證券基金經營機構資訊技術管理辦法

一、起草背景

資訊系統是證券市場基礎設施的重要組成部分。随着資訊技術進步及其在行業内應用程度加深，證券基金經營機構、專項業務服務機構的各類業務活動以及風控、合規等各類管理活動已與資訊系統深度融合。整體上看，上述機構的資訊技術應用表現出軟硬體數量大、業務流程資訊化及網絡化程度高、與外部系統廣泛連接配接、資訊系統建設以采購和委托建設為主等特點。

2008 年以來，證監會先後出台了《證券期貨業資訊安全保障管理辦法》（證監會主席令第82 号）以及《證券期貨業資訊安全事件報告與調查處理辦法》（證監會公告〔2012〕46 号）等監管規定，以資訊技術安全為核心提出了監管要求，對經營機構與服務機構資訊技術管理提出了原則要求，同時以自律規則、行業标準的形式提出了一些具體要求。

随着近年來證券市場的快速發展，行業資訊系統架構、部署模式、管理機制發生了較大變化，行業資訊技術應用領域反映出一些新情況、新問題，對行業資訊技術監管法規體系提出新的需求。具體表現在以下幾方面：一是經營機構資訊技術治理水準仍然不高。部分經營機構内部未能形成有效的資訊技術管理權責配置設定及制衡機制，資訊技術财力與人力投入的數額、結構仍不合理，資訊系統建設過度依賴外部廠商，并且缺少整體規劃。二是經營機構資訊技術應用的業務合規風險較為突出。随着資訊技術進步與行業内應用程度加深，各類業務活動的實時風險控制、合規管理等已與資訊系統完全融合。資訊技術風險不僅表現為傳統的資訊安全風險，還會造成業務合規風險。實踐中，部分經營機構對資訊系統内部流程的合規性缺乏評估，存在風險隐患。三是經營機構應對網際網路環境下資訊安全風險的能力有待提高。近年來，經營機構越來越多的業務通過網際網路實作，但圍繞網際網路環境下的資訊安全人才隊伍建設、資金投入與網際網路業務的快速發展還不比對，個别經營機構部署在網際網路上的資訊系統仍存在薄弱環節。四是專項業務服務機構的資訊安全風險不容忽視。專項業務服務機構依據《證券法》《證券投資基金法》《證券公司監督管理條例》為經營機構提供業務輔助服務或直接從事特定的證券基金業務，雖已納入資訊技術監管範圍，但缺少相關具體規範。此類機構與經營機構資訊系統廣泛連接配接，集中度較高，一旦發生風險容易跨行業、跨機構傳導。五是資訊技術服務機構尚未完全納入監管。目前，證券、基金領域對于資訊技術服務機構的監管要求還不一緻，《證券法》尚未将證券資訊技術服務機構納入監管，《證券投資基金法》雖已将基金資訊技術服務機構納入監管，但尚未出台細則，客觀上需要更加明确具體的監管要求。

二、起草思路

（一）監管目标及基本原則監管目标：維護資本市場安全穩定運作，防範資訊技術引發的系統性風險，確定經營機構業務合規、有序開展，保持經營機構資訊系統健壯性與先進性。

基本原則：規則先行、依法監管；強化治理、防控風險；動态跟蹤、懲防結合。

（二）總體思路

1.強化資訊技術監管的全覆寫。一是對于經營機構實施全面監管，對其開展業務及客戶服務活動的所有資訊系統，繼續沿用目前事前、事中、事後的全生命周期監管模式；二是對專項業務服務機構實施業務監管，考慮到這些機構多數同時還開展不屬于證監會監管職責範圍的業務活動，是以主要圍繞其開展的專項業務提出監管要求；三是根據法律授權，将資訊技術服務機構納入監管，明确資訊技術服務機構為經營機構從事證券基金業務活動提供資訊技術服務的規則。

2.明确治理、安全、合規三條主線。在傳統的資訊安全監管要求的基礎上，着重将資訊技術治理、應用資訊技術涉及的業務合規風險統一納入監管，督促經營機建構立完備、與自身業務開展特點相适應的資訊技術治理架構，将合規管理貫穿在資訊技術管理的始終，不斷提高資訊技術與業務管理、合規管理的融合程度，要求經營機構資訊技術、業務管理、合規管理部門共同參與重要資訊系統開發、建設、變更過程，確定資訊安全、資料安全以及業務合規要求在系統流程中落到實處，確定經營機構資訊技術的應用與其安全管理能力、合規管理能力、風險控制水準相比對。

