將電子合同存儲在指定的信息系統，并提供可供投資者及合同其他相關(guān)方查詢(xún)、下載的公開(kāi)渠道。

    第二十條  證券基金經(jīng)營(yíng)機構從事證券交易相關(guān)業(yè)務(wù)，應當按照監管規定及自律管理規則的要求，確保風(fēng)險管理系統具備審查賬戶(hù)資金及證券是否充足、監控交易及資金劃轉是否異常等功能。

 

第四章 信息技術(shù)安全

 

第一節 信息系統安全

    第二十一條  證券基金經(jīng)營(yíng)機構應當建立獨立于生產(chǎn)環(huán)境的專(zhuān)用開(kāi)發(fā)測試環(huán)境，避免風(fēng)險傳導；開(kāi)發(fā)測試環(huán)境使用未脫敏數據的，應當采取與生產(chǎn)環(huán)境同等的安全控制措施。

    證券基金經(jīng)營(yíng)機構在生產(chǎn)環(huán)境開(kāi)展重要信息系統技術(shù)或業(yè)務(wù)測試的，應對測試流程及結果進(jìn)行審查。

    第二十二條  證券基金經(jīng)營(yíng)機構重要信息系統上線(xiàn)或發(fā)生重大變更的，應當制定專(zhuān)項實(shí)施方案，并對信息系統上線(xiàn)或變更操作行為進(jìn)行審查、確認和跟蹤。

    證券基金經(jīng)營(yíng)機構重要信息系統計劃停止使用的，應當開(kāi)展技術(shù)和業(yè)務(wù)影響評估，制定完整的系統停用和數據遷移保管方案，并組織必要的評審及停用后的安全檢查。

    第二十三條  證券基金經(jīng)營(yíng)機構應當結合公司發(fā)展戰略、市場(chǎng)交易規模等因素定期對重要信息系統開(kāi)展壓力測試和評估分析，確保其容量滿(mǎn)足業(yè)務(wù)開(kāi)展需要。

    第二十四條  證券基金經(jīng)營(yíng)機構應當建立健全信息系統安全監測機制，設定監測指標并持續監測重要信息系統的運行狀況。

證券基金經(jīng)營(yíng)機構應當指定專(zhuān)人跟蹤監測發(fā)現的異常情形，及時(shí)處置并定期開(kāi)展評估分析。

    第二十五條  證券基金經(jīng)營(yíng)機構應當妥善保存信息系統開(kāi)發(fā)、測試、上線(xiàn)、變更及運維過(guò)程中產(chǎn)生的文檔，并根據業(yè)務(wù)開(kāi)展情況以及信息系統的重要程度建立與監測工作相適應的日志留痕機制，確保滿(mǎn)足應急處置和審計需要。

    第二十六條  證券基金經(jīng)營(yíng)機構重要信息系統部署以及所承載數據的管理，應當遵循法律法規等規定。

    第二十七條  證券基金經(jīng)營(yíng)機構可以在安全、合規的前提下為子公司提供機房、通信網(wǎng)絡(luò )及其他信息技術(shù)基礎設施，并協(xié)助開(kāi)展相關(guān)運維工作。
    證券基金經(jīng)營(yíng)機構為其子公司提供信息技術(shù)服務(wù)的，應當充分評估信息技術(shù)基礎設施的支撐能力與冗余程度，并與子公司簽訂服務(wù)協(xié)議，明確合作雙方的權利義務(wù)，以及建立日常協(xié)作、業(yè)務(wù)隔離和應急管理機制，防范基礎設施共用產(chǎn)生的新增風(fēng)險。

證券基金經(jīng)營(yíng)機構可以設立信息技術(shù)專(zhuān)業(yè)子公司，為母公司提供信息技術(shù)服務(wù)。信息技術(shù)專(zhuān)業(yè)子公司經(jīng)中國證監會(huì )備案后可為其他金融機構提供信息技術(shù)服務(wù)。

第二十八條  證券基金經(jīng)營(yíng)機構應當確保重要信息系統具備可審計功能，并可以根據監管部門(mén)的要求轉換、提供數據。

 

第二節 數據治理

 

第二十九條  證券基金經(jīng)營(yíng)機構應當結合公司發(fā)展戰略，建立全面、科學(xué)、有效的數據治理組織架構以及數據全生命周期管理機制，確保數據統一管理、持續可控和安全存儲，切實(shí)履行數據安全及數據質(zhì)量管理職責，不斷提升數據使用價(jià)值。

第三十條  證券基金經(jīng)營(yíng)機構應當將經(jīng)營(yíng)及客戶(hù)數據按照重要性和敏感性進(jìn)行分類(lèi)分級，并根據不同類(lèi)別和級別作出差異化數據管理制度安排。

第三十一條  證券基金經(jīng)營(yíng)機構應當完善網(wǎng)絡(luò )隔離、用戶(hù)認證、訪(fǎng)問(wèn)控制、數據加密、數據備份、數據銷(xiāo)毀、日志記錄、病毒防范和非法入侵檢測等安全保障措施，保護經(jīng)營(yíng)數據和客戶(hù)信息安全，防范信息泄露與損毀。

    第三十二條  證券基金經(jīng)營(yíng)機構應當遵循最少功能以及最小權限等原則分配信息系統管理、操作和訪(fǎng)問(wèn)權限，并履行審批流程。合規管理和風(fēng)險管理部門(mén)應當對權限管理制度和操作流程進(jìn)行合規審查及風(fēng)險控制。

證券基金經(jīng)營(yíng)機構應當建立對信息系統權限的定期檢查與核對機制，確保用戶(hù)權限與其工作職責相匹配，防止出現授權不當的情形。

證券基金經(jīng)營(yíng)機構應當對重要信息系統的開(kāi)發(fā)、測試、運維實(shí)施必要分離，保證信息技術(shù)管理部門(mén)內部崗位的相互制衡。

第三十三條  證券基金經(jīng)營(yíng)機構應當記錄經(jīng)營(yíng)數據和客戶(hù)信息的使用情況，并持續監督信息技術(shù)服務(wù)機構等相關(guān)方落實(shí)保密協(xié)議的情況。

證券基金經(jīng)營(yíng)機構發(fā)現其他機構、個(gè)人違規存儲或使用自身經(jīng)營(yíng)數據和客戶(hù)信息的，應當排查數據泄露途徑、評估影響范圍，采取合理可行的整改措施，及時(shí)處置風(fēng)險隱患，并按照中國證監會(huì )規定履行報告和調查處理職責。

證券基金經(jīng)營(yíng)機構發(fā)現信息技術(shù)服務(wù)機構等相關(guān)方違規存儲或者使用自身經(jīng)營(yíng)數據和客戶(hù)信息的，應當責令其立即改正并銷(xiāo)毀已獲取的經(jīng)營(yíng)數據和客戶(hù)信息；信息技術(shù)服務(wù)機構等相關(guān)方拒絕配合整改的，證券基金經(jīng)營(yíng)機構應當立即停止與其合作，并采取措施維護自身及客戶(hù)的合法權益。

    第三十四條  證券基金經(jīng)營(yíng)機構應當建立健全數據安全管理制度，不得收集與服務(wù)無(wú)關(guān)的客戶(hù)信息，不得購買(mǎi)或使用非法獲取或來(lái)源不明的數據。在收集使用客戶(hù)信息之前，證券基金經(jīng)營(yíng)機構應當公開(kāi)收集、使用的規則和目的，并征得客戶(hù)同意。

    除法律法規和中國證監會(huì )另有規定外，證券基金經(jīng)營(yíng)機構不得允許或者配合其他機構、個(gè)人截取、留存客戶(hù)信息，不得以任何方式向其他機構、個(gè)人提供客戶(hù)信息。

第三十五條  證券基金經(jīng)營(yíng)機構應當充分挖掘、梳理和分析數據內容，提高管理精細化程度，在業(yè)務(wù)經(jīng)營(yíng)、風(fēng)險管理與內部控制中加強數據應用，實(shí)現同一客戶(hù)、同類(lèi)業(yè)務(wù)統一管理，充分發(fā)揮數據價(jià)值。

 

第三節 應急管理

 

第三十六條  證券基金經(jīng)營(yíng)機構借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動(dòng)的，應當建立信息技術(shù)應急管理的組織架構，確定重要業(yè)務(wù)及其恢復目標，制定應急預案，配置充足資源，穩妥處置信息技術(shù)突發(fā)事件，并積極開(kāi)展應急演練和信息技術(shù)應急管理的評估與改進(jìn)。

    第三十七條  證券基金經(jīng)營(yíng)機構應當落實(shí)下列應急管理職責：

（一）信息技術(shù)管理部門(mén)為信息技術(shù)應急管理的牽頭組織部門(mén)，組織開(kāi)展信息技術(shù)應急預案的制定、演練、評估與改進(jìn)工作，并負責信息系統的應急響應與恢復；

