东兴证券:信息技术治理管理办法(修订)2019-04-27
东兴证券股份有限公司信息技术
治理管理办法(修订)
第一章 总则
第一条 为提高公司信息化水平,加强信息技术管理与规范,完善公司治
理结构,保障信息系统安全,依据国家法律法规、《证券基金经营机构信息技术
管理办法》、《证券期货业经营机构信息技术治理工作指引(试行)》、证券监管部
门及行业自律组织的相关规定制定本办法。
第二条 信息技术(以下简称 IT)治理是指公司在运用信息技术过程中,
制定的有关 IT 决策权分配和责任承担的框架,主要包括在 IT 原则、IT 架构、IT
基础设施、IT 应用和 IT 投入等方面制定相关制度并建立有效的工作机制,实现
IT 决策的责任和权力的有效分配与控制,提高 IT 资源的有效性、可用性和安全
性。
第三条 IT 治理是公司治理的重要组成部分,有效的 IT 治理可以持续巩
固和提升 IT 能力,可以帮助公司利用 IT 增强核心竞争力,使公司从 IT 投入中
获得最大利益。公司 IT 治理的核心目标是:
(一)明确 IT 决策的权力与责任;
(二)实现 IT 资源的最优配置;
(三)实现 IT 风险的可管可控;
(四)实现技术与业务的有效匹配。
第二章 IT 治理组织和工作机制
第四条 公司应建立统一、有效的 IT 治理组织和工作机制,实现 IT 决策
的有效授权与控制。
第五条 公司董事会负责审议公司的信息技术管理目标,对信息技术管理
的有效性承担责任,履行下列职责:
1
� (一)审议信息技术战略,确保与公司的发展战略、风险管理策略、资本实
力相一致;
(二)建立信息技术人力和资金保障方案;
(三)评估年度信息技术管理工作的总体效果和效率;
(四)公司章程规定的其他信息技术管理职责。
第六条 公司管理层负责落实信息技术管理目标,对信息技术管理工作承
担责任,履行下列职责:
(一)组织实施董事会相关决议;
(二)建立责任明确、程序清晰的信息技术管理组织架构,明确管理职责、
工作程序和协调机制;
(三)完善绩效考核和责任追究机制;
(四)公司章程规定或董事会授权的其他信息技术管理职责。
第七条 公司指定专门的高级管理人员作为公司 IT 治理的直接负责人。
第八条 公司应指定一名熟悉业务,且具有信息技术相关专业背景、任职
经历、履职能力的高级管理人员为首席信息官,负责信息技术管理工作。其任职
条件为:
(一)从事信息技术相关工作至少十年以上,其中证券、基金行业信息技术
相关工作年限不少于三年;或者在证券监管机构、证券基金业自律组织任职八年
以上;
(二)最近三年未被金融监管机构实施行政处罚或采取重大行政监管措施;
(三)中国证监会规定的其他条件。
第九条 公司设立 IT 治理委员会,负责公司 IT 治理重大事项的集体决策,
IT 治理委员会向公司管理层负责。
第十条 IT 治理委员会主任委员由公司总经理担任,IT 治理直接责任人
2
�担任副主任委员,成员由主任委员任命,通常包括公司首席信息官、IT 部门负
责人、相关业务部门负责人、财务部门负责人、合规管理部门负责人、风险管理
部门负责人、稽核审计部门负责人等人员组成。公司可聘请外部专业人士担任 IT
治理委员会委员或顾问。
第十一条 公司 IT 治理委员会的主要职责是:
(一)拟定信息技术战略。
(二)审议公司 IT 规划,包括但不限于信息技术建设规划、信息安全规划、
数据治理规划等。
(三)审议公司上年度 IT 工作情况及 IT 预算执行情况、本年度 IT 工作计
划、IT 预算及分配方案。
(四)审议公司重大 IT 项目立项、重大变更方案。
(五)审议公司 IT 管理制度和重要流程。
