(征求意见稿)》起草说明

《证券基金经营机构信息技术管理办法

（征求意见稿）》起草说明

一、起草背景

信息系统是证券市场基础设施的重要组成部分。随着信息技术进步及其在行业内应用程度加深，证券基金经营机构、专项业务服务机构的各类业务活动以及风控、合规等各类管理活动已与信息系统深度融合。整体上看，上述机构的信息技术应用表现出软硬件数量大、业务流程信息化及网络化程度高、与外部系统广泛连接、信息系统建设以采购和委托建设为主等特点。

2008年以来，证监会先后出台了《证券期货业信息安全保障管理办法》（证监会主席令第82号）以及《证券期货业信息安全事件报告与调查处理办法》（证监会公告〔2012〕46号）等监管规定，以信息技术安全为核心提出了监管要求，对经营机构与服务机构信息技术管理提出了原则要求，同时以自律规则、行业标准的形式提出了一些具体要求。

随着近年来证券市场的快速发展，行业信息系统架构、部署模式、管理机制发生了较大变化，行业信息技术应用领域反映出一些新情况、新问题，对行业信息技术监管法规体系提出新的需求。具体表现在以下几方面：一是经营机构信息技术治理水平仍然不高。部分经营机构内部未能形成有效

的信息技术管理权责分配及制衡机制，信息技术财力与人力投入的数额、结构仍不合理，信息系统建设过度依赖外部厂商，并且缺少整体规划。二是经营机构信息技术应用的业务合规风险较为突出。随着信息技术进步与行业内应用程度加深，各类业务活动的实时风险控制、合规管理等已与信息系统完全融合。信息技术风险不仅表现为传统的信息安全风险，还会造成业务合规风险。实践中，部分经营机构对信息系统内部流程的合规性缺乏评估，存在风险隐患。三是经营机构应对互联网环境下信息安全风险的能力有待提高。近年来，经营机构越来越多的业务通过互联网实现，但围绕互联网环境下的信息安全人才队伍建设、资金投入与互联网业务的快速发展还不匹配，个别经营机构部署在互联网上的信息系统仍存在薄弱环节。四是专项业务服务机构的信息安全风险不容忽视。专项业务服务机构依据《证券法》《证券投资基金法》《证券公司监督管理条例》为经营机构提供业务辅助服务或直接从事特定的证券基金业务，虽已纳入信息技术监管范围，但缺少相关具体规范。此类机构与经营机构信息系统广泛连接，集中度较高，一旦发生风险容易跨行业、跨机构传导。五是信息技术服务机构尚未完全纳入监管。目前，证券、基金领域对于信息技术服务机构的监管要求还不一致，《证券法》尚未将证券信息技术服务机构纳入监管，《证券投资基金法》虽已将基金信息技术服务机构纳入监管，但尚未出台细则，客观上需要更加明确具体的监管要求。

二、起草思路

（一）监管目标及基本原则

监管目标：维护资本市场安全稳定运行，防范信息技术引发的系统性风险，确保经营机构业务合规、有序开展，保持经营机构信息系统健壮性与先进性。

基本原则：规则先行、依法监管；强化治理、防控风险；动态跟踪、惩防结合。

（二）总体思路

1.强化信息技术监管的全覆盖。一是对于经营机构实施全面监管，对其开展业务及客户服务活动的所有信息系统，继续沿用目前事前、事中、事后的全生命周期监管模式；二是对专项业务服务机构实施业务监管，考虑到这些机构多数同时还开展不属于证监会监管职责范围的业务活动，因此主要围绕其开展的专项业务提出监管要求；三是根据法律授权，将信息技术服务机构纳入监管，明确信息技术服务机构为经营机构从事证券基金业务活动提供信息技术服务的规则。

2.明确治理、安全、合规三条主线。在传统的信息安全监管要求的基础上，着重将信息技术治理、应用信息技术涉及的业务合规风险统一纳入监管，督促经营机构建立完备、与自身业务开展特点相适应的信息技术治理架构，将合规管理贯穿在信息技术管理的始终，不断提高信息技术与业务管理、合规管理的融合程度，要求经营机构信息技术、业务管

理、合规管理部门共同参与重要信息系统开发、建设、变更过程，确保信息安全、数据安全以及业务合规要求在系统流程中落到实处，确保经营机构信息技术的应用与其安全管理能力、合规管理能力、风险控制水平相匹配。

3.强化经营机构、专项业务服务机构信息技术管理的主体责任。按照“谁运行、谁负责，谁使用、谁负责”的理念，强化经营机构、专项业务服务机构的主体责任，督促其守住信息安全底线，维护证券市场基础设施的稳定运行。针对经营机构、专项业务服务机构信息系统建设依赖信息技术服务机构的现状，明确经营机构、专项业务服务机构可以在安全、合规的前提下委托信息技术服务机构提供信息技术服务，但依法应当承担的责任不因委托而免除或减轻。

4.解决存在的突出问题。在充分总结行业应用信息技术多年实践经验的基础上，针对近年来经营机构信息技术管理工作中表现突出的信息技术服务管理、信息系统外部接入管理、客户信息保护等问题，以及信息安全事件反映出容易发生纰漏的信息系统测试、上线、容量管理、应急管理等薄弱环节，提出了明确具体、针对性和操作性强的要求。

四、基本内容

《办法》共八章六十四条，从信息技术治理、信息技术合规管理、信息系统安全、数据安全、业务连续性管理、专项业务服务机构、信息技术服务机构、监督管理等方面提出了要求。具体包括：

（一）总则

《办法》明确了立法宗旨、适用范围、适用主体、监督职责以及经营机构、专项业务服务机构借助信息技术手段从事证券基金相关业务活动的主体责任（第1条至第5条）。

（二）信息技术治理

《办法》督促经营机构建立健全信息技术管理决策、分工、授权、制衡、持续评估等工作机制，从源头上加强信息技术应用过程中的风险管控。一是要求经营机构完善信息技术治理，保障与业务活动规模、水平相适应的信息技术投入，定期评估更新信息技术规划，并持续完善信息技术管理制度和操作流程（第6条）。二是明确经营机构经营管理层信息技术管理责任，要求经营机构指定或任命高管人员负责信息技术管理工作（第7条至第8条）。三是要求经营机构设立专门部门，统一归口管理信息技术相关工作，对合规、风控、审计等部门提出了履职要求（第9条）。

（三）信息技术合规管理

《办法》要求经营机构将合规管理和风险控制的要求贯穿在信息技术管理各个环节。一是建立事前合规审查、事中风险监测、事后评估审计的信息技术合规管理机制（第12条至第14条）；二是结合具体业务系统特点，确保关键“合规点”在系统设计中落在实处（第15条至第19条）；三是建立信息技术应用与风险控制措施的同步机制，业务信息系统必须与风险监测系统同时上线，并及时更新监测指标及预