3.強化經營機構、專項業務服務機構資訊技術管理的主體責任。按照“誰運作、誰負責，誰使用、誰負責”的理念，強化經營機構、專項業務服務機構的主體責任，督促其守住資訊安全底線，維護證券市場基礎設施的穩定運作。針對經營機構、專項業務服務機構資訊系統建設依賴資訊技術服務機構的現狀，明确經營機構、專項業務服務機構可以在安全、合規的前提下委托資訊技術服務機構提供資訊技術服務，但依法應當承擔的責任不因委托而免除或減輕。

4.解決存在的突出問題。在充分總結行業應用資訊技術多年實踐經驗的基礎上，針對近年來經營機構資訊技術管理工作中表現突出的資訊技術服務管理、資訊系統外部接入管理、客戶資訊保護等問題，以及資訊安全事件反映出容易發生纰漏的資訊系統測試、上線、容量管理、應急管理等薄弱環節，提出了明确具體、針對性和操作性強的要求。

四、基本内容

《辦法》共八章六十四條，從資訊技術治理、資訊技術合規管理、資訊系統安全、資料安全、業務連續性管理、專項業務服務機構、資訊技術服務機構、監督管理等方面提出了要求。具體包括：

（一）總則

《辦法》明确了立法宗旨、适用範圍、适用主體、監督職責以及經營機構、專項業務服務機構借助資訊技術手段從事證券基金相關業務活動的主體責任（第1 條至第5 條）。

（二）資訊技術治理

《辦法》督促經營機建構立健全資訊技術管理決策、分工、授權、制衡、持續評估等工作機制，從源頭上加強資訊技術應用過程中的風險管控。一是要求經營機構完善資訊技術治理，保障與業務活動規模、水準相适應的資訊技術投入，定期評估更新資訊技術規劃，并持續完善資訊技術管理制度和操作流程（第6 條）。二是明确經營機構經營管理層資訊技術管理責任，要求經營機構指定或任命高管人員負責資訊技術管理工作（第7 條至第8 條）。三是要求經營機構設立專門部門，統一歸口管理資訊技術相關工作，對合規、風控、審計等部門提出了履職要求（第9 條）。

（三）資訊技術合規管理

《辦法》要求經營機構将合規管理和風險控制的要求貫穿在資訊技術管理各個環節。一是建立事前合規審查、事中風險監測、事後評估審計的資訊技術合規管理機制（第12條至第14 條）；二是結合具體業務系統特點，確定關鍵“合規點”在系統設計中落在實處（第15 條至第19 條）；三是建立資訊技術應用與風險控制措施的同步機制，業務資訊系統必須與風險監測系統同時上線，并及時更新監測名額及預警閥值（第11 條）。

（四）資訊技術安全管理

一是規範技術管理工作，明确了經營機構資訊系統開發、測試、上線、部署、變更等環節的監管要求（第20 條至第27 條）；二是加強資料安全管理工作，有效保護客戶資訊（第28 條至第31 條）；三是加強業務連續性管理，制定業務連續性計劃，優化系統及資料備份機制，提升災難災害應對能力（第32 條至第37 條）。

（五）專項業務服務機構監管

《辦法》主要圍繞專項業務服務機構開展的專項業務服務提出監管要求，包括開展專項業務活動的資訊系統與其兼營業務相關資訊系統之間的風險隔離要求、開展專項業務活動的資訊技術人員及資訊安全保障要求、開展資訊技術風險評估以及應急處置的相關要求等（第38 條至第41 條）。

（六）資訊技術服務機構監管

《辦法》根據現行法律法規授權，對資訊技術服務機構作了相應的監管安排。一是明确了經營機構委托資訊技術服務機構提供資訊技術服務的範圍和選取要求（第42 條至第44 條）；二是明确了基金資訊技術服務機構備案有關事項（第45 條）；三是明确了證券資訊技術服務機構可以自願申請加入證券業協會并接受協會的自律管理（第46 條）；四是規範了經營機構的資訊技術服務協定、服務管理、應急處置有關事項（第47 條至第49 條）；五是明确了經營機構委托資訊技術服務機構提供資訊技術服務的禁止性要求（第50 條）。

（七）監督管理

《辦法》明确了對證券基金經營與服務機構資訊技術管理的監管要求和罰則。一是規定經營機構、專項業務服務機構關鍵資訊基礎設施、與證券基金交易相關的資訊系統及提供資訊系統外部接入的備案要求（第51 條）；二是明确證券基金經營與服務機構的報告職責和流程要求（第52 條至第54 條）；三是規定中國證監會及其派出機構可以采取現場檢查、組織應急演練、監管評價等監管手段，對證券基金經營與服務機構借助資訊技術手段從事證券基金相關業務活動或者提供資訊技術服務實施監督管理（第55 條至第56 條）；四是根據證券基金經營與服務機構違規的具體情形，明确罰則（第57 條至第60 條）。此外，第61 條至第64 條明确了名詞釋義、實施時間、參照執行的主體及過渡期安排等事項。 [1]

