《证券基金经营机构信息技术管理办法》初步解读

证监会本月21日发布《证券基金经营机构信息技术管理办法》（以下简称《管理办法》）。在征求意见稿出炉一年半后，《管理办法》正式落地，正式版本分七章共六十四条。

1、总则

2、信息技术治理

3、信息技术合规与风险管理

4、信息技术安全

    信息系统安全 / 数据治理 / 应急管理 

5、信息技术服务机构

6、监督管理

7、附则

这份文件作为行业信息技术监管的法律依据，对证券公司和基金管理公司有重要意义。绿盟科技通过详细比对《管理办法》正式版本与征求意见稿的差异，归纳出六个关注亮点。

关注点一 适用范围覆盖全面

《管理办法》适用对象不仅包含证券公司和基金管理公司，且囊括为证券基金业务活动提供信息技术服务的机构。相较征求意见稿，正式版本补充中证信息的职能定位，是在证监会指导下制定相关配套业务规则，协助开展信息技术相关备案、监测、检测和检查等工作。

关注点二 纳入风险体系，实现全面治理

经营机构应当完善信息技术运用过程中的权责分配机制，建立健全信息技术管理体系。《管理办法》将信息技术治理与企业治理统一高度，自上而明确了公司各层各部门条线的信息技术职责，强调必须设立信息技术治理委员会及首席信息官，具体可参照下图所示：

关注点三  确保风险管理有效覆盖

经营机构应当为合规与风险管理部门配备与业务活动规模、复杂程度相适应的信息技术资源，并建立相应的审查、监测和检查机制。正式版本明确要求风险管理系统功能完备、权限清晰，能够与业务系统同步上线运行。

经营机构应当定期开展信息技术管理工作专项审计，频率不低于每年一次，确保三年内完成信息技术管理全部事项的审计工作，包括但不限于信息技术治理、信息技术合规与风险管理、信息技术安全管理、应急管理。正式版本增补要求，经营机构需委托外部专业机构开展信息技术管理工作的全面审计，频率不低于每三年一次。

关注点四 不断提升数据使用价值

经营机构满足业务需求开展测试工作，允许在必要安全控制措施下使用未脱敏数据。正式版本提出开发测试环境使用未脱敏数据的，应当采取与生产环境同等的安全控制措施。经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级，并根据不同类别和级别作出差异化数据管理制度安排。在生产环境开展重要信息系统技术或业务测试的，应对测试流程及结果进行审查。

在开展数据安全管理基础上，需不断提升数据使用价值。正式版本提出经营机构应当充分挖掘、梳理和分析数据内容，提高管理精细化程度，在业务经营、风险管理与内部控制中加强数据应用，实现同一客户、同类业务统一管理，充分发挥数据价值。

关注点五 应急处置能力建设

经营机构应当根据系统变更、业务变化等情况，持续更新应急预案。根据应急预案定期组织关键岗位人员开展应急演练，演练频率不低于每年一次，并确保应急演练在两年内覆盖全部重要信息系统。

关注点六 明确过渡安排，量化违规处罚

这份文件将于2019年6月1日起实施。各类主体在本办法实施之日起半年内将已投产的重要信息系统所在机房、证券基金交易相关信息系统等相关情况报送证监会。

《管理办法》量化违规处罚，其中对于公司治理混乱的，内控失效的，可采取的措施包含责令暂停部分或全部业务、责令更换董事、监事、高级管理人员或者限制其权利等行政监管措施。

总结

《管理办法》引导证券基金经营与服务机构在依法合规、有效防范风险的前提下，持续强化现代信息技术对证券基金业务活动的支撑作用。

	请点击屏幕右上方“…” 关注绿盟科技公众号NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP