各會員單位:
為進(jìn)一步加強證券公司信息系統(tǒng)外部接入的風(fēng)險管理,維護證券公司信息系統(tǒng)安全�、穩(wěn)定運行,有效防范風(fēng)險,保護投資者合法權(quán)益,切實維護市場秩序,我會組織起草了《證券公司外部接入信息系統(tǒng)評估認(rèn)證規(guī)范》���,現(xiàn)予發(fā)布。
聯(lián)系方式:010-66575966�,010-66575963
附件:證券公司外部接入信息系統(tǒng)評估認(rèn)證規(guī)范
中國證券業(yè)協(xié)會
2015年6月12日
證券公司外部接入信息系統(tǒng)評估認(rèn)證規(guī)范
為進(jìn)一步加強證券公司信息系統(tǒng)外部接入的風(fēng)險管理,維護證券公司信息系統(tǒng)安全���、穩(wěn)定運行��,有效防范風(fēng)險�,保護投資者合法權(quán)益�����,切實維護市場秩序��,根據(jù)《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)會令第82號)�����、《證券公司融資融券管理暫行辦法》(證監(jiān)會公告[2011]31號)���、《關(guān)于加強證券公司信息系統(tǒng)外部接入管理的通知》(證監(jiān)辦發(fā)[2015]35號)和《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》(中證協(xié)發(fā)[2015]8號)等有關(guān)規(guī)定����,制定本規(guī)范����。
一����、證券公司使用外部接入信息系統(tǒng)��,證券交易指令必須在證券公司自主控制的系統(tǒng)內(nèi)全程處理����,即從客戶端發(fā)出的交易指令處理應(yīng)僅在發(fā)起交易的投資者與證券公司之間進(jìn)行,其間任何其他主體不得對交易指令進(jìn)行發(fā)起�����、接收���、轉(zhuǎn)發(fā)����、修改���、落地保存或截留����。
證券公司應(yīng)加強客戶端交易指令監(jiān)控,如發(fā)現(xiàn)交易指令被第三方接收�����、轉(zhuǎn)發(fā)等���,應(yīng)及時采取措施進(jìn)行整改。
證券公司不得直接或間接支持信息技術(shù)服務(wù)機構(gòu)等相關(guān)方利用外部接入信息系統(tǒng)開展證券經(jīng)紀(jì)業(yè)務(wù)����。
二、證券公司需要使用外部接入信息系統(tǒng)���,應(yīng)當(dāng)經(jīng)中國證券業(yè)協(xié)會(以下簡稱協(xié)會)評估認(rèn)證���。
自本規(guī)范下發(fā)之日起,證券公司不得接入新的未經(jīng)評估認(rèn)證的外部信息系統(tǒng)���。
向證券公司信息系統(tǒng)提供外部接入的信息技術(shù)服務(wù)機構(gòu)等相關(guān)方應(yīng)當(dāng)是協(xié)會會員��,接受協(xié)會的自律管理���。
三、證券公司使用外部接入信息系統(tǒng)應(yīng)當(dāng)在客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議簽署一個月內(nèi)通過場外證券業(yè)務(wù)報告系統(tǒng)向協(xié)會申請評估認(rèn)證。申請材料包括:
(一)評估認(rèn)證申請表�;
(二)客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議;
(三)擬接入的外部信息系統(tǒng)業(yè)務(wù)說明書����;
(四)使用外部接入信息系統(tǒng)的內(nèi)部管理制度,包括但不限于內(nèi)控���、風(fēng)控��、投資者保護等��;
(五)信息系統(tǒng)安全和合規(guī)承諾書��;
(六)合規(guī)審查意見����;
(七)協(xié)會要求的其他材料����。
證券公司已使用外部接入信息系統(tǒng)的,應(yīng)當(dāng)在自查整改完成后報協(xié)會評估認(rèn)證�。
四、證券公司使用外部接入信息系統(tǒng)應(yīng)當(dāng)符合監(jiān)管規(guī)定���,且不得有以下行為:
(一)為信息技術(shù)服務(wù)機構(gòu)等相關(guān)方從事或變相從事證券經(jīng)紀(jì)業(yè)務(wù)提供便利��;
(二)為信息技術(shù)服務(wù)機構(gòu)等相關(guān)方建立賬戶登記體系等登記結(jié)算業(yè)務(wù)提供便利���;
(三)規(guī)避監(jiān)管或自律管理�����;
(四)充當(dāng)外部接入信息系統(tǒng)的業(yè)務(wù)通道;
(五)其他法律法規(guī)���、監(jiān)管規(guī)定和自律規(guī)則禁止的行為��。
五�����、證券公司使用外部接入信息系統(tǒng)應(yīng)當(dāng)遵守下列要求:
(一)建立健全使用外部接入信息系統(tǒng)的內(nèi)部管理制度�����,明確提供外部接入的信息技術(shù)服務(wù)機構(gòu)等相關(guān)方應(yīng)當(dāng)具有的資質(zhì)條件和篩選標(biāo)準(zhǔn)��、系統(tǒng)的信息安全要求�����、相關(guān)合規(guī)審查要點���、風(fēng)險管理措施���、后續(xù)監(jiān)控檢查及問題處理機制;
(二)建立健全外部接入信息系統(tǒng)開展證券業(yè)務(wù)的審查機制����,著重加強對開展相關(guān)業(yè)務(wù)的合規(guī)性審查,公司主要負(fù)責(zé)人和合規(guī)總監(jiān)應(yīng)當(dāng)在相關(guān)審查文件上簽字確認(rèn)�;
(三)具備識別外部接入信息系統(tǒng)合規(guī)性的能力,不得接入無法辨別合規(guī)性的外部信息系統(tǒng)�����;
(四)在與相關(guān)方簽訂的協(xié)議中明確由相關(guān)方承諾不得利用外部接入信息系統(tǒng)從事或變相從事配資活動�,并建立相關(guān)責(zé)任追究機制;
(五)嚴(yán)格執(zhí)行開戶審查制度���,強化客戶身份識別�����,對投資者提供的有效身份證明文件原件及其他開戶資料的真實性��、準(zhǔn)確性�����、完整性進(jìn)行審核���;
(六)做好投資者適當(dāng)性管理和教育工作���,提示投資者證券賬戶應(yīng)當(dāng)本人使用,不得轉(zhuǎn)借他人從事非法證券活動�����;
(七)加強日常監(jiān)控����,定期或不定期開展檢查�����,了解外部接入信息系統(tǒng)運行和賬戶管理情況��,對可疑賬戶和可疑交易行為采取有效措施并及時處理。
六�����、除經(jīng)國務(wù)院及中國證監(jiān)會批準(zhǔn)設(shè)立的合法證券交易場所及中國證監(jiān)會認(rèn)可的金融機構(gòu)外���,證券公司不得向第三方運營的客戶端提供網(wǎng)上證券服務(wù)端與證券交易相關(guān)的接口�����。
第三方運營的客戶端是指除證券公司�、投資者之外���,由第三方進(jìn)行發(fā)布�����、升級等運營管理的客戶端���,不包括以下情形:
(一)客戶端是證券公司與第三方公司簽署正式協(xié)議購置或租用的,并經(jīng)證券公司測試和驗收后���,由證券公司進(jìn)行發(fā)布����、升級等運營管理;
(二)客戶端是客戶自行開發(fā)或通過第三方購置��、租用���,且通過專線�、互聯(lián)網(wǎng)VPN等專用通訊通道接入證券公司的�,經(jīng)證券公司評估系統(tǒng)安全性并正式認(rèn)可后,由客戶自行運行管理或授權(quán)證券公司確定的第三方運行管理�����;
(三)客戶端是直連證券公司服務(wù)端的通用瀏覽器����。
證券公司應(yīng)當(dāng)對上述客戶端的合規(guī)性負(fù)責(zé)��。
七��、證券公司提供客戶使用的客戶端屬于向第三方購置或租用的����,應(yīng)當(dāng)與第三方簽署正式的客戶端系統(tǒng)購置或租用協(xié)議��,并做好客戶端測試����、驗收����、變更發(fā)布管理等工作,對客戶端的安全運行�、交易賬戶合規(guī)性����、交易操作合規(guī)性承擔(dān)全部責(zé)任。
