证券基金经营机构信息技术管理办法 · 第二章经营机构信息技术治理...
Transcript of 证券基金经营机构信息技术管理办法 · 第二章经营机构信息技术治理...
- 1 -
证券基金经营机构信息技术管理办法
(征求意见稿)
第一章 总则
第一条 为加强证券基金经营与服务机构信息技术管
理,保障证券基金行业信息系统安全、合规运行,保护投资
者合法权益,根据《证券法》、《证券投资基金法》、《网
络安全法》、《证券公司监督管理条例》等法律法规,制定
本办法。
第二条 证券基金经营机构(以下简称经营机构)、专
项业务服务机构借助信息技术手段从事证券基金相关业务
活动,信息技术服务机构为经营机构、专项业务服务机构从
事证券基金相关业务活动提供信息技术服务,适用本办法。
第三条 本办法所称经营机构,是指依法在境内设立的
证券公司和基金管理公司。
本办法所称专项业务服务机构,是指除经营机构外,中
国证监会认可的从事证券基金相关业务活动的机构,包括基
金托管人、基金销售机构、基金份额登记机构、从事证券公
司客户交易结算资金存管活动的商业银行等。
本办法所称信息技术服务机构,是指为经营机构、专项
- 2 -
业务服务机构提供下列信息技术服务的机构:
(一)重要信息系统的开发、测试、集成及测评;
(二)重要信息系统的运行、维护及日常安全管理;
(三)重要信息系统的机房租赁;
(四)中国证监会认定的其他情形。
以上机构统称证券基金经营与服务机构。
第四条 经营机构、专项业务服务机构是本机构信息技
术管理的责任主体,应当遵循技术安全、业务合规、兼顾效
率、全面覆盖的原则,保障信息系统的安全、合规运行。
第五条 中国证监会及其派出机构依法对证券基金经
营与服务机构信息技术管理及服务活动实施监督管理。
中国证券业协会、中国证券投资基金业协会(以下统称
行业协会)、证券交易所依法制定自律规则,对证券基金经
营与服务机构信息技术管理实施自律管理。
第二章 经营机构信息技术治理
第六条 经营机构应当按照中国证监会有关信息安全
保障管理的规定完善信息技术治理,保障与业务活动规模、
水平相适应的资金、人员等信息技术投入,持续满足信息技
术资源的可用性、安全性与合规性要求。
经营机构应当结合自身发展战略、经营方针、资本实力
和风险管理策略定期评估更新信息技术规划,根据本办法制
- 3 -
定并持续完善信息技术管理制度和操作流程。
第七条 经营机构经营管理层对信息技术管理工作承
担最终责任。
经营机构应当明确经营管理层、各部门及分支机构的信
息技术管理职责和工作程序,并建立相应的绩效考核和责任
追究机制。
第八条 经营机构应当指定或者任命一名熟悉信息技
术的高级管理人员(以下称信息技术分管高管)负责信息技
术管理工作。
第九条 经营机构应当设立信息技术管理部门或指定
有关部门,统一管理经营机构的信息技术规划、信息技术架
构与基础设施建设、系统建设与运维、数据保护、信息安全
保障等工作。
经营机构应当建立合规管理部门、风险管理部门、内部
审计部门、信息技术管理部门、各业务部门及分支机构间的
分工协作机制,保障信息技术管理职责的有效落实。
第三章 经营机构信息技术合规与风险管理
第十条 经营机构应当将合规与风险管理贯穿信息技
术管理的各个环节,建立相应的审查、监测和检查机制。
第十一条 经营机构借助信息技术手段从事证券基金
- 4 -
相关业务活动,应当在有关信息系统上线时,同步上线与业
务活动的复杂程度和风险状况相适应的风险管理功能或者
信息系统(以下统称风险管理系统),对风险进行计量、监
控、预警和干预,并及时更新监测指标及预警阀值。
第十二条 经营机构借助信息技术手段从事证券基金