(六)信息技术应急预案。
(七)审议内外部关于 IT 审计的报告,检查所拟订和审议事项的落实和执
行情况。
(八)审议公司 IT 管理和 IT 运行维护的考核办法。
(九)审议使用信息技术手段开展相关业务活动的审查报告和年度评估报
告。
(十)审议 IT 治理委员会委员提请审议的事项。
(十一)审议其他对信息技术管理产生重大影响的事项。
(十二)向公司管理层报告 IT 治理状况。
第十二条 IT 治理委员会可根据实际需要下设若干专业工作小组,工作小
组组长原则上由公司领导或 IT 治理委员会委员担任。
第十三条 IT 治理委员会会议应至少每季度召开一次,IT 治理委员会委员
3
�也可以根据需要提议召开。如审议内容重叠,公司 IT 治理委员会会议可以与公
司其他专业委员会联席召开。
第十四条 公司 IT 治理委员会会议通常采用现场会议形式,紧急事项可以
采取书面会签的形式。
第十五条 公司 IT 治理委员会会议由主任委员或其授权人员主持,须有 7
名(含 7 名)以上委员出席方可举行。
第十六条 公司 IT 治理委员会会议审议的事项,须经到会委员的半数以上
表决通过。
第十七条 公司 IT 治理委员会会议应当形成会议纪要,经参会委员签字后,
报主任委员审批签发。经批准签发的会议纪要正本交公司总经理办公室存档,会
议纪要副本转发给相关主办部门,主办部门按照会议纪要组织实施。
第十八条 公司信息技术部负责实施信息技术规划、信息系统建设、信息技
术质量控制、信息安全保障、运维管理等工作。
第三章 IT 投入
第十九条 公司在制定 IT 年度预算时应保障公司业务正常运转所需 IT 投
入,优先满足监管部门和核心机构相关要求、业务规则或技术接口变化等产生 IT
投入,并确定 IT 项目投入的优先顺序以及投入的金额。
第二十条 公司最近三个财政年度 IT 投入平均数额原则上应不少于最近三
个财政年度平均净利润的 6%或不少于最近三个财政年度平均营业收入的 3%。
第二十一条 IT 建设应具有前瞻性,同时要避免盲目超前带来过大的 IT
投入。公司 IT 治理委员会应从财务风险、市场风险、组织风险和技术风险上对
IT 投入风险进行评估,并做出分析和权衡。
第二十二条 公司 IT 年度预算应遵循统筹规划、有效配置、分类管理原
则,由公司信息技术部牵头编制并完成初审,经 IT 治理委员会审议确定 IT 预算
总额,编入公司年度整体预算计划,报公司管理层批准。
第二十三条 公司应建立合理的 IT 投入执行评价指标体系,加强 IT 投入
4
�执行监控,实现 IT 投入管理,优化 IT 资源有效配置,提升 IT 投入产出效益。
第四章 IT 人力资源管理
第二十四条 公司应根据实际情况配备足够的 IT 工作人员(以下简称 IT
人员),并满足安全和岗位设置的有关要求。公司的 IT 人员总数原则上应不少于
公司员工总人数的 6%。
第二十五条 公司信息技术部在公司整体人力资源管理的框架下,负责公
司信息技术岗位体系的统筹、规划与管理。
第二十六条 公司 IT 人员根据岗位不同,可分为以下几类:
(一)信息系统建设人员。指从事公司信息系统的规划、建设、部署和上线
工作的人员。
(二)软件开发测试人员。指从事公司信息系统软件开发、测试等工作的人
员。
(三)技术运维人员。指从事公司 IT 基础设施、信息系统的技术运维、桌
面运维等工作的人员。
(四)信息技术管理人员。指从事公司信息技术治理、信息安全、信息技术
风险控制等 IT 管理工作的人员。
(五)信息技术综合支持人员。指从事其他信息技术相关综合服务工作的人
