证券有限责任公司信息技术治理管理办法模版.docx

上传人:知****量 文档编号:95468477 上传时间:2023-08-23 格式:DOCX 页数:17 大小:28.08KB
返回 下载 相关 举报
证券有限责任公司信息技术治理管理办法模版.docx_第1页
第1页 / 共17页
证券有限责任公司信息技术治理管理办法模版.docx_第2页
第2页 / 共17页
点击查看更多>>
资源描述

《证券有限责任公司信息技术治理管理办法模版.docx》由会员分享,可在线阅读,更多相关《证券有限责任公司信息技术治理管理办法模版.docx(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、证券有限责任公司信息技术治理管理办法第一章 总则第一条 为加强公司信息技术管理与规范,保持信息系统与业务目标的一致性,合理利用IT资源,有效管理IT风险,确保信息系统的建设和运行安全稳定,根据证券期货经营机构信息技术治理工作指引(试行)的要求,制定本办法。第二条 做好信息技术治理工作是公司全体员工的共同责任,公司全体员工应严格遵守信息技术治理方面的相关制度规定。公司各部门、各分支机构应在符合信息技术治理相关制度规定的前提下开展经营管理活动。第三条 信息技术治理(IT治理)是指公司在运用信息技术(以下简称IT)过程中,制定的有关IT决策权分配和责任承担的框架,主要包括在IT原则、IT架构、IT基

2、础设施、IT应用和IT投入5个方面制定相关制度并建立有效的工作机制,实现IT决策的责任和权力的有效分配与控制,提高IT资源的有效性、可用性和安全性。第四条 公司IT治理的原则是:按照IT治理的方法论,循序渐进地推进IT治理,即在业务目标的驱动下,制定IT战略,并保证IT战略与业务战略目标的匹配;挖掘业务需求,完善信息系统建设,使IT真正为业务提升、管理创新贡献价值;实施IT项目管理与风险管理;保证IT的合理投入,进行IT绩效评估。第五条 本办法适用于公司总部及所有营业部。全资子公司的IT治理工作可纳入公司统筹实施。第二章IT治理目标与IT规划第六条IT治理作为公司治理的重要组成部分,是公司信息

3、系统的基础性建设,利用IT增强公司的核心竞争力,使公司从IT投入中获得更大收益。IT治理的具体目标是:(一) 以公司战略和业务需求为导向,不断完善信息技术体系,实现IT治理水平的整体提升;(二) 持续优化和完善IT基础架构,满足业务和信息技术不断发展的要求,实现技术和业务的有效匹配;(三) 在经营管理和技术支持之间建立建设性关系,确保公司总体战略和信息技术战略得到有效执行,实现IT资源的最优配置;(四) 在IT决策过程中实行部门间联合决策和公司管理层统筹决策机制,本着结合需求、适度前瞻、统一领导、通力合作的原则,保证IT决策高效、职责划分清晰。(五) 对信息技术工作进行有效测评和审计,实现对信

4、息系统风险的有效控制。第七条 根据公司经营管理战略目标,IT总监组织拟定信息技术规划。信息技术规划应充分体现公司长期发展的战略思想。第八条IT规划应满足国家、监管部门、行业自律组织对相关系统的技术标准。第九条信息技术规划应包括但不限于以下内容:(一) IT规划参照的标准;(二) IT基础设施体系规划;(三) IT业务应用架构规划;(四) 数据信息架构规划;(五) IT安全体系架构规划;(六) IT系统管理办法;(七) IT系统定期评估办法;第十条信息技术规划的制定和修订流程如下:(一) 公司各部门将本部门的经营管理发展规划抄送信息技术部;(二) IT总监依据各部门经营发展规划组织起草信息技术规

5、划(征求意见稿);(三) 将信息技术规划(征求意见稿)送各业务部门、财务管理部门和内部控制部门征求意见;(四) IT总监根据各部门反馈意见组织修订信息技术规划;(五) 将信息技术规划送IT治理委员会审议;(六) 根据IT治理委员会审议意见修订信息技术规划,直至信息技术规划通过IT治理委员会审议;(七) IT治理委员会将信息技术规划送公司管理层核批;第十一条 以公司行文方式正式发布信息技术规划。第三章IT治理组织和工作机制第十二条 公司总部、营业部建立统一协调的IT治理机制,较低层级服从于较高层级。第十三条 公司总经理对IT治理的有效性及IT安全负有最终责任,公司指定具有IT专业工作经验的高级管