辦法全文

證券基金經營機構資訊技術管理辦法

第一章 總則

第一條 為加強證券基金經營機構資訊技術管理，保障證券基金行業資訊系統安全、合規運作，保護投資者合法權益，根據《證券法》、《證券投資基金法》、《證券公司監督管理條例》等法律法規，制定本辦法。

第二條 證券基金經營機構借助資訊技術手段從事證券基金業務活動，資訊技術服務機構為證券基金業務活動提供資訊技術服務，适用本辦法。

第三條 本辦法所稱證券基金經營機構，是指經中國證監會準許在境内設立的證券公司和管理公開募集基金的基金管理公司（以下簡稱基金管理公司）。本辦法所稱資訊技術服務機構，是指為證券基金業務活動提供資訊技術服務的機構。資訊技術服務的範圍如下：（一）重要資訊系統的開發、測試、內建及測評；（二）重要資訊系統的運維及日常安全管理；（三）中國證監會規定的其他情形。以上機構統稱證券基金經營與服務機構。

第四條 證券基金經營機構是從事證券基金業務活動的責任主體，應當保障充足的資訊技術投入，在依法合規、 有效防範風險的前提下，充分利用現代資訊技術手段完善客戶服務體系、改進業務營運模式、提升内部管理水準、增強合規風控能力，持續強化現代資訊技術對證券基金業務活動的支撐作用。

第五條 中國證監會及其派出機構依法對證券基金經營與服務機構借助資訊技術手段從事證券基金業務活動或提供相關服務實施監督管理。中國證券業協會及中國證券投資基金業協會依照本辦法制定和完善相關自律規則，對證券基金經營機構借助資訊技術手段從事證券基金業務活動或提供相關服務實施自律管理。中證資訊技術服務有限責任公司（以下簡稱中證資訊）在中國證監會指導下制定相關配套業務規則，協助開展資訊技術相關備案、監測、檢測和檢查等工作。

第二章 資訊技術治理

第六條 證券基金經營機構應當完善資訊技術運用過程中的權責配置設定機制，建立健全資訊技術管理制度和操作流程，保障與業務活動規模及複雜程度相适應的資訊技術投入水準，持續滿足資訊技術資源的可用性、安全性與合規性要求。

第七條 證券基金經營機構董事會負責審議本公司的資訊技術管理目标，對資訊技術管理的有效性承擔責任, 履行下列職責：（一）審議資訊技術戰略，確定與本公司的發展戰略、風險管理政策、資本實力相一緻；（二）建立資訊技術人力和資金保障方案；（三）評估年度資訊技術管理工作的總體效果和效率；（四）公司章程規定的其他資訊技術管理職責。

第八條 證券基金經營機構經營管理層負責落實資訊技術管理目标，對資訊技術管理工作承擔責任，履行下列職責：（一）組織實施董事會相關決議；（二）建立責任明确、程式清晰的資訊技術管理組織架構，明确管理職責、工作程式和協調機制；（三）完善績效考核和責任追究機制；（四）公司章程規定或董事會授權的其他資訊技術管理職責。

第九條 證券基金經營機構應當在公司管理層下設立資訊技術治理委員會或指定專門委員會（以下統稱資訊技術治理委員會）負責制定資訊技術戰略并審議下列事項：（一）資訊技術規劃，包括但不限于資訊技術建設規劃、資訊安全規劃、資料治理規劃等；（二）資訊技術投入預算及配置設定方案；（三）重要資訊系統建設或重大改造立項、重大變更方案；（四）資訊技術應急預案；（五）使用資訊技術手段開展相關業務活動的審查報告以及年度評估報告；（六）資訊技術治理委員會委員提請審議的事項；（七）其他對資訊技術管理産生重大影響的事項。資訊技術治理委員會應當由進階管理人員以及合規管理部門、風險管理部門、稽核審計部門、主要業務部門、資訊技術管理部門等部門負責人組成，可聘請外部專業人員擔任資訊技術治理委員會委員或顧問。

