證券基金經營機構信息技術管理辦法

為加強證券基金經營機構、專項業務服務機構及信息技術服務機構的信息技術管理，保障證券基金行業信息系統安全、合規運行，保護投資者合法權益，證監會起草了《證券基金經營機構信息技術管理辦法（徵求意見稿）》，現向社會公開徵求意見。公眾可通過以下途徑和方式提出反饋意見：

1.登入中國政府法制信息網，進入首頁左側的“法規規章草案意見徵集系統”提出意見。

2.登入中國證監會網站，進入首頁右側點擊“《證券基金經營機構信息技術管理辦法（公開徵求意見稿）》”提出意見。

3.電子信箱：

4.傳真：

5.通訊地址：北京市西城區金融大街19號富凱大廈A座中國證監會證券基金機構監管部，郵政編碼：100033。

意見反饋截止時間為2017年6月4日。

2017年5月5日

信息系統是證券市場基礎設施的重要組成部分。隨著信息技術進步及其在行業內套用程度加深，證券基金經營機構、專項業務服務機構的各類業務活動以及風控、合規等各類管理活動已與信息系統深度融合。整體上看，上述機構的信息技術套用表現出軟硬體數量大、業務流程信息化及網路化程度高、與外部系統廣泛連線、信息系統建設以採購和委託建設為主等特點。

2008 年以來，證監會先後出台了《證券期貨業信息安全保障管理辦法》（證監會主席令第82 號）以及《證券期貨業信息安全事件報告與調查處理辦法》（證監會公告〔2012〕46 號）等監管規定，以信息技術安全為核心提出了監管要求，對經營機構與服務機構信息技術管理提出了原則要求，同時以自律規則、行業標準的形式提出了一些具體要求。

隨著近年來證券市場的快速發展，行業信息系統架構、部署模式、管理機制發生了較大變化，行業信息技術套用領域反映出一些新情況、新問題，對行業信息技術監管法規體系提出新的需求。具體表現在以下幾方面：一是經營機構信息技術治理水平仍然不高。部分經營機構內部未能形成有效的信息技術管理權責分配及制衡機制，信息技術財力與人力投入的數額、結構仍不合理，信息系統建設過度依賴外部廠商，並且缺少整體規劃。二是經營機構信息技術套用的業務合規風險較為突出。隨著信息技術進步與行業內套用程度加深，各類業務活動的實時風險控制、合規管理等已與信息系統完全融合。信息技術風險不僅表現為傳統的信息安全風險，還會造成業務合規風險。實踐中，部分經營機構對信息系統內部流程的合規性缺乏評估，存在風險隱患。三是經營機構應對網際網路環境下信息安全風險的能力有待提高。近年來，經營機構越來越多的業務通過網際網路實現，但圍繞網際網路環境下的信息安全人才隊伍建設、資金投入與網際網路業務的快速發展還不匹配，個別經營機構部署在網際網路上的信息系統仍存在薄弱環節。四是專項業務服務機構的信息安全風險不容忽視。專項業務服務機構依據《證券法》《證券投資基金法》《證券公司監督管理條例》為經營機構提供業務輔助服務或直接從事特定的證券基金業務，雖已納入信息技術監管範圍，但缺少相關具體規範。此類機構與經營機構信息系統廣泛連線，集中度較高，一旦發生風險容易跨行業、跨機構傳導。五是信息技術服務機構尚未完全納入監管。目前，證券、基金領域對於信息技術服務機構的監管要求還不一致，《證券法》尚未將證券信息技術服務機構納入監管，《證券投資基金法》雖已將基金信息技術服務機構納入監管，但尚未出台細則，客觀上需要更加明確具體的監管要求。

（一）監管目標及基本原則監管目標：維護資本市場安全穩定運行，防範信息技術引發的系統性風險，確保經營機構業務合規、有序開展，保持經營機構信息系統健壯性與先進性。

基本原則：規則先行、依法監管；強化治理、防控風險；動態跟蹤、懲防結合。

（二）總體思路

1.強化信息技術監管的全覆蓋。一是對於經營機構實施全面監管，對其開展業務及客戶服務活動的所有信息系統，繼續沿用目前事前、事中、事後的全生命周期監管模式；二是對專項業務服務機構實施業務監管，考慮到這些機構多數同時還開展不屬於證監會監管職責範圍的業務活動，因此主要圍繞其開展的專項業務提出監管要求；三是根據法律授權，將信息技術服務機構納入監管，明確信息技術服務機構為經營機構從事證券基金業務活動提供信息技術服務的規則。