（二）各業(yè)務(wù)部門(mén)負責評估本業(yè)務(wù)條線(xiàn)信息技術(shù)突發(fā)事件相關(guān)風(fēng)險，開(kāi)展業(yè)務(wù)影響分析，確定并實(shí)施重要業(yè)務(wù)恢復目標和恢復策略；

（三）風(fēng)險管理部門(mén)負責評估信息系統與相關(guān)業(yè)務(wù)恢復目標和恢復策略制定的合理性，確保與公司整體風(fēng)險管理策略保持一致。

    第三十八條  證券基金經(jīng)營(yíng)機構應當制定并持續完善應急預案，包括應急管理建設目標、備份信息系統建設和恢復機制、備份數據恢復機制、業(yè)務(wù)恢復或替代措施、應急聯(lián)系方式、與客戶(hù)溝通方式、向監管部門(mén)及有關(guān)單位的報告路徑、應急預案披露與更新機制等內容。

    證券基金經(jīng)營(yíng)機構應急預案應當充分考慮重要信息系統故障、相關(guān)信息技術(shù)服務(wù)機構無(wú)法繼續提供服務(wù)、證券基金經(jīng)營(yíng)機構信息技術(shù)高管或重要技術(shù)團隊發(fā)生重大變動(dòng)以及自然災害等可能影響重要信息系統平穩運行的事件。

    第三十九條  證券基金經(jīng)營(yíng)機構應當根據系統變更、業(yè)務(wù)變化等情況，持續更新應急預案。

證券基金經(jīng)營(yíng)機構應當根據應急預案定期組織關(guān)鍵崗位人員開(kāi)展應急演練，演練頻率不低于每年一次，并確保應急演練在兩年內覆蓋全部重要信息系統。應急演練應當形成報告，保存期限不得少于五年。

    第四十條  證券基金經(jīng)營(yíng)機構應當在公司網(wǎng)站、客戶(hù)交易終端等渠道公示信息技術(shù)突發(fā)事件發(fā)生時(shí)客戶(hù)可采取的替代交易方式等信息，提示客戶(hù)防范和應對可能出現的風(fēng)險。

    第四十一條  證券基金經(jīng)營(yíng)機構應當確保備份系統與生產(chǎn)系統具備同等的處理能力，保持備份數據與原始數據的一致性。重要信息系統應當符合下列信息系統備份能力等級要求：

（一）實(shí)時(shí)信息系統、非實(shí)時(shí)信息系統的數據備份能力應當達到第一級；

（二）非實(shí)時(shí)信息系統的故障應對能力應當達到第二級；

（三）證券公司實(shí)時(shí)信息系統的故障應對能力應當達到第四級，基金管理公司實(shí)時(shí)信息系統的故障應對能力應當達到第三級；

（四）實(shí)時(shí)信息系統、非實(shí)時(shí)信息系統應當具備災難及重大災難應對能力，相關(guān)技術(shù)指標應當分別達到災難應對能力第五級、重大災難應對能力第六級；

（五）災難應對能力可以通過(guò)重大災難應對能力體現，但重大災難應對能力相關(guān)技術(shù)指標應當達到災難應對能力第五級。

第四十二條  證券基金經(jīng)營(yíng)機構應當按照中國證監會(huì )有關(guān)規定，建立信息安全事件的分級響應機制，明確內部處置工作流程，確保相關(guān)信息系統及時(shí)恢復運行。

 

第五章 信息技術(shù)服務(wù)機構

 

第四十三條  證券基金經(jīng)營(yíng)機構借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動(dòng)的，可以委托信息技術(shù)服務(wù)機構提供產(chǎn)品或服務(wù)，但證券基金經(jīng)營(yíng)機構依法應當承擔的責任不因委托而免除或減輕。

證券基金經(jīng)營(yíng)機構應當清晰、準確、完整的掌握重要信息系統的技術(shù)架構、業(yè)務(wù)邏輯和操作流程等內容，確保重要信息系統運行始終處于自身控制范圍。除法律法規及中國證監會(huì )另有規定外，不得將重要信息系統的運維、日常安全管理交由信息技術(shù)服務(wù)機構獨立實(shí)施。