第十條 證券基金經營機構應當指定一名熟悉證券、基金業務，具有資訊技術相關專業背景、任職經曆、履職能力的進階管理人員為首席資訊官，由其負責資訊技術管理工作，并具備下列任職條件：（一）從事資訊技術相關工作十年以上，其中證券、基金行業資訊技術相關工作年限不少于三年；或者在證券監管機構、證券基金業自律組織任職八年以上；（二）最近三年未被金融監管機構實施行政處罰或采取重大行政監管措施；（三）中國證監會規定的其他條件。

第十一條 證券基金經營機構應當設立資訊技術管理部門或指定專門機構（以下統稱資訊技術管理部門）負責實施資訊技術規劃、資訊系統建設、資訊技術品質控制、資訊安全保障、運維管理等工作。

第三章 資訊技術合規與風險管理

第十二條 證券基金經營機構應當将資訊技術運用情況納入合規與風險管理體系，為合規管理部門和風險管理部門配備與業務活動規模、複雜程度相适應的資訊技術資源，并建立相應的審查、監測和檢查機制，確定合規與風險管理覆寫資訊技術運用的各個環節。

第十三條 證券基金經營機構借助資訊技術手段從事證券基金業務活動的，應當在業務系統上線時，同步上線與業務活動複雜程度和風險狀況相适應的風險管理系統或相關功能（以下統稱風險管理系統），對風險進行識别、監控、預警和幹預。

第十四條 證券基金經營機構借助資訊技術手段從事證券基金業務活動前，應當開展内部審查，驗證下列事項并建立存檔記錄：（一）業務系統的流程設計、功能設定、參數配置和技術實作應當遵循業務合規的原則，不得違反法律法規及中國證監會的規定；（二）風險管理系統功能完備、權限清晰，能夠與業務系統同步上線運作；（三）具備完善的資訊安全防護措施，能夠保障經營資料和客戶資訊的安全、完整；（四）具備符合要求的資訊系統備份及運維管理能力，能夠保障相關系統安全、平穩運作。

第十五條 證券基金經營機構應當識别借助資訊技術手段從事證券基金業務活動的各類風險，建立持續有效的風險監測機制。證券基金經營機構應當及時、穩妥處置發現的風險問題，并至少每年開展一次風險監測機制及執行情況的有效性評估。

第十六條 證券基金經營機構應當定期開展資訊技術管理工作專項審計，頻率不低于每年一次，確定三年内完成資訊技術管理全部事項的審計工作，包括但不限于資訊技術治理、資訊技術合規與風險管理、資訊技術安全管理、應急管理。證券基金經營機構應當委托外部專業機構開展資訊技術管理工作的全面審計，頻率不低于每三年一次；未能有效實施資訊技術管理被采取行政處罰措施、監管措施或者自律管理措施的，應當在三個月内完成對有關事項的專項審計。證券基金經營機構應當跟蹤審計發現問題的整改情況，相關問題未能及時整改的，應當說明理由，并将審計報告送出資訊技術治理委員會審議。證券基金經營機構應當妥善儲存審計報告，儲存期限不得少于二十年。

第十七條 除法律法規及中國證監會另有規定外，證券基金經營機構應當通過自身營運管理的資訊系統直接接收客戶交易指令，并記錄客戶交易指令接收時間。

第十八條 證券基金經營機構應當按照中國證監會有關規定采集、記錄、存儲、報送客戶交易終端資訊，并采取有效的技術措施，保障相關資訊真實、準确、完整。證券基金經營機構借助專業化交易資訊系統向特定客戶提供交易服務的，應當要求客戶登記交易終端資訊；資訊發生變更的，應當要求客戶履行變更程式，確定客戶真實使用的客戶交易終端資訊與登記内容一緻。

第十九條 證券基金經營機構使用電子合同從事證券基金業務活動的，應當将電子合同存儲在指定的資訊系統，并提供可供投資者及合同其他相關方查詢、下載下傳的公開管道。

第二十條 證券基金經營機構從事證券交易相關業務，應當按照監管規定及自律管理規則的要求，確定風險管理系統具備審查賬戶資金及證券是否充足、監控交易及資金劃轉是否異常等功能。

第四章 資訊技術安全

第一節 資訊系統安全

第二十一條 證券基金經營機構應當建立獨立于生産環境的專用開發測試環境，避免風險傳導；開發測試環境使用未脫敏資料的，應當采取與生産環境同等的安全控制措施。證券基金經營機構在生産環境開展重要資訊系統技術或業務測試的，應對測試流程及結果進行審查。

第二十二條 證券基金經營機構重要資訊系統上線或發生重大變更的，應當制定專項實施方案，并對資訊系統上線或變更操作行為進行審查、确認和跟蹤。證券基金經營機構重要資訊系統計劃停止使用的，應當開展技術和業務影響評估，制定完整的系統停用和資料遷移保管方案，并組織必要的評審及停用後的安全檢查。

