第一章 總則

第一條 為加強證券基金經(jīng)營機構(gòu)信息技術(shù)管理，保障證券基金行業(yè)信息系統(tǒng)安全、合規(guī)運行，保護投資者合法權(quán)益，根據(jù)《證券法》、《證券投資基金法》、《證券公司監(jiān)督管理條例》等法律法規(guī)，制定本辦法。

第二條 證券基金經(jīng)營機構(gòu)借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動，信息技術(shù)服務(wù)機構(gòu)為證券基金業(yè)務(wù)活動提供信息技術(shù)服務(wù)，適用本辦法。

第三條 本辦法所稱證券基金經(jīng)營機構(gòu)，是指經(jīng)中國證監(jiān)會批準在境內(nèi)設(shè)立的證券公司和管理公開募集基金的基金管理公司(以下簡稱基金管理公司)。本辦法所稱信息技術(shù)服務(wù)機構(gòu)，是指為證券基金業(yè)務(wù)活動提供信息技術(shù)服務(wù)的機構(gòu)。信息技術(shù)服務(wù)的范圍如下：

(一)重要信息系統(tǒng)的開發(fā)、測試、集成及測評;

(二)重要信息系統(tǒng)的運維及日常安全管理;

(三)中國證監(jiān)會規(guī)定的其他情形。以上機構(gòu)統(tǒng)稱證券基金經(jīng)營與服務(wù)機構(gòu)。

第四條 證券基金經(jīng)營機構(gòu)是從事證券基金業(yè)務(wù)活動的責任主體，應(yīng)當保障充足的信息技術(shù)投入，在依法合規(guī)、 有效防范風險的前提下，充分利用現(xiàn)代信息技術(shù)手段完善客戶服務(wù)體系、改進業(yè)務(wù)運營模式、提升內(nèi)部管理水平、增強合規(guī)風控能力，持續(xù)強化現(xiàn)代信息技術(shù)對證券基金業(yè)務(wù)活動的支撐作用。

第五條 中國證監(jiān)會及其派出機構(gòu)依法對證券基金經(jīng)營與服務(wù)機構(gòu)借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動或提供相關(guān)服務(wù)實施監(jiān)督管理。中國證券業(yè)協(xié)會及中國證券投資基金業(yè)協(xié)會依照本辦法制定和完善相關(guān)自律規(guī)則，對證券基金經(jīng)營機構(gòu)借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動或提供相關(guān)服務(wù)實施自律管理。中證信息技術(shù)服務(wù)有限責任公司(以下簡稱中證信息)在中國證監(jiān)會指導下制定相關(guān)配套業(yè)務(wù)規(guī)則，協(xié)助開展信息技術(shù)相關(guān)備案、監(jiān)測、檢測和檢查等工作。

第二章 信息技術(shù)治理

第六條 證券基金經(jīng)營機構(gòu)應(yīng)當完善信息技術(shù)運用過程中的權(quán)責分配機制，建立健全信息技術(shù)管理制度和操作流程，保障與業(yè)務(wù)活動規(guī)模及復(fù)雜程度相適應(yīng)的信息技術(shù)投入水平，持續(xù)滿足信息技術(shù)資源的可用性、安全性與合規(guī)性要求。

第七條 證券基金經(jīng)營機構(gòu)董事會負責審議本公司的信息技術(shù)管理目標，對信息技術(shù)管理的有效性承擔責任， 履行下列職責：

(一)審議信息技術(shù)戰(zhàn)略，確保與本公司的發(fā)展戰(zhàn)略、風險管理策略、資本實力相一致;

(二)建立信息技術(shù)人力和資金保障方案;

(三)評估年度信息技術(shù)管理工作的總體效果和效率;

(四)公司章程規(guī)定的其他信息技術(shù)管理職責。

第八條 證券基金經(jīng)營機構(gòu)經(jīng)營管理層負責落實信息技術(shù)管理目標，對信息技術(shù)管理工作承擔責任，履行下列職責：

(一)組織實施董事會相關(guān)決議;

(二)建立責任明確、程序清晰的信息技術(shù)管理組織架構(gòu)，明確管理職責、工作程序和協(xié)調(diào)機制;

(三)完善績效考核和責任追究機制;

(四)公司章程規(guī)定或董事會授權(quán)的其他信息技術(shù)管理職責。

第九條 證券基金經(jīng)營機構(gòu)應(yīng)當在公司管理層下設(shè)立信息技術(shù)治理委員會或指定專門委員會(以下統(tǒng)稱信息技術(shù)治理委員會)負責制定信息技術(shù)戰(zhàn)略并審議下列事項：

(一)信息技術(shù)規(guī)劃，包括但不限于信息技術(shù)建設(shè)規(guī)劃、信息安全規(guī)劃、數(shù)據(jù)治理規(guī)劃等;

(二)信息技術(shù)投入預(yù)算及分配方案;

(三)重要信息系統(tǒng)建設(shè)或重大改造立項、重大變更方案;

(四)信息技術(shù)應(yīng)急預(yù)案;

(五)使用信息技術(shù)手段開展相關(guān)業(yè)務(wù)活動的審查報告以及年度評估報告;

(六)信息技術(shù)治理委員會委員提請審議的事項;

