证券期货经营机构信息技术治理工作指引（试行）

    第四章  IT架构与IT基础设施

    第二十条 公司应根据IT原则和治理目标制定相应的IT架构，确定IT基础设施、IT应用系统的整体框架。

    第二十一条 公司IT架构应包括业务应用架构、系统平台架构、数据信息架构等，不同架构的范围和边界应明确定义。

    第二十二条  IT架构应遵循全局、开放、共享的原则，通过数据、流程、技术的标准化和一体化工作，建立业务应用、系统平台、数据信息等完整、清晰的组织关系。

    第二十三条  IT架构在保证数据和基础设施相对稳定的前提下，应具备良好的可扩展性和灵活性以支持不断变化的业务需求和应用。

    第二十四条 公司应定期或在有重大变化时对IT架构进行评估，保证IT架构的适应性和合理性。

    第二十五条  IT基础设施应包括技术标准、基础组织、基础数据、基础软件、技术设备、通信网络、安全系统、机房物理环境等，其中每一项都包含一系列整合的服务。

    第二十六条  IT基础设施建设应遵循可靠、安全、共享和可管理的原则，能为多种IT应用提供支持和服务，并根据成本效益与安全控制等要求确定IT资源的集中度。

    第二十七条  IT基础设施应具有统一、安全、可靠、灵活、可扩展的特点，应科学地设计和管理IT基础设施的容量，以适应业务增长和创新的需要，有利于业务扩展和创新应用的快速、高效的实施和部署。公司应定期评估IT基础设施的容量和适应能力。

    第五章  IT应用

    第二十八条 公司应建立技术部门和业务部门之间有效的沟通协调机制，制定IT应用贯穿需求分析、立项决策、系统建设、系统验收和上线运行等阶段完整的工作制度与工作流程，通过IT应用实现公司的经营目标。

    第二十九条  IT应用需求应充分考虑业务与技术之间协同发展的互动关系。重大IT应用需求应由相应的使用部门或IT部门在需求调研的基础上提出，由内部控制部门、财务管理部门和IT部门会商后报公司IT治理委员会审议立项，由使用部门、运维部门和内部控制部门参与验收工作。

    第三十条  IT应用建设应在确保安全的前提下平衡技术创新和IT架构完整性；IT应用应促进和改善IT架构，尽可能保证IT架构的完整性和稳定性。

    第三十一条 公司应为IT应用实现提供必需的财力和人力资源，并在制定工作计划时充分考虑软件开发、测试及部署实施所需要的时间周期。

    第三十二条 重要IT应用系统包括但不限于核心交易系统、结算系统、风险控制系统、财务系统、安全系统、灾难备份系统。

    第三十三条 公司重要IT应用系统和基础设施的建设、管理和运行维护应满足行业的有关规范并达到安全技术标准要求，没有行业规范和标准的应尽可能参照已有的国家或国际相关技术规范和标准。

    

    第六章  IT投入

    第三十四条 公司在制定IT年度预算时应保障公司业务正常运转所需IT投入，并确定IT项目投入的优先顺序以及投入的金额。

    第三十五条 公司最近三个财政年度IT投入平均数额原则上应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%。

    第三十六条  IT建设应有前瞻性，同时要避免盲目超前的IT规划带来过大的IT投入。公司应从财务风险、市场风险、组织风险和技术风险上对IT投入风险进行评估，并做出分析和权衡。

    第三十七条 公司应建立可量化的指标体系对IT投入进行管理，加强IT项目的成本核算。

    第三十八条  IT投入应优先保证为投资者提供安全、可靠的交易服务。

    第三十九条 公司应将IT基础设施作为一种重要资产进行管理，并逐年对各项基础设施进行审慎投入。

    第七章 IT人力资源

    第四十条 公司应设立IT部门具体负责IT系统的开发、运维和管理工作，公司分支机构应当设立相应的IT部门或岗位负责分支机构的IT工作。

    第四十一条 公司应根据实际情况配备足够的IT工作人员，并满足安全和岗位设置的有关要求。公司的IT工作人员总数原则上应不少于公司员工总人数的6%，并且期货公司IT工作人员总数应不少于3人。

    第四十二条 公司应为IT部门提供足够的资金支持，为IT人员提供履行其岗位职责所需要的岗位技能培训及业务培训，制定合理的激励机制和奖惩措施。

    第四十三条 鼓励公司设立IT专业职级体系，建立公平、公开、公正的晋升机制，为IT人员提供相应的发展空间。

    第四十四条 公司宜配备适当IT研发人员增强公司重要IT应用系统的自主研发能力。 

    第八章 IT安全和风险控制

    第四十五条 公司应通过管理机制和技术手段确保公司的IT系统安全与信息安全，保障业务活动的连续性，保证重要信息的保密、完整及可用，确保信息内容符合法律法规的要求。

    第四十六条 公司的系统开发、系统运维管理、系统的合规检查原则上应实现相互分离。

    第四十七条 公司应建立有效的灾难备份系统和应急预案，明确应急预案的激活条件、紧急事件处理流程、报告流程、撤销流程、恢复流程以及人员责任等。灾难备份系统的各项技术指标应符合监管机构的要求。

    第四十八条 公司应充分重视客户资料等公司商业信息安全问题，制定相关制度、采取相应措施确保在开放的市场环境中公司的商业机密和投资者信息安全。

    第四十九条 公司应对全体员工开展必要的信息安全培训、教育和考核，对合作方服务人员提出明确的信息安全要求。公司与合作方签订合同应包含保密和诚信协议，明确各自承担的安全义务和责任，并要求合作方在提供产品或服务的同时承诺产品不存在恶意代码或未授权的连接功能(软件后门)，不提供违反法律法规的操作模块、功能和手段。

    第五十条 公司应规范IT外包服务管理，对重要的外包服务要明确服务商资质要求、服务等级、服务流程、责任义务和服务质量标准。

    第五十一条 公司应制定IT风险管理的策略和相关制度，对信息系统的合规性进行检查,对IT风险进行评估。

    第五十二条 公司应建立内部IT审计制度，至少每两年进行一次IT审计。建议对重要IT项目的建设和运行进行专项审计，鼓励公司聘请外部有资质的机构对公司进行IT审计和IT风险评估。

    第九章 附则 

    第五十三条 本指引由中国证券业协会和中国期货业协会负责解释。

    第五十四条 本指引自发布之日起实施。

    (中国期货业协会)