2.明確治理、安全、合規三條主線。在傳統的信息安全監管要求的基礎上，著重將信息技術治理、套用信息技術涉及的業務合規風險統一納入監管，督促經營機構建立完備、與自身業務開展特點相適應的信息技術治理架構，將合規管理貫穿在信息技術管理的始終，不斷提高信息技術與業務管理、合規管理的融合程度，要求經營機構信息技術、業務管理、合規管理部門共同參與重要信息系統開發、建設、變更過程，確保信息安全、數據安全以及業務合規要求在系統流程中落到實處，確保經營機構信息技術的套用與其安全管理能力、合規管理能力、風險控制水平相匹配。

3.強化經營機構、專項業務服務機構信息技術管理的主體責任。按照“誰運行、誰負責，誰使用、誰負責”的理念，強化經營機構、專項業務服務機構的主體責任，督促其守住信息安全底線，維護證券市場基礎設施的穩定運行。針對經營機構、專項業務服務機構信息系統建設依賴信息技術服務機構的現狀，明確經營機構、專項業務服務機構可以在安全、合規的前提下委託信息技術服務機構提供信息技術服務，但依法應當承擔的責任不因委託而免除或減輕。

4.解決存在的突出問題。在充分總結行業套用信息技術多年實踐經驗的基礎上，針對近年來經營機構信息技術管理工作中表現突出的信息技術服務管理、信息系統外部接入管理、客戶信息保護等問題，以及信息安全事件反映出容易發生紕漏的信息系統測試、上線、容量管理、應急管理等薄弱環節，提出了明確具體、針對性和操作性強的要求。

《辦法》共八章六十四條，從信息技術治理、信息技術合規管理、信息系統安全、數據安全、業務連續性管理、專項業務服務機構、信息技術服務機構、監督管理等方面提出了要求。具體包括：

（一）總則

《辦法》明確了立法宗旨、適用範圍、適用主體、監督職責以及經營機構、專項業務服務機構藉助信息技術手段從事證券基金相關業務活動的主體責任（第1 條至第5 條）。

（二）信息技術治理

《辦法》督促經營機構建立健全信息技術管理決策、分工、授權、制衡、持續評估等工作機制，從源頭上加強信息技術套用過程中的風險管控。一是要求經營機構完善信息技術治理，保障與業務活動規模、水平相適應的信息技術投入，定期評估更新信息技術規劃，並持續完善信息技術管理制度和操作流程（第6 條）。二是明確經營機構經營管理層信息技術管理責任，要求經營機構指定或任命高管人員負責信息技術管理工作（第7 條至第8 條）。三是要求經營機構設立專門部門，統一歸口管理信息技術相關工作，對合規、風控、審計等部門提出了履職要求（第9 條）。

（三）信息技術合規管理

《辦法》要求經營機構將合規管理和風險控制的要求貫穿在信息技術管理各個環節。一是建立事前合規審查、事中風險監測、事後評估審計的信息技術合規管理機制（第12條至第14 條）；二是結合具體業務系統特點，確保關鍵“合規點”在系統設計中落在實處（第15 條至第19 條）；三是建立信息技術套用與風險控制措施的同步機制，業務信息系統必須與風險監測系統同時上線，並及時更新監測指標及預警閥值（第11 條）。

（四）信息技術安全管理

一是規範技術管理工作，明確了經營機構信息系統開發、測試、上線、部署、變更等環節的監管要求（第20 條至第27 條）；二是加強數據安全管理工作，有效保護客戶信息（第28 條至第31 條）；三是加強業務連續性管理，制定業務連續性計畫，最佳化系統及數據備份機制，提升災難災害應對能力（第32 條至第37 條）。

（五）專項業務服務機構監管

《辦法》主要圍繞專項業務服務機構開展的專項業務服務提出監管要求，包括開展專項業務活動的信息系統與其兼營業務相關信息系統之間的風險隔離要求、開展專項業務活動的信息技術人員及信息安全保障要求、開展信息技術風險評估以及應急處置的相關要求等（第38 條至第41 條）。

（六）信息技術服務機構監管

《辦法》根據現行法律法規授權，對信息技術服務機構作了相應的監管安排。一是明確了經營機構委託信息技術服務機構提供信息技術服務的範圍和選取要求（第42 條至第44 條）；二是明確了基金信息技術服務機構備案有關事項（第45 條）；三是明確了證券信息技術服務機構可以自願申請加入證券業協會並接受協會的自律管理（第46 條）；四是規範了經營機構的信息技術服務協定、服務管理、應急處置有關事項（第47 條至第49 條）；五是明確了經營機構委託信息技術服務機構提供信息技術服務的禁止性要求（第50 條）。

（七）監督管理

《辦法》明確了對證券基金經營與服務機構信息技術管理的監管要求和罰則。一是規定經營機構、專項業務服務機構關鍵信息基礎設施、與證券基金交易相關的信息系統及提供信息系統外部接入的備案要求（第51 條）；二是明確證券基金經營與服務機構的報告職責和流程要求（第52 條至第54 條）；三是規定中國證監會及其派出機構可以採取現場檢查、組織應急演練、監管評價等監管手段，對證券基金經營與服務機構藉助信息技術手段從事證券基金相關業務活動或者提供信息技術服務實施監督管理（第55 條至第56 條）；四是根據證券基金經營與服務機構違規的具體情形，明確罰則（第57 條至第60 條）。此外，第61 條至第64 條明確了名詞釋義、實施時間、參照執行的主體及過渡期安排等事項。

第一章 總則

第一條 為加強證券基金經營機構信息技術管理，保障證券基金行業信息系統安全、合規運行，保護投資者合法權益，根據《證券法》、《證券投資基金法》、《證券公司監督管理條例》等法律法規，制定本辦法。

第二條 證券基金經營機構藉助信息技術手段從事證券基金業務活動，信息技術服務機構為證券基金業務活動提供信息技術服務，適用本辦法。

第三條 本辦法所稱證券基金經營機構，是指經中國證監會批准在境內設立的證券公司和管理公開募集基金的基金管理公司（以下簡稱基金管理公司）。本辦法所稱信息技術服務機構，是指為證券基金業務活動提供信息技術服務的機構。信息技術服務的範圍如下：（一）重要信息系統的開發、測試、集成及測評；（二）重要信息系統的運維及日常安全管理；（三）中國證監會規定的其他情形。以上機構統稱證券基金經營與服務機構。

第四條 證券基金經營機構是從事證券基金業務活動的責任主體，應當保障充足的信息技術投入，在依法合規、 有效防範風險的前提下，充分利用現代信息技術手段完善客戶服務體系、改進業務運營模式、提升內部管理水平、增強合規風控能力，持續強化現代信息技術對證券基金業務活動的支撐作用。

第五條 中國證監會及其派出機構依法對證券基金經營與服務機構藉助信息技術手段從事證券基金業務活動或提供相關服務實施監督管理。中國證券業協會及中國證券投資基金業協會依照本辦法制定和完善相關自律規則，對證券基金經營機構藉助信息技術手段從事證券基金業務活動或提供相關服務實施自律管理。中證信息技術服務有限責任公司（以下簡稱中證信息）在中國證監會指導下制定相關配套業務規則，協助開展信息技術相關備案、監測、檢測和檢查等工作。

第二章 信息技術治理

第六條 證券基金經營機構應當完善信息技術運用過程中的權責分配機制，建立健全信息技術管理制度和操作流程，保障與業務活動規模及複雜程度相適應的信息技術投入水平，持續滿足信息技術資源的可用性、安全性與合規性要求。

第七條 證券基金經營機構董事會負責審議本公司的信息技術管理目標，對信息技術管理的有效性承擔責任, 履行下列職責：（一）審議信息技術戰略，確保與本公司的發展戰略、風險管理策略、資本實力相一致；（二）建立信息技術人力和資金保障方案；（三）評估年度信息技術管理工作的總體效果和效率；（四）公司章程規定的其他信息技術管理職責。

第八條 證券基金經營機構經營管理層負責落實信息技術管理目標，對信息技術管理工作承擔責任，履行下列職責：（一）組織實施董事會相關決議；（二）建立責任明確、程式清晰的信息技術管理組織架構，明確管理職責、工作程式和協調機制；（三）完善績效考核和責任追究機制；（四）公司章程規定或董事會授權的其他信息技術管理職責。

第九條 證券基金經營機構應當在公司管理層下設立信息技術治理委員會或指定專門委員會（以下統稱信息技術治理委員會）負責制定信息技術戰略並審議下列事項：（一）信息技術規劃，包括但不限於信息技術建設規劃、信息安全規劃、數據治理規劃等；（二）信息技術投入預算及分配方案；（三）重要信息系統建設或重大改造立項、重大變更方案；（四）信息技術應急預案；（五）使用信息技術手段開展相關業務活動的審查報告以及年度評估報告；（六）信息技術治理委員會委員提請審議的事項；（七）其他對信息技術管理產生重大影響的事項。信息技術治理委員會應當由高級管理人員以及合規管理部門、風險管理部門、稽核審計部門、主要業務部門、信息技術管理部門等部門負責人組成，可聘請外部專業人員擔任信息技術治理委員會委員或顧問。

第十條 證券基金經營機構應當指定一名熟悉證券、基金業務，具有信息技術相關專業背景、任職經歷、履職能力的高級管理人員為首席信息官，由其負責信息技術管理工作，並具備下列任職條件：（一）從事信息技術相關工作十年以上，其中證券、基金行業信息技術相關工作年限不少於三年；或者在證券監管機構、證券基金業自律組織任職八年以上；（二）最近三年未被金融監管機構實施行政處罰或採取重大行政監管措施；（三）中國證監會規定的其他條件。

第十一條 證券基金經營機構應當設立信息技術管理部門或指定專門機構（以下統稱信息技術管理部門）負責實施信息技術規劃、信息系統建設、信息技術質量控制、信息安全保障、運維管理等工作。

第三章 信息技術合規與風險管理

第十二條 證券基金經營機構應當將信息技術運用情況納入合規與風險管理體系，為合規管理部門和風險管理部門配備與業務活動規模、複雜程度相適應的信息技術資源，並建立相應的審查、監測和檢查機制，確保合規與風險管理覆蓋信息技術運用的各個環節。

第十三條 證券基金經營機構藉助信息技術手段從事證券基金業務活動的，應當在業務系統上線時，同步上線與業務活動複雜程度和風險狀況相適應的風險管理系統或相關功能（以下統稱風險管理系統），對風險進行識別、監控、預警和干預。

第十四條 證券基金經營機構藉助信息技術手段從事證券基金業務活動前，應當開展內部審查，驗證下列事項並建立存檔記錄：（一）業務系統的流程設計、功能設定、參數配置和技術實現應當遵循業務合規的原則，不得違反法律法規及中國證監會的規定；（二）風險管理系統功能完備、許可權清晰，能夠與業務系統同步上線運行；（三）具備完善的信息安全防護措施，能夠保障經營數據和客戶信息的安全、完整；（四）具備符合要求的信息系統備份及運維管理能力，能夠保障相關係統安全、平穩運行。

第十五條 證券基金經營機構應當識別藉助信息技術手段從事證券基金業務活動的各類風險，建立持續有效的風險監測機制。證券基金經營機構應當及時、穩妥處置發現的風險問題，並至少每年開展一次風險監測機制及執行情況的有效性評估。

第十六條 證券基金經營機構應當定期開展信息技術管理工作專項審計，頻率不低於每年一次，確保三年內完成信息技術管理全部事項的審計工作，包括但不限於信息技術治理、信息技術合規與風險管理、信息技術安全管理、應急管理。證券基金經營機構應當委託外部專業機構開展信息技術管理工作的全面審計，頻率不低於每三年一次；未能有效實施信息技術管理被採取行政處罰措施、監管措施或者自律管理措施的，應當在三個月內完成對有關事項的專項審計。證券基金經營機構應當跟蹤審計發現問題的整改情況，相關問題未能及時整改的，應當說明理由，並將審計報告提交信息技術治理委員會審議。證券基金經營機構應當妥善保存審計報告，保存期限不得少於二十年。

第十七條 除法律法規及中國證監會另有規定外，證券基金經營機構應當通過自身運營管理的信息系統直接接收客戶交易指令，並記錄客戶交易指令接收時間。

第十八條 證券基金經營機構應當按照中國證監會有關規定採集、記錄、存儲、報送客戶交易終端信息，並採取有效的技術措施，保障相關信息真實、準確、完整。證券基金經營機構藉助專業化交易信息系統向特定客戶提供交易服務的，應當要求客戶登記交易終端信息；信息發生變更的，應當要求客戶履行變更程式，確保客戶真實使用的客戶交易終端信息與登記內容一致。

第十九條 證券基金經營機構使用電子契約從事證券基金業務活動的，應當將電子契約存儲在指定的信息系統，並提供可供投資者及契約其他相關方查詢、下載的公開渠道。

第二十條 證券基金經營機構從事證券交易相關業務，應當按照監管規定及自律管理規則的要求，確保風險管理系統具備審查賬戶資金及證券是否充足、監控交易及資金劃轉是否異常等功能。

第四章 信息技術安全

第一節 信息系統安全

第二十一條 證券基金經營機構應當建立獨立於生產環境的專用開發測試環境，避免風險傳導；開發測試環境使用未脫敏數據的，應當採取與生產環境同等的安全控制措施。證券基金經營機構在生產環境開展重要信息系統技術或業務測試的，應對測試流程及結果進行審查。

第二十二條 證券基金經營機構重要信息系統上線或發生重大變更的，應當制定專項實施方案，並對信息系統上線或變更操作行為進行審查、確認和跟蹤。證券基金經營機構重要信息系統計畫停止使用的，應當開展技術和業務影響評估，制定完整的系統停用和數據遷移保管方案，並組織必要的評審及停用後的安全檢查。

第二十三條 證券基金經營機構應當結合公司發展戰略、市場交易規模等因素定期對重要信息系統開展壓力測試和評估分析，確保其容量滿足業務開展需要。

第二十四條 證券基金經營機構應當建立健全信息系統安全監測機制，設定監測指標並持續監測重要信息系統的運行狀況。證券基金經營機構應當指定專人跟蹤監測發現的異常情形，及時處置並定期開展評估分析。

第二十五條 證券基金經營機構應當妥善保存信息系統開發、測試、上線、變更及運維過程中產生的文檔，並根據業務開展情況以及信息系統的重要程度建立與監測工作相適應的日誌留痕機制，確保滿足應急處置和審計需要。

第二十六條 證券基金經營機構重要信息系統部署以及所承載數據的管理，應當遵循法律法規等規定。

第二十七條 證券基金經營機構可以在安全、合規的前提下為子公司提供機房、通信網路及其他信息技術基礎設施，並協助開展相關運維工作。證券基金經營機構為其子公司提供信息技術服務的，應當充分評估信息技術基礎設施的支撐能力與冗餘程度，並與子公司簽訂服務協定，明確合作雙方的權利義務，以及建立日常協作、業務隔離和應急管理機制，防範基礎設施共用產生的新增風險。證券基金經營機構可以設立信息技術專業子公司，為母公司提供信息技術服務。信息技術專業子公司經中國證監會備案後可為其他金融機構提供信息技術服務。

第二十八條 證券基金經營機構應當確保重要信息系統具備可審計功能，並可以根據監管部門的要求轉換、提供數據。

第二節 數據治理

第二十九條 證券基金經營機構應當結合公司發展戰略，建立全面、科學、有效的數據治理組織架構以及數據全生命周期管理機制，確保數據統一管理、持續可控和安全存儲，切實履行數據安全及數據質量管理職責，不斷提升數據使用價值。

第三十條 證券基金經營機構應當將經營及客戶數據按照重要性和敏感性進行分類分級，並根據不同類別和級別作出差異化數據管理制度安排。

第三十一條 證券基金經營機構應當完善網路隔離、用戶認證、訪問控制、數據加密、數據備份、數據銷毀、日誌記錄、病毒防範和非法入侵檢測等安全保障措施，保護經營數據和客戶信息安全，防範信息泄露與損毀。

第三十二條 證券基金經營機構應當遵循最少功能以及最小許可權等原則分配信息系統管理、操作和訪問許可權，並履行審批流程。合規管理和風險管理部門應當對許可權管理制度和操作流程進行合規審查及風險控制。證券基金經營機構應當建立對信息系統許可權的定期檢查與核對機制，確保用戶許可權與其工作職責相匹配，防止出現授權不當的情形。證券基金經營機構應當對重要信息系統的開發、測試、運維實施必要分離，保證信息技術管理部門內部崗位的相互制衡。

第三十三條 證券基金經營機構應當記錄經營數據和客戶信息的使用情況，並持續監督信息技術服務機構等相關方落實保密協定的情況。證券基金經營機構發現其他機構、個人違規存儲或使用自身經營數據和客戶信息的，應當排查數據泄露途徑、評估影響範圍，採取合理可行的整改措施，及時處置風險隱患，並按照中國證監會規定履行報告和調查處理職責。證券基金經營機構發現信息技術服務機構等相關方違規存儲或者使用自身經營數據和客戶信息的，應當責令其立即改正並銷毀已獲取的經營數據和客戶信息；信息技術服務機構等相關方拒絕配合整改的，證券基金經營機構應當立即停止與其合作，並採取措施維護自身及客戶的合法權益。

第三十四條 證券基金經營機構應當建立健全數據安全管理制度，不得收集與服務無關的客戶信息，不得購買或使用非法獲取或來源不明的數據。在收集使用客戶信息之前，證券基金經營機構應當公開收集、使用的規則和目的，並徵得客戶同意。除法律法規和中國證監會另有規定外，證券基金經營機構不得允許或者配合其他機構、個人截取、留存客戶信息，不得以任何方式向其他機構、個人提供客戶信息。

第三十五條 證券基金經營機構應當充分挖掘、梳理和分析數據內容，提高管理精細化程度，在業務經營、風險管理與內部控制中加強數據套用，實現同一客戶、同類業務統一管理，充分發揮數據價值。

第三節 應急管理

第三十六條 證券基金經營機構藉助信息技術手段從事證券基金業務活動的，應當建立信息技術應急管理的組織架構，確定重要業務及其恢複目標，制定應急預案，配置充足資源，穩妥處置信息技術突發事件，並積極開展應急演練和信息技術應急管理的評估與改進。

第三十七條 證券基金經營機構應當落實下列應急管理職責：（一）信息技術管理部門為信息技術應急管理的牽頭組織部門，組織開展信息技術應急預案的制定、演練、評估與改進工作，並負責信息系統的應急回響與恢復；（二）各業務部門負責評估本業務條線信息技術突發事件相關風險，開展業務影響分析，確定並實施重要業務恢複目標和恢復策略；（三）風險管理部門負責評估信息系統與相關業務恢複目標和恢復策略制定的合理性，確保與公司整體風險管理策略保持一致。

第三十八條 證券基金經營機構應當制定並持續完善應急預案，包括應急管理建設目標、備份信息系統建設和恢復機制、備份數據恢復機制、業務恢復或替代措施、應急聯繫方式、與客戶溝通方式、向監管部門及有關單位的報告路徑、應急預案披露與更新機制等內容。證券基金經營機構應急預案應當充分考慮重要信息系統故障、相關信息技術服務機構無法繼續提供服務、證券基金經營機構信息技術高管或重要技術團隊發生重大變動以及自然災害等可能影響重要信息系統平穩運行的事件。

第三十九條 證券基金經營機構應當根據系統變更、業務變化等情況，持續更新應急預案。證券基金經營機構應當根據應急預案定期組織關鍵崗位人員開展應急演練，演練頻率不低於每年一次，並確保應急演練在兩年內覆蓋全部重要信息系統。應急演練應當形成報告，保存期限不得少於五年。

第四十條 證券基金經營機構應當在公司網站、客戶交易終端等渠道公示信息技術突發事件發生時客戶可採取的替代交易方式等信息，提示客戶防範和應對可能出現的風險。

第四十一條 證券基金經營機構應當確保備份系統與生產系統具備同等的處理能力，保持備份數據與原始數據的一致性。重要信息系統應當符合下列信息系統備份能力等級要求：（一）實時信息系統、非實時信息系統的數據備份能力應當達到第一級；（二）非實時信息系統的故障應對能力應當達到第二級；（三）證券公司實時信息系統的故障應對能力應當達到第四級，基金管理公司實時信息系統的故障應對能力應當達到第三級；（四）實時信息系統、非實時信息系統應當具備災難及重大災難應對能力，相關技術指標應當分別達到災難應對能力第五級、重大災難應對能力第六級；（五）災難應對能力可以通過重大災難應對能力體現，但重大災難應對能力相關技術指標應當達到災難應對能力第五級。

第四十二條 證券基金經營機構應當按照中國證監會有關規定，建立信息安全事件的分級回響機制，明確內部處置工作流程，確保相關信息系統及時恢復運行。

第五章 信息技術服務機構

第四十三條 證券基金經營機構藉助信息技術手段從事證券基金業務活動的，可以委託信息技術服務機構提供產品或服務，但證券基金經營機構依法應當承擔的責任不因委託而免除或減輕。證券基金經營機構應當清晰、準確、完整的掌握重要信息系統的技術架構、業務邏輯和操作流程等內容，確保重要信息系統運行始終處於自身控制範圍。除法律法規及中國證監會另有規定外，不得將重要信息系統的運維、日常安全管理交由信息技術服務機構獨立實施。

第四十四條 基金管理公司應當選擇已在中國證監會備案的信息技術服務機構，並在備案範圍內與其開展合作；證券公司應當選擇符合本辦法第四十七條所列條件的信息技術服務機構開展合作。證券基金經營機構委託信息技術服務機構提供服務，應當按照本辦法第十四條的規定對信息技術服務機構及相關信息系統進行內部審查，並向中國證監會及其派出機構報送審查意見及相關資料。證券基金經營機構應當在選擇信息技術服務機構之前，制定更換服務提供方的流程及預案，確保在特定情況下可更換服務提供方。