员,如 IT 产品或服务采购、资产管理、预算管理等综合服务类工作人员。
第二十七条 公司 IT 人员按人员归属可分为 A、B、C、D 四类。
(一)A 类 IT 人员。指由信息技术部进行日常管理且属公司总部正式员工
的 IT 人员。
(二)B 类 IT 人员。指信息技术部根据公司战略或业务发展需求派驻至应
用部门、由信息技术部和应用部门共同管理,且属公司总部正式员工的 IT 人员。
(三)C 类 IT 人员。指分支机构从事技术运维工作,由信息技术部与经纪
管理部共同管理的 IT 人员,包括专职技术人员、兼岗技术人员和技术联络人。
5
� (四)D 类 IT 人员。指在公司从事 IT 技术工作但不属公司正式员工的其他
IT 人员。
第二十八条 A、B、C 类 IT 人员应满足以下要求:
(一)IT 人员基本要求遵循公司人力资源相关规定,具备相应的学历证书,
具备证券从业资格证书,有较强的工作责任心和学习能力、良好的敬业精神、团
队合作精神、职业道德和服务意识,掌握比较全面的信息技术基础知识和证券业
务基础知识。禁止录用有犯罪或其他严重违法、违纪行为的人员从事信息技术工
作。
(二)IT 人员任职前,公司人力资源部和信息技术部应当对技术人员身份、
背景、专业资格和资质等进行认真审查,关键技术岗位人员从严审核。应用部门
需参与 B 类 IT 人员资质审查,经纪管理部需参与 C 类 IT 人员的资质审查。
(三)IT 人员应当与公司签订保密协议,关键技术岗位人员应当签署岗位
安全协议。关键技术岗位人员离职离岗前须与公司签订《东兴证券离岗离职安全
承诺书》,并承诺调离后履行保密义务方可离开。
(四)IT 人员离职或换岗时,应当在信息技术部或相关部门的监督下,对
其所管理的硬件设备、软件系统、数据、技术资料、用户与密码进行全面交接,
及时终止离岗员工的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构
提供的软硬件设备。
(五)B、C 类 IT 人员离职、换岗、借调的交接情况应当书面记录并向信息
技术部报备。
第二十九条 公司各部门引入 D 类 IT 人员前,需先申请人员名额,由信
息技术部汇总需求后,报人力资源部和公司领导审批,审批通过方可进行 D 类
IT 人员采购。采购时,D 类 IT 人员资质需经信息技术部审核。
第三十条 公司信息技术部在公司考核体系内,负责公司 IT 人员的绩效考
核,制定相应的考核细则,对关键技术岗位的人员从严考核。考核结果进行记录
并保存。
6
� (一)A 类 IT 人员的履职考核评价工作,由信息技术部形成初步考核意见,
经信息技术部分管领导审核后上报公司人力资源部。
(二)B 类 IT 人员的履职考核评价工作,由信息技术部和所在应用部门进
行双重考核。信息技术部根据第三十六条和第三十七条考核内容形成初步考核意
见,经信息技术部分管领导审核后上报公司人力资源部,考核权重占比(70%)
高于应用部门;所在应用部门根据员工日常工作表现与贡献形成初步考核意见,
经所在应用部门分管领导审核后上报公司人力资源部,考核权重占比(30%)低
于信息技术部。
(三)C 类 IT 人员的履职考核评价工作,由信息技术部、经纪管理部和分
支机构共同考核。
(四)D 类 IT 人员的考核评价工作,由信息技术部定期组织进行,考核结
果作为 D 类 IT 人员所在供应商评价的基础。
第三十一条 公司设立 IT 专业职级体系,建立公平、公开、公正的晋升
机制,为 IT 人员提供相应的发展空间,并持续提供相应的岗位技能培训。
第三十二条 公司根据国家信息安全等级保护制度、证券监管部门和自律
