- 1 -

证券基金经营机构信息技术管理办法

（征求意见稿）

第一章 总则

第一条 为加强证券基金经营与服务机构信息技术管

理，保障证券基金行业信息系统安全、合规运行，保护投资

者合法权益，根据《证券法》、《证券投资基金法》、《网

络安全法》、《证券公司监督管理条例》等法律法规，制定

本办法。

第二条 证券基金经营机构（以下简称经营机构）、专

项业务服务机构借助信息技术手段从事证券基金相关业务

活动，信息技术服务机构为经营机构、专项业务服务机构从

事证券基金相关业务活动提供信息技术服务，适用本办法。

第三条 本办法所称经营机构，是指依法在境内设立的

证券公司和基金管理公司。

本办法所称专项业务服务机构，是指除经营机构外，中

国证监会认可的从事证券基金相关业务活动的机构，包括基

金托管人、基金销售机构、基金份额登记机构、从事证券公

司客户交易结算资金存管活动的商业银行等。

本办法所称信息技术服务机构，是指为经营机构、专项

- 2 -

业务服务机构提供下列信息技术服务的机构：

（一）重要信息系统的开发、测试、集成及测评；

（二）重要信息系统的运行、维护及日常安全管理；

（三）重要信息系统的机房租赁；

（四）中国证监会认定的其他情形。

以上机构统称证券基金经营与服务机构。

第四条 经营机构、专项业务服务机构是本机构信息技

术管理的责任主体，应当遵循技术安全、业务合规、兼顾效

率、全面覆盖的原则，保障信息系统的安全、合规运行。

第五条 中国证监会及其派出机构依法对证券基金经

营与服务机构信息技术管理及服务活动实施监督管理。

中国证券业协会、中国证券投资基金业协会（以下统称

行业协会）、证券交易所依法制定自律规则，对证券基金经

营与服务机构信息技术管理实施自律管理。

第二章 经营机构信息技术治理

第六条 经营机构应当按照中国证监会有关信息安全

保障管理的规定完善信息技术治理，保障与业务活动规模、

水平相适应的资金、人员等信息技术投入，持续满足信息技

术资源的可用性、安全性与合规性要求。

经营机构应当结合自身发展战略、经营方针、资本实力

和风险管理策略定期评估更新信息技术规划，根据本办法制

- 3 -

定并持续完善信息技术管理制度和操作流程。

第七条 经营机构经营管理层对信息技术管理工作承

担最终责任。

经营机构应当明确经营管理层、各部门及分支机构的信

息技术管理职责和工作程序，并建立相应的绩效考核和责任

追究机制。

第八条 经营机构应当指定或者任命一名熟悉信息技

术的高级管理人员（以下称信息技术分管高管）负责信息技

术管理工作。

第九条 经营机构应当设立信息技术管理部门或指定

有关部门，统一管理经营机构的信息技术规划、信息技术架

构与基础设施建设、系统建设与运维、数据保护、信息安全

保障等工作。

经营机构应当建立合规管理部门、风险管理部门、内部

审计部门、信息技术管理部门、各业务部门及分支机构间的

分工协作机制，保障信息技术管理职责的有效落实。

第三章 经营机构信息技术合规与风险管理

第十条 经营机构应当将合规与风险管理贯穿信息技

术管理的各个环节，建立相应的审查、监测和检查机制。

第十一条 经营机构借助信息技术手段从事证券基金

- 4 -

相关业务活动，应当在有关信息系统上线时，同步上线与业

务活动的复杂程度和风险状况相适应的风险管理功能或者

信息系统（以下统称风险管理系统），对风险进行计量、监

控、预警和干预，并及时更新监测指标及预警阀值。

第十二条 经营机构借助信息技术手段从事证券基金

相关业务活动前，应当进行内部审查，验证下列事项并建立

存档记录：

（一）信息系统的功能设计与技术实现应当遵循业务合

规的原则，各项功能符合法律法规及中国证监会的规定；