第四十五條 證券基金經營機構應當與信息技術服務機構簽訂服務協定和保密協定，明確各方權利、義務和責任，約定質量考核標準、持續監控機制、異常處理機制、服務變更或者終止的處置流程以及現場服務人員保密要求等內容，並持續監督信息技術服務機構及相關人員落實服務協定和保密協定的情況。證券基金經營機構應當參照本辦法第三條在服務協定中列明委託信息技術服務機構提供的服務範圍、服務方式、涉及信息系統及相關證券基金業務活動類型。

第四十六條 信息技術服務機構出現異常情形的，證券基金經營機構應當按照應急預案開展內部評估與審查；信息技術服務機構保障能力不足，導致相關產品或服務的可用性、完整性或機密性喪失的，應當及時更換信息技術服務機構。

第四十七條 為基金管理公司提供信息技術服務的機構（以下簡稱基金信息技術服務機構）應當符合下列條件並向中國證監會備案：（一）近三年未因從事非法金融活動，違反金融監管部門有關規定展業，為非法金融活動提供信息發布服務等情形受到監管部門行政處罰或重大監管措施；（二）信息技術服務機構及其控股股東、實際控制人、實際控制人控制的其他信息技術服務機構最近一年內不存在證券期貨重大違法違規記錄；（三）具備安全、穩定的信息技術服務能力；（四）具備及時、高效的應急回響能力；（五）熟悉相關證券基金業務，具備持續評估信息技術產品及服務是否符合監管要求的能力；（六）中國證監會規定的其他情形。

第四十八條 基金信息技術服務機構備案材料應當包括本機構基本情況、信息技術服務情況、服務對象情況、內部控制情況等相關資料。備案內容發生變更的，基金信息技術服務機構應當及時更新備案材料。基金信息技術服務機構備案材料不完整或者不符合規定的，應當根據中國證監會要求及時補正。

第四十九條 為證券公司、證券投資諮詢機構提供信息技術服務的機構（以下簡稱證券信息技術服務機構）可以自願接受中證信息業務指導，並遵守相關業務規則。

第五十條 信息技術服務機構應當健全內部質量控制機制，定期監測相關產品或服務，在提供服務過程中出現明顯質量問題的，應當立即核實有關情況，採取必要的處理措施，明確修復完成時限，及時完成修復工作。

第五十一條 信息技術服務機構為證券基金業務活動提供信息技術服務，不得有下列行為：（一）參與證券基金經營機構向客戶提供業務服務的任何環節或向投資者、社會公眾等發布可能引發其從事證券基金業務誤解的信息；（二）截取、存儲、轉發和使用證券基金業務活動相關經營數據和客戶信息；（三）在服務對象不知情的情況下，轉委託第三方提供信息技術服務；（四）提供的產品或服務相關功能、操作流程、系統許可權及參數配置違反現行法律法規；（五）無正當理由關閉系統接口或設定技術壁壘； （六）向社會公開發布信息安全漏洞、信息系統壓力測試結果等網路安全信息或泄露未公開信息；（七）法律法規及中國證監會禁止的其他行為。

第六章 監督管理

第五十二條 證券基金經營機構新建或更換重要信息系統所在機房、證券基金交易相關信息系統，應當在開展相關業務活動的五個工作日內向中國證監會報送有關資料，包括內部審查意見、機房基本信息、技術架構設計、操作流程、信息安全管理資料、業務制度、合規管理及風險管理制度等。

第五十三條 證券基金經營機構應當在報送年度報告的同時報送年度信息技術管理專項報告，說明報告期內信息技術治理、信息技術合規與風險管理、信息技術安全管理、信息技術審計等執行本辦法規定的情況。信息技術服務機構提供信息技術服務時，應當按照中國證監會要求定期報送相關資料。證券基金經營與服務機構提交報告的內容應當真實、準確、完整。

第五十四條 證券基金經營機構應當按照中國證監會有關規定履行信息安全事件報告和調查處理職責。

第五十五條 信息技術服務機構出現下列情形的，應當立即報告住所地中國證監會派出機構：（一）人員、財務、技術管理等方面發生重大變化，可能無法持續為證券基金經營機構提供信息技術服務；（二）提供的信息技術服務存在明顯缺陷，可能導致所服務的三家及以上證券基金經營機構發生信息系統運營異常、數據泄露、遭受網路攻擊等情形；（三）其他可能對投資者合法權益、證券期貨市場造成嚴重影響的事件。

第五十六條 中國證監會及其派出機構在對證券基金經營與服務機構信息技術管理及服務活動的監管過程中，可以採用滲透測試、漏洞掃描及信息技術風險評估等方式開展現場檢查及非現場檢查。證券基金經營與服務機構應當予以配合，如實提供有關檔案、資料，不得拒絕、阻礙或隱瞞。

第五十七條 證券基金經營機構違反本辦法規定的，中國證監會及其派出機構可以依法對其採取責令改正、暫停業務、出具警示函、責令定期報告、責令增加合規檢查次數、公開譴責等行政監管措施；對直接負責的主管人員和其他責任人員採取責令改正、監管談話、出具警示函、公開譴責等行政監管措施。

第五十八條 證券基金經營機構違反本辦法規定，反映公司治理混亂、內控失效的，中國證監會及其派出機構可以按照《證券投資基金法》第二十四條、《證券公司監督管理條例》第七十條的規定，採取責令暫停部分或全部業務、責令更換董事、監事、高級管理人員或者限制其權利等行政監管措施。

第五十九條 信息技術服務機構違反本辦法規定的，中國證監會及其派出機構可以要求其提交說明材料，並採取責令改正、監管談話、出具警示函等行政監管措施，情節嚴重的，中國證監會及其派出機構可以對信息技術服務機構及其直接負責的主管人員和其他直接責任人員單處或者並處警告、三萬元以下罰款。信息技術服務機構在經營活動中無法持續符合本辦法第四十七條所列條件或者違反第五十一條規定的，中國證監會及其派出機構可以責令其改正；拒不改正或者情節嚴重的，註銷備案。信息技術服務機構被註銷備案的，不得新增提供信息技術服務，保障存量信息技術服務正常運行、證券交易所上線新產品及中國證監會另有規定的情形除外。

第七章 附則

第六十條 證券基金專項業務服務機構藉助信息技術手段從事證券基金業務活動的，參照本辦法執行。從事證券公司客戶交易結算資金存管活動的商業銀行、從事公開募集基金的基金託管機構、證券基金經營機構在境內依法設立的子公司及其下設機構藉助信息技術手段從事相關證券基金業務活動的，參照本辦法執行。

第六十一條 證券基金專項業務服務機構違反本辦法規定的，中國證監會及其派出機構可以對證券基金專項業務服務機構及其直接負責的主管人員和其他直接責任人員單處或者並處警告、責令停止基金服務業務或三萬元以下罰款等行政監管措施。

第六十二條 證券基金經營機構、證券基金專項業務服務機構應當按照本辦法第五十二條規定，在本辦法實施之日起半年內將已投產的重要信息系統所在機房、證券基金交易相關信息系統等相關情況報送中國證監會。本辦法實施前，已提供相關服務的基金信息技術服務機構應當按照本辦法規定，在本辦法實施之日起半年內向中國證監會備案。本辦法實施前，已從事相關業務活動且不符合本辦法第十七條規定的，證券基金經營機構應當妥善處理相關問題，並在本辦法實施之日起半年內完成整改；整改未完成前，不得藉助違規接收客戶交易指令的信息系統增加新客戶或提供新服務。

第六十三條 本辦法中下列用語的含義：（一）證券基金專項業務服務機構，是指從事公開募集基金的銷售、銷售支付、份額登記、估值、投資顧問、評價等基金服務業務的機構和證券投資諮詢機構。（二）重要信息系統，是指支持證券基金經營機構和證券基金專項業務服務機構關鍵業務功能、如出現異常將對證券期貨市場和投資者產生重大影響的信息系統。包括集中交易系統、投資交易系統、金融產品銷售系統、估值核算系統、投資監督系統、份額登記系統、第三方存管系統、融資融券業務系統、網上交易系統、電話委託系統、移動終端交易系統、法人清算系統、具備開戶交易或者客戶資料修改功能的入口網站、承載投資諮詢業務的系統、存放承銷保薦業務工作底稿相關數據的系統、專業即時通信軟體以及與上述信息系統具備類似功能的信息系統。（三）重大變更，是指經證券基金經營機構、證券基金專項業務服務機構自行評估，可能影響業務合規和信息系統安全穩定運行的系統變更，包括但不限於信息技術服務機構更換、技術架構重大調整、主要功能變化等。（四）專業化交易信息系統，是指除網上交易系統、移動終端交易系統等標準化交易系統外，證券基金經營機構向具有個性化需求並且符合規定條件的特定客戶提供服務的交易系統。（五）證券基金經營機構信息系統備份能力、數據備份能力、故障應對能力、重大災難應對能力、實時信息系統、非實時信息系統以及備份能力等級相關定義參見中國證監會關於信息系統備份能力相關行業標準。

第六十四條 本辦法自 2019 年 6 月 1 日起實施。《證券投資基金銷售機構通過第三方電子商務平台開展業務管理暫行規定》（證監會公告〔2013〕18 號）同時廢止。