證券公司信息關鍵技術管理詳細規(guī)定草案

證券企業(yè)信息技術管理要求（草案V1.72）第一章總則【立法目標和依據(jù)】為保障證券企業(yè)信息系統(tǒng)安全運行，加強證券企業(yè)信息安全管理，防范和化解信息技術風險，提升行業(yè)信息安全水平，支持證券業(yè)務發(fā)展，依據(jù)《中國證券法》、《證券企業(yè)監(jiān)督管理條例》、《證券期貨業(yè)信息安全保障管理措施》（已公開征求意見）等相關法律法規(guī)制訂本要求?！具m用范圍】本要求適適用于在中國境內(nèi)依法設置證券企業(yè)?！矩熑沃黧w及標準】證券企業(yè)是信息技術管理工作責任主體，對本機構信息系統(tǒng)安全運行負擔責任，實施“誰運行、誰負責，誰使用、誰負責”標準。【會機關監(jiān)管職責】中國證監(jiān)會負責制訂、修訂證券企業(yè)信息技術相關法規(guī)，牽頭對證券企業(yè)信息技術相關新應用、新情況、新問題進行研究，并牽頭對行業(yè)發(fā)生重大安全事件進行調(diào)查處理?！咀C監(jiān)局監(jiān)管職責】證監(jiān)局負責轄區(qū)證券企業(yè)信息系統(tǒng)監(jiān)管，證券企業(yè)分支機構信息系統(tǒng)由分支機構所在地證監(jiān)局負責監(jiān)管。證券企業(yè)分支機構所在地和證券企業(yè)住所地證監(jiān)局之間應建立有效信息溝通和監(jiān)管協(xié)作機制，有效防范、化解和處理分支機構信息技術風險、重大異常情況和突發(fā)事件，協(xié)調(diào)配合做好相關分支機構信息技術檢驗、信息安全事件處理等事項?！拘畔⒓夹g定義】本要求中證券企業(yè)信息技術（英文：InformationTechnology，簡稱IT）是指證券企業(yè)在核準業(yè)務范圍內(nèi)，管理和處理業(yè)務活動期間產(chǎn)生賬戶、交易、清算、財務、服務等方面信息所采取多種計算機、通信、軟件工程等技術統(tǒng)稱。第二章信息技術治理【信息技術治理】信息技術治理是指證券企業(yè)在利用信息技術過程中，制訂相關信息技術決議權分配和責任負擔框架?！矩熑畏止ぁ孔C券企業(yè)法定代表人對證券企業(yè)信息安全及信息技術管理負最終責任，證券企業(yè)章程應明確以下事項：（一）證券企業(yè)信息技術管理組織架構和決議機構；（二）證券企業(yè)董事長、總經(jīng)理、分管信息技術高級管理人員、信息技術管理部門責任人在信息技術管理工作中職責分工?！緵Q議機構】證券企業(yè)應成立信息技術委員會或指定專門機構（如總經(jīng)理辦公會）負責企業(yè)信息技術計劃、年度信息技術工作計劃和預算、重大信息系統(tǒng)項目立項和上線等關鍵事項審議工作。信息技術委員會或指定專門機構應由企業(yè)總經(jīng)理、分管信息技術高管、分管財務、風控部門高管、合規(guī)總監(jiān)、信息技術管理部門責任人及相關部門責任人等組成，企業(yè)可聘用外部專業(yè)人士擔任信息技術委員會或指定專門機構委員或顧問。【分管高管】證券企業(yè)應指定高級管理人員或設置信息技術總監(jiān)分管企業(yè)信息技術管理工作，信息技術總監(jiān)為證券企業(yè)高級管理人員。分管信息技術管理工作高級管理人員應含有信息技術專業(yè)知識，并含有5年以上從事金融業(yè)信息技術管理或信息技術監(jiān)管工作經(jīng)驗。