6、理人员作为公司IT治理的直接责任人。第十四条 公司成立信息技术治理委员会(下称:IT治理委员会),公司总经理为公司信息技术治理委员会负责人。第十五条 公司IT治理委员会委员由信息技术治理负责人、IT总监、合规总监、稽核负责人、财务负责人、各业务部门负责人以及部分技术骨干组成,其中IT人员的比例应在30%以上。第十六条 公司根据需要可聘请外部专业人士担任委员或顾问。第十七条 公司在制定IT规划时,征求相关业务部门、财务管理部门和内部控制部门的意见,并报公司管理层批准实施。第十八条 公司IT治理委员会每季度召开一次例会。因信息系统或业务相关原因,可临时召开会议。第十九条 公司IT治理委员会负责信息

7、技术治理的推进工作。IT治理委员会的具体议事办法由xx证券有限责任公司IT治理委员会议事规则规定。IT治理委员会向公司管理层负责,履行以下职责:(一)审议公司年度信息技术治理工作计划和预算,并监督落实情况;(二)审议公司中长期IT发展规划以及IT管理制度和重要流程; (三)审议公司重大IT项目立项、投入,对公司信息技术相关的投资及其优先级做出决策;(四)审议公司信息安全目标、方针、策略以及分阶段实施计划; (五)审议公司信息技术治理工作报告,检查所拟定事项的落实和执行情况,向公司管理层报告IT治理工作情况;(六)拟订公司IT治理目标和IT治理工作计划,制定与IT治理相关的培训和教育工作计划;(

8、七)确保公司提供足够的资源保障信息技术治理工作按既定的目标和方案进行实施,保障公司信息技术治理水平得到持续的改进和提高;(八)根据市场形势及公司业务发展的实际情况,审议、调整IT治理工作部署,评估涉及信息技术的重大决策,并提供咨询和参考意见。第二十条 公司设立IT总监,IT总监的职责包括:(一)组织拟定公司中长期IT发展规划;(二)组织拟定公司年度IT工作计划及预算;(三)组织拟定公司信息系统安全目标、策略、方针及实施计划;(四)组织对公司IT的风险进行评估及控制;(五)组织并协调公司信息化建设工作;(六)组织拟定IT管理制度、IT建设标准;(七)组织拟定IT应急方案;(八)组织落实IT治理委

9、员会所拟定和审议的有关事项; (九)向公司管理层和IT治理委员会报告IT重大事项,并对上报事项的真实性、准确性、完整性、及时性负责; (十)对公司IT安全管理体系的有效性负技术责任。第二十一条 信息技术部对IT总监负责,负责公司的信息系统建设、信息系统运行维护和信息技术管理工作,各部门、各分支机构应予积极配合。 第二十二条 合规部负责对信息系统进行合规审查。第二十三条 稽核部负责信息系统进行审计。第二十四条 财务部负责对信息系统全年的预算进行初审,并提交IT治理委员会审议;财务部根据公司历年的IT投入与产出进行分析,确定业务与信息投入的适当性,为IT长期发展策略决策提供参考依据;对信息系统的投

10、入与公司业务规模是否适当进行初步评估,提交IT治理委员会审议。第二十五条 公司各职能部门和业务部门的职责:(一) 负责将业务应用和需求提交IT治理委员会审议;(二) 负责本部门IT应用系统的参数维护和使用;向IT治理委员会提起需求,在项目验收时同时进行项目的验收工作。(三) 按照IT治理委员会审议通过的IT安全和IT应急制度,履行相关职责。第二十六条 公司建立对IT管理和IT运行维护的考核机制。第四章IT架构与IT基础设施第二十七条 公司根据IT原则和治理目标制定相应的IT架构,确定IT基础设施、IT应用系统的整体框架。第二十八条IT架构应包括业务应用架构、系统平台架构、数据信息架构等,不同架

11、构的范围和边界明确定义。 第二十九条IT架构遵循全局、开放、共享的原则,通过数据、流程、技术的标准化和一体化,建立业务应用、系统平台、数据信息等完整的组织关系,并根据成本效益与安全控制等要求确定IT资源的集中度。第三十条IT架构在保证数据和基础设施相对稳定的前提下,应具备良好的可扩展性和灵活性,以支持不断变化的业务应用和需求。第三十一条IT基础设施的范围包括技术标准、基础组织、基础数据、技术设备、通讯网络、安全系统、机房环境等,其中每一项都包含一系列整合的服务。第三十二条IT基础设施建设遵循可靠、安全、共享和可管理的原则,为多种IT应用提供支持和服务,并根据成本效益与安全控制等要求确定IT资源

