证券基金经营机构信息技术管理办法(证券公司和证券投资基金管理公司合规管理办法)
证券公司和证券投资基金管理公司合规管理办法
第一章 总则第一条 为了促进证券公司和证券投资基金管理公司加强内部合规管理,实现持续规范发展,根据《中华人民共和国公司法》《中华人民共和国证券法》《中华人民共和国证券投资基金法》和《证券公司监督管理条例》,制定本办法。第二条 在中华人民共和国境内设立的证券公司和证券投资基金管理公司(以下统称证券基金经营机构)应当按照本办法实施合规管理。 本办法所称合规,是指证券基金经营机构及其工作人员的经营管理和执业行为符合法律、法规、规章及规范性文件、行业规范和自律规则、公司内部规章制度,以及行业普遍遵守的职业道德和行为准则(以下统称法律法规和准则)。 本办法所称合规管理,是指证券基金经营机构制定和执行合规管理制度,建立合规管理机制,防范合规风险的行为。 本办法所称合规风险,是指因证券基金经营机构或其工作人员的经营管理或执业行为违反法律法规和准则而使证券基金经营机构被依法追究法律责任、采取监管措施、给予纪律处分、出现财产损失或商业信誉损失的风险。第三条 证券基金经营机构的合规管理应当覆盖所有业务,各部门、各分支机构、各层级子公司和全体工作人员,贯穿决策、执行、监督、反馈等各个环节。第四条 证券基金经营机构应当树立全员合规、合规从管理层做起、合规创造价值、合规是公司生存基础的理念,倡导和推进合规文化建设,培育全体工作人员合规意识,提升合规管理人员职业荣誉感和专业化、职业化水平。第五条 中国证券监督管理**会(以下简称中国证监会)依法对证券基金经营机构合规管理工作实施监督管理。中国证监会派出机构按照授权履行监督管理职责。 中国证券业协会、中国证券投资基金业协会等自律组织(以下简称协会)依照本办法制定实施细则,对证券基金经营机构合规管理工作实施自律管理。第二章 合规管理职责第六条 证券基金经营机构开展各项业务,应当合规经营、勤勉尽责,坚持客户利益至上原则,并遵守下列基本要求: (一)充分了解客户的基本信息、财务状况、投资经验、投资目标、风险偏好、诚信记录等信息并及时更新。 (二)合理划分客户类别和产品、服务风险等级,确保将适当的产品、服务提供给适合的客户,不得欺诈客户。 (三)持续督促客户规范证券发行行为,动态监控客户交易活动,及时报告、依法处置重大常行为,不得为客户违规从事证券发行、交易活动提供便利。 (四)严格规范工作人员执业行为,督促工作人员勤勉尽责,防范其利用职务便利从事违法违规、超越权限或者其他损害客户合法权益的行为。 (五)有效管理内幕信息和未公开信息,防范公司及其工作人员利用该信息买卖证券、建议他人买卖证券,或者泄露该信息。 (六)及时识别、妥善处理公司与客户之间、不同客户之间、公司不同业务之间的利益冲突,切实维护客户利益,公平对待客户。 (七)依法履行关联交易审议程序和信息披露义务,保证关联交易的公允性,防止不正当关联交易和利益输送。 (八)审慎评估公司经营管理行为对证券市场的影响,采取有效措施,防止扰乱市场秩序。第七条 证券基金经营机构董事会决定本公司的合规管理目标,对合规管理的有效性承担责任,履行下列合规管理职责: (一)审议批准合规管理的基本制度; (二)审议批准年度合规报告; (三)决定解聘对发生重大合规风险负有主要责任或者领导责任的高级管理人员; (四)决定聘任、解聘、考核合规负责人,决定其薪酬待遇; (五)建立与合规负责人的直接沟通机制; (六)评估合规管理有效性,督促解决合规管理中存在的问题; (七)公司章程规定的其他合规管理职责。第八条 证券基金经营机构的监事会或者监事履行下列合规管理职责: (一)对董事、高级管理人员履行合规管理职责的情况进行监督; (二)对发生重大合规风险负有主要责任或者领导责任的董事、高级管理人员提出罢免的建议; (三)公司章程规定的其他合规管理职责。第九条 证券基金经营机构的高级管理人员负责落实合规管理目标,对合规运营承担责任,履行下列合规管理职责: (一)建立健全合规管理组织架构,遵守合规管理程序,配备充足、适当的合规管理人员,并为其履行职责提供充分的人力、物力、财力、技术支持和保障; (二)发现违法违规行为及时报告、整改,落实责任追究; (三)公司章程规定或者董事会确定的其他合规管理职责。
基金业协会关于信息披露的规定?