(七)其他對信息技術(shù)管理產(chǎn)生重大影響的事項。信息技術(shù)治理委員會應(yīng)當由高級管理人員以及合規(guī)管理部門、風險管理部門、稽核審計部門、主要業(yè)務(wù)部門、信息技術(shù)管理部門等部門負責人組成，可聘請外部專業(yè)人員擔任信息技術(shù)治理委員會委員或顧問。

第十條 證券基金經(jīng)營機構(gòu)應(yīng)當指定一名熟悉證券、基金業(yè)務(wù)，具有信息技術(shù)相關(guān)專業(yè)背景、任職經(jīng)歷、履職能力的高級管理人員為首席信息官，由其負責信息技術(shù)管理工作，并具備下列任職條件：

(一)從事信息技術(shù)相關(guān)工作十年以上，其中證券、基金行業(yè)信息技術(shù)相關(guān)工作年限不少于三年;或者在證券監(jiān)管機構(gòu)、證券基金業(yè)自律組織任職八年以上;

(二)最近三年未被金融監(jiān)管機構(gòu)實施行政處罰或采取重大行政監(jiān)管措施;

(三)中國證監(jiān)會規(guī)定的其他條件。

第十一條 證券基金經(jīng)營機構(gòu)應(yīng)當設(shè)立信息技術(shù)管理部門或指定專門機構(gòu)(以下統(tǒng)稱信息技術(shù)管理部門)負責實施信息技術(shù)規(guī)劃、信息系統(tǒng)建設(shè)、信息技術(shù)質(zhì)量控制、信息安全保障、運維管理等工作。

第三章 信息技術(shù)合規(guī)與風險管理

第十二條 證券基金經(jīng)營機構(gòu)應(yīng)當將信息技術(shù)運用情況納入合規(guī)與風險管理體系，為合規(guī)管理部門和風險管理部門配備與業(yè)務(wù)活動規(guī)模、復(fù)雜程度相適應(yīng)的信息技術(shù)資源，并建立相應(yīng)的審查、監(jiān)測和檢查機制，確保合規(guī)與風險管理覆蓋信息技術(shù)運用的各個環(huán)節(jié)。

第十三條 證券基金經(jīng)營機構(gòu)借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動的，應(yīng)當在業(yè)務(wù)系統(tǒng)上線時，同步上線與業(yè)務(wù)活動復(fù)雜程度和風險狀況相適應(yīng)的風險管理系統(tǒng)或相關(guān)功能(以下統(tǒng)稱風險管理系統(tǒng))，對風險進行識別、監(jiān)控、預(yù)警和干預(yù)。

第十四條 證券基金經(jīng)營機構(gòu)借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動前，應(yīng)當開展內(nèi)部審查，驗證下列事項并建立存檔記錄：

(一)業(yè)務(wù)系統(tǒng)的流程設(shè)計、功能設(shè)置、參數(shù)配置和技術(shù)實現(xiàn)應(yīng)當遵循業(yè)務(wù)合規(guī)的原則，不得違反法律法規(guī)及中國證監(jiān)會的規(guī)定;

(二)風險管理系統(tǒng)功能完備、權(quán)限清晰，能夠與業(yè)務(wù)系統(tǒng)同步上線運行;

(三)具備完善的信息安全防護措施，能夠保障經(jīng)營數(shù)據(jù)和客戶信息的安全、完整;

(四)具備符合要求的信息系統(tǒng)備份及運維管理能力，能夠保障相關(guān)系統(tǒng)安全、平穩(wěn)運行。

第十五條 證券基金經(jīng)營機構(gòu)應(yīng)當識別借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動的各類風險，建立持續(xù)有效的風險監(jiān)測機制。證券基金經(jīng)營機構(gòu)應(yīng)當及時、穩(wěn)妥處置發(fā)現(xiàn)的風險問題，并至少每年開展一次風險監(jiān)測機制及執(zhí)行情況的有效性評估。

第十六條 證券基金經(jīng)營機構(gòu)應(yīng)當定期開展信息技術(shù)管理工作專項審計，頻率不低于每年一次，確保三年內(nèi)完成信息技術(shù)管理全部事項的審計工作，包括但不限于信息技術(shù)治理、信息技術(shù)合規(guī)與風險管理、信息技術(shù)安全管理、應(yīng)急管理。證券基金經(jīng)營機構(gòu)應(yīng)當委托外部專業(yè)機構(gòu)開展信息技術(shù)管理工作的全面審計，頻率不低于每三年一次;未能有效實施信息技術(shù)管理被采取行政處罰措施、監(jiān)管措施或者自律管理措施的，應(yīng)當在三個月內(nèi)完成對有關(guān)事項的專項審計。證券基金經(jīng)營機構(gòu)應(yīng)當跟蹤審計發(fā)現(xiàn)問題的整改情況，相關(guān)問題未能及時整改的，應(yīng)當說明理由，并將審計報告提交信息技術(shù)治理委員會審議。證券基金經(jīng)營機構(gòu)應(yīng)當妥善保存審計報告，保存期限不得少于二十年。

第十七條 除法律法規(guī)及中國證監(jiān)會另有規(guī)定外，證券基金經(jīng)營機構(gòu)應(yīng)當通過自身運營管理的信息系統(tǒng)直接接收客戶交易指令，并記錄客戶交易指令接收時間。