信息技術總監(jiān)應含有證券企業(yè)高級管理人員任職資格，含有計算機相關專業(yè)大學本科以上學歷，和8年以上從事金融業(yè)信息技術管理或信息技術監(jiān)管工作經(jīng)驗。分管信息技術管理工作高級管理人員或信息技術總監(jiān)不得同時兼任或分管企業(yè)財務、審計及和其職責相沖突職務或部門?！綢T部門職責】證券企業(yè)應設置信息技術管理部門，對證券企業(yè)總部、分支機構信息技術計劃、項目建設、系統(tǒng)運行維護、信息安全、應急演練及應急處理等工作進行集中、統(tǒng)一管理。證券企業(yè)信息技術管理部門應指導并參與審定境內(nèi)控股子企業(yè)信息技術計劃、重大項目建設方案?！綢T計劃】證券企業(yè)應結(jié)合企業(yè)發(fā)展戰(zhàn)略、經(jīng)營方針等制訂信息技術計劃，經(jīng)信息技術委員會或指定專門機構審議，并報董事會同意后實施。信息技術計劃應遵照和企業(yè)發(fā)展相適應標準，定時進行更新?！局贫冉ㄔO】證券企業(yè)應制訂信息技術管理制度和操作步驟。包含內(nèi)容包含但不限于：項目立項及管理、開發(fā)測試、升級變更、系統(tǒng)運維、數(shù)據(jù)管理、信息安全、權限分配、應急處理、信息安全事件調(diào)查處理等方面。證券企業(yè)信息技術管理制度和操作步驟應符合國家、監(jiān)管部門和自律組織相關要求，并依據(jù)實際情況立即修訂?！竞弦?guī)和風控】證券企業(yè)應將合規(guī)管理及風險控制要求貫穿在信息技術管理工作各個步驟。證券企業(yè)合規(guī)管理部門應對企業(yè)信息技術管理制度和操作步驟合規(guī)性把關并監(jiān)督實施，對信息技術管理重大決議和關鍵活動進行合規(guī)性審查，對信息技術管理合規(guī)情況和其有效性進行監(jiān)測和檢驗，立即發(fā)覺、查處、匯報違法違規(guī)行為。證券企業(yè)風險控制部門應對信息系統(tǒng)重大變更、信息安全重大決議、信息安全事故處理等進行事前、事中、事后風險評定和監(jiān)督控制，防范信息技術重大風險。證券企業(yè)可為合規(guī)管理及風險控制部門配置熟悉證券業(yè)務并含有計算機相關專業(yè)學歷工作人員?！緦徲嫻芾怼孔C券企業(yè)應指定企業(yè)內(nèi)部審計部門或委托外部審計機構，定時對企業(yè)及分支機構信息技術管理工作進行審計，企業(yè)總部接收信息技術審計頻率不低于每十二個月一次?！綢T投入】證券企業(yè)信息技術投入應符合監(jiān)管部門及自律組織相關要求。【職員培訓】證券企業(yè)應對業(yè)務人員進行相關業(yè)務信息系統(tǒng)使用和信息安全培訓，業(yè)務人員每十二個月參與培訓時間不少于6課時。第三章信息技術人員管理【人員要求】證券企業(yè)信息技術管理部門責任人應含有計算機相關專業(yè)大專以上學歷或含有8年以上從事證券企業(yè)信息技術管理工作經(jīng)驗。證券企業(yè)從事信息技術管理工作人員數(shù)量應符合監(jiān)管部門及自律組織相關要求?！救藛T培訓】證券企業(yè)應定時組織信息技術管理人員參與職業(yè)操守、合規(guī)和相關專業(yè)技術能力培訓，每十二個月參與培訓時間應不少于12課時?！緧徫粋浞荨孔C券企業(yè)集中交易系統(tǒng)管理、數(shù)據(jù)庫管理、網(wǎng)絡管理、安全管理等關鍵技術崗位應實施雙人雙崗?！緧徫环蛛x】證券企業(yè)從事業(yè)務及管理信息系統(tǒng)開發(fā)、運行維護人員不得從事該項業(yè)務具體操作?！救藛T流動】證券企業(yè)應建立信息技術管理人員任職和離職管理制度，證券企業(yè)應和信息技術管理關鍵崗位及任職期間包含敏感數(shù)據(jù)信息技術人員簽署保密協(xié)議。第四章基礎設施和信息系統(tǒng)基礎要求【基礎要求】證券企業(yè)關鍵信息系統(tǒng)機房建設、機房環(huán)境、供電系統(tǒng)應達成《證券期貨業(yè)信息系統(tǒng)災難備份能力標準》相關要求，并符合監(jiān)管部門及自律組織相關要求。證券企業(yè)信息技術基礎設施能夠采取自建、租賃或外包形式建立，證券企業(yè)采取租賃或外包基礎設施時，除滿足前款所述條件外，還應滿足證券企業(yè)業(yè)務發(fā)展和管理需要，和證券企業(yè)開展內(nèi)、外部審計、監(jiān)管部門及自律組織進行現(xiàn)場檢驗需要?！静际鹞恢谩孔C券企業(yè)用戶、交易、清算、財務、合規(guī)管理、風險控制等關鍵數(shù)據(jù)信息和管理這些信息信息系統(tǒng)應存放并布署在中國境內(nèi)。【處理能力】證券企業(yè)關鍵信息系統(tǒng)處理能力應滿足證券企業(yè)業(yè)務、管理活動正常運行需要?！揪W(wǎng)絡通信】證券企業(yè)網(wǎng)絡通信系統(tǒng)應滿足業(yè)務開展及信息安全需要，應符合國家及行業(yè)相關標準及要求。證券企業(yè)和證券交易所、中國證券登記結(jié)算企業(yè)通信連接應建立備份線路，證券企業(yè)和分支機構之間應建立不一樣運行商、不一樣介質(zhì)通信通道?！緮?shù)據(jù)管理】證券企業(yè)應建立數(shù)據(jù)管理制度，包含不限于分級管理、訪問控制、數(shù)據(jù)安全、數(shù)據(jù)備份等內(nèi)容，并充足利用成熟安全技術確保數(shù)據(jù)保密性、完整性、可用性和可控性。前款所述數(shù)據(jù)是指證券企業(yè)在經(jīng)營和管理中產(chǎn)生信息資源，關鍵包含業(yè)務數(shù)據(jù)、系統(tǒng)數(shù)據(jù)和管理數(shù)據(jù)等?！緜浞菽芰Α孔C券企業(yè)應建立關鍵信息業(yè)務數(shù)據(jù)及關鍵信息系統(tǒng)備份制度，明確備份范圍、頻率、方法、責任人、存放地點、有效性檢驗等內(nèi)容，并符合國家及行業(yè)相關標準及要求?！颈O(jiān)控報警】證券企業(yè)應使用能夠連續(xù)監(jiān)控信息系統(tǒng)性能及運行狀態(tài)，并能夠立即、完整匯報異常情況監(jiān)控報警系統(tǒng)，證券企業(yè)應建立有效機制對監(jiān)控報警信息進行逐日跟蹤和運行評定?！绢A留監(jiān)管接口】證券企業(yè)信息系統(tǒng)應含有可審計功效，并按要求為監(jiān)管部門留有接口及查詢權限。第五章信息系統(tǒng)開發(fā)和運維管理【需求管理】證券企業(yè)應建立并連續(xù)完善用戶需求管理制度及工作步驟，包含但不限于需求提出、分析、評審、變更、跟蹤、用戶確定等步驟。證券企業(yè)應組織信息技術管理部門和相關部門共同對包含證券企業(yè)關鍵信息系統(tǒng)需求進行確定。【系統(tǒng)開發(fā)】證券企業(yè)應對信息系統(tǒng)項目立項、招標、評標、開發(fā)、驗收、運行和維護整個過程實施有效管理，嚴格劃分信息系統(tǒng)開發(fā)、管理和使用職責，防范利益沖突。證券企業(yè)應含有一定自主開發(fā)能力，加強關鍵技術掌控能力建設，防范系統(tǒng)開發(fā)外包風險，滿足企業(yè)發(fā)展需要?！緶y試管理】信息系統(tǒng)上線或變更上線前，應經(jīng)過證券企業(yè)信息技術管理部門及使用部門聯(lián)合測試，使用部門應提供具體完整測試方案及預期測試結(jié)果，信息技術管理部門及使用部門應共同對測試結(jié)果進行統(tǒng)計、評定和確定。【上線及變更管理】證券企業(yè)應建立信息系統(tǒng)上線、系統(tǒng)變更管理相關制度和工作步驟，包含但不限于上線（變更）需求、測試內(nèi)容、結(jié)果確定、系統(tǒng)回歸測試、操作步驟、應急預案及回退方案等方面內(nèi)容。證券企業(yè)應在關鍵信息系統(tǒng)上線或發(fā)生重大變更之前制訂專題實施方案、應急預案和回退方案。信息技術管理部門及使用部門應對變更操作進行事前審查，并統(tǒng)計變更實施過程。實施變更操作人員應嚴格根據(jù)制度及步驟實施，不得私自刪除、修改系統(tǒng)軟件或改變系統(tǒng)配置。證券企業(yè)應在變更實施完成后，對變更結(jié)果進行跟蹤和確定?！救萘抗芾怼孔C券企業(yè)應建立符合證券市場及證券企業(yè)業(yè)務發(fā)展需要和和市場關鍵機構容量相適應系統(tǒng)容量計劃和容量評定機制，容量計劃范圍應包含生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關軟、硬件設備，容量評定應定時進行，立即處理系統(tǒng)容量瓶頸?！具\維管理】證券企業(yè)應加強信息系統(tǒng)運行和維護，按攝影關工作制度、步驟和操作指南要求，立即跟蹤、發(fā)覺和處理系統(tǒng)運行中存在問題，確保信息系統(tǒng)根據(jù)要求程序、制度和操作規(guī)范連續(xù)穩(wěn)定運行。證券企業(yè)應在日常運維管理基礎上，定時對系統(tǒng)進行專題檢驗和維護?！就赓徬到y(tǒng)管理】證券企業(yè)關鍵信息系統(tǒng)軟件選擇和管理應充足考慮安全性、可靠性、穩(wěn)定性和健壯性，使用符合安全要求正版軟件。證券企業(yè)使用操作系統(tǒng)軟件應關閉無須要服務和端口，在充足測試前提下，立即安裝操作系統(tǒng)補丁程序?！臼鹿使芾怼孔C券企業(yè)應建立信息安全事故管理制度和工作步驟，包含但不限于事故描述、類型、等級、影響、原因分析、處理方法及防范方法等方面內(nèi)容。證券企業(yè)發(fā)生信息安全事件后，應立即對事故進行處理、統(tǒng)計和匯報，事后應對事故進行總結(jié)?！救罩玖艉邸孔C券企業(yè)應加強關鍵信息系統(tǒng)及關鍵設備日志管理，設置必需日志統(tǒng)計模塊并建立定時分析日志工作機制。其中，證券企業(yè)集中交易及網(wǎng)上交易系統(tǒng)日志應統(tǒng)計服務請求方身份信息。日志應該能夠滿足各類內(nèi)部和外部審計需要，關鍵信息系統(tǒng)日志應保留1年以上?！就獍铡孔C券企業(yè)在確保系統(tǒng)安全、風險可控前提下，可選擇行業(yè)軟硬件產(chǎn)品或技術服務供給商（以下簡稱“供給商”）提供產(chǎn)品或服務。應該確保選擇軟硬件產(chǎn)品和技術服務符合國家及證券期貨業(yè)信息安全相關技術管理要求和標準。供給商關鍵包含為證券企業(yè)提供軟硬件產(chǎn)品或信息技術服務信息系統(tǒng)集成商、硬件供給商、軟件供給商、系統(tǒng)開發(fā)商、運行服務商及相關代理商等。