第二十三條 證券基金經營機構應當結合公司發展戰略、市場交易規模等因素定期對重要資訊系統開展壓力測試和評估分析，確定其容量滿足業務開展需要。

第二十四條 證券基金經營機構應當建立健全資訊系統安全監測機制，設定監測名額并持續監測重要資訊系統的運作狀況。證券基金經營機構應當指定專人跟蹤監測發現的異常情形，及時處置并定期開展評估分析。

第二十五條 證券基金經營機構應當妥善儲存資訊系統開發、測試、上線、變更及運維過程中産生的文檔，并根據業務開展情況以及資訊系統的重要程度建立與監測工作相适應的日志留痕機制，確定滿足應急處置和審計需要。

第二十六條 證券基金經營機構重要資訊系統部署以及所承載資料的管理，應當遵循法律法規等規定。

第二十七條 證券基金經營機構可以在安全、合規的前提下為子公司提供機房、通信網絡及其他資訊技術基礎設施，并協助開展相關運維工作。證券基金經營機構為其子公司提供資訊技術服務的，應當充分評估資訊技術基礎設施的支撐能力與備援程度，并與子公司簽訂服務協定，明确合作雙方的權利義務，以及建立日常協作、業務隔離和應急管理機制，防範基礎設施共用産生的新增風險。證券基金經營機構可以設立資訊技術專業子公司，為母公司提供資訊技術服務。資訊技術專業子公司經中國證監會備案後可為其他金融機構提供資訊技術服務。

第二十八條 證券基金經營機構應當確定重要資訊系統具備可審計功能，并可以根據監管部門的要求轉換、提供資料。

第二節 資料治理

第二十九條 證券基金經營機構應當結合公司發展戰略，建立全面、科學、有效的資料治理組織架構以及資料全生命周期管理機制，確定資料統一管理、持續可控和安全存儲，切實履行資料安全及資料品質管理職責，不斷提升資料使用價值。

第三十條 證券基金經營機構應當将經營及客戶資料按照重要性和敏感性進行分類分級，并根據不同類别和級别作出差異化資料管理制度安排。

第三十一條 證券基金經營機構應當完善網絡隔離、使用者認證、通路控制、資料加密、資料備份、資料銷毀、日志記錄、病毒防範和非法入侵檢測等安全保障措施，保護經營資料和客戶資訊安全，防範資訊洩露與損毀。

第三十二條 證券基金經營機構應當遵循最少功能以及最小權限等原則配置設定資訊系統管理、操作和通路權限，并履行審批流程。合規管理和風險管理部門應當對權限管理制度和操作流程進行合規審查及風險控制。證券基金經營機構應當建立對資訊系統權限的定期檢查與核對機制，確定使用者權限與其工作職責相比對，防止出現授權不當的情形。證券基金經營機構應當對重要資訊系統的開發、測試、運維實施必要分離，保證資訊技術管理部門内部崗位的互相制衡。

第三十三條 證券基金經營機構應當記錄經營資料和客戶資訊的使用情況，并持續監督資訊技術服務機構等相關方落實保密協定的情況。證券基金經營機構發現其他機構、個人違規存儲或使用自身經營資料和客戶資訊的，應當排查資料洩露途徑、評估影響範圍，采取合理可行的整改措施，及時處置風險隐患，并按照中國證監會規定履行報告和調查處理職責。證券基金經營機構發現資訊技術服務機構等相關方違規存儲或者使用自身經營資料和客戶資訊的，應當責令其立即改正并銷毀已擷取的經營資料和客戶資訊；資訊技術服務機構等相關方拒絕配合整改的，證券基金經營機構應當立即停止與其合作，并采取措施維護自身及客戶的合法權益。

第三十四條 證券基金經營機構應當建立健全資料安全管理制度，不得收集與服務無關的客戶資訊，不得購買或使用非法擷取或來源不明的資料。在收集使用客戶資訊之前，證券基金經營機構應當公開收集、使用的規則和目的，并征得客戶同意。除法律法規和中國證監會另有規定外，證券基金經營機構不得允許或者配合其他機構、個人截取、留存客戶資訊，不得以任何方式向其他機構、個人提供客戶資訊。

第三十五條 證券基金經營機構應當充分挖掘、梳理和分析資料内容，提高管理精細化程度，在業務經營、風險管理與内部控制中加強資料應用，實作同一客戶、同類業務統一管理，充分發揮資料價值。