第四十四條  證券基金經(jīng)營(yíng)機構委托信息技術(shù)服務(wù)機構提供服務(wù)，應當按照本辦法第十四條的規定對信息技術(shù)服務(wù)機構及相關(guān)信息系統進(jìn)行內部審查，并向中國證監會(huì )及其派出機構報送審查意見(jiàn)及相關(guān)資料。

證券基金經(jīng)營(yíng)機構應當在選擇信息技術(shù)服務(wù)機構之前，制定更換服務(wù)提供方的流程及預案，確保在特定情況下可更換服務(wù)提供方。

    第四十五條  證券基金經(jīng)營(yíng)機構應當與信息技術(shù)服務(wù)機構簽訂服務(wù)協(xié)議和保密協(xié)議，明確各方權利、義務(wù)和責任，約定質(zhì)量考核標準、持續監控機制、異常處理機制、服務(wù)變更或者終止的處置流程以及現場(chǎng)服務(wù)人員保密要求等內容，并持續監督信息技術(shù)服務(wù)機構及相關(guān)人員落實(shí)服務(wù)協(xié)議和保密協(xié)議的情況。

    證券基金經(jīng)營(yíng)機構應當參照本辦法第三條在服務(wù)協(xié)議中列明委托信息技術(shù)服務(wù)機構提供的服務(wù)范圍、服務(wù)方式、涉及信息系統及相關(guān)證券基金業(yè)務(wù)活動(dòng)類(lèi)型。

第四十六條  信息技術(shù)服務(wù)機構出現異常情形的，證券基金經(jīng)營(yíng)機構應當按照應急預案開(kāi)展內部評估與審查；信息技術(shù)服務(wù)機構保障能力不足，導致相關(guān)產(chǎn)品或服務(wù)的可用性、完整性或機密性喪失的，應當及時(shí)更換信息技術(shù)服務(wù)機構。

第四十七條  信息技術(shù)服務(wù)機構應當向中國證監會(huì )備案，具體規定由中國證監會(huì )另行制定。

    第四十八條  基金信息技術(shù)服務(wù)機構備案材料應當包括本機構基本情況、信息技術(shù)服務(wù)情況、服務(wù)對象情況、內部控制情況等相關(guān)資料。備案內容發(fā)生變更的，基金信息技術(shù)服務(wù)機構應當及時(shí)更新備案材料。

基金信息技術(shù)服務(wù)機構備案材料不完整或者不符合規定的，應當根據中國證監會(huì )要求及時(shí)補正。

    第四十九條  為證券公司、證券投資咨詢(xún)機構提供信息技術(shù)服務(wù)的機構（以下簡(jiǎn)稱(chēng)證券信息技術(shù)服務(wù)機構）可以自愿接受中證信息業(yè)務(wù)指導，并遵守相關(guān)業(yè)務(wù)規則。

    第五十條  信息技術(shù)服務(wù)機構應當健全內部質(zhì)量控制機制，定期監測相關(guān)產(chǎn)品或服務(wù)，在提供服務(wù)過(guò)程中出現明顯質(zhì)量問(wèn)題的，應當立即核實(shí)有關(guān)情況，采取必要的處理措施，明確修復完成時(shí)限，及時(shí)完成修復工作。

    第五十一條  信息技術(shù)服務(wù)機構為證券基金業(yè)務(wù)活動(dòng)提供信息技術(shù)服務(wù)，不得有下列行為：

    （一）參與證券基金經(jīng)營(yíng)機構向客戶(hù)提供業(yè)務(wù)服務(wù)的任何環(huán)節或向投資者、社會(huì )公眾等發(fā)布可能引發(fā)其從事證券基金業(yè)務(wù)誤解的信息；

    （二）截取、存儲、轉發(fā)和使用證券基金業(yè)務(wù)活動(dòng)相關(guān)經(jīng)營(yíng)數據和客戶(hù)信息；  

    （三）在服務(wù)對象不知情的情況下，轉委托第三方提供信息技術(shù)服務(wù)；

    （四）提供的產(chǎn)品或服務(wù)相關(guān)功能、操作流程、系統權限及參數配置違反現行法律法規；

    （五）無(wú)正當理由關(guān)閉系統接口或設置技術(shù)壁壘；

    （六）向社會(huì )公開(kāi)發(fā)布信息安全漏洞、信息系統壓力測試結果等網(wǎng)絡(luò )安全信息或泄露未公開(kāi)信息；

    （七）法律法規及中國證監會(huì )禁止的其他行為。

 