组织相关规定和指引的要求,结合公司信息系统规模,设置合理、高效的信息技
术岗位体系,明确各信息系统的技术责任人。重要岗位应当采取双人双岗制,并
加强对单人单岗的监控。
第三十三条 信息技术岗位分工和系统权限分配,应当遵循“技术与业务
相互分离并制衡、利益冲突信息有效隔离”原则。技术人员不得兼任系统权限分
配、重要业务参数设置与复核、清算等工作。
第三十四条 公司应配备适当的软件开发、测试人员,增强公司 IT 应用
系统的自主研发能力。
第五章 IT 安全与风险控制
第三十五条 公司 IT 安全与风险控制原则如下:
(一)合规性:应满足国家法律法规、行业监管和集团信息科技风险管理要
7
�求;
(二)责任制:应落实主体责任制,做到“谁主管,谁负责”、“谁使用,谁
负责”、“谁开发,谁负责”、“谁运营,谁负责”;
(三)全面统筹:公司信息安全保障工作应贯穿于信息化全过程,坚持统筹
规划、突出重点,安全与发展并进,管理与技术并重,应急防御与长效机制相结
合;
(四)分离制衡原则:公司信息安全保障工作实行业务运营与技术运维相分
离、前台操作与后台数据管理相分离、网络管理与数据管理相分离、系统开发与
系统运维相分离、利益冲突信息有效隔离。
第三十六条 公司应将信息技术运用情况纳入合规与风险管理体系,为合
规管理部门和风险管理部门配备与业务活动规模、复杂程度相适应的信息技术资
源,应当识别借助信息技术手段开展业务活动的各类风险,并建立相应的审查、
监测和检查机制。至少每年开展一次风险监测机制以及执行情况的有效性评估。
第三十七条 公司稽核审计部应至少每年开展一次信息技术管理工作审
计,确保三年内完成信息技术管理全部事项的审计工作,包括但不限于信息技术
治理、信息技术合规与风险管理、信息技术安全管理、应急管理。
第三十八条 公司应委托外部专业机构至少每三年开展一次信息技术管
理工作的全面审计;未能有效实施信息技术管理被监管机构采取行政处罚措施、
监管措施或自律管理措施的,应当在三个月内完成对有关事项的专项审计。
第三十九条 公司稽核审计部应当跟踪审计发现问题的整改情况,并将审
计报告提交 IT 治理委员会审议。审计报告保存期限不得少于二十年。
第四十条 公司应建立有效的 IT 应急与业务连续性管理的组织架构,确定
重要业务及其恢复目标,制定有效的业务连续性方案并持续更新完善,配置充足
资源,稳妥处置 IT 突发事件,积极开展应急演练和业务连续性管理的评估与改
进。
第四十一条 公司应当建立全面、科学、有效的数据治理组织架构以及数
8
�据全生命周期机制,确保数据统一管理、持续可控和安全存储,切实履行数据安
全及数据质量管理职责,不断提升数据使用价值。
第四十二条 公司应制定统一的信息安全管理办法、技术标准和操作规
范,并组织实施和考核。公司应定期组织实施信息系统等级保护定级、备案、安
全测评等工作。
第四十三条 公司全体员工均应当认真学习并遵守公司信息安全规范,参
加信息安全培训与教育,掌握必要的信息安全知识与技能。如发现信息系统故障
或隐患,公司员工均有责任在第一时间向所在部门负责人、信息技术部或相关部
门的技术运维人员提出故障申报。
第六章 IT 架构与基础设施
第四十四条 公司 IT 架构遵循国家法律法规、国家信息系统安全等级保
护制度、证券监管部门及行业自律组织的相关规定,本着安全、规范、实用、易
用的原则,通过数据、流程、技术的标准化和一体化工作,建立业务应用、系统
平台、数据信息等完整、清晰的组织关系。
第四十五条 公司 IT 架构包括业务应用架构、系统平台架构、数据信息
架构等,不同架构的范围和边界应明确。应用架构描述了 IT 系统功能和技术实