（二）风险管理系统功能完备、权限清晰，能够正常运

行；

（三）信息系统的安全防护措施能够保障经营机构的经

营数据和客户信息的安全、完整；

（四）经营机构的运行管理能力和信息系统备份能力能

够保障信息系统的安全运行。

经营机构分管合规管理、风险管理、信息技术管理及相

关业务部门的高级管理人员应当按照职责分工，在重要信息

系统立项、上线或者发生重大变更前，对借助信息技术手段

从事证券基金相关业务活动的合规风险、信息系统安全风

险、数据安全风险出具书面意见。

第十三条 经营机构应当识别借助信息技术手段从事

证券基金相关业务活动的合规风险、信息系统安全风险、数

- 5 -

据安全风险。

经营机构应当根据风险识别结果，组织对风险进行持续

监测，建立明确的风险警示及化解工作流程，对发现的风险

问题进行处置，并每年至少开展一次对风险监测的有效性评

估。

第十四条 经营机构应当每年至少开展一次对信息技

术管理工作的全面内部审计，包括但不限于信息技术治理、

信息技术合规与风险管理、信息系统安全管理、风险管理系

统等方面内容。

经营机构因未能有效实施信息技术管理被采取行政处

罚、行政监管措施或者自律管理措施的，经营机构应当在三

个月内完成对有关信息系统管理工作的专项内部审计。

经营机构应当对内部审计发现的问题进行评估并在此

基础上组织整改。经营机构应当妥善保存保管审计报告，保

存期限不得少于二十年。

第十五条 经营机构将其运营管理的承载证券基金相

关业务活动的信息系统与外部信息系统对接的，应当遵守中

国证监会的有关规定。

第十六条 经营机构应当按照中国证监会有关规定采

集、记录、验证、存储客户交易终端信息，并采取有效的技

术措施，保障相关信息真实、准确、完整。客户交易终端信

息发生变更的，应履行相应变更程序。

- 6 -

第十七条 除法律法规及中国证监会认可的情形外，经

营机构应当通过自身运营管理的信息系统直接接收客户交

易指令，并根据信息系统记录的客户交易指令接收时间，公

平对待客户。

第十八条 经营机构从事证券基金业务活动并依法使

用电子合同的，应当将电子合同存储在经营机构指定的信息

系统，并可供投资者或者合同对手方查询、下载。

第十九条 经营机构从事证券交易相关业务活动的信

息系统，应当按照有关规定及自律规则具备审查账户资金及

证券是否充足、监控异常交易及异常资金划转等情形的功

能。

第四章 经营机构信息系统安全管理

第一节 信息系统安全管理

第二十条 经营机构应当建立独立于生产环境的专用

开发测试环境，避免风险传导。除中国证监会及行业核心机

构认可的情形外，经营机构不得在生产环境开展技术或者业

务测试，不得在开发测试环境使用未经数据脱敏的客户信

息。

第二十一条 重要信息系统上线或者发生重大变更的，

经营机构应当制定专项实施方案、应急预案和回退方案，并

- 7 -

组织合规管理、风险管理、信息技术管理部门和有关业务部

门，对信息系统的上线或者变更操作行为进行审查、确认和

跟踪。

重要信息系统计划停止使用的，经营机构应当开展业务

和技术影响评估，制定完整的停用和数据迁移保管方案，并

组织必要的评审及停用后的安全检查。

第二十二条 经营机构应当定期开展压力测试，确保重

要信息系统的容量满足业务开展的需要。

前款所称容量，包括重要信息系统的处理能力、网络带

宽、存储空间等可能影响信息系统稳定运行的因素。

第二十三条 经营机构应当建立监测机制，设定监测指

标，持续监测数据中心物理环境、网络设备、主机设备、重

要信息系统和监测系统的运行状况，及时发现异常情况。

经营机构应当指定专人及时跟踪和解决监测发现的异

常情况，并定期进行评估分析。

第二十四条 经营机构应当根据业务开展情况，以及信