第三節 應急管理

第三十六條 證券基金經營機構借助資訊技術手段從事證券基金業務活動的，應當建立資訊技術應急管理的組織架構，确定重要業務及其恢複目标，制定應急預案，配置充足資源，穩妥處置資訊技術突發事件，并積極開展應急演練和資訊技術應急管理的評估與改進。

第三十七條 證券基金經營機構應當落實下列應急管理職責：（一）資訊技術管理部門為資訊技術應急管理的牽頭組織部門，組織開展資訊技術應急預案的制定、演練、評估與改進工作，并負責資訊系統的應急響應與恢複；（二）各業務部門負責評估本業務條線資訊技術突發事件相關風險，開展業務影響分析，确定并實施重要業務恢複目标和恢複政策；（三）風險管理部門負責評估資訊系統與相關業務恢複目标和恢複政策制定的合理性，確定與公司整體風險管理政策保持一緻。

第三十八條 證券基金經營機構應當制定并持續完善應急預案，包括應急管理建設目标、備份資訊系統建設和恢複機制、備份資料恢複機制、業務恢複或替代措施、應急聯系方式、與客戶溝通方式、向監管部門及有關機關的報告路徑、應急預案披露與更新機制等内容。證券基金經營機構應急預案應當充分考慮重要資訊系統故障、相關資訊技術服務機構無法繼續提供服務、證券基金經營機構資訊技術高管或重要技術團隊發生重大變動以及自然災害等可能影響重要資訊系統平穩運作的事件。

第三十九條 證券基金經營機構應當根據系統變更、業務變化等情況，持續更新應急預案。證券基金經營機構應當根據應急預案定期組織關鍵崗位人員開展應急演練，演練頻率不低于每年一次，并確定應急演練在兩年内覆寫全部重要資訊系統。應急演練應當形成報告，儲存期限不得少于五年。

第四十條 證券基金經營機構應當在公司網站、客戶交易終端等管道公示資訊技術突發事件發生時客戶可采取的替代交易方式等資訊，提示客戶防範和應對可能出現的風險。

第四十一條 證券基金經營機構應當確定備份系統與生産系統具備同等的處理能力，保持備份資料與原始資料的一緻性。重要資訊系統應當符合下列資訊系統備份能力等級要求：（一）實時資訊系統、非實時資訊系統的資料備份能力應當達到第一級；（二）非實時資訊系統的故障應對能力應當達到第二級；（三）證券公司實時資訊系統的故障應對能力應當達到第四級，基金管理公司實時資訊系統的故障應對能力應當達到第三級；（四）實時資訊系統、非實時資訊系統應當具備災難及重大災難應對能力，相關技術名額應當分别達到災難應對能力第五級、重大災難應對能力第六級；（五）災難應對能力可以通過重大災難應對能力展現，但重大災難應對能力相關技術名額應當達到災難應對能力第五級。

第四十二條 證券基金經營機構應當按照中國證監會有關規定，建立資訊安全事件的分級響應機制，明确内部處置工作流程，確定相關資訊系統及時恢複運作。

第五章 資訊技術服務機構

第四十三條 證券基金經營機構借助資訊技術手段從事證券基金業務活動的，可以委托資訊技術服務機構提供産品或服務，但證券基金經營機構依法應當承擔的責任不因委托而免除或減輕。證券基金經營機構應當清晰、準确、完整的掌握重要資訊系統的技術架構、業務邏輯和操作流程等内容，確定重要資訊系統運作始終處于自身控制範圍。除法律法規及中國證監會另有規定外，不得将重要資訊系統的運維、日常安全管理交由資訊技術服務機構獨立實施。

第四十四條 基金管理公司應當選擇已在中國證監會備案的資訊技術服務機構，并在備案範圍内與其開展合作；證券公司應當選擇符合本辦法第四十七條所列條件的資訊技術服務機構開展合作。證券基金經營機構委托資訊技術服務機構提供服務，應當按照本辦法第十四條的規定對資訊技術服務機構及相關資訊系統進行内部審查，并向中國證監會及其派出機構報送審查意見及相關資料。證券基金經營機構應當在選擇資訊技術服務機構之前，制定更換服務提供方的流程及預案，確定在特定情況下可更換服務提供方。

第四十五條 證券基金經營機構應當與資訊技術服務機構簽訂服務協定和保密協定，明确各方權利、義務和責任，約定品質考核标準、持續監控機制、異常處理機制、服務變更或者終止的處置流程以及現場服務人員保密要求等内容，并持續監督資訊技術服務機構及相關人員落實服務協定和保密協定的情況。證券基金經營機構應當參照本辦法第三條在服務協定中列明委托資訊技術服務機構提供的服務範圍、服務方式、涉及資訊系統及相關證券基金業務活動類型。