第十八條 證券基金經(jīng)營機構(gòu)應(yīng)當按照中國證監(jiān)會有關(guān)規(guī)定采集、記錄、存儲、報送客戶交易終端信息，并采取有效的技術(shù)措施，保障相關(guān)信息真實、準確、完整。證券基金經(jīng)營機構(gòu)借助專業(yè)化交易信息系統(tǒng)向特定客戶提供交易服務(wù)的，應(yīng)當要求客戶登記交易終端信息;信息發(fā)生變更的，應(yīng)當要求客戶履行變更程序，確保客戶真實使用的客戶交易終端信息與登記內(nèi)容一致。

第十九條 證券基金經(jīng)營機構(gòu)使用電子合同從事證券基金業(yè)務(wù)活動的，應(yīng)當將電子合同存儲在指定的信息系統(tǒng)，并提供可供投資者及合同其他相關(guān)方查詢、下載的公開渠道。

第二十條 證券基金經(jīng)營機構(gòu)從事證券交易相關(guān)業(yè)務(wù)，應(yīng)當按照監(jiān)管規(guī)定及自律管理規(guī)則的要求，確保風險管理系統(tǒng)具備審查賬戶資金及證券是否充足、監(jiān)控交易及資金劃轉(zhuǎn)是否異常等功能。

第四章 信息技術(shù)安全

第一節(jié) 信息系統(tǒng)安全

第二十一條 證券基金經(jīng)營機構(gòu)應(yīng)當建立獨立于生產(chǎn)環(huán)境的專用開發(fā)測試環(huán)境，避免風險傳導;開發(fā)測試環(huán)境使用未脫敏數(shù)據(jù)的，應(yīng)當采取與生產(chǎn)環(huán)境同等的安全控制措施。證券基金經(jīng)營機構(gòu)在生產(chǎn)環(huán)境開展重要信息系統(tǒng)技術(shù)或業(yè)務(wù)測試的，應(yīng)對測試流程及結(jié)果進行審查。

第二十二條 證券基金經(jīng)營機構(gòu)重要信息系統(tǒng)上線或發(fā)生重大變更的，應(yīng)當制定專項實施方案，并對信息系統(tǒng)上線或變更操作行為進行審查、確認和跟蹤。證券基金經(jīng)營機構(gòu)重要信息系統(tǒng)計劃停止使用的，應(yīng)當開展技術(shù)和業(yè)務(wù)影響評估，制定完整的系統(tǒng)停用和數(shù)據(jù)遷移保管方案，并組織必要的評審及停用后的安全檢查。

第二十三條 證券基金經(jīng)營機構(gòu)應(yīng)當結(jié)合公司發(fā)展戰(zhàn)略、市場交易規(guī)模等因素定期對重要信息系統(tǒng)開展壓力測試和評估分析，確保其容量滿足業(yè)務(wù)開展需要。

第二十四條 證券基金經(jīng)營機構(gòu)應(yīng)當建立健全信息系統(tǒng)安全監(jiān)測機制，設(shè)定監(jiān)測指標并持續(xù)監(jiān)測重要信息系統(tǒng)的運行狀況。證券基金經(jīng)營機構(gòu)應(yīng)當指定專人跟蹤監(jiān)測發(fā)現(xiàn)的異常情形，及時處置并定期開展評估分析。

第二十五條 證券基金經(jīng)營機構(gòu)應(yīng)當妥善保存信息系統(tǒng)開發(fā)、測試、上線、變更及運維過程中產(chǎn)生的文檔，并根據(jù)業(yè)務(wù)開展情況以及信息系統(tǒng)的重要程度建立與監(jiān)測工作相適應(yīng)的日志留痕機制，確保滿足應(yīng)急處置和審計需要。

第二十六條 證券基金經(jīng)營機構(gòu)重要信息系統(tǒng)部署以及所承載數(shù)據(jù)的管理，應(yīng)當遵循法律法規(guī)等規(guī)定。

第二十七條 證券基金經(jīng)營機構(gòu)可以在安全、合規(guī)的前提下為子公司提供機房、通信網(wǎng)絡(luò)及其他信息技術(shù)基礎(chǔ)設(shè)施，并協(xié)助開展相關(guān)運維工作。證券基金經(jīng)營機構(gòu)為其子公司提供信息技術(shù)服務(wù)的，應(yīng)當充分評估信息技術(shù)基礎(chǔ)設(shè)施的支撐能力與冗余程度，并與子公司簽訂服務(wù)協(xié)議，明確合作雙方的權(quán)利義務(wù)，以及建立日常協(xié)作、業(yè)務(wù)隔離和應(yīng)急管理機制，防范基礎(chǔ)設(shè)施共用產(chǎn)生的新增風險。證券基金經(jīng)營機構(gòu)可以設(shè)立信息技術(shù)專業(yè)子公司，為母公司提供信息技術(shù)服務(wù)。信息技術(shù)專業(yè)子公司經(jīng)中國證監(jiān)會備案后可為其他金融機構(gòu)提供信息技術(shù)服務(wù)。

第二十八條 證券基金經(jīng)營機構(gòu)應(yīng)當確保重要信息系統(tǒng)具備可審計功能，并可以根據(jù)監(jiān)管部門的要求轉(zhuǎn)換、提供數(shù)據(jù)。

第二節(jié) 數(shù)據(jù)治理

第二十九條 證券基金經(jīng)營機構(gòu)應(yīng)當結(jié)合公司發(fā)展戰(zhàn)略，建立全面、科學、有效的數(shù)據(jù)治理組織架構(gòu)以及數(shù)據(jù)全生命周期管理機制，確保數(shù)據(jù)統(tǒng)一管理、持續(xù)可控和安全存儲，切實履行數(shù)據(jù)安全及數(shù)據(jù)質(zhì)量管理職責，不斷提升數(shù)據(jù)使用價值。