息系统、网络设备、安全设备的重要程度，建立与开展监测

工作相适应的日志留痕机制。

经营机构应当妥善保存信息系统在开发、测试、上线、

变更及运行维护过程中产生的文档，满足应急处置和审计需

要。

第二十五条 经营机构应当将重要信息系统在境内独

- 8 -

立部署，并将证券基金经营活动中收集和产生的重要数据和

客户信息存放在境内，下列情形除外：

（一）经营机构依法在境外交易场所进行证券交易、衍

生品交易或与境外交易对手方开展场外证券交易、场外衍生

品交易的相关信息系统及相关重要数据、客户信息；

（二）经营机构依法进行外汇交易的相关信息系统及相

关重要数据、客户信息；

（三）法律法规及中国证监会认可的其他情形。

第二十六条 经营机构可以依法为其子公司提供机房、

通信网络等基础设施，并协助开展有关运行维护工作。

经营机构为子公司提供信息技术服务，应当充分评估信

息技术基础设施的支撑能力与冗余程度，并与子公司签订服

务协议，明确双方的权利义务，以及日常协作、业务隔离和

应急管理机制，避免因信息技术基础设施共用带来的新增风

险。

第二十七条 经营机构应当确保重要信息系统具备可

审计功能，并能够根据监管部门的要求转换、提供数据。

第二节 数据安全管理

第二十八条 经营机构应当加强数据安全管理，采取网

络控制、用户认证、访问控制、数据加密、数据备份、日志

记录、非法入侵检测和病毒入侵检测等措施，保护经营机构

- 9 -

的经营数据和客户信息安全，防范信息泄露。

第二十九条 经营机构应当对信息系统实施用户认证

和访问控制管理。信息系统的管理、操作和访问权限管理应

当遵循最小功能原则和最小权限策略，并经合规部门审批同

意。

经营机构应当建立定期检查与核对机制，确保用户访问

权限与其工作职责相匹配，防止授权不当或者出现非授权账

户。

经营机构应当将重要信息系统的立项审批与开发、运行

与维护、开发测试与日常运转之间实施必要分离，保证信息

技术管理部门内部岗位的相互制衡。

第三十条 经营机构应当记录有关经营机构经营数据

和客户信息的访问和使用情况，并持续监督信息技术服务机

构、业务合作方等落实保密协议的情况。

经营机构发现其他机构、个人违规传输、转发、存储或

者使用经营机构的经营数据和客户信息的，应当及时向监管

部门报告，并评估影响范围、排查泄露途径。如涉及业务合

作机构的，经营机构应当立即终止与其合作。

第三十一条 经营机构应当建立健全数据安全管理制

度，不得收集与所提供服务无关的客户信息。对于收集使用

的客户信息，应当公开收集、使用的规则和目的，并征得客

户同意。

- 10 -

经营机构不得允许或者配合其他机构、个人违规截取、

留存客户信息，不得以任何方式向其他机构、个人违规提供

客户信息。

第三节 业务连续性管理

第三十二条 经营机构应当根据自身的业务类型、规模

和复杂程度等情况，制定业务连续性计划，确保发生可能影

响重要信息系统正常运行的突发事件时迅速反应，妥善应

对，尽可能降低突发事件对业务的影响。

第三十三条 经营机构应当设立或指定专门机构负责

统筹协调各部门或单位落实下列业务连续性管理职责：

（一）风险管理部门或其他综合管理部门为业务连续性

管理主管部门，组织开展业务连续性计划的演练、评估与改

进；

（二）各业务部门负责本业务条线的风险评估、业务影

响分析，确定重要业务恢复目标和恢复策略；

（三）信息技术管理部门负责信息技术应急响应与恢

复；

（四）内部审计部门负责并定期开展公司业务连续性管

理审计工作；

（五）其他相关部门负责为业务连续性日常管理提供人

力、物力、财力等资源保障。

- 11 -

第三十四条 业务连续性计划应当包括业务连续性建