现的内容;系统平台架构描述了公司机房、网络、安全防御的内容;数据信息架
构描述公司数据总线、数据生产、数据流向、数据存储等内容。
第四十六条 在保证数据和基础设施安全、稳定的前提下,公司 IT 架构
应具备良好的可扩展性和灵活性以支持不断变化的业务需求和应用。 公司 IT 基
础设施建设应遵循可靠、安全、共享和可管理的原则,能为多种 IT 应用提供支
持和服务,并根据成本效益与安全控制等要求确定 IT 资源的集中度和容量,以
适应业务增长和创新的需要,有利于业务扩展和创新应用的安全、快速、高效的
实施和部署。
第四十七条 公司信息技术部根据公司 IT 规划、日常技术运维监控数据,
对 IT 架构、IT 基础设施的容量和适应能力进行及时评估并提出改进升级方案,
重大事项应当提交公司 IT 治理委员会及相关委员会进行审议后实施。
9
� 第七章 IT 应用
第四十八条 公司信息系统规划与建设遵循业务主导、技术驱动的原则。
第四十九条 公司重要 IT 应用系统的建设、管理和运行维护应满足行业
的有关规范并达到安全技术标准。
第五十条 公司应制定贯穿需求分析、立项决策、系统建设、上线运行、系
统验收、运维交接等阶段完整的工作机制与流程。
第五十一条 IT 应用需求应充分考虑业务与技术之间协同发展的互动关
系。信息系统需求规划应当遵循安全、合规、高效、可控、信息有效隔离的原则,
同时对业务发展与创新有一定的预见性,使信息系统业务功能适度超前并有助于
增强公司核心竞争力。
第五十二条 公司借助 IT 手段开展业务活动的,应当在业务系统上线时,
同步上线与业务活动复杂程度和风险状况相适应的风险管理系统或相关功能,对
风险进行识别、监控、预警和干预。
第五十三条 公司应为 IT 应用实现提供必需的财力和人力资源。对信息
系统提出业务需求,应当留有充足的技术准备期。技术准备期原则上不少于 30
个工作日。
第八章 IT 服务机构管理
第五十四条 除法律法规及监管机构另有规定外,公司不得将重要信息系
统的运维、日常管理交由 IT 服务机构独立实施。
第五十五条 公司应当建立 IT 服务机构管理制度,明确 IT 服务机构的准
入规则和退出机制,定期对 IT 服务机构的资质、专业经验、产品和服务的质量
进行了解和评估。
第五十六条 公司委托 IT 服务机构提供服务,应按照监管要求对 IT 服务
机构及其相关信息系统进行内部审查,并向中国证监会及其派出机构报送审查意
见及相关资料。
第五十七条 公司在选择 IT 服务机构之前,应制定更换服务提供方的流
10
�程及预案,确保在特定情况下可更换服务提供方。
第五十八条 公司应与 IT 服务机构签订服务协议和保密协议,明确各方
权利、义务和责任,约定质量考核标准、持续监控机制、异常处理机制、服务变
更或者终止的处置流程以及保密要求等内容。
第九章 附则
第五十九条 公司的重要 IT 应用系统包括但不限于核心交易系统、结算
系统、风险控制系统、财务系统、安全系统、灾难备份系统等。核心交易业务系
统包括但不限于集中交易系统、投资交易系统、金融产品销售系统、估值核算系
统、投资监督系统、份额登记系统、第三方存管系统、行情系统、融资融券系统、
网上交易系统、电话委托系统、移动终端交易系统、法人清算系统、具备开户交
易或客户资料修改功能的门户网站、承载投资咨询业务的系统、存放承销保荐业
务工作底稿相关数据的系统、专业即时通信以及与上述信息系统具备类似功能的
系统。
第六十条 本办法未尽事项,参照监管部门相关规定直接执行。
第六十一条 本办法由公司 IT 治理委员会、信息技术部负责解释,自发
布之日起施行。
11
�
