證券公司外部接入信息系統評估認證規範

中證協發〔2015〕124號

各會員單位：

為進一步加強證券公司信息系統外部接入的風險管理，維護證券公司信息系統安全、穩定運行，有效防範風險，保護投資者合法權益，切實維護市場秩序，我會組織起草了《證券公司外部接入信息系統評估認證規範》，現予發布。

聯繫方式：…………。

附屬檔案：證券公司外部接入信息系統評估認證規範

中國證券業協會

2015年6月12日

為進一步加強證券公司信息系統外部接入的風險管理，維護證券公司信息系統安全、穩定運行，有效防範風險，保護投資者合法權益，切實維護市場秩序，根據《證券期貨業信息安全保障管理辦法》（證監會令第82號）、《證券公司融資融券業務試點管理辦法》（證監會公告〔2011〕31號）、《關於加強證券公司信息系統外部接入管理的通知》（證監辦發〔2015〕35號）和《證券公司網上證券信息系統技術指引》（中證協發〔2015〕8號）等有關規定，制定本規範。

一、證券公司使用外部接入信息系統，證券交易指令必須在證券公司自主控制的系統內全程處理，即從客戶端發出的交易指令處理應僅在發起交易的投資者與證券公司之間進行，其間任何其他主體不得對交易指令進行發起、接收、轉發、修改、落地保存或截留。

證券公司應加強客戶端交易指令監控，如發現交易指令被第三方接收、轉發等，應及時採取措施進行整改。

證券公司不得直接或間接支持信息技術服務機構等相關方利用外部接入信息系統開展證券經紀業務。

二、證券公司需要使用外部接入信息系統，應當經中國證券業協會（以下簡稱協會）評估認證。

自本規範下發之日起，證券公司不得接入新的未經評估認證的外部信息系統。

向證券公司信息系統提供外部接入的信息技術服務機構等相關方應當是協會會員，接受協會的自律管理。

三、證券公司使用外部接入信息系統應當在客戶端系統準入協定簽署一個月內通過場外證券業務報告系統向協會申請評估認證。申請材料包括：

（一）評估認證申請表；

（二）客戶端系統準入協定；

（三）擬接入的外部信息系統業務說明書；

（四）使用外部接入信息系統的內部管理制度，包括但不限於內控、風控、投資者保護等；

（五）信息系統安全和合規承諾書；

（六）合規審查意見；

（七）協會要求的其他材料。

證券公司已使用外部接入信息系統的，應當在自查整改完成後報協會評估認證。

四、證券公司使用外部接入信息系統應當符合監管規定，且不得有以下行為：

（一）為信息技術服務機構等相關方從事或變相從事證券經紀業務提供便利；

（二）為信息技術服務機構等相關方建立賬戶登記體系等登記結算業務提供便利；

（三）規避監管或自律管理；

（四）充當外部接入信息系統的業務通道；

（五）其他法律法規、監管規定和自律規則禁止的行為。

五、證券公司使用外部接入信息系統應當遵守下列要求：

（一）建立健全使用外部接入信息系統的內部管理制度，明確提供外部接入的信息技術服務機構等相關方應當具有的資質條件和篩選標準、系統的信息安全要求、相關合規審查要點、風險管理措施、後續監控檢查及問題處理機制；

（二）建立健全外部接入信息系統開展證券業務的審查機制，著重加強對開展相關業務的合規性審查，公司主要負責人和合規總監應當在相關審查檔案上籤字確認；

（三）具備識別外部接入信息系統合規性的能力，不得接入無法辨別合規性的外部信息系統；

（四）在與相關方簽訂的協定中明確由相關方承諾不得利用外部接入信息系統從事或變相從事配資活動，並建立相關責任追究機制；

（五）嚴格執行開戶審查制度，強化客戶身份識別，對投資者提供的有效身份證明檔案原件及其他開戶資料的真實性、準確性、完整性進行審核；

（六）做好投資者適當性管理和教育工作，提示投資者證券賬戶應當本人使用，不得轉借他人從事非法證券活動；

（七）加強日常監控，定期或不定期開展檢查，了解外部接入信息系統運行和賬戶管理情況，對可疑賬戶和可疑交易行為採取有效措施並及時處理。

六、除經國務院及中國證監會批准設立的合法證券交易場所及中國證監會認可的金融機構外，證券公司不得向第三方運營的客戶端提供網上證券服務端與證券交易相關的接口。

第三方運營的客戶端是指除證券公司、投資者之外，由第三方進行發布、升級等運營管理的客戶端，不包括以下情形：

（一）客戶端是證券公司與第三方公司簽署正式協定購置或租用的，並經證券公司測試和驗收後，由證券公司進行發布、升級等運營管理；

（二）客戶端是客戶自行開發或通過第三方購置、租用，且通過專線、網際網路VPN等專用通訊通道接入證券公司的，經證券公司評估系統安全性並正式認可後，由客戶自行運行管理或授權證券公司確定的第三方運行管理；

（三）客戶端是直連證券公司服務端的通用瀏覽器。

證券公司應當對上述客戶端的合規性負責。

七、證券公司提供客戶使用的客戶端屬於向第三方購置或租用的，應當與第三方簽署正式的客戶端系統購置或租用協定，並做好客戶端測試、驗收、變更發布管理等工作，對客戶端的安全運行、交易賬戶合規性、交易操作合規性承擔全部責任。

客戶端系統購置或租用協定內容包括但不限於：客戶端系統信息安全要求，交易賬戶處理方式、用戶交易操作方式、交易指令處理方式等系統功能範圍和邊界要求，系統監控接口要求，協定各方管理責任等。

八、證券公司應當加強客戶自行開發、購置、租用客戶端的管理。客戶自行開發、購置或租用網上證券客戶端以及配套信息系統接入證券公司的，證券公司應採用專線、網際網路VPN等專用通訊通道，且與關聯方簽署正式的客戶端系統準入協定，對客戶端及配套信息系統的信息安全性、功能合規性（包括但不限於交易賬戶處理方式、用戶交易操作方式、交易指令處理方式）等進行充分評估，並持續做好合規性監控和風控管理。證券公司發現客戶端有異常行為，應當採取禁止套用系統接入、限制賬戶交易等必要措施。

客戶端及配套信息系統屬於客戶自行運營管理的，證券公司應與客戶簽署客戶端系統準入協定；客戶端及配套系統屬於客戶委託第三方運營管理的，證券公司應分別與客戶、第三方簽署客戶端系統準入協定。

客戶端系統準入協定內容包括但不限於：客戶端及配套系統信息安全要求，交易賬戶處理方式、用戶交易操作方式、交易指令處理方式等系統功能範圍和邊界要求，與交易賬戶和交易操作合規性監控相關的系統監控接口要求，協定各方管理責任等。

九、證券公司應當建立對外部接入信息系統的自查制度，自查內容包括但不限於：

（一）是否存在接入未經公司合規審查和協會評估認證的外部信息系統情況；

（二）外部接入信息系統開展的業務類型及基本情況；

（三）外部接入信息系統的業務合規性和系統安全性；

（四）外部接入信息系統開展業務的風險類型及隱患；

（五）公司認為必要的其他情況。

證券公司應當每年至少自查一次，形成自查報告並存檔備查。自查工作中發現存在風險隱患的，應當制定整改方案，及時整改，並向協會報告。

十、證券公司應當建立健全責任追查和問責機制，對違反本規範的相關人員進行問責。

十一、協會可以對證券公司使用外部接入信息系統運行情況進行執業檢查，對違反本規範的證券公司、信息技術服務機構等相關方和相關從業人員採取自律管理措施並按規定計入誠信檔案；情節嚴重的，移送中國證監會及有關部門處理。

十二、本規範自發布之日起實施。