第三十條 證券基金經(jīng)營機構(gòu)應(yīng)當將經(jīng)營及客戶數(shù)據(jù)按照重要性和敏感性進行分類分級，并根據(jù)不同類別和級別作出差異化數(shù)據(jù)管理制度安排。

第三十一條 證券基金經(jīng)營機構(gòu)應(yīng)當完善網(wǎng)絡(luò)隔離、用戶認證、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份、數(shù)據(jù)銷毀、日志記錄、病毒防范和非法入侵檢測等安全保障措施，保護經(jīng)營數(shù)據(jù)和客戶信息安全，防范信息泄露與損毀。

第三十二條 證券基金經(jīng)營機構(gòu)應(yīng)當遵循最少功能以及最小權(quán)限等原則分配信息系統(tǒng)管理、操作和訪問權(quán)限，并履行審批流程。合規(guī)管理和風險管理部門應(yīng)當對權(quán)限管理制度和操作流程進行合規(guī)審查及風險控制。證券基金經(jīng)營機構(gòu)應(yīng)當建立對信息系統(tǒng)權(quán)限的定期檢查與核對機制，確保用戶權(quán)限與其工作職責相匹配，防止出現(xiàn)授權(quán)不當?shù)那樾巍ＷC券基金經(jīng)營機構(gòu)應(yīng)當對重要信息系統(tǒng)的開發(fā)、測試、運維實施必要分離，保證信息技術(shù)管理部門內(nèi)部崗位的相互制衡。

第三十三條 證券基金經(jīng)營機構(gòu)應(yīng)當記錄經(jīng)營數(shù)據(jù)和客戶信息的使用情況，并持續(xù)監(jiān)督信息技術(shù)服務(wù)機構(gòu)等相關(guān)方落實保密協(xié)議的情況。證券基金經(jīng)營機構(gòu)發(fā)現(xiàn)其他機構(gòu)、個人違規(guī)存儲或使用自身經(jīng)營數(shù)據(jù)和客戶信息的，應(yīng)當排查數(shù)據(jù)泄露途徑、評估影響范圍，采取合理可行的整改措施，及時處置風險隱患，并按照中國證監(jiān)會規(guī)定履行報告和調(diào)查處理職責。證券基金經(jīng)營機構(gòu)發(fā)現(xiàn)信息技術(shù)服務(wù)機構(gòu)等相關(guān)方違規(guī)存儲或者使用自身經(jīng)營數(shù)據(jù)和客戶信息的，應(yīng)當責令其立即改正并銷毀已獲取的經(jīng)營數(shù)據(jù)和客戶信息;信息技術(shù)服務(wù)機構(gòu)等相關(guān)方拒絕配合整改的，證券基金經(jīng)營機構(gòu)應(yīng)當立即停止與其合作，并采取措施維護自身及客戶的合法權(quán)益。

第三十四條 證券基金經(jīng)營機構(gòu)應(yīng)當建立健全數(shù)據(jù)安全管理制度，不得收集與服務(wù)無關(guān)的客戶信息，不得購買或使用非法獲取或來源不明的數(shù)據(jù)。在收集使用客戶信息之前，證券基金經(jīng)營機構(gòu)應(yīng)當公開收集、使用的規(guī)則和目的，并征得客戶同意。除法律法規(guī)和中國證監(jiān)會另有規(guī)定外，證券基金經(jīng)營機構(gòu)不得允許或者配合其他機構(gòu)、個人截取、留存客戶信息，不得以任何方式向其他機構(gòu)、個人提供客戶信息。

第三十五條 證券基金經(jīng)營機構(gòu)應(yīng)當充分挖掘、梳理和分析數(shù)據(jù)內(nèi)容，提高管理精細化程度，在業(yè)務(wù)經(jīng)營、風險管理與內(nèi)部控制中加強數(shù)據(jù)應(yīng)用，實現(xiàn)同一客戶、同類業(yè)務(wù)統(tǒng)一管理，充分發(fā)揮數(shù)據(jù)價值。

第三節(jié) 應(yīng)急管理

第三十六條 證券基金經(jīng)營機構(gòu)借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動的，應(yīng)當建立信息技術(shù)應(yīng)急管理的組織架構(gòu)，確定重要業(yè)務(wù)及其恢復(fù)目標，制定應(yīng)急預(yù)案，配置充足資源，穩(wěn)妥處置信息技術(shù)突發(fā)事件，并積極開展應(yīng)急演練和信息技術(shù)應(yīng)急管理的評估與改進。

第三十七條 證券基金經(jīng)營機構(gòu)應(yīng)當落實下列應(yīng)急管理職責：

(一)信息技術(shù)管理部門為信息技術(shù)應(yīng)急管理的牽頭組織部門，組織開展信息技術(shù)應(yīng)急預(yù)案的制定、演練、評估與改進工作，并負責信息系統(tǒng)的應(yīng)急響應(yīng)與恢復(fù);

(二)各業(yè)務(wù)部門負責評估本業(yè)務(wù)條線信息技術(shù)突發(fā)事件相關(guān)風險，開展業(yè)務(wù)影響分析，確定并實施重要業(yè)務(wù)恢復(fù)目標和恢復(fù)策略;

(三)風險管理部門負責評估信息系統(tǒng)與相關(guān)業(yè)務(wù)恢復(fù)目標和恢復(fù)策略制定的合理性，確保與公司整體風險管理策略保持一致。

第三十八條 證券基金經(jīng)營機構(gòu)應(yīng)當制定并持續(xù)完善應(yīng)急預(yù)案，包括應(yīng)急管理建設(shè)目標、備份信息系統(tǒng)建設(shè)和恢復(fù)機制、備份數(shù)據(jù)恢復(fù)機制、業(yè)務(wù)恢復(fù)或替代措施、應(yīng)急聯(lián)系方式、與客戶溝通方式、向監(jiān)管部門及有關(guān)單位的報告路徑、應(yīng)急預(yù)案披露與更新機制等內(nèi)容。證券基金經(jīng)營機構(gòu)應(yīng)急預(yù)案應(yīng)當充分考慮重要信息系統(tǒng)故障、相關(guān)信息技術(shù)服務(wù)機構(gòu)無法繼續(xù)提供服務(wù)、證券基金經(jīng)營機構(gòu)信息技術(shù)高管或重要技術(shù)團隊發(fā)生重大變動以及自然災(zāi)害等可能影響重要信息系統(tǒng)平穩(wěn)運行的事件。

第三十九條 證券基金經(jīng)營機構(gòu)應(yīng)當根據(jù)系統(tǒng)變更、業(yè)務(wù)變化等情況，持續(xù)更新應(yīng)急預(yù)案。證券基金經(jīng)營機構(gòu)應(yīng)當根據(jù)應(yīng)急預(yù)案定期組織關(guān)鍵崗位人員開展應(yīng)急演練，演練頻率不低于每年一次，并確保應(yīng)急演練在兩年內(nèi)覆蓋全部重要信息系統(tǒng)。應(yīng)急演練應(yīng)當形成報告，保存期限不得少于五年。

第四十條 證券基金經(jīng)營機構(gòu)應(yīng)當在公司網(wǎng)站、客戶交易終端等渠道公示信息技術(shù)突發(fā)事件發(fā)生時客戶可采取的替代交易方式等信息，提示客戶防范和應(yīng)對可能出現(xiàn)的風險。

第四十一條 證券基金經(jīng)營機構(gòu)應(yīng)當確保備份系統(tǒng)與生產(chǎn)系統(tǒng)具備同等的處理能力，保持備份數(shù)據(jù)與原始數(shù)據(jù)的一致性。重要信息系統(tǒng)應(yīng)當符合下列信息系統(tǒng)備份能力等級要求：

(一)實時信息系統(tǒng)、非實時信息系統(tǒng)的數(shù)據(jù)備份能力應(yīng)當達到第一級;

(二)非實時信息系統(tǒng)的故障應(yīng)對能力應(yīng)當達到第二級;

(三)證券公司實時信息系統(tǒng)的故障應(yīng)對能力應(yīng)當達到第四級，基金管理公司實時信息系統(tǒng)的故障應(yīng)對能力應(yīng)當達到第三級;

(四)實時信息系統(tǒng)、非實時信息系統(tǒng)應(yīng)當具備災(zāi)難及重大災(zāi)難應(yīng)對能力，相關(guān)技術(shù)指標應(yīng)當分別達到災(zāi)難應(yīng)對能力第五級、重大災(zāi)難應(yīng)對能力第六級;

(五)災(zāi)難應(yīng)對能力可以通過重大災(zāi)難應(yīng)對能力體現(xiàn)，但重大災(zāi)難應(yīng)對能力相關(guān)技術(shù)指標應(yīng)當達到災(zāi)難應(yīng)對能力第五級。

第四十二條 證券基金經(jīng)營機構(gòu)應(yīng)當按照中國證監(jiān)會有關(guān)規(guī)定，建立信息安全事件的分級響應(yīng)機制，明確內(nèi)部處置工作流程，確保相關(guān)信息系統(tǒng)及時恢復(fù)運行。

第五章 信息技術(shù)服務(wù)機構(gòu)

第四十三條 證券基金經(jīng)營機構(gòu)借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動的，可以委托信息技術(shù)服務(wù)機構(gòu)提供產(chǎn)品或服務(wù)，但證券基金經(jīng)營機構(gòu)依法應(yīng)當承擔的責任不因委托而免除或減輕。證券基金經(jīng)營機構(gòu)應(yīng)當清晰、準確、完整的掌握重要信息系統(tǒng)的技術(shù)架構(gòu)、業(yè)務(wù)邏輯和操作流程等內(nèi)容，確保重要信息系統(tǒng)運行始終處于自身控制范圍。除法律法規(guī)及中國證監(jiān)會另有規(guī)定外，不得將重要信息系統(tǒng)的運維、日常安全管理交由信息技術(shù)服務(wù)機構(gòu)獨立實施。

第四十四條 基金管理公司應(yīng)當選擇已在中國證監(jiān)會備案的信息技術(shù)服務(wù)機構(gòu)，并在備案范圍內(nèi)與其開展合作;證券公司應(yīng)當選擇符合本辦法第四十七條所列條件的信息技術(shù)服務(wù)機構(gòu)開展合作。證券基金經(jīng)營機構(gòu)委托信息技術(shù)服務(wù)機構(gòu)提供服務(wù)，應(yīng)當按照本辦法第十四條的規(guī)定對信息技術(shù)服務(wù)機構(gòu)及相關(guān)信息系統(tǒng)進行內(nèi)部審查，并向中國證監(jiān)會及其派出機構(gòu)報送審查意見及相關(guān)資料。證券基金經(jīng)營機構(gòu)應(yīng)當在選擇信息技術(shù)服務(wù)機構(gòu)之前，制定更換服務(wù)提供方的流程及預(yù)案，確保在特定情況下可更換服務(wù)提供方。

第四十五條 證券基金經(jīng)營機構(gòu)應(yīng)當與信息技術(shù)服務(wù)機構(gòu)簽訂服務(wù)協(xié)議和保密協(xié)議，明確各方權(quán)利、義務(wù)和責任，約定質(zhì)量考核標準、持續(xù)監(jiān)控機制、異常處理機制、服務(wù)變更或者終止的處置流程以及現(xiàn)場服務(wù)人員保密要求等內(nèi)容，并持續(xù)監(jiān)督信息技術(shù)服務(wù)機構(gòu)及相關(guān)人員落實服務(wù)協(xié)議和保密協(xié)議的情況。證券基金經(jīng)營機構(gòu)應(yīng)當參照本辦法第三條在服務(wù)協(xié)議中列明委托信息技術(shù)服務(wù)機構(gòu)提供的服務(wù)范圍、服務(wù)方式、涉及信息系統(tǒng)及相關(guān)證券基金業(yè)務(wù)活動類型。

第四十六條 信息技術(shù)服務(wù)機構(gòu)出現(xiàn)異常情形的，證券基金經(jīng)營機構(gòu)應(yīng)當按照應(yīng)急預(yù)案開展內(nèi)部評估與審查;信息技術(shù)服務(wù)機構(gòu)保障能力不足，導致相關(guān)產(chǎn)品或服務(wù)的可用性、完整性或機密性喪失的，應(yīng)當及時更換信息技術(shù)服務(wù)機構(gòu)。

第四十七條 為基金管理公司提供信息技術(shù)服務(wù)的機構(gòu)(以下簡稱基金信息技術(shù)服務(wù)機構(gòu))應(yīng)當符合下列條件并向中國證監(jiān)會備案：

(一)近三年未因從事非法金融活動，違反金融監(jiān)管部門有關(guān)規(guī)定展業(yè)，為非法金融活動提供信息發(fā)布服務(wù)等情形受到監(jiān)管部門行政處罰或重大監(jiān)管措施;

(二)信息技術(shù)服務(wù)機構(gòu)及其控股股東、實際控制人、實際控制人控制的其他信息技術(shù)服務(wù)機構(gòu)最近一年內(nèi)不存在證券期貨重大違法違規(guī)記錄;

(三)具備安全、穩(wěn)定的信息技術(shù)服務(wù)能力;

(四)具備及時、高效的應(yīng)急響應(yīng)能力;

(五)熟悉相關(guān)證券基金業(yè)務(wù)，具備持續(xù)評估信息技術(shù)產(chǎn)品及服務(wù)是否符合監(jiān)管要求的能力;

(六)中國證監(jiān)會規(guī)定的其他情形。

第四十八條 基金信息技術(shù)服務(wù)機構(gòu)備案材料應(yīng)當包括本機構(gòu)基本情況、信息技術(shù)服務(wù)情況、服務(wù)對象情況、內(nèi)部控制情況等相關(guān)資料。備案內(nèi)容發(fā)生變更的，基金信息技術(shù)服務(wù)機構(gòu)應(yīng)當及時更新備案材料?；鹦畔⒓夹g(shù)服務(wù)機構(gòu)備案材料不完整或者不符合規(guī)定的，應(yīng)當根據(jù)中國證監(jiān)會要求及時補正。

第四十九條 為證券公司、證券投資咨詢機構(gòu)提供信息技術(shù)服務(wù)的機構(gòu)(以下簡稱證券信息技術(shù)服務(wù)機構(gòu))可以自愿接受中證信息業(yè)務(wù)指導，并遵守相關(guān)業(yè)務(wù)規(guī)則。

第五十條 信息技術(shù)服務(wù)機構(gòu)應(yīng)當健全內(nèi)部質(zhì)量控制機制，定期監(jiān)測相關(guān)產(chǎn)品或服務(wù)，在提供服務(wù)過程中出現(xiàn)明顯質(zhì)量問題的，應(yīng)當立即核實有關(guān)情況，采取必要的處理措施，明確修復(fù)完成時限，及時完成修復(fù)工作。

第五十一條 信息技術(shù)服務(wù)機構(gòu)為證券基金業(yè)務(wù)活動提供信息技術(shù)服務(wù)，不得有下列行為：

(一)參與證券基金經(jīng)營機構(gòu)向客戶提供業(yè)務(wù)服務(wù)的任何環(huán)節(jié)或向投資者、社會公眾等發(fā)布可能引發(fā)其從事證券基金業(yè)務(wù)誤解的信息;           (二)截取、存儲、轉(zhuǎn)發(fā)和使用證券基金業(yè)務(wù)活動相關(guān)經(jīng)營數(shù)據(jù)和客戶信息;

(三)在服務(wù)對象不知情的情況下，轉(zhuǎn)委托第三方提供信息技術(shù)服務(wù);