【供給商選擇】證券企業(yè)選擇供給商應符合監(jiān)管部門資質(zhì)要求，并建立完善供給商選擇標準及業(yè)務步驟，充足評定供給商財務穩(wěn)定性、管理步驟、專業(yè)經(jīng)驗等相關風險，明確雙方權利義務。【協(xié)議管理】證券企業(yè)和供給商簽署協(xié)議應符合監(jiān)管部門及自律組織相關要求，明確雙方權利、義務及責任。協(xié)議內(nèi)容應包含但不限于：（一）在產(chǎn)品開發(fā)和上線期間，供給商應提供完整系統(tǒng)設計方案，定時提供開發(fā)和上線進度計劃、測試結(jié)果等文檔，并對其提供產(chǎn)品或服務在測試及使用過程中問題立即進行跟蹤和修復；（二）在產(chǎn)品正常使用期間，供給商應該負擔技術支持、定時維護、系統(tǒng)健康檢驗及產(chǎn)品使用培訓責任；（三）因產(chǎn)品或服務原因造成證券企業(yè)發(fā)生信息安全事件等情況時，供給商應負擔違約及賠償責任；（四）相關用戶資料等敏感信息保密約定?！竟┙o商管理】證券企業(yè)應對供給商提供產(chǎn)品或服務進行測試驗收，并對其提供產(chǎn)品或服務實施全方面質(zhì)量控制管理。證券企業(yè)應建立定時評定機制和應急方法，有效應對供給商在服務中可能出現(xiàn)重大缺失。重大缺失包含但不限于供給商重大資源損失、重大財務損失、關鍵人員變動，和協(xié)議意外終止等。第六章業(yè)務連續(xù)性管理【業(yè)務連續(xù)性計劃內(nèi)容】證券企業(yè)應依據(jù)本身業(yè)務性質(zhì)、規(guī)模和復雜程度制訂合適業(yè)務連續(xù)性計劃（BusinessContinuityPlanning,縮寫為BCP），以確保在出現(xiàn)無法預見系統(tǒng)故障時，將故障對業(yè)務影響降低到最小。業(yè)務連續(xù)性計劃內(nèi)容應包含但不限于：備份數(shù)據(jù)恢復機制、備份信息系統(tǒng)恢復機制、替換交易方法、應急聯(lián)絡方法、和相關單位通報機制、向監(jiān)管部門匯報機制、業(yè)務連續(xù)性計劃披露和更新機制等。業(yè)務連續(xù)性計劃考慮情形應包含不限于：因自然災難等原因造成機房不可用、機房電力中止；網(wǎng)絡、通信中止或擁堵至不可用；關鍵業(yè)務信息系統(tǒng)軟件、硬件故障；關鍵業(yè)務信息數(shù)據(jù)損毀或遭到破壞等。【業(yè)務連續(xù)性管理】證券企業(yè)應指定關鍵責任人為業(yè)務連續(xù)性計劃第一責任人，負責審批、實施、更新業(yè)務連續(xù)性計劃。證券企業(yè)信息技術委員會或其它專門機構負責對業(yè)務連續(xù)性計劃進行審議。證券企業(yè)應依據(jù)業(yè)務結(jié)構改變、系統(tǒng)升級變更等原因立即更新業(yè)務連續(xù)性計劃，并組織業(yè)務連續(xù)性計劃所包含關鍵崗位及人員定時演練。演練頻率不低于每十二個月1次，演練后應形成演練匯報，演練統(tǒng)計應最少保留2年。【業(yè)務連續(xù)性計劃披露】證券企業(yè)應在證券企業(yè)開戶協(xié)議、證券企業(yè)網(wǎng)站等渠道向用戶提醒業(yè)務連續(xù)性計劃中所包含重大突發(fā)事件可能性，和事件發(fā)生時證券企業(yè)應對方法、用戶可采取替換方法等信息?！臼录憫孔C券企業(yè)發(fā)生信息安全事件后，應立即開啟應急預案，做好相關事件應急處理工作，并根據(jù)要求立即向監(jiān)管部門匯報?！臼鹿收{(diào)查和匯報】證券企業(yè)或分支機構發(fā)生信息安全事件后，證券企業(yè)應根據(jù)監(jiān)管部門及自律組織公布信息安全事故認定標準進行評定認定。對于屬于信息安全事故信息安全事件，證券企業(yè)應成立由合規(guī)部門、內(nèi)部審計部門及信息技術管理部門組成聯(lián)合調(diào)查小組開展調(diào)查處理工作，并于調(diào)查完成后10個工作日內(nèi)將事故經(jīng)過、原因、等級、影響、責任認定和后續(xù)處理方法等情況以書面形式匯報證券企業(yè)或分支機構住所地證監(jiān)局?！矩熑握J定】因信息技術管理制度不健全、違反信息技術管理制度及操作步驟、操作失誤、應急處理不妥等原因造成信息安全事故屬于信息安全責任事故。證券企業(yè)應依據(jù)《證券企業(yè)信息安全事件調(diào)查處理措施》（擬公布）相關要求對信息安全責任事故進行內(nèi)部責任追究，并在采取內(nèi)部責任追究方法10個工作日內(nèi)將相關情況匯報證券企業(yè)住所地證監(jiān)局?！臼潞笳摹孔C券企業(yè)應依據(jù)事故調(diào)查結(jié)論制訂后續(xù)整改計劃，并在事故發(fā)生后1個月內(nèi)將整改計劃匯報住所地證監(jiān)局。證券企業(yè)應在事故發(fā)生后逐月向住所地證監(jiān)局匯報整改完成情況，直至整改完成。信息技術安全管理【基礎設施安全管理】證券企業(yè)應加強服務器等關鍵信息設備管理，建立良好物理環(huán)境，指定專員負責定時檢驗，立即處理異常情況。未經(jīng)授權，任何人不得接觸關鍵信息設備?！揪W(wǎng)絡安全】證券企業(yè)不一樣網(wǎng)段之間應進行有效隔離，證券企業(yè)應綜合利用防火墻、路由器等網(wǎng)絡設備，漏洞掃描、入侵檢測等軟件技術和遠程訪問安全策略等手段，加強網(wǎng)絡安全，防范來自網(wǎng)絡攻擊和非法入侵。【用戶資料保密】證券企業(yè)應做好用戶資料、交易數(shù)據(jù)等電子信息分類、公布、使用、保留、歸檔和銷毀等安全管理工作，防范敏感信息數(shù)據(jù)外泄和不正當使用事件發(fā)生。證券企業(yè)及其職員不得將本企業(yè)投資者個人信息出售或非法提供給她人?！居脩舳吮Ｗo】證券企業(yè)應加強投資者非現(xiàn)場交易終端安全保護,采取身份認證、數(shù)據(jù)傳輸加密等多個安全手段，并建立配套制度和工作步驟，確保信息傳輸保密性、正確性和完整性。【密碼管理】證券企業(yè)應采取加密技術，防范涉密信息在傳輸、處理、存放過程中出現(xiàn)泄漏或被篡改風險，并建立信息系統(tǒng)安全保密和泄密責任追究制度，確保涉密設備、人員、密碼強度、密碼管理滿足國家及行業(yè)相關要求。【權限管理】證券企業(yè)應對信息系統(tǒng)實施有效用戶認證和訪問控制管理，權限管理應遵照最小功效標準及最小權限策略，信息技術人員不得從事業(yè)務相關操作或擁有相關操作權限，不相容職務用戶賬戶不得交叉操作。證券企業(yè)應建立定時檢驗和查對機制，避免授權不妥或存在非授權賬戶，確保系統(tǒng)用戶對數(shù)據(jù)和系統(tǒng)訪權限應和其工作職責相匹配?！静《痉雷o】證券企業(yè)應采取布署防火墻設備、安裝安全軟件等方法防范信息系統(tǒng)受到病毒等惡意軟件感染和破壞，并指定專員定時維護安全設備或軟件，確保其安全可靠?！