答,基金信息披露人应当在中国证监会规定的时间内,将应予披露的基金信息通过中国证监会指定的全国性报刊及指定互联网网站等媒介披露,并保证投资者能够按照基金合同约定的时间和方式查阅或者复制公开披露的信息资料。
基金份额在证券交易所上市交易的,基金信息披露人还应当根据证券交易所的自律管理规则披露基金信息。
根据《证券基金经营机构信息技术管理办法》,下列说法正确的有()。I证券公司董事会应当履行的职责包括审议信息技术战略...
A
证监*是什么啊?
证监*就是证券监控*,是国家机关单位。
主要职责是:贯彻执行国家的有关法律法规和方针政策,按照中国证监会的规定对辖区内上市公司、非上市公众公司、证券期货基金经营机构、私募基金、证券投资咨询机构及具有证券期货相关业务许可证的律师事务所、会计师事务所、资产评估机构等中介机构的证券期货业务活动进行监督管理;防范和处置辖区有关市场风险;依法查处辖区内监管范围的违法违规案件;调解辖区证券期货业务纠纷和争议,开展证券期货投资者教育和保护工作,联合有关部门依法打击辖区非法证券期货活动;履行法律、行政法规规定和中国证监会授权的其他职责。
《证券基金经营机构信息技术管理办法》初步解读
证监会本月21日发布《证券基金经营机构信息技术管理办法》(以下简称《管理办法》)。在征求意见稿出炉一年半后,《管理办法》正式落地,正式版本分七章共六十四条。
这份文件作为行业信息技术监管的法律依据,对证券公司和基金管理公司有重要意义。绿盟科技通过详细比对《管理办法》正式版本与征求意见稿的差异,归纳出六个关注亮点。
关注点一适用范围覆盖全面
《管理办法》适用对象不仅包含证券公司和基金管理公司,且囊括为证券基金业务活动提供信息技术服务的机构。相较征求意见稿,正式版本补充中证信息的职能定位,是在证监会指导下制定相关配套业务规则,协助开展信息技术相关备案、监测、检测和检查等工作。
关注点二纳入风险体系,实现全面治理
经营机构应当完善信息技术运用过程中的权责分配机制,建立健全信息技术管理体系。《管理办法》将信息技术治理与企业治理统一高度,自上而明确了公司各层各部门条线的信息技术职责,强调必须设立信息技术治理**会及首席信息官,具体可参照下图所示:
关注点三 确保风险管理有效覆盖
经营机构应当为合规与风险管理部门配备与业务活动规模、复杂程度相适应的信息技术资源,并建立相应的审查、监测和检查机制。正式版本明确要求风险管理系统功能完备、权限清晰,能够与业务系统同步上线运行。
经营机构应当定期开展信息技术管理工作专项审计,频率不低于每年一次,确保三年内完成信息技术管理全部事项的审计工作,包括但不限于信息技术治理、信息技术合规与风险管理、信息技术安全管理、应急管理。正式版本增补要求,经营机构需委托外部专业机构开展信息技术管理工作的全面审计,频率不低于每三年一次。
关注点四不断提升数据使用价值
经营机构满足业务需求开展测试工作,允许在必要安全控制措施下使用未脱敏数据。正式版本提出开发测试环境使用未脱敏数据的,应当采取与生产环境同等的安全控制措施。经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。在生产环境开展重要信息系统技术或业务测试的,应对测试流程及结果进行审查。
在开展数据安全管理基础上,需不断提升数据使用价值。正式版本提出经营机构应当充分挖掘、梳理和分析数据内容,提高管理精细化程度,在业务经营、风险管理与内部控制中加强数据应用,实现同一客户、同类业务统一管理,充分发挥数据价值。
关注点五应急处置能力建设
经营机构应当根据系统变更、业务变化等情况,持续更新应急预案。根据应急预案定期组织关键岗位人员开展应急演练,演练频率不低于每年一次,并确保应急演练在两年内覆盖全部重要信息系统。
关注点六明确过渡安排,量化违规处罚
这份文件将于2019年6月1日起实施。各类主体在本办法实施之日起半年内将已投产的重要信息系统所在机房、证券基金交易相关信息系统等相关情况报送证监会。
《管理办法》量化违规处罚,其中对于公司治理混乱的,内控失效的,可采取的措施包含责令暂停部分或全部业务、责令更换董事、监事、高级管理人员或者限制其权利等行政监管措施。
总结
《管理办法》引导证券基金经营与服务机构在依法合规、有效防范风险的前提下,持续强化现代信息技术对证券基金业务活动的支撑作用。绿盟科技将结合行业经验全面学习分析《管理办法》内容,后续分享对这份文件深入理解和解决方案,如有需要,请联系我司当地客户经理。
证券投资基金托管业务管理办来自法(2020)
第一章 总则一、落实中美经贸协议,允许符合条件的外国银行在华分行申请基金托管资格 (一)取消基金托管银行必须为法人的限制 删除《托管办法》附则条文“本办法适用境内法人商业银行及境内依法设立的其他金融机构”中“法人”的表述;允许外国银行在华分行净资产等财务指标按照境外总行计算。 (二)引进优质外国银行 明确境外总行应当具有完善的内部控制机制,具备良好的国际声誉和经营业绩,近3年基金托管业务规模、收入、利润、市场占有率等指标居于国际前列,近3年长期信用均保持在高水平;所在国家或者地区具有完善的证券法律和监管制度,相关金融监管机构已与中国证监会或者中国证监会认可的机构签定证券监管合作谅解备忘录,并保持着有效的监管合作关系。 (三)强化配套风险管控机制 明确外国银行分行的民事责任由总行承担,并在基金合同、招募说明书、托管协议等法律文件中约定总行履行的各项义务;要求外国银行总行根据分行托管规模,建立相应的流动性支持机制。二、完善监管安排,防范基金托管业务风险 (一)完善基金托管人净资产准入标准 为有效保证申请人抗风险能力,在现行规则对基金托管人20亿元净资产和结算参与人400亿元净资产要求的基础上,将托管和结算分开,将基金托管人净资产要求调整为200亿元。 (二)强化监管要求与责任追究 结合近年来监管实践,强化托管人风险管理要求:一是加强对基金托管业务集中统一管理,不得以承包、转委托等方式开展基金托管业务。二是强化持续合规要求等。三是丰富行政监管措施种类,明确基金托管人及相关人员违反本办法规定的,中国证监会及其派出机构可以采取责令改正、监管谈话、出具警示函、责令定期报告、暂不受理与行政许可有关的文件等行政监管措施。三、进一步落实“放管服”改革要求,简化申请材料优化审批程序 简化申请材料并优化审批程序,删除审核环节对申请人筹建情况的现场检查安排,改为“先批后筹”。 四、统一商业银行与其他金融机构准入标准与监管要求 将《非银行金融机构开展证券投资基金托管业务暂行规定》(证监会公告〔2013〕15号)整合并入《托管办法》,商业银行及其他金融机构从事托管业务统一适用,同时废止《非银行金融机构开展证券投资基金托管业务暂行规定》。第四条 基金托管人应当遵守法律法规的规定以及基金合同和基金托管协议的约定,恪守职业道德和行为规范,诚实信用、谨慎勤勉,为基金份额持有人利益履行基金托管职责。第五条 基金托管人的基金托管部门高级管理人员和其他从业人员应当忠实、勤勉地履行职责,不得从事损害基金财产和基金份额持有人利益的证券交易及其他活动。第六条 中国证监会、中国银行保险监督管理**会(以下简称中国银保监会)依照法律法规和审慎监管原则,对基金托管人及其基金托管业务活动实施监督管理。第七条 中国证券投资基金业协会依据法律法规和自律规则,对基金托管人及其基金托管业务活动进行自律管理。