相关业务活动前,应当进行内部审查,验证下列事项并建立
存档记录:
(一)信息系统的功能设计与技术实现应当遵循业务合
规的原则,各项功能符合法律法规及中国证监会的规定;
(二)风险管理系统功能完备、权限清晰,能够正常运
行;
(三)信息系统的安全防护措施能够保障经营机构的经
营数据和客户信息的安全、完整;
(四)经营机构的运行管理能力和信息系统备份能力能
够保障信息系统的安全运行。
经营机构分管合规管理、风险管理、信息技术管理及相
关业务部门的高级管理人员应当按照职责分工,在重要信息
系统立项、上线或者发生重大变更前,对借助信息技术手段
从事证券基金相关业务活动的合规风险、信息系统安全风
险、数据安全风险出具书面意见。
第十三条 经营机构应当识别借助信息技术手段从事
证券基金相关业务活动的合规风险、信息系统安全风险、数
- 5 -
据安全风险。
经营机构应当根据风险识别结果,组织对风险进行持续
监测,建立明确的风险警示及化解工作流程,对发现的风险
问题进行处置,并每年至少开展一次对风险监测的有效性评
估。
第十四条 经营机构应当每年至少开展一次对信息技
术管理工作的全面内部审计,包括但不限于信息技术治理、
信息技术合规与风险管理、信息系统安全管理、风险管理系
统等方面内容。
经营机构因未能有效实施信息技术管理被采取行政处
罚、行政监管措施或者自律管理措施的,经营机构应当在三
个月内完成对有关信息系统管理工作的专项内部审计。
经营机构应当对内部审计发现的问题进行评估并在此
基础上组织整改。经营机构应当妥善保存保管审计报告,保
存期限不得少于二十年。
第十五条 经营机构将其运营管理的承载证券基金相
关业务活动的信息系统与外部信息系统对接的,应当遵守中
国证监会的有关规定。
第十六条 经营机构应当按照中国证监会有关规定采
集、记录、验证、存储客户交易终端信息,并采取有效的技
术措施,保障相关信息真实、准确、完整。客户交易终端信
息发生变更的,应履行相应变更程序。
- 6 -
第十七条 除法律法规及中国证监会认可的情形外,经
营机构应当通过自身运营管理的信息系统直接接收客户交
易指令,并根据信息系统记录的客户交易指令接收时间,公
平对待客户。
第十八条 经营机构从事证券基金业务活动并依法使
用电子合同的,应当将电子合同存储在经营机构指定的信息
系统,并可供投资者或者合同对手方查询、下载。
第十九条 经营机构从事证券交易相关业务活动的信
息系统,应当按照有关规定及自律规则具备审查账户资金及
证券是否充足、监控异常交易及异常资金划转等情形的功
能。
第四章 经营机构信息系统安全管理
第一节 信息系统安全管理
第二十条 经营机构应当建立独立于生产环境的专用
开发测试环境,避免风险传导。除中国证监会及行业核心机
构认可的情形外,经营机构不得在生产环境开展技术或者业
务测试,不得在开发测试环境使用未经数据脱敏的客户信
息。
第二十一条 重要信息系统上线或者发生重大变更的,
经营机构应当制定专项实施方案、应急预案和回退方案,并
- 7 -
组织合规管理、风险管理、信息技术管理部门和有关业务部
门,对信息系统的上线或者变更操作行为进行审查、确认和
跟踪。
重要信息系统计划停止使用的,经营机构应当开展业务
和技术影响评估,制定完整的停用和数据迁移保管方案,并
组织必要的评审及停用后的安全检查。
第二十二条 经营机构应当定期开展压力测试,确保重
要信息系统的容量满足业务开展的需要。
前款所称容量,包括重要信息系统的处理能力、网络带
宽、存储空间等可能影响信息系统稳定运行的因素。
第二十三条 经营机构应当建立监测机制,设定监测指
标,持续监测数据中心物理环境、网络设备、主机设备、重
要信息系统和监测系统的运行状况,及时发现异常情况。