设目标、业务应急措施、业务恢复或替代机制、应急联系方

式、与客户的沟通方式、与有关单位的通报机制、向监管部

门的报告机制、业务连续性计划的披露与更新机制、备份信

息系统建设和恢复机制、备份数据恢复机制等内容。

业务连续性计划应当充分考虑下列突发事件：

（一）重要信息系统服务中断、遭到破坏或者出现严重

缓慢、严重拥堵、通信中断、数据损毁等信息技术故障；

（二）信息技术服务机构无法继续提供服务、第三方机

构无法继续开展合作、电力中断等外部服务中断事件；

（三）重大疫情、火灾、洪水等自然灾害；

（四）公司经营管理层或者主要业务、技术团队发生重

大人事变动；

（五）其他可能影响重要信息系统正常运行的事件。

第三十五条 经营机构应当根据业务变化、系统升级或

者变更等情况，持续更新业务连续性计划。

经营机构应当定期组织有关关键岗位人员对业务连续

性计划进行演练并形成演练报告。涉及重要信息系统的演练

每年不得少于两次。演练报告的保存期限不得少于五年。

第三十六条 经营机构应当在公司网站、客户交易终端

等平台公示有关重大突发事件发生时客户可采取的替代交

易方式等信息，提示客户防范和应对可能出现的风险。

- 12 -

第三十七条 经营机构重要信息系统应当具备与开展

业务相匹配的信息系统备份能力，确保重要信息系统在发生

信息技术故障、灾难灾害时能够在规定时间内恢复正常运

行。经营机构备份的数据应当与原始数据保持一致，备份系

统应当具备与生产系统同等的处理能力。

经营机构信息系统的备份能力指标应当达到证券基金

行业标准规定的信息系统备份能力等级。具体如下：

（一）实时信息系统、非实时信息系统的数据备份能力

应当达到第一级；

（二）非实时信息系统的故障应对能力应当达到第二

级；

（三）实时信息系统的故障应对能力应当达到第四级；

（四）实时信息系统、非实时信息系统应当具备灾难及

重大灾难应对能力，相关技术指标应当分别达到灾难应对能

力第五级、重大灾难应对能力第六级；

（五）灾难应对能力可以通过重大灾难应对能力体现，

但重大灾难应对能力相关技术指标应当达到灾难应对能力

第五级。

第五章 专项业务服务机构

第三十八条 专项业务服务机构应当参照本办法第十

- 13 -

条至第十三条、第十四条第一款、第十五条至第二十五条、

第二十七条至第三十七条的要求，建立健全信息技术合规与

风险管理机制，加强对承载证券基金相关业务活动的信息系

统（以下称专项业务信息系统）的管理。

第三十九条 专项业务服务机构应当建立专项业务信

息系统与其他业务信息系统之间的风险隔离机制，妥善部

署、存放专项业务信息系统及其数据。

第四十条 专项业务服务机构应当为证券基金相关业

务活动配备充足的专职信息技术人员和资源，满足业务开展

及风险监测的需要。

第四十一条 专项业务服务机构应当参照中国证监会

关于经营机构信息安全事件报告与调查处理的规定，建立信

息安全事件的分级响应、向中国证监会及其派出机构报告和

调查处理机制。

第六章 信息技术服务机构

第四十二条 经营机构、专项业务服务机构借助信息技

术手段从事证券基金相关业务活动，可以委托信息技术服务

机构提供信息技术服务，但经营机构、专项业务服务机构依

法应当承担的责任不因委托而免除或减轻。

第四十三条 除中国证监会认可的情形外，经营机构、

- 14 -

专项业务服务机构借助信息技术手段从事证券基金相关业

务活动，不得将重要信息系统的运行、维护或日常安全管理

交由信息技术服务机构独立实施。

第四十四条 经营机构、专项业务服务机构应当审慎选

择信息技术服务机构，重点关注下列事项：

（一）住所地在中华人民共和国境内；

（二）信息技术服务机构及其控股股东、实际控制人或