(四)提供的產(chǎn)品或服務(wù)相關(guān)功能、操作流程、系統(tǒng)權(quán)限及參數(shù)配置違反現(xiàn)行法律法規(guī);

(五)無正當理由關(guān)閉系統(tǒng)接口或設(shè)置技術(shù)壁壘; 

(六)向社會公開發(fā)布信息安全漏洞、信息系統(tǒng)壓力測試結(jié)果等網(wǎng)絡(luò)安全信息或泄露未公開信息;

(七)法律法規(guī)及中國證監(jiān)會禁止的其他行為。

第六章 監(jiān)督管理

第五十二條 證券基金經(jīng)營機構(gòu)新建或更換重要信息系統(tǒng)所在機房、證券基金交易相關(guān)信息系統(tǒng)，應(yīng)當在開展相關(guān)業(yè)務(wù)活動的五個工作日內(nèi)向中國證監(jiān)會報送有關(guān)資料，包括內(nèi)部審查意見、機房基本信息、技術(shù)架構(gòu)設(shè)計、操作流程、信息安全管理資料、業(yè)務(wù)制度、合規(guī)管理及風險管理制度等。

第五十三條 證券基金經(jīng)營機構(gòu)應(yīng)當在報送年度報告的同時報送年度信息技術(shù)管理專項報告，說明報告期內(nèi)信息技術(shù)治理、信息技術(shù)合規(guī)與風險管理、信息技術(shù)安全管理、信息技術(shù)審計等執(zhí)行本辦法規(guī)定的情況。信息技術(shù)服務(wù)機構(gòu)提供信息技術(shù)服務(wù)時，應(yīng)當按照中國證監(jiān)會要求定期報送相關(guān)資料。證券基金經(jīng)營與服務(wù)機構(gòu)提交報告的內(nèi)容應(yīng)當真實、準確、完整。

第五十四條 證券基金經(jīng)營機構(gòu)應(yīng)當按照中國證監(jiān)會有關(guān)規(guī)定履行信息安全事件報告和調(diào)查處理職責。

第五十五條 信息技術(shù)服務(wù)機構(gòu)出現(xiàn)下列情形的，應(yīng)當立即報告住所地中國證監(jiān)會派出機構(gòu)：

(一)人員、財務(wù)、技術(shù)管理等方面發(fā)生重大變化，可能無法持續(xù)為證券基金經(jīng)營機構(gòu)提供信息技術(shù)服務(wù);

(二)提供的信息技術(shù)服務(wù)存在明顯缺陷，可能導致所服務(wù)的三家及以上證券基金經(jīng)營機構(gòu)發(fā)生信息系統(tǒng)運營異常、數(shù)據(jù)泄露、遭受網(wǎng)絡(luò)攻擊等情形;

(三)其他可能對投資者合法權(quán)益、證券期貨市場造成嚴重影響的事件。

第五十六條 中國證監(jiān)會及其派出機構(gòu)在對證券基金經(jīng)營與服務(wù)機構(gòu)信息技術(shù)管理及服務(wù)活動的監(jiān)管過程中，可以采用滲透測試、漏洞掃描及信息技術(shù)風險評估等方式開展現(xiàn)場檢查及非現(xiàn)場檢查。證券基金經(jīng)營與服務(wù)機構(gòu)應(yīng)當予以配合，如實提供有關(guān)文件、資料，不得拒絕、阻礙或隱瞞。

第五十七條 證券基金經(jīng)營機構(gòu)違反本辦法規(guī)定的，中國證監(jiān)會及其派出機構(gòu)可以依法對其采取責令改正、暫停業(yè)務(wù)、出具警示函、責令定期報告、責令增加合規(guī)檢查次數(shù)、公開譴責等行政監(jiān)管措施;對直接負責的主管人員和其他責任人員采取責令改正、監(jiān)管談話、出具警示函、公開譴責等行政監(jiān)管措施。

第五十八條 證券基金經(jīng)營機構(gòu)違反本辦法規(guī)定，反映公司治理混亂、內(nèi)控失效的，中國證監(jiān)會及其派出機構(gòu)可以按照《證券投資基金法》第二十四條、《證券公司監(jiān)督管理條例》第七十條的規(guī)定，采取責令暫停部分或全部業(yè)務(wù)、責令更換董事、監(jiān)事、高級管理人員或者限制其權(quán)利等行政監(jiān)管措施。

第五十九條 信息技術(shù)服務(wù)機構(gòu)違反本辦法規(guī)定的，中國證監(jiān)會及其派出機構(gòu)可以要求其提交說明材料，并采取責令改正、監(jiān)管談話、出具警示函等行政監(jiān)管措施，情節(jié)嚴重的，中國證監(jiān)會及其派出機構(gòu)可以對信息技術(shù)服務(wù)機構(gòu)及其直接負責的主管人員和其他直接責任人員單處或者并處警告、三萬元以下罰款。信息技術(shù)服務(wù)機構(gòu)在經(jīng)營活動中無法持續(xù)符合本辦法第四十七條所列條件或者違反第五十一條規(guī)定的，中國證監(jiān)會及其派出機構(gòu)可以責令其改正;拒不改正或者情節(jié)嚴重的，注銷備案。信息技術(shù)服務(wù)機構(gòu)被注銷備案的，不得新增提供信息技術(shù)服務(wù)，保障存量信息技術(shù)服務(wù)正常運行、證券交易所上線新產(chǎn)品及中國證監(jiān)會另有規(guī)定的情形除外。