经营机构应当指定专人及时跟踪和解决监测发现的异
常情况,并定期进行评估分析。
第二十四条 经营机构应当根据业务开展情况,以及信
息系统、网络设备、安全设备的重要程度,建立与开展监测
工作相适应的日志留痕机制。
经营机构应当妥善保存信息系统在开发、测试、上线、
变更及运行维护过程中产生的文档,满足应急处置和审计需
要。
第二十五条 经营机构应当将重要信息系统在境内独
- 8 -
立部署,并将证券基金经营活动中收集和产生的重要数据和
客户信息存放在境内,下列情形除外:
(一)经营机构依法在境外交易场所进行证券交易、衍
生品交易或与境外交易对手方开展场外证券交易、场外衍生
品交易的相关信息系统及相关重要数据、客户信息;
(二)经营机构依法进行外汇交易的相关信息系统及相
关重要数据、客户信息;
(三)法律法规及中国证监会认可的其他情形。
第二十六条 经营机构可以依法为其子公司提供机房、
通信网络等基础设施,并协助开展有关运行维护工作。
经营机构为子公司提供信息技术服务,应当充分评估信
息技术基础设施的支撑能力与冗余程度,并与子公司签订服
务协议,明确双方的权利义务,以及日常协作、业务隔离和
应急管理机制,避免因信息技术基础设施共用带来的新增风
险。
第二十七条 经营机构应当确保重要信息系统具备可
审计功能,并能够根据监管部门的要求转换、提供数据。
第二节 数据安全管理
第二十八条 经营机构应当加强数据安全管理,采取网
络控制、用户认证、访问控制、数据加密、数据备份、日志
记录、非法入侵检测和病毒入侵检测等措施,保护经营机构
- 9 -
的经营数据和客户信息安全,防范信息泄露。
第二十九条 经营机构应当对信息系统实施用户认证
和访问控制管理。信息系统的管理、操作和访问权限管理应
当遵循最小功能原则和最小权限策略,并经合规部门审批同
意。
经营机构应当建立定期检查与核对机制,确保用户访问
权限与其工作职责相匹配,防止授权不当或者出现非授权账
户。
经营机构应当将重要信息系统的立项审批与开发、运行
与维护、开发测试与日常运转之间实施必要分离,保证信息
技术管理部门内部岗位的相互制衡。
第三十条 经营机构应当记录有关经营机构经营数据
和客户信息的访问和使用情况,并持续监督信息技术服务机
构、业务合作方等落实保密协议的情况。
经营机构发现其他机构、个人违规传输、转发、存储或
者使用经营机构的经营数据和客户信息的,应当及时向监管
部门报告,并评估影响范围、排查泄露途径。如涉及业务合
作机构的,经营机构应当立即终止与其合作。
第三十一条 经营机构应当建立健全数据安全管理制
度,不得收集与所提供服务无关的客户信息。对于收集使用
的客户信息,应当公开收集、使用的规则和目的,并征得客
户同意。
- 10 -
经营机构不得允许或者配合其他机构、个人违规截取、
留存客户信息,不得以任何方式向其他机构、个人违规提供
客户信息。
第三节 业务连续性管理
第三十二条 经营机构应当根据自身的业务类型、规模
和复杂程度等情况,制定业务连续性计划,确保发生可能影
响重要信息系统正常运行的突发事件时迅速反应,妥善应
对,尽可能降低突发事件对业务的影响。
第三十三条 经营机构应当设立或指定专门机构负责
统筹协调各部门或单位落实下列业务连续性管理职责:
(一)风险管理部门或其他综合管理部门为业务连续性
管理主管部门,组织开展业务连续性计划的演练、评估与改
进;
(二)各业务部门负责本业务条线的风险评估、业务影
响分析,确定重要业务恢复目标和恢复策略;
(三)信息技术管理部门负责信息技术应急响应与恢
复;
(四)内部审计部门负责并定期开展公司业务连续性管
理审计工作;
(五)其他相关部门负责为业务连续性日常管理提供人