者其控制的关联人最近一年内不存在与证券期货业务活动

相关的重大违法违规记录；

（三）具有较强的合规与风险管理水平、信息安全保障

能力；

（四）具有专门负责合规与风险管理、信息安全管理的

部门或者团队；

（五）具有与所提供信息技术服务相适应的场所、设备

和技术能力；

（六）具有完善的信息技术管理制度、操作流程和应急

响应机制；

（七）与本机构不存在直接或者潜在的利益冲突；

（八）中国证监会根据审慎监管原则规定的其他事项。

信息技术服务机构为经营机构及专项业务服务机构提

供信息技术服务期间，出现不符合前款第（二）项的情形，

经营机构、专项业务服务机构应当按照业务连续性计划，对

- 15 -

信息技术服务机构保障相关产品或服务安全、合规运行的能

力进行内部评估与审查，如无法保障相关产品或服务安全、

合规运行的，应当更换信息技术服务机构。

第四十五条 为基金管理公司及公开募集基金相关专

项业务服务机构提供服务的信息技术服务机构（以下统称基

金信息技术服务机构）应当向中国证监会备案，报送备案报

告、工商注册登记资料、人员资质证明、商业计划书、信息

技术服务方案、内部控制及合规管理制度、信息技术服务协

议样本、法律意见书等材料。

基金信息技术服务机构应当参照本办法第三条及有关

规定，备案所提供的信息技术服务类型。

第四十六条 为证券公司或证券相关专项业务服务机

构提供服务的信息技术服务机构（以下统称证券信息技术服

务机构）可以自愿申请加入中国证券业协会，主动接受行业

协会的业务指导。

中国证券业协会应当参照本办法有关规定制定证券信

息技术服务机构提供信息技术服务的自律管理规则。

第四十七条 经营机构应当与信息技术服务机构签订

服务协议和保密协议，明确各方权利、义务和责任，约定质

量考核指标、持续监控机制、异常处理机制、服务变更或者

终止的处置流程以及现场服务人员保密要求等内容。

经营机构应当参照本办法第三条及有关规定在服务协

- 16 -

议中列明委托信息技术服务机构提供服务的类型、服务方

式、涉及信息系统及相关证券基金业务活动类型。

经营机构应当对信息技术服务机构及其现场服务人员

落实服务协议和保密协议的情况进行持续监督。

第四十八条 经营机构委托信息技术服务机构提供服

务前，应当按照本办法第十二条的规定对信息技术服务机构

及相关信息系统进行内部审查并出具审查意见。

证券公司选择未加入中国证券业协会的证券信息技术

服务机构提供服务的，应当将审查意见报送至住所地中国证

监会派出机构。发现审查意见存在瑕疵的，中国证监会派出

机构应当组织开展现场检查。

基金信息技术服务机构服务质量出现明显瑕疵的，应当

立即核实有关情况，采取必要的处理措施，并协助使用同类

信息技术服务的经营机构、专项业务服务机构修复相关缺

陷。

第四十九条 经营机构应当建立应急预案，针对可能出

现的影响信息技术服务机构继续提供服务的重大异常情况，

明确应急处置机制。

前款所称重大异常情况，包括信息技术服务机构倒闭、

出现重大财务损失或者重要人员变动，以及服务协议意外终

止等情况。

第五十条 除法律法规另有规定和中国证监会认可的

- 17 -

情形外，基金信息技术服务机构为经营机构、专项业务服务

机构提供信息技术服务，不得有下列行为：

（一）从事证券基金业务活动相关的业务操作；

（二）截取、转发、存储经营机构的经营数据或者客户

信息；

（三）在经营机构不知情的情况下，转委托他人提供信

息技术服务；

（四）提供存在恶意代码或者未授权的系统功能、角色

权限及网络连接的产品；

（五）提供涉嫌违法违规的产品或信息技术服务；

（六）违法违规向社会公众发布信息安全漏洞等网络安

全信息；