酒渌嚓P工作】證券企業(yè)應根據(jù)監(jiān)管部門相關要求，配合國家信息安全管理部門做好信息安全相關工作。第八章信息技術審計【內(nèi)部審計】證券企業(yè)應依據(jù)企業(yè)信息技術發(fā)展情況定時開展內(nèi)部信息技術審計。負責內(nèi)部審計部門應設置充足信息技術審計崗位，其中，含有經(jīng)紀業(yè)務資格證券企業(yè)信息技術審計崗位應最少不少于2名。證券企業(yè)可聘用外部信息技術教授幫助開展信息技術審計工作。【外部審計】證券企業(yè)可委托含有良好職業(yè)操守、勤勉盡責、熟悉證券企業(yè)業(yè)務及相關法律法規(guī)，并含有相關資質(zhì)外部審計機構對證券企業(yè)進行信息技術審計?！緦徲嬆繕恕孔C券企業(yè)應經(jīng)過信息技術審計工作，有效提升信息系統(tǒng)運行及安全保障合規(guī)性、有效性和穩(wěn)定性，確保信息系統(tǒng)建設能夠有效滿足企業(yè)日常經(jīng)營、內(nèi)部控制和業(yè)務創(chuàng)新需要?！矩熑畏止ぁ孔C券企業(yè)應指定關鍵責任人為信息技術審計工作第一責任人，稽核部門對信息技術審計工作質(zhì)量負責，信息技術部門和合規(guī)管理部門對信息技術審計工作后續(xù)整改負責。【審計內(nèi)容】證券企業(yè)信息技術全方面審計內(nèi)容應包含但不限于：信息技術治理、信息技術管理制度、信息技術預算實施情況、信息系統(tǒng)計劃建設、信息系統(tǒng)運維管理情況、信息系統(tǒng)安全情況、信息安全事件應急響應和事故處理、應急演練情況、營業(yè)部信息系統(tǒng)管理和其它需要審計事項?！緦徲嬵l率】證券企業(yè)應組織內(nèi)部審計部門進行信息技術全方面審計，頻率不低于每十二個月一次，證券企業(yè)可依據(jù)需要進行信息技術專題審計。發(fā)生重大信息安全事件證券企業(yè)，應在信息安全事件發(fā)生后3個月內(nèi)對其信息系統(tǒng)進行全方面審計?！緦徲媴R報】證券企業(yè)應在每十二個月1月底前向住所地證監(jiān)局報送當年信息技術審計工作計劃。審計工作計劃應包含審計目標、審計內(nèi)容、審計關鍵、審計人員、審計時間安排等。證券企業(yè)應在信息技術審計結(jié)束后20個工作日內(nèi)形成審計匯報并報送住所地證監(jiān)局。審計匯報應最少包含審計工作實施情況、對企業(yè)信息系統(tǒng)運行和安全保障總體評價、存在問題及整改意見等，審計匯報應附審計工作底稿?！竞罄m(xù)整改】證券企業(yè)應依據(jù)審計中發(fā)覺問題及意見，在不影響信息系統(tǒng)穩(wěn)定運行情況下，制訂合理、可行整改方法及實施步驟。第九章監(jiān)督管理【企業(yè)及分支機構設置】申請設置證券企業(yè)或分支機構時，相關單位應向中國證監(jiān)會提交信息技術管理相關材料，包含不限于組織架構、管理制度、基礎環(huán)境建設情況、關鍵信息系統(tǒng)建設及測試驗收匯報、業(yè)務連續(xù)性計劃、信息技術責任人介紹等。中國證監(jiān)會及派出機構應對信息技術基礎環(huán)境建設、關鍵信息系統(tǒng)運行及人員、制度準備情況進行現(xiàn)場核查，并出具現(xiàn)場核查匯報?！驹黾訕I(yè)務種類】證券企業(yè)申請增加業(yè)務種類時，應該向中國證監(jiān)會提