力、物力、财力等资源保障。
- 11 -
第三十四条 业务连续性计划应当包括业务连续性建
设目标、业务应急措施、业务恢复或替代机制、应急联系方
式、与客户的沟通方式、与有关单位的通报机制、向监管部
门的报告机制、业务连续性计划的披露与更新机制、备份信
息系统建设和恢复机制、备份数据恢复机制等内容。
业务连续性计划应当充分考虑下列突发事件:
(一)重要信息系统服务中断、遭到破坏或者出现严重
缓慢、严重拥堵、通信中断、数据损毁等信息技术故障;
(二)信息技术服务机构无法继续提供服务、第三方机
构无法继续开展合作、电力中断等外部服务中断事件;
(三)重大疫情、火灾、洪水等自然灾害;
(四)公司经营管理层或者主要业务、技术团队发生重
大人事变动;
(五)其他可能影响重要信息系统正常运行的事件。
第三十五条 经营机构应当根据业务变化、系统升级或
者变更等情况,持续更新业务连续性计划。
经营机构应当定期组织有关关键岗位人员对业务连续
性计划进行演练并形成演练报告。涉及重要信息系统的演练
每年不得少于两次。演练报告的保存期限不得少于五年。
第三十六条 经营机构应当在公司网站、客户交易终端
等平台公示有关重大突发事件发生时客户可采取的替代交
易方式等信息,提示客户防范和应对可能出现的风险。
- 12 -
第三十七条 经营机构重要信息系统应当具备与开展
业务相匹配的信息系统备份能力,确保重要信息系统在发生
信息技术故障、灾难灾害时能够在规定时间内恢复正常运
行。经营机构备份的数据应当与原始数据保持一致,备份系
统应当具备与生产系统同等的处理能力。
经营机构信息系统的备份能力指标应当达到证券基金
行业标准规定的信息系统备份能力等级。具体如下:
(一)实时信息系统、非实时信息系统的数据备份能力
应当达到第一级;
(二)非实时信息系统的故障应对能力应当达到第二
级;
(三)实时信息系统的故障应对能力应当达到第四级;
(四)实时信息系统、非实时信息系统应当具备灾难及
重大灾难应对能力,相关技术指标应当分别达到灾难应对能
力第五级、重大灾难应对能力第六级;
(五)灾难应对能力可以通过重大灾难应对能力体现,
但重大灾难应对能力相关技术指标应当达到灾难应对能力
第五级。
第五章 专项业务服务机构
第三十八条 专项业务服务机构应当参照本办法第十
- 13 -
条至第十三条、第十四条第一款、第十五条至第二十五条、
第二十七条至第三十七条的要求,建立健全信息技术合规与
风险管理机制,加强对承载证券基金相关业务活动的信息系
统(以下称专项业务信息系统)的管理。
第三十九条 专项业务服务机构应当建立专项业务信
息系统与其他业务信息系统之间的风险隔离机制,妥善部
署、存放专项业务信息系统及其数据。
第四十条 专项业务服务机构应当为证券基金相关业
务活动配备充足的专职信息技术人员和资源,满足业务开展
及风险监测的需要。
第四十一条 专项业务服务机构应当参照中国证监会
关于经营机构信息安全事件报告与调查处理的规定,建立信
息安全事件的分级响应、向中国证监会及其派出机构报告和
调查处理机制。
第六章 信息技术服务机构
第四十二条 经营机构、专项业务服务机构借助信息技
术手段从事证券基金相关业务活动,可以委托信息技术服务
机构提供信息技术服务,但经营机构、专项业务服务机构依
法应当承担的责任不因委托而免除或减轻。
第四十三条 除中国证监会认可的情形外,经营机构、
- 14 -
专项业务服务机构借助信息技术手段从事证券基金相关业
务活动,不得将重要信息系统的运行、维护或日常安全管理
交由信息技术服务机构独立实施。
第四十四条 经营机构、专项业务服务机构应当审慎选
择信息技术服务机构,重点关注下列事项:
(一)住所地在中华人民共和国境内;
(二)信息技术服务机构及其控股股东、实际控制人或
者其控制的关联人最近一年内不存在与证券期货业务活动
相关的重大违法违规记录;
(三)具有较强的合规与风险管理水平、信息安全保障
能力;
(四)具有专门负责合规与风险管理、信息安全管理的
部门或者团队;
(五)具有与所提供信息技术服务相适应的场所、设备
和技术能力;
(六)具有完善的信息技术管理制度、操作流程和应急
响应机制;
(七)与本机构不存在直接或者潜在的利益冲突;
(八)中国证监会根据审慎监管原则规定的其他事项。
信息技术服务机构为经营机构及专项业务服务机构提
供信息技术服务期间,出现不符合前款第(二)项的情形,
经营机构、专项业务服务机构应当按照业务连续性计划,对
- 15 -
信息技术服务机构保障相关产品或服务安全、合规运行的能
力进行内部评估与审查,如无法保障相关产品或服务安全、
合规运行的,应当更换信息技术服务机构。
第四十五条 为基金管理公司及公开募集基金相关专
项业务服务机构提供服务的信息技术服务机构(以下统称基
金信息技术服务机构)应当向中国证监会备案,报送备案报
告、工商注册登记资料、人员资质证明、商业计划书、信息
技术服务方案、内部控制及合规管理制度、信息技术服务协
议样本、法律意见书等材料。
基金信息技术服务机构应当参照本办法第三条及有关
规定,备案所提供的信息技术服务类型。
第四十六条 为证券公司或证券相关专项业务服务机
构提供服务的信息技术服务机构(以下统称证券信息技术服
务机构)可以自愿申请加入中国证券业协会,主动接受行业
协会的业务指导。
中国证券业协会应当参照本办法有关规定制定证券信
息技术服务机构提供信息技术服务的自律管理规则。
第四十七条 经营机构应当与信息技术服务机构签订
服务协议和保密协议,明确各方权利、义务和责任,约定质
量考核指标、持续监控机制、异常处理机制、服务变更或者
终止的处置流程以及现场服务人员保密要求等内容。
经营机构应当参照本办法第三条及有关规定在服务协
- 16 -
议中列明委托信息技术服务机构提供服务的类型、服务方
式、涉及信息系统及相关证券基金业务活动类型。
经营机构应当对信息技术服务机构及其现场服务人员
落实服务协议和保密协议的情况进行持续监督。
第四十八条 经营机构委托信息技术服务机构提供服
务前,应当按照本办法第十二条的规定对信息技术服务机构
及相关信息系统进行内部审查并出具审查意见。
证券公司选择未加入中国证券业协会的证券信息技术
服务机构提供服务的,应当将审查意见报送至住所地中国证
监会派出机构。发现审查意见存在瑕疵的,中国证监会派出
机构应当组织开展现场检查。
基金信息技术服务机构服务质量出现明显瑕疵的,应当
立即核实有关情况,采取必要的处理措施,并协助使用同类
信息技术服务的经营机构、专项业务服务机构修复相关缺
陷。
第四十九条 经营机构应当建立应急预案,针对可能出
现的影响信息技术服务机构继续提供服务的重大异常情况,
明确应急处置机制。
前款所称重大异常情况,包括信息技术服务机构倒闭、
出现重大财务损失或者重要人员变动,以及服务协议意外终
止等情况。
第五十条 除法律法规另有规定和中国证监会认可的
- 17 -
情形外,基金信息技术服务机构为经营机构、专项业务服务
机构提供信息技术服务,不得有下列行为:
(一)从事证券基金业务活动相关的业务操作;
(二)截取、转发、存储经营机构的经营数据或者客户
信息;
(三)在经营机构不知情的情况下,转委托他人提供信
息技术服务;
(四)提供存在恶意代码或者未授权的系统功能、角色
权限及网络连接的产品;
(五)提供涉嫌违法违规的产品或信息技术服务;
(六)违法违规向社会公众发布信息安全漏洞等网络安
全信息;
(七)提供信息技术服务过程中向社会公众进行误导性
宣传;
(八)法律、行政法规及中国证监会禁止的其他行为。
第七章 监督管理
第五十一条 经营机构、专项业务服务机构新建关键信
息基础设施,使用外部购入、委托建设的证券基金交易相关
信息系统,或者提供外部信息系统接入的,应当在开展相关
业务活动的 5个工作日内向中国证监会备案,报送内部审查
- 18 -
意见、关键信息基础设施及相关信息系统架构设计、业务流
程、风控制度、信息安全管理、合规管理等材料。
第五十二条 经营机构、专项业务服务机构应当于每年
4月30日前向住所地中国证监会派出机构报送信息技术管理
年度报告,说明报告期内信息技术治理建设、信息技术合规
与风险管理有效性评估、信息系统安全管理、信息技术管理
工作审计等执行本办法规定的情况。
基金信息技术服务机构为经营机构、专项业务服务机构
提供信息技术服务的,应当按照中国证监会要求定期报送相
关资料。
证券基金经营与服务机构提交报告反映的内容应当真
实、准确、完整。
第五十三条 专项业务服务机构发现专项业务信息系
统出现下列情形的,应当立即报告,并在系统恢复正常后 5
个工作日内,将事件总结报告报送至住所地中国证监会派出
机构,说明事件发生的过程、原因、责任和调查处理结论:
(一)中断、部分中断或者运行缓慢;
(二)存在可能影响业务持续运行、经营数据安全或者
客户信息安全的信息安全漏洞;
(三)因系统功能原因导致业务差错,并产生较大影
响;
(四)投资者数据损毁或者错误等异常情况,影响当日
- 19 -
或者后续交易日正常交易的;
(五)投资者数据发生泄露的;
(六)被他人利用从事违法违规行为。
经营机构应当按中国证监会有关规定履行信息安全事
件的报告和调查处理职责。
第五十四条 基金信息技术服务机构出现下列情形的,
应当立即报告住所地中国证监会派出机构:
(一)公司人员、财务、技术管理等方面发生重大变化,
可能无法持续为经营机构、专项业务服务机构提供信息技术
服务;
(二)提供的信息技术服务存在明显缺陷,导致所服务
的 3家以上经营机构、专项业务服务机构发生信息系统运营
异常、数据泄露、遭受网络攻击等情形;
(三)存在其他可能影响 3家以上经营机构、专项业务
服务机构业务运行的信息安全隐患。
第五十五条 中国证监会及其派出机构在对证券基金
经营与服务机构信息技术管理及服务活动的监管过程中,可
以采用渗透测试、漏洞扫描、组织应急演练等现场检查及非
现场检查方式。
中国证监会及其派出机构可以视情况委托行业专业信
息安全机构协助开展相关工作。经营机构、专项业务服务机
构及基金信息技术服务机构应当予以配合,如实提供有关文
- 20 -
件、资料,不得拒绝、阻碍和隐瞒。
第五十六条 中国证监会及其派出机构可以将经营机
构信息技术治理、信息技术合规与风险管理、信息系统安全
管理的有效性作为分类监管、行政许可的重要依据。
第五十七条 经营机构、专项业务服务机构违反本办法
规定的,中国证监会及其派出机构可以依法对其采取出具警
示函、责令增加合规检查次数、责令改正、责令定期报告、
公开谴责等行政监管措施;对直接负责的主管人员和其他责
任人员采取出具警示函、责令改正、监管谈话、公开谴责等
行政监管措施。
第五十八条 经营机构违反本办法第六条、第十一条至
第十九条、第二十五条、第二十六条、第三十条、第三十一
条、第三十七条、第四十三条、第四十四条、第四十七条、
第五十一条、第五十二条的规定,构成公司治理混乱、内控
失效等情形的,中国证监会及其派出机构可以按照《证券投
资基金法》第二十四条、《证券公司监督管理条例》第七十
条的规定,采取公开谴责、责令暂停部分或全部业务、对直