第四十六條 資訊技術服務機構出現異常情形的，證券基金經營機構應當按照應急預案開展内部評估與審查；資訊技術服務機構保障能力不足，導緻相關産品或服務的可用性、完整性或機密性喪失的，應當及時更換資訊技術服務機構。

第四十七條 為基金管理公司提供資訊技術服務的機構（以下簡稱基金資訊技術服務機構）應當符合下列條件并向中國證監會備案：（一）近三年未因從事非法金融活動，違反金融監管部門有關規定展業，為非法金融活動提供資訊釋出服務等情形受到監管部門行政處罰或重大監管措施；（二）資訊技術服務機構及其控股股東、實際控制人、實際控制人控制的其他資訊技術服務機構最近一年内不存在證券期貨重大違法違規記錄；（三）具備安全、穩定的資訊技術服務能力；（四）具備及時、高效的應急響應能力；（五）熟悉相關證券基金業務，具備持續評估資訊技術産品及服務是否符合監管要求的能力；（六）中國證監會規定的其他情形。

第四十八條 基金資訊技術服務機構備案材料應當包括本機構基本情況、資訊技術服務情況、服務對象情況、内部控制情況等相關資料。備案内容發生變更的，基金資訊技術服務機構應當及時更新備案材料。基金資訊技術服務機構備案材料不完整或者不符合規定的，應當根據中國證監會要求及時補正。

第四十九條 為證券公司、證券投資咨詢機構提供資訊技術服務的機構（以下簡稱證券資訊技術服務機構）可以自願接受中證資訊業務指導，并遵守相關業務規則。

第五十條 資訊技術服務機構應當健全内部品質控制機制，定期監測相關産品或服務，在提供服務過程中出現明顯品質問題的，應當立即核實有關情況，采取必要的處理措施，明确修複完成時限，及時完成修複工作。

第五十一條 資訊技術服務機構為證券基金業務活動提供資訊技術服務，不得有下列行為：（一）參與證券基金經營機構向客戶提供業務服務的任何環節或向投資者、社會公衆等釋出可能引發其從事證券基金業務誤解的資訊；（二）截取、存儲、轉發和使用證券基金業務活動相關經營資料和客戶資訊；（三）在服務對象不知情的情況下，轉委托第三方提供資訊技術服務；（四）提供的産品或服務相關功能、操作流程、系統權限及參數配置違反現行法律法規；（五）無正當理由關閉系統接口或設定技術壁壘； （六）向社會公開釋出資訊安全漏洞、資訊系統壓力測試結果等網絡安全資訊或洩露未公開資訊；（七）法律法規及中國證監會禁止的其他行為。

第六章 監督管理

第五十二條 證券基金經營機建構立或更換重要資訊系統所在機房、證券基金交易相關資訊系統，應當在開展相關業務活動的五個工作日内向中國證監會報送有關資料，包括内部審查意見、機房基本資訊、技術架構設計、操作流程、資訊安全管理資料、業務制度、合規管理及風險管理制度等。

第五十三條 證券基金經營機構應當在報送年度報告的同時報送年度資訊技術管理專項報告，說明報告期内資訊技術治理、資訊技術合規與風險管理、資訊技術安全管理、資訊技術審計等執行本辦法規定的情況。資訊技術服務機構提供資訊技術服務時，應當按照中國證監會要求定期報送相關資料。證券基金經營與服務機構送出報告的内容應當真實、準确、完整。

第五十四條 證券基金經營機構應當按照中國證監會有關規定履行資訊安全事件報告和調查處理職責。

第五十五條 資訊技術服務機構出現下列情形的，應當立即報告住所地中國證監會派出機構：（一）人員、财務、技術管理等方面發生重大變化，可能無法持續為證券基金經營機構提供資訊技術服務；（二）提供的資訊技術服務存在明顯缺陷，可能導緻所服務的三家及以上證券基金經營機構發生資訊系統營運異常、資料洩露、遭受網絡攻擊等情形；（三）其他可能對投資者合法權益、證券期貨市場造成嚴重影響的事件。

第五十六條 中國證監會及其派出機構在對證券基金經營與服務機構資訊技術管理及服務活動的監管過程中，可以采用滲透測試、漏洞掃描及資訊技術風險評估等方式開展現場檢查及非現場檢查。證券基金經營與服務機構應當予以配合，如實提供有關檔案、資料，不得拒絕、阻礙或隐瞞。