第二章 基金托管机构第八条 申请基金托管资格的商业银行及其他金融机构(以下简称申请人),应当具备下列条件: (一)净资产不低于200亿元人民币,风险控制指标符合监管部门的有关规定; (二)设有专门的基金托管部门,部门设置能够保证托管业务运营的完整与独立; (三)基金托管部门拟任高级管理人员符合法定条件,取得基金从业资格的人员不低于该部门员工人数的1/2;拟从事基金清算、核算、投资监督、信息披露、内部稽核监控等业务的执业人员不少于8人,并具有基金从业资格,其中,核算、监督等核心业务岗位人员应当具备2年以上托管业务从业经验; (四)有安全保管基金财产、确保基金财产完整与独立的条件; (五)有安全高效的清算、交割系统; (六)基金托管部门有满足营业需要的固定场所、配备独立的安全监控系统; (七)基金托管部门配备独立的托管业务技术系统,包括网络系统、应用系统、安全防护系统、数据备份系统; (八)有完善的内部稽核监控制度和风险控制制度; (九)最近3年无重大违法违规记录; (十)法律、行政法规规定的和经***批准的中国证监会规定的其他条件。 外国银行分行申请基金托管资格,净资产等财务指标可按境外总行计算;其境外总行应当具有完善的内部控制机制,具备良好的国际声誉和经营业绩,近3年基金托管业务规模、收入、利润、市场占有率等指标居于国际前列,近3年长期信用均保持在高水平;所在国家或者地区具有完善的证券法律和监管制度,相关金融监管机构已与中国证监会或者中国证监会认可的机构签定证券监管合作谅解备忘录,并保持着有效的监管合作关系。
证券基金经营机构信息技术管理办法
第一章 总则第一条 为加强证券基金经营机构信息技术管理,障证券基金行业信息系统安全、合规运行,护投资者合法权益,根据《证券法》、《证券投资基金法》、《证券公司监督管理条例》等法律法规,制定本办法。第二条 证券基金经营机构借助信息技术手段从事证券基金业务活动,信息技术服务机构为证券基金业务活动提供信息技术服务,适用本办法。第三条 本办法所称证券基金经营机构,是指经中国证监会批准在境内设立的证券公司和管理公开募集基金的基金管理公司(以下简称基金管理公司)。 本办法所称信息技术服务机构,是指为证券基金业务活动提供信息技术服务的机构。信息技术服务的范围如下: (一)重要信息系统的开发、测试、集及测评; (二)重要信息系统的运维及日常安全管理; (三)中国证监会规定的其他情形。 以上机构统称证券基金经营与服务机构。第四条 证券基金经营机构是从事证券基金业务活动的责任主体,应当障充足的信息技术投入,在依法合规、有效防范风险的前提下,充分拦尺利用现代信息技术手段完善客户服务体系、改进业务运营模式、提升内部管理水平、增强合规风控能力,持续强化现代信息技术对证券基金业务活动的支撑作用。第五条 中国证监会及其派出机构依法对证券基金经营与服务机构借助信息技术手段从事证券基金业务活动或提供相关服务实施简陵高监督管理。 中国证券业协会及中国证券投资基金业协会依照本办法制定和完善相关自律规则,对证券基金经营机构借助信息技术手段从事证券基金业务活动或提供相关服务实施自律管理。 中证信息技术服务有限责任公司(以下简称中证信息)在中国证监会指导下制定相关配套业务规则,协助开展信息技术相关备案、监测、检测和检查等工作。第二章 信息技术治理第六条 证券基金经营机构应当完善信息技术运用过程中的权责分配机制,建立健全信息技术管理制度和操作流程,障与业务活动规模及复杂程度相适应的信息技术投入水平,持续满足信息技术资源的可用性、安全性与合规性要求。第七条 证券基金经营机构董事会负责审议本公司的信息技术管理目标,对信息技术管理的有效性承担责任,履行下列职责: (一)审议信息技术战略,确与本公司的发展战略、风险管理策略、资本实力相一致; (二)建立信息技术汪裤人力和资金障方案; (三)评估年度信息技术管理工作的总体效果和效率; (四)公司章程规定的其他信息技术管理职责。第八条 证券基金经营机构经营管理层负责落实信息技术管理目标,对信息技术管理工作承担责任,履行下列职责: (一)组织实施董事会相关决议; (二)建立责任明确、程序清晰的信息技术管理组织架构,明确管理职责、工作程序和协调机制; (三)完善绩效考核和责任追究机制; (四)公司章程规定或董事会授权的其他信息技术管理职责。