第七章 附則

第六十條 證券基金專項業(yè)務(wù)服務(wù)機構(gòu)借助信息技術(shù)手段從事證券基金業(yè)務(wù)活動的，參照本辦法執(zhí)行。從事證券公司客戶交易結(jié)算資金存管活動的商業(yè)銀行、從事公開募集基金的基金托管機構(gòu)、證券基金經(jīng)營機構(gòu)在境內(nèi)依法設(shè)立的子公司及其下設(shè)機構(gòu)借助信息技術(shù)手段從事相關(guān)證券基金業(yè)務(wù)活動的，參照本辦法執(zhí)行。

第六十一條 證券基金專項業(yè)務(wù)服務(wù)機構(gòu)違反本辦法規(guī)定的，中國證監(jiān)會及其派出機構(gòu)可以對證券基金專項業(yè)務(wù)服務(wù)機構(gòu)及其直接負責的主管人員和其他直接責任人員單處或者并處警告、責令停止基金服務(wù)業(yè)務(wù)或三萬元以下罰款等行政監(jiān)管措施。

第六十二條 證券基金經(jīng)營機構(gòu)、證券基金專項業(yè)務(wù)服務(wù)機構(gòu)應(yīng)當按照本辦法第五十二條規(guī)定，在本辦法實施之日起半年內(nèi)將已投產(chǎn)的重要信息系統(tǒng)所在機房、證券基金交易相關(guān)信息系統(tǒng)等相關(guān)情況報送中國證監(jiān)會。本辦法實施前，已提供相關(guān)服務(wù)的基金信息技術(shù)服務(wù)機構(gòu)應(yīng)當按照本辦法規(guī)定，在本辦法實施之日起半年內(nèi)向中國證監(jiān)會備案。本辦法實施前，已從事相關(guān)業(yè)務(wù)活動且不符合本辦法第十七條規(guī)定的，證券基金經(jīng)營機構(gòu)應(yīng)當妥善處理相關(guān)問題，并在本辦法實施之日起半年內(nèi)完成整改;整改未完成前，不得借助違規(guī)接收客戶交易指令的信息系統(tǒng)增加新客戶或提供新服務(wù)。

第六十三條 本辦法中下列用語的含義：

(一)證券基金專項業(yè)務(wù)服務(wù)機構(gòu)，是指從事公開募集基金的銷售、銷售支付、份額登記、估值、投資顧問、評價等基金服務(wù)業(yè)務(wù)的機構(gòu)和證券投資咨詢機構(gòu)。

(二)重要信息系統(tǒng)，是指支持證券基金經(jīng)營機構(gòu)和證券基金專項業(yè)務(wù)服務(wù)機構(gòu)關(guān)鍵業(yè)務(wù)功能、如出現(xiàn)異常將對證券期貨市場和投資者產(chǎn)生重大影響的信息系統(tǒng)。包括集中交易系統(tǒng)、投資交易系統(tǒng)、金融產(chǎn)品銷售系統(tǒng)、估值核算系統(tǒng)、投資監(jiān)督系統(tǒng)、份額登記系統(tǒng)、第三方存管系統(tǒng)、融資融券業(yè)務(wù)系統(tǒng)、網(wǎng)上交易系統(tǒng)、電話委托系統(tǒng)、移動終端交易系統(tǒng)、法人清算系統(tǒng)、具備開戶交易或者客戶資料修改功能的門戶網(wǎng)站、承載投資咨詢業(yè)務(wù)的系統(tǒng)、存放承銷保薦業(yè)務(wù)工作底稿相關(guān)數(shù)據(jù)的系統(tǒng)、專業(yè)即時通信軟件以及與上述信息系統(tǒng)具備類似功能的信息系統(tǒng)。

(三)重大變更，是指經(jīng)證券基金經(jīng)營機構(gòu)、證券基金專項業(yè)務(wù)服務(wù)機構(gòu)自行評估，可能影響業(yè)務(wù)合規(guī)和信息系統(tǒng)安全穩(wěn)定運行的系統(tǒng)變更，包括但不限于信息技術(shù)服務(wù)機構(gòu)更換、技術(shù)架構(gòu)重大調(diào)整、主要功能變化等。

(四)專業(yè)化交易信息系統(tǒng)，是指除網(wǎng)上交易系統(tǒng)、移動終端交易系統(tǒng)等標準化交易系統(tǒng)外，證券基金經(jīng)營機構(gòu)向具有個性化需求并且符合規(guī)定條件的特定客戶提供服務(wù)的交易系統(tǒng)。

(五)證券基金經(jīng)營機構(gòu)信息系統(tǒng)備份能力、數(shù)據(jù)備份能力、故障應(yīng)對能力、重大災(zāi)難應(yīng)對能力、實時信息系統(tǒng)、非實時信息系統(tǒng)以及備份能力等級相關(guān)定義參見中國證監(jiān)會關(guān)于信息系統(tǒng)備份能力相關(guān)行業(yè)標準。

第六十四條 本辦法自 2019 年 6 月 1 日起實施?！蹲C券投資基金銷售機構(gòu)通過第三方電子商務(wù)平臺開展業(yè)務(wù)管理暫行規(guī)定》(證監(jiān)會公告〔2013〕18 號)同時廢止。