客戶端系統(tǒng)購置或租用協(xié)議內(nèi)容包括但不限于:客戶端系統(tǒng)信息安全要求���,交易賬戶處理方式�、用戶交易操作方式����、交易指令處理方式等系統(tǒng)功能范圍和邊界要求,系統(tǒng)監(jiān)控接口要求����,協(xié)議各方管理責(zé)任等。
八�����、證券公司應(yīng)當(dāng)加強客戶自行開發(fā)、購置���、租用客戶端的管理���?����?蛻糇孕虚_發(fā)��、購置或租用網(wǎng)上證券客戶端以及配套信息系統(tǒng)接入證券公司的���,證券公司應(yīng)采用專線����、互聯(lián)網(wǎng)VPN等專用通訊通道��,且與關(guān)聯(lián)方簽署正式的客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議,對客戶端及配套信息系統(tǒng)的信息安全性����、功能合規(guī)性(包括但不限于交易賬戶處理方式、用戶交易操作方式�、交易指令處理方式)等進(jìn)行充分評估,并持續(xù)做好合規(guī)性監(jiān)控和風(fēng)控管理��。證券公司發(fā)現(xiàn)客戶端有異常行為���,應(yīng)當(dāng)采取屏蔽應(yīng)用系統(tǒng)接入�、限制賬戶交易等必要措施�。
客戶端及配套信息系統(tǒng)屬于客戶自行運營管理的,證券公司應(yīng)與客戶簽署客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議�;客戶端及配套系統(tǒng)屬于客戶委托第三方運營管理的,證券公司應(yīng)分別與客戶��、第三方簽署客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議��。
客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議內(nèi)容包括但不限于:客戶端及配套系統(tǒng)信息安全要求�,交易賬戶處理方式、用戶交易操作方式、交易指令處理方式等系統(tǒng)功能范圍和邊界要求���,與交易賬戶和交易操作合規(guī)性監(jiān)控相關(guān)的系統(tǒng)監(jiān)控接口要求�����,協(xié)議各方管理責(zé)任等��。
九����、證券公司應(yīng)當(dāng)建立對外部接入信息系統(tǒng)的自查制度��,自查內(nèi)容包括但不限于:
(一)是否存在接入未經(jīng)公司合規(guī)審查和協(xié)會評估認(rèn)證的外部信息系統(tǒng)情況�;
(二)外部接入信息系統(tǒng)開展的業(yè)務(wù)類型及基本情況;
(三)外部接入信息系統(tǒng)的業(yè)務(wù)合規(guī)性和系統(tǒng)安全性�����;
(四)外部接入信息系統(tǒng)開展業(yè)務(wù)的風(fēng)險類型及隱患���;
(五)公司認(rèn)為必要的其他情況�����。
證券公司應(yīng)當(dāng)每年至少自查一次���,形成自查報告并存檔備查。自查工作中發(fā)現(xiàn)存在風(fēng)險隱患的�,應(yīng)當(dāng)制定整改方案,及時整改�,并向協(xié)會報告。
十���、證券公司應(yīng)當(dāng)建立健全責(zé)任追查和問責(zé)機制��,對違反本規(guī)范的相關(guān)人員進(jìn)行問責(zé)���。
十一、協(xié)會可以對證券公司使用外部接入信息系統(tǒng)運行情況進(jìn)行執(zhí)業(yè)檢查�,對違反本規(guī)范的證券公司、信息技術(shù)服務(wù)機構(gòu)等相關(guān)方和相關(guān)從業(yè)人員采取自律管理措施并按規(guī)定計入誠信檔案���;情節(jié)嚴(yán)重的����,移送中國證監(jiān)會及有關(guān)部門處理�。
十二�����、本規(guī)范自發(fā)布之日起實施�。
京公網(wǎng)安備 11010802044457號
新用戶掃碼下載