第九条 证券基金经营机构应当在公司管理层下设立信息技术治理**会或指定专门**会(以下统称信息技术治理**会)负责制定信息技术战略并审议下列事项: (一)信息技术规划,包括但不限于信息技术建设规划、信息安全规划、数据治理规划等; (二)信息技术投入预算及分配方案; (三)重要信息系统建设或重大改造立项、重大变更方案; (四)信息技术应急预案; (五)使用信息技术手段开展相关业务活动的审查报告以及年度评估报告; (六)信息技术治理**会**提请审议的事项; (七)其他对信息技术管理产生重大影响的事项。 信息技术治理**会应当由高级管理人员以及合规管理部门、风险管理部门、稽核审计部门、主要业务部门、信息技术管理部门等部门负责人组,可聘请外部专业人员担任信息技术治理**会**或顾问。第十条 证券基金经营机构应当指定一名熟悉证券、基金业务,具有信息技术相关专业背景、任职经历、履职能力的高级管理人员为首席信息官,由其负责信息技术管理工作,并具备下列任职条件: (一)从事信息技术相关工作十年以上,其中证券、基金行业信息技术相关工作年限不少于三年;或者在证券监管机构、证券基金业自律组织任职八年以上; (二)最近三年未被金融监管机构实施行政处罚或采取重大行政监管措施; (三)中国证监会规定的其他条件。
《证券基金经营机构信息技术管理办法》(2018)
发布
为维护资本市场安全稳定运行,保护投资者合法权益,引导证券基金经营机构(以下简称经营机构)在依法合规、有效防范风险的前提下,持续强化现代信息技术对证券基金业务活动的支撑作用,证监会近日发布《证券基金经营机构信息技术管理办法》(以下简称《管理办法》),自2019年6月1日起实施。《管理办法》于2017年5月5日至6月4日向社会公开征求意见。征求意见过程中,金融机构、行业自律组织、专家学者、社会公众和有关**部门给予了广泛关注。证监会对反馈意见逐条进行认真研究,充分吸收合理意见,并相应修改完善了《管理办法》。
主要内容
参考链接
证监会【第152号令】《证券基金经营机构信息技术管理办法》
--------------------------上海证券交易所为证券公司、基金管理公司等市场参与者及相关行业机构提供交易技术支持与服务,包括日常交易技术支持、技术交流研讨、市场调查反馈、证券信息技术知识库、测试等服务。
点击"阅读全文"了解详情
数据电文的管理?
一、资产管理产品电子合同系统资产管理产品电子合同系统是中国证券登记结算有限责任公司为适应市场需求而开发的电子合同系统,于2009年上线,将管理人、托管人、推广机构与投资者原本需要通过纸质形式签订的资管合同电子化,通过电子合同系统为资产管理产品提供电子合同的流转、保管及查询服务。系统中的主要产品包括但不限于券商的集合计划、专项计划,基金公司及其子公司的专户产品等。二、中国结算的指引和协议文本2014年11月24日,中国证券登记结算有限责任公司为了进一步规范对资产管理产品电子签名合同的管理,发布了《关于发布中国证券登记结算有限责任公司资产管理产品电子合同业务指引及相关协议文本的通知》。共五份附件:《中国证券登记结算有限责任公司资产管理产品电子合同业务指引》《资产管理计划电子合同业务服务协议(管理人适用)》《资产管理计划电子合同业务服务协议(托管人适用)》《资产管理产品电子合同业务服务协议(推广机构适用)》《资产管理计划电子合同业务服务补充协议(管理人适用)》。三、《证券基金经营机构信息技术管理办法》的规定2018年12月19日,中国证券监督管理委员会公布、自2019年6月1日起施行的《证券基金经营机构信息技术管理办法》(证监会令【第152号】)的第十九条规定:证券基金经营机构使用电子合同从事证券基金业务活动的,应当将电子合同存储在指定的信息系统,并提供可供投资者及合同其他相关方查询、下载的公开渠道。