接负责的主管人员和其他责任人员采取责令更换、认定为不
适当人选等行政监管措施。
第五十九条 专项业务服务机构违反本办法第三十八
条、第四十一条、第四十四条、第五十一至第五十三条的规
定,情节严重的,中国证监会及其派出机构可对专项业务服
- 21 -
务机构及其直接负责的主管人员和其他直接责任人员单处
或者并处警告、三万元以下罚款。
第六十条 基金信息技术服务机构违反本办法规定的,
中国证监会及其派出机构可以要求其提交说明材料,并采取
出具警示函、责令改正、监管谈话等措施,情节严重的,可
以按照《证券投资基金法》第一百四十四条、《网络安全法》
第六十四条的规定,责令其暂停或停止基金信息技术服务业
务。
违反本规定,擅自从事基金信息技术服务的信息技术服
务机构,中国证监会及其派出机构可以责令其改正,并对直
接负责的主管人员和其他直接责任人员单处或者并处警告、
三万元以下罚款。
第八章 附则
第六十一条 本办法中下列用语的含义:
(一)信息系统安全风险,是指因系统中断或者运行缓
慢、信息被篡改等原因导致信息系统的可用性、完整性丧失
的风险。
(二)数据安全风险,是指因信息泄露、数据丢失、权
限管理不当、服务器被外部攻击等原因导致信息系统机密性
丧失的风险。
- 22 -
(三)重要信息系统,是指支持经营机构关键业务功能、
如出现异常将对证券市场和投资者产生重大影响的信息系
统。包括集中交易系统、投资交易系统、网上基金销售系统、
估值核算系统、投资监督系统、信息披露系统、份额登记系
统、第三方存管系统、融资融券业务系统、网上交易系统、
电话委托系统、移动终端交易系统、法人清算系统、具备开
户、交易或者客户资料修改功能的门户网站、存放承销保荐
业务工作底稿相关数据的系统以及与上述信息系统具备类
似功能的信息系统。
(四)机房租赁,是指委托方接受租用受托方提供的机
房空间运行自身信息系统,由受托方负责基础设施及公共通
信网络设施的运维工作,由委托方负责自身系统的运维工
作。
(五)日志,包括系统日志、应用日志和安全日志,记
录信息系统中硬件、系统软件、应用软件发生问题的有关信
息,同时还可以监测信息系统发生的各类事件。
(六)信息安全事件,相关定义参见《证券期货业信息
安全报告与调查处理办法》(证监会公告〔2012〕46 号)。
(七)行业核心机构,包括承担证券期货市场公共职能
的机构、承担证券期货行业信息技术公共基础设施运营的机
构等证券期货市场核心机构及其下属机构。
(八)客户信息,包括客户的姓名、身份证号、银行账
- 23 -
号、联系方式、交易密码、交易记录、委托及查询记录、交
易终端信息、与交易相关的客户操作行为信息等。
(九)数据脱敏,是指某些敏感信息通过脱敏规则进行
数据变形,实现敏感隐私数据的可靠保护。
(十)经营机构信息系统备份能力、数据备份能力、故
障应对能力、重大灾难应对能力、实时信息系统、非实时信
息系统以及备份能力等级相关定义参见《证券期货经营机构
信息系统备份能力标准》(JR/T 0059—2010)。
第六十二条 经营机构在境内依法设立的子公司借助
信息技术手段从事证券基金相关业务活动的,参照适用本办
法。
第六十三条 本办法实施之前,证券基金经营与服务
机构已经借助信息技术手段从事证券基金相关业务活动、基
金信息技术服务机构提供相关信息技术服务的,应当按照本
办法第四十五条、第五十一条规定,及时向中国证监会备案,
期间不得新增有关业务活动或者信息技术服务。
未向中国证监会备案的,应当在本办法实施后三个月内
进行规范。到期仍未规范的,中国证监会将按照本办法第五
十七至第六十条有关规定采取措施。
第六十四条 本办法自 2017 年 月 日起实施。