第六章 監督管理

 

    第五十二條  證券基金經(jīng)營(yíng)機構新建或更換重要信息系統所在機房、證券基金交易相關(guān)信息系統，應當在開(kāi)展相關(guān)業(yè)務(wù)活動(dòng)的五個(gè)工作日內向中國證監會(huì )報送有關(guān)資料，包括內部審查意見(jiàn)、機房基本信息、技術(shù)架構設計、操作流程、信息安全管理資料、業(yè)務(wù)制度、合規管理及風(fēng)險管理制度等。

    第五十三條  證券基金經(jīng)營(yíng)機構應當在報送年度報告的同時(shí)報送年度信息技術(shù)管理專(zhuān)項報告，說(shuō)明報告期內信息技術(shù)治理、信息技術(shù)合規與風(fēng)險管理、信息技術(shù)安全管理、信息技術(shù)審計等執行本辦法規定的情況。

信息技術(shù)服務(wù)機構提供信息技術(shù)服務(wù)時(shí)，應當按照中國證監會(huì )要求定期報送相關(guān)資料。

證券基金經(jīng)營(yíng)與服務(wù)機構提交報告的內容應當真實(shí)、準確、完整。

第五十四條  證券基金經(jīng)營(yíng)機構應當按照中國證監會(huì )有關(guān)規定履行信息安全事件報告和調查處理職責。

第五十五條  信息技術(shù)服務(wù)機構出現下列情形的，應當立即報告住所地中國證監會(huì )派出機構：

    （一）人員、財務(wù)、技術(shù)管理等方面發(fā)生重大變化，可能無(wú)法持續為證券基金經(jīng)營(yíng)機構提供信息技術(shù)服務(wù)；

    （二）提供的信息技術(shù)服務(wù)存在明顯缺陷，可能導致所服務(wù)的三家及以上證券基金經(jīng)營(yíng)機構發(fā)生信息系統運營(yíng)異常、數據泄露、遭受網(wǎng)絡(luò )攻擊等情形；

    （三）其他可能對投資者合法權益、證券期貨市場(chǎng)造成嚴重影響的事件。

    第五十六條  中國證監會(huì )及其派出機構在對證券基金經(jīng)營(yíng)與服務(wù)機構信息技術(shù)管理及服務(wù)活動(dòng)的監管過(guò)程中，可以采用滲透測試、漏洞掃描及信息技術(shù)風(fēng)險評估等方式開(kāi)展現場(chǎng)檢查及非現場(chǎng)檢查。證券基金經(jīng)營(yíng)與服務(wù)機構應當予以配合，如實(shí)提供有關(guān)文件、資料，不得拒絕、阻礙或隱瞞。

    第五十七條  證券基金經(jīng)營(yíng)機構違反本辦法規定的，中國證監會(huì )及其派出機構可以依法對其采取責令改正、暫停業(yè)務(wù)、出具警示函、責令定期報告、責令增加合規檢查次數、公開(kāi)譴責等行政監管措施；對直接負責的主管人員和其他責任人員采取責令改正、監管談話(huà)、出具警示函、公開(kāi)譴責等行政監管措施。

    第五十八條  證券基金經(jīng)營(yíng)機構違反本辦法規定，反映公司治理混亂、內控失效的，中國證監會(huì )及其派出機構可以按照《證券投資基金法》第二十四條、《證券公司監督管理條例》第七十條的規定，采取責令暫停部分或全部業(yè)務(wù)、責令更換董事、監事、高級管理人員或者限制其權利等行政監管措施。

    第五十九條  信息技術(shù)服務(wù)機構違反本辦法規定的，中國證監會(huì )及其派出機構可以要求其提交說(shuō)明材料，并采取責令改正、監管談話(huà)、出具警示函等行政監管措施，情節嚴重的，中國證監會(huì )及其派出機構可以對信息技術(shù)服務(wù)機構及其直接負責的主管人員和其他直接責任人員單處或者并處警告、三萬(wàn)元以下罰款。

 

第七章 附  則

第六十條  證券基金專(zhuān)項業(yè)務(wù)服務(wù)機構借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動(dòng)的，參照本辦法執行。

從事證券公司客戶(hù)交易結算資金存管活動(dòng)的商業(yè)銀行、從事公開(kāi)募集基金的基金托管機構、證券基金經(jīng)營(yíng)機構在境內依法設立的子公司及其下設機構借助信息技術(shù)手段從事相關(guān)證券基金業(yè)務(wù)活動(dòng)的，參照本辦法執行。

第六十一條  證券基金專(zhuān)項業(yè)務(wù)服務(wù)機構違反本辦法規定的，中國證監會(huì )及其派出機構可以對證券基金專(zhuān)項業(yè)務(wù)服務(wù)機構及其直接負責的主管人員和其他直接責任人員單處或者并處警告、責令停止基金服務(wù)業(yè)務(wù)或三萬(wàn)元以下罰款等行政監管措施。

第六十二條  證券基金經(jīng)營(yíng)機構、證券基金專(zhuān)項業(yè)務(wù)服務(wù)機構應當按照本辦法第五十二條規定，在本辦法實(shí)施之日起半年內將已投產(chǎn)的重要信息系統所在機房、證券基金交易相關(guān)信息系統等相關(guān)情況報送中國證監會(huì )。

本辦法實(shí)施前，已提供相關(guān)服務(wù)的基金信息技術(shù)服務(wù)機構應當按照本辦法規定，在本辦法實(shí)施之日起半年內向中國證監會(huì )備案。

本辦法實(shí)施前，已從事相關(guān)業(yè)務(wù)活動(dòng)且不符合本辦法第十七條規定的，證券基金經(jīng)營(yíng)機構應當妥善處理相關(guān)問(wèn)題，并在本辦法實(shí)施之日起半年內完成整改；整改未完成前，不得借助違規接收客戶(hù)交易指令的信息系統增加新客戶(hù)或提供新服務(wù)。

    第六十三條  本辦法中下列用語(yǔ)的含義：

（一）證券基金專(zhuān)項業(yè)務(wù)服務(wù)機構，是指從事公開(kāi)募集基金的銷(xiāo)售、銷(xiāo)售支付、份額登記、估值、投資顧問(wèn)、評價(jià)等基金服務(wù)業(yè)務(wù)的機構和證券投資咨詢(xún)機構。

（二）重要信息系統，是指支持證券基金經(jīng)營(yíng)機構和證券基金專(zhuān)項業(yè)務(wù)服務(wù)機構關(guān)鍵業(yè)務(wù)功能、如出現異常將對證券期貨市場(chǎng)和投資者產(chǎn)生重大影響的信息系統。包括集中交易系統、投資交易系統、金融產(chǎn)品銷(xiāo)售系統、估值核算系統、投資監督系統、份額登記系統、第三方存管系統、融資融券業(yè)務(wù)系統、網(wǎng)上交易系統、電話(huà)委托系統、移動(dòng)終端交易系統、法人清算系統、具備開(kāi)戶(hù)交易或者客戶(hù)資料修改功能的門(mén)戶(hù)網(wǎng)站、承載投資咨詢(xún)業(yè)務(wù)的系統、存放承銷(xiāo)保薦業(yè)務(wù)工作底稿相關(guān)數據的系統、專(zhuān)業(yè)即時(shí)通信軟件以及與上述信息系統具備類(lèi)似功能的信息系統。

（三）重大變更，是指經(jīng)證券基金經(jīng)營(yíng)機構、證券基金專(zhuān)項業(yè)務(wù)服務(wù)機構自行評估，可能影響業(yè)務(wù)合規和信息系統安全穩定運行的系統變更，包括但不限于信息技術(shù)服務(wù)機構更換、技術(shù)架構重大調整、主要功能變化等。

（四）專(zhuān)業(yè)化交易信息系統，是指除網(wǎng)上交易系統、移動(dòng)終端交易系統等標準化交易系統外，證券基金經(jīng)營(yíng)機構向具有個(gè)性化需求并且符合規定條件的特定客戶(hù)提供服務(wù)的交易系統。

（五）證券基金經(jīng)營(yíng)機構信息系統備份能力、數據備份能力、故障應對能力、重大災難應對能力、實(shí)時(shí)信息系統、非實(shí)時(shí)信息系統以及備份能力等級相關(guān)定義參見(jiàn)中國證監會(huì )關(guān)于信息系統備份能力相關(guān)行業(yè)標準。

    第六十四條  本辦法自2019年6月1日起實(shí)施?！蹲C券投資基金銷(xiāo)售機構通過(guò)第三方電子商務(wù)平臺開(kāi)展業(yè)務(wù)管理暫行規定》（證監會(huì )公告〔2013〕18號）同時(shí)廢止。