第五十七條 證券基金經營機構違反本辦法規定的，中國證監會及其派出機構可以依法對其采取責令改正、暫停業務、出具警示函、責令定期報告、責令增加合規檢查次數、公開譴責等行政監管措施；對直接負責的主管人員和其他責任人員采取責令改正、監管談話、出具警示函、公開譴責等行政監管措施。

第五十八條 證券基金經營機構違反本辦法規定，反映公司治理混亂、内控失效的，中國證監會及其派出機構可以按照《證券投資基金法》第二十四條、《證券公司監督管理條例》第七十條的規定，采取責令暫停部分或全部業務、責令更換董事、監事、進階管理人員或者限制其權利等行政監管措施。

第五十九條 資訊技術服務機構違反本辦法規定的，中國證監會及其派出機構可以要求其送出說明材料，并采取責令改正、監管談話、出具警示函等行政監管措施，情節嚴重的，中國證監會及其派出機構可以對資訊技術服務機構及其直接負責的主管人員和其他直接責任人員單處或者并處警告、三萬元以下罰款。資訊技術服務機構在經營活動中無法持續符合本辦法第四十七條所列條件或者違反第五十一條規定的，中國證監會及其派出機構可以責令其改正；拒不改正或者情節嚴重的，登出備案。資訊技術服務機構被登出備案的，不得新增提供資訊技術服務，保障存量資訊技術服務正常運作、證券交易所上線新産品及中國證監會另有規定的情形除外。

第七章 附則

第六十條 證券基金專項業務服務機構借助資訊技術手段從事證券基金業務活動的，參照本辦法執行。從事證券公司客戶交易結算資金存管活動的商業銀行、從事公開募集基金的基金托管機構、證券基金經營機構在境内依法設立的子公司及其下設機構借助資訊技術手段從事相關證券基金業務活動的，參照本辦法執行。

第六十一條 證券基金專項業務服務機構違反本辦法規定的，中國證監會及其派出機構可以對證券基金專項業務服務機構及其直接負責的主管人員和其他直接責任人員單處或者并處警告、責令停止基金服務業務或三萬元以下罰款等行政監管措施。

第六十二條 證券基金經營機構、證券基金專項業務服務機構應當按照本辦法第五十二條規定，在本辦法實施之日起半年内将已投産的重要資訊系統所在機房、證券基金交易相關資訊系統等相關情況報送中國證監會。本辦法實施前，已提供相關服務的基金資訊技術服務機構應當按照本辦法規定，在本辦法實施之日起半年内向中國證監會備案。本辦法實施前，已從事相關業務活動且不符合本辦法第十七條規定的，證券基金經營機構應當妥善處理相關問題，并在本辦法實施之日起半年内完成整改；整改未完成前，不得借助違規接收客戶交易指令的資訊系統增加新客戶或提供新服務。

第六十三條 本辦法中下列用語的含義：（一）證券基金專項業務服務機構，是指從事公開募集基金的銷售、銷售支付、份額登記、估值、投資顧問、評價等基金服務業務的機構和證券投資咨詢機構。（二）重要資訊系統，是指支援證券基金經營機構和證券基金專項業務服務機構關鍵業務功能、如出現異常将對證券期貨市場和投資者産生重大影響的資訊系統。包括集中交易系統、投資交易系統、金融産品銷售系統、估值核算系統、投資監督系統、份額登記系統、第三方存管系統、融資融券業務系統、網上交易系統、電話委托系統、移動終端交易系統、法人清算系統、具備開戶交易或者客戶資料修改功能的門戶網站、承載投資咨詢業務的系統、存放承銷保薦業務工作底稿相關資料的系統、專業即時通信軟體以及與上述資訊系統具備類似功能的資訊系統。（三）重大變更，是指經證券基金經營機構、證券基金專項業務服務機構自行評估，可能影響業務合規和資訊系統安全穩定運作的系統變更，包括但不限于資訊技術服務機構更換、技術架構重大調整、主要功能變化等。（四）專業化交易資訊系統，是指除網上交易系統、移動終端交易系統等标準化交易系統外，證券基金經營機構向具有個性化需求并且符合規定條件的特定客戶提供服務的交易系統。（五）證券基金經營機構資訊系統備份能力、資料備份能力、故障應對能力、重大災難應對能力、實時資訊系統、非實時資訊系統以及備份能力等級相關定義參見中國證監會關于資訊系統備份能力相關行業标準。

第六十四條 本辦法自 2019 年 6 月 1 日起實施。《證券投資基金銷售機構通過第三方電子商務平台開展業務管理暫行規定》（證監會公告〔2013〕18 号）同時廢止。 [2]