四、《私募投资基金服务业务管理办法(试行)》的规定2017年3月1日,中国证券投资基金业协会发布的《私募投资基金服务业务管理办法(试行)》第四十三条规定:【销售系统服务要求】提供销售系统的服务机构应与私募基金管理人签署书面服务协议明确双方的权利和义务。销售系统涉及基金电子合同平台的,私募基金管理人在基金募集中应依法承担的投资者适当性和真实性核查等责任不因签署电子合同平台的外包协议而免除。五、《证券期货投资者适当性管理办法》的规定2016年12月12日中国证券监督管理委员会令第130号公布、自2017年7月1日起施行的《证券期货投资者适当性管理办法》第二十五条规定:经营机构通过营业网点向普通投资者进行本办法第十二条、第二十条、第二十一条和第二十三条规定的告知、警示,应当全过程录音或者录像;通过互联网等非现场方式进行的,经营机构应当完善配套留痕安排,由普通投资者通过符合法律、行政法规要求的电子方式进行确认。六、《中华人民共和国合同法》的规定1999年3月15日第九届全国人民代表大会第二次会议通过、中华人民共和国主席令(第十五号)公布、自1999年10月1日起施行的《中华人民共和国合同法》第十一条规定:【书面形式】书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。七、《中华人民共和国电子商务法》的规定2018年8月31日第十三届全国人民代表大会常务委员会第五次会议通过的《中华人民共和国电子商务法》的“第三章电子商务合同的订立与履行”的有关规定:第四十八条电子商务当事人使用自动信息系统订立或者履行合同的行为对使用该系统的当事人具有法律效力。在电子商务中推定当事人具有相应的民事行为能力。但是,有相反证据足以推翻的除外。第四十九条电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。八、《国务院关于大力发展电子商务加快培育经济新动力的意见》的规定2015年05月07日发布的《国务院关于大力发展电子商务加快培育经济新动力的意见》(国发〔2015〕24号)的规定:(十六)规范网络化金融服务新产品。鼓励证券、保险、公募基金等企业和机构依法进行网络化创新,完善互联网保险产品审核和信息披露制度,探索建立适应互联网证券、保险、公募基金产品销售等互联网金融活动的新型监管方式。规范保险业电子商务平台建设,研究制定电子商务涉及的信用保证保险的相关扶持政策,鼓励发展小微企业信贷信用保险、个人消费履约保证保险等新业务,扩大信用保险保单融资范围。完善在线旅游服务企业投保办法。(二十四)确保电子商务交易安全。研究制定电子商务交易安全管理制度,明确电子商务交易各方的安全责任和义务。建立电子认证信任体系,促进电子认证机构数字证书交叉互认和数字证书应用的互联互通,推广数字证书在电子商务交易领域的应用。建立电子合同等电子交易凭证的规范管理机制,确保网络交易各方的合法权益。加强电子商务交易各方信息保护,保障电子商务消费者个人信息安全。九、《网络交易管理办法》的规定2014年1月26日国家工商行政管理总局令第60号公布、自2014年3月15日起施行的《网络交易管理办法》规定:第三十条第三方交易平台经营者应当审查、记录、保存在其平台上发布的商品和服务信息内容及其发布时间。平台内经营者的营业执照或者个人真实身份信息记录保存时间从经营者在平台的登记注销之日起不少于两年,交易记录等其他信息记录备份保存时间从交易完成之日起不少于两年。第三方交易平台经营者应当采取电子签名、数据备份、故障恢复等技术手段确保网络交易数据和资料的完整性和安全性,并应当保证原始数据的真实性。十、《电子认证服务管理办法》的规定2005年2月8日信息产业部令第35号公布、自2005年4月1日起施行的《电子认证服务管理办法》,多条内容对电子认证服务行为进行了详细的规范,要求在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务的均适用本办法。