12、的集中度。第三十三条IT基础设施应具有统一、安全、可靠、灵活、可扩展的特点,科学涉及和管理基础设施的容量,以满足业务增长和创新的要求,利于业务发展和创新应用的快速、高效实施和部署。第三十四条IT系统评估:(一) 公司每年或在中道变化时对IT架构进行评估,保证IT机构的适应性和合理性。(二) 公司每年对IT基础设施的容量和适应性能力进行一次评估。第五章IT应用第三十五条 公司应用部门因业务发展,需要新的应用支撑时,技术部门和业务部门之间应有效的沟通协调,包括在应用需求分析、立项决策、系统建设、系统验收和上线运行等阶段的工作,以便更好的实现公司的经营目标。第三十六条IT应用需求的审议,原则上应充分

13、考虑业务与技术之间协同发展的互动关系。重大IT应用需求应由相应的使用部门或IT部门在需求调研的基础上提出,由内部控制部门、财务管理部门和IT部门会商后报公司IT治理委员会审议立项,由使用部门、运维部门和内部控制部门参与验收工作。第三十七条IT应用建设应在确保安全的前提下平衡技术创新和IT架构完整性;IT应用应促进和改善IT架构,尽可能保证IT架构的完整性和稳定性。第三十八条 公司应为IT应用实现提供必需的财力和人力资源,并在制定工作计划时充分考虑软件开发、测试及部署实施所需要的时间周期。第三十九条 重要IT应用系统包括但不限于集中交易、网上交易等核心交易系统、灾备系统、结算系统、风险控制系统、

14、资管系统、财务系统、安全系统。 第四十条 公司重要IT应用系统和基础设施的建设、管理和运行维护按照行业的有关规范并达到安全技术标准要求,没有行业规范和标准的应尽可能参照已有的国家或国际相关技术规范和标准。 第四十一条 公司IT应用按以下流程执行:(一) 应用需求部门因业务需要提起书面的应用需求,提交公司IT治理委员审议;(二) IT治理委员会根据公司发展的长期目标和经营目标,审议业务部门提交的需求,审议通过后按照公司审议流程提交公司管理层审批;(三) 公司管理层批准后,IT总监组织技术部进行立项和预算,并向IT治理委员会提交立项报告,由IT治理委员会审议通过后,按照公司流程经公司管理层通过后实

15、施;(四) 系统建设完毕,由使用部门、技术部和合规部参与共同参与验收工作;(五) 系统投入使用前,使用部门向IT治理委员会提交应用系统的使用、用户、权限分配的分配情况,IT治理委员会审议通过后,按照公司流程经公司管理层通过后执行;(六) 运营人员根据系统的维护说明,制订相关应用的运营流程和安全管理流程,负责日常的系统运营管理工作;(七) 合规部对系统立项、建设、验收、应用系统使用的合规性进行审核。第四十二条 对于重要核心业务系统的上线,IT部门应向IT治理委员会提交系统上线前的评估报告, IT治理委员会在上线前安排应急小组制订上线前的应急方案和上线方案,审议是否上线,并上报公司管理层审批。第四

16、十三条 各部门、各分支机构应当严格遵守公司的信息技术管理制度。 第六章IT人力资源第四十四条 公司信息技术部负责公司IT系统的开发、运维和管理工作,营业部设置电脑部负责营业部信息系统的运营。第四十五条 为满足公司信息系统的建设和维护,IT人员应结构合理、规模适当,以满足不断增长的经营管理需要。IT部门根据实际情况配备足够的IT工作人员。应满足国家、监管部门、自律组织关于人员和岗位设置的相关要求。原则上公司的IT工作人员总数原则上不少于公司员工总人数的6%。关键技术岗位的人员备份和职责分离,以保障系统安全。第四十六条 公司应为IT部门提供足够的资金支持,为IT人员提供履行其岗位职责所需要的岗位技

17、能培训及业务培训,制定合理的激励机制和奖惩措施,具体的激励机制由公司人力资源出具方案,方案中应设立IT专业职级体系,建立公平、公开、公正的晋升机制,为IT人员提供相应的发展空间。第四十七条 在条件许可情况下,宜配备适当IT研发人员增强公司重要IT应用系统的自主研发能力。第七章IT计划与投入第四十八条 信息技术部应在每年年末编制下年度的年度信息技术工作计划和预算。第四十九条 编制年度信息技术工作计划的依据如下:(一) 下年度经营管理发展的信息技术需求;(二) 信息技术规划;(三) 信息技术部制度;(四) 年度信息技术安全评估报告;(五) 年度信息技术审计报告。第五十条 年度信息技术工作计划的制定

18、流程如下:(一)每年11月20日,IT治理委员会向各部门发送部门年度信息技术需求调查表。(二)每年11月30日,各部门填制完毕部门年度信息技术需求调查表并送信息技术部。(三)IT部门12月15日前,完成年度信息技术工作计划的编制工作。(四)将年度信息技术工作计划送IT治理委员会审议,IT治理委员会应确定IT项目投入的金额和投入优先级。第五十一条IT治理委员会将年度信息技术工作计划和预算报公司领导层审批。第五十二条IT年度计划中的预算,应保障公司业务正常运转,根据业务需求和安全需求进行编制,原则上公司近三个财政年度IT投入平均数额应不低于最近三个财政年度平均利润的6或不少于最近三个财政年度平均营

19、业收入的3%。第五十三条IT投入,应优先保证集中交易、网上交易、三方存管等涉及客户交易的业务系统,保证业务系统在容量、性能和安全方面满足客户交易的需要。原则上,系统的容量、性能和安全应满足国家、监管部门和自律组织的相关规定。第五十四条IT建设应有前瞻性,同时要避免盲目超前的IT规划带来过大的IT投入。公司应从财务风险、市场风险、组织风险和技术风险上对IT投入风险进行评估,并做出分析和权衡。第五十五条 公司应建立可量化的指标体系对IT投入进行管理,加强IT项目的成本核算。第五十六条 公司应将IT基础设施作为一种重要资产进行管理,并逐年对各项基础设施进行审慎投入。第八章IT安全和风险控制第五十七条

20、 公司通过管理制度和技术手段确保信息系统安全,保障业务活动的连续性,保证重要信息的保密性、完整性和可用性,确保信息内容符合法律法规和监管部门、自律组织的要求。第五十八条IT部门的系统开发、系统运维管理岗位实现互相分离,由合规部门对岗位分离的合规性进行检查。第五十九条IT规划时,应规划实施灾备系统,确保灾备系统的有效性,并在公司IT应急预案中明确应急预案的激活条件、紧急事件处理流程、报告流程、撤销流程、恢复流程以及人员责任等。灾难备份系统的各项技术指标应符合监管机构的要求。第六十条 充分重视客户资料等公司商业信息安全问题,保证IT系统在日常运维、系统备份、数据存储、数据传输过程中,通过技术手段确

21、保数据的安全,业务部门应制订制度、流程并采取合理的权限设置、岗位设置等措施,确保在开放的市场环境中公司的商业机密和投资者信息安全。第六十一条 公司每年对全体员工开展必要的信息安全培训、教育和考核。第六十二条 公司在对外合作时,合同中需明确载明对合作方服务人员的信息安全要求,包括保密和诚信协议,明确各自承担的安全义务和责任,并要求合作方在提供产品或服务的同时承诺产品不存在恶意代码或未授权的连接功能(软件后门),不提供违反法律法规的操作模块、功能和手段。第六十三条 在IT外包服务合同中,对重要的外包服务要明确服务商资质要求、服务等级、服务流程、责任义务和服务质量标准。第六十四条IT总监负责组织IT

22、部门负责IT安全的具体实施,制订IT应急的具体操作步骤,向IT治理委员会提交具体的方案,由IT治理委员会审议后报公司管理层批准执行。第六十五条IT部门至少每年一次对IT安全进行评估,信息安全等级保护三级系统,每年请外部测评机构进行安全测评,出具年度信息技术安全评估报告,经IT治理委员会审议通过后,技术部根据测评结果对系统进行技术调整和制度调整。第六十五条 合规部负责对系统立项、建设、验收、运营以及IT安全的合规合法性进行审查。第六十六条 公司稽核部每年应安排对信息技术工作进行内部审计,编制年度信息技术审计报告,并针对审计结果提出相关改进要求。 第六十七条 各部门、各分支机构应严格执行公司的信息技术管理制度,配合信息技术部做好信息技术安全工作。各部门、各分支机构内部出现的信息技术安全事故,除追究当事人责任外,本部门负责人应负领导责任。第九章 附则第六十八条 本制度由IT治理委员会负责解释和修订。第六十九条 本制度自颁布之日起实行。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 合同协议

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