（七）提供信息技术服务过程中向社会公众进行误导性

宣传；

（八）法律、行政法规及中国证监会禁止的其他行为。

第七章 监督管理

第五十一条 经营机构、专项业务服务机构新建关键信

息基础设施，使用外部购入、委托建设的证券基金交易相关

信息系统，或者提供外部信息系统接入的，应当在开展相关

业务活动的 5个工作日内向中国证监会备案，报送内部审查

- 18 -

意见、关键信息基础设施及相关信息系统架构设计、业务流

程、风控制度、信息安全管理、合规管理等材料。

第五十二条 经营机构、专项业务服务机构应当于每年

4月30日前向住所地中国证监会派出机构报送信息技术管理

年度报告，说明报告期内信息技术治理建设、信息技术合规

与风险管理有效性评估、信息系统安全管理、信息技术管理

工作审计等执行本办法规定的情况。

基金信息技术服务机构为经营机构、专项业务服务机构

提供信息技术服务的，应当按照中国证监会要求定期报送相

关资料。

证券基金经营与服务机构提交报告反映的内容应当真

实、准确、完整。

第五十三条 专项业务服务机构发现专项业务信息系

统出现下列情形的，应当立即报告，并在系统恢复正常后 5

个工作日内，将事件总结报告报送至住所地中国证监会派出

机构，说明事件发生的过程、原因、责任和调查处理结论：

（一）中断、部分中断或者运行缓慢；

（二）存在可能影响业务持续运行、经营数据安全或者

客户信息安全的信息安全漏洞；

（三）因系统功能原因导致业务差错，并产生较大影

响；

（四）投资者数据损毁或者错误等异常情况，影响当日

- 19 -

或者后续交易日正常交易的；

（五）投资者数据发生泄露的；

（六）被他人利用从事违法违规行为。

经营机构应当按中国证监会有关规定履行信息安全事

件的报告和调查处理职责。

第五十四条 基金信息技术服务机构出现下列情形的，

应当立即报告住所地中国证监会派出机构：

（一）公司人员、财务、技术管理等方面发生重大变化，

可能无法持续为经营机构、专项业务服务机构提供信息技术

服务；

（二）提供的信息技术服务存在明显缺陷，导致所服务

的 3家以上经营机构、专项业务服务机构发生信息系统运营

异常、数据泄露、遭受网络攻击等情形；

（三）存在其他可能影响 3家以上经营机构、专项业务

服务机构业务运行的信息安全隐患。

第五十五条 中国证监会及其派出机构在对证券基金

经营与服务机构信息技术管理及服务活动的监管过程中，可

以采用渗透测试、漏洞扫描、组织应急演练等现场检查及非

现场检查方式。

中国证监会及其派出机构可以视情况委托行业专业信

息安全机构协助开展相关工作。经营机构、专项业务服务机

构及基金信息技术服务机构应当予以配合，如实提供有关文

- 20 -

件、资料，不得拒绝、阻碍和隐瞒。

第五十六条 中国证监会及其派出机构可以将经营机

构信息技术治理、信息技术合规与风险管理、信息系统安全

管理的有效性作为分类监管、行政许可的重要依据。

第五十七条 经营机构、专项业务服务机构违反本办法

规定的，中国证监会及其派出机构可以依法对其采取出具警

示函、责令增加合规检查次数、责令改正、责令定期报告、

公开谴责等行政监管措施；对直接负责的主管人员和其他责

任人员采取出具警示函、责令改正、监管谈话、公开谴责等

行政监管措施。

第五十八条 经营机构违反本办法第六条、第十一条至

第十九条、第二十五条、第二十六条、第三十条、第三十一

条、第三十七条、第四十三条、第四十四条、第四十七条、

第五十一条、第五十二条的规定，构成公司治理混乱、内控

失效等情形的，中国证监会及其派出机构可以按照《证券投

资基金法》第二十四条、《证券公司监督管理条例》第七十

条的规定，采取公开谴责、责令暂停部分或全部业务、对直

接负责的主管人员和其他责任人员采取责令更换、认定为不

适当人选等行政监管措施。

第五十九条 专项业务服务机构违反本办法第三十八

条、第四十一条、第四十四条、第五十一至第五十三条的规

定，情节严重的，中国证监会及其派出机构可对专项业务服

- 21 -

务机构及其直接负责的主管人员和其他直接责任人员单处

或者并处警告、三万元以下罚款。

第六十条 基金信息技术服务机构违反本办法规定的，

中国证监会及其派出机构可以要求其提交说明材料，并采取

出具警示函、责令改正、监管谈话等措施，情节严重的，可

以按照《证券投资基金法》第一百四十四条、《网络安全法》

第六十四条的规定，责令其暂停或停止基金信息技术服务业

务。

违反本规定，擅自从事基金信息技术服务的信息技术服

务机构，中国证监会及其派出机构可以责令其改正，并对直

接负责的主管人员和其他直接责任人员单处或者并处警告、

三万元以下罚款。

第八章 附则

第六十一条 本办法中下列用语的含义：

（一）信息系统安全风险，是指因系统中断或者运行缓

慢、信息被篡改等原因导致信息系统的可用性、完整性丧失

的风险。

（二）数据安全风险，是指因信息泄露、数据丢失、权

限管理不当、服务器被外部攻击等原因导致信息系统机密性

丧失的风险。

- 22 -

（三）重要信息系统，是指支持经营机构关键业务功能、

如出现异常将对证券市场和投资者产生重大影响的信息系

统。包括集中交易系统、投资交易系统、网上基金销售系统、

估值核算系统、投资监督系统、信息披露系统、份额登记系

统、第三方存管系统、融资融券业务系统、网上交易系统、

电话委托系统、移动终端交易系统、法人清算系统、具备开

户、交易或者客户资料修改功能的门户网站、存放承销保荐

业务工作底稿相关数据的系统以及与上述信息系统具备类

似功能的信息系统。

（四）机房租赁，是指委托方接受租用受托方提供的机

房空间运行自身信息系统，由受托方负责基础设施及公共通

信网络设施的运维工作，由委托方负责自身系统的运维工

作。

（五）日志，包括系统日志、应用日志和安全日志，记

录信息系统中硬件、系统软件、应用软件发生问题的有关信

息，同时还可以监测信息系统发生的各类事件。

（六）信息安全事件，相关定义参见《证券期货业信息

安全报告与调查处理办法》（证监会公告〔2012〕46 号）。

（七）行业核心机构，包括承担证券期货市场公共职能

的机构、承担证券期货行业信息技术公共基础设施运营的机

构等证券期货市场核心机构及其下属机构。

（八）客户信息，包括客户的姓名、身份证号、银行账

- 23 -

号、联系方式、交易密码、交易记录、委托及查询记录、交

易终端信息、与交易相关的客户操作行为信息等。

（九）数据脱敏，是指某些敏感信息通过脱敏规则进行

数据变形，实现敏感隐私数据的可靠保护。

（十）经营机构信息系统备份能力、数据备份能力、故

障应对能力、重大灾难应对能力、实时信息系统、非实时信

息系统以及备份能力等级相关定义参见《证券期货经营机构

信息系统备份能力标准》（JR/T 0059—2010）。

第六十二条 经营机构在境内依法设立的子公司借助

信息技术手段从事证券基金相关业务活动的，参照适用本办

法。

第六十三条 本办法实施之前，证券基金经营与服务

机构已经借助信息技术手段从事证券基金相关业务活动、基

金信息技术服务机构提供相关信息技术服务的，应当按照本

办法第四十五条、第五十一条规定，及时向中国证监会备案，

期间不得新增有关业务活动或者信息技术服务。

未向中国证监会备案的，应当在本办法实施后三个月内

进行规范。到期仍未规范的，中国证监会将按照本办法第五

十七至第六十条有关规定采取措施。

第六十四条 本办法自 2017 年 月 日起实施。