《证券基金经营机构信息技术管理办法》解读
证监会于2018年12月发布《证券基金经营机构信息技术管理办法》(以下简称《管理办法》),正式版本分七章共六十四条。这份文件作为行业信息技术监管的法律依据,对证券公司、基金管理公司和行业信息技术服务机构都有重要意义。
新符之时,与企业信息安全管理人员聊的最多的就是安全规划话题。金融企业关心最多的仍然是行业监管新要求和专项通知如何在新一年度的安全规划内覆盖和落地。对于证券基金企业,近期少不了有关《管理办法》解读与应对。依据证监会、证券业协会发布的多项相关监管要求,结合行业信息安全风险趋势,本文如下在信息技术安全建设、数据治理、应急处理能力建设方面提出应对思路。
信息技术安全建设—安全域划分、漏洞管理、投产变更、防护能力
首先优化网络结构,定义安全域,采用防火墙进行逻辑隔离,对进出IP地址、端口等进行严格控制。明晰重要信息系统定义,采取有效漏洞管理措施,减少高危漏洞数量。以重要信息系统为主线,制定系统投产、变更和下线方案。通过部署抗拒绝服务攻击、网络入侵防护和恶意程序防护措施提高基础安全水平,进而可适时采取网络全流量分析技术、持续监测与防护等措施,应对高级别攻击。
1、理顺系统架构
经营机构进行安全域划分可以帮助理顺网络和应用系统的架构,使得信息系统的逻辑结构更加清晰,从而更便于进行运行维护和各类安全防护的设计。
2、简化网络架构复杂度
基于安全域的保护实际上是一种工程方法,它极大的简化了系统的防护复杂度:由于属于同一安全域的信息资产具备相同的IT要素,因此可以针对安全域而不是信息资产来进行防护,这样会比基于资产的保护更易实施。
3、简单快速的漏洞处置过程
执行漏洞闭环管理,漏洞修复并验证是漏洞处置过程最重要一个环节。不仅部署漏扫工具发现漏洞,同时需要引入机制对漏洞进行验证,比如通过资产梳理掌握自有软硬件资产情况做到有的放矢,再如采取帐号登陆扫描获得漏扫结果从而降低误报率。建议采用技术平台提供漏洞处置流程,包括确定漏洞加固方法(补丁、替代措施、漏洞规避)、漏洞修复反馈、漏洞验证发起和结果反馈等。因为漏洞闭环管理更专注于漏洞管理工作,使得漏洞修复责任人能在第一时间了解修复任务与工作要求,大大加快整个漏洞修复速度,降低修补过程的专业门槛。
4、降低系统投产变更引入的安全风险
经营机构建立系统投产变更内容评审和审批授权机制,在系统上线前采取综合安全评估,通常包含漏洞扫描、配置检查、渗透测试和代码审计。各项评估发现的安全问题能够及时得到整改,进而降低系统投产变更引入的安全风险。
5、提高信息安全防护能力
主要依据信息安全策略及行业发展动态,在对信息安全现状进行风险评估、差距分析的基础上部署安全防护措施,如遵循金融行业等级保护标准三级要求,需部署防火墙、入侵检测/防御设备、堡垒机和审计类产品。
建立信息安全检测指标及检测机制,企业信息安全人员掌握设备基础操作。规模较大的经营机构构建态势感知、持续监测、事件回溯等全面安全监测,辅以第三方驻场值守。
信息技术安全方面,牢记以重要信息系统为主线,构建合规、适用、高效的信息安全技术框架。
数据治理—企业数据文化建设、数据分类分级、数据保护措施
证券业协会2018年一项调研显示,多数证券公司已经在数据治理方面开展了一定程度的建设,大部分证券公司已初步建立了数据治理相关的组织架构、不同程度地建立了对于数据质量的管控机制、制定了公司层面的数据治理战略规划。合理推测,基金管理公司的数据治理工作也处在相近管理水平。
据此,提出符合行业现状的四个建议说明如下:
1、完善企业数据治理架构,推进数据文化建设
良好的组织架构可以理顺各部门间的数据管理协作关系,保障管理机制有效执行,提供数据管理制度落地实施。主动积极的数据文化能够提升员工数据安全意识,改变员工工作方式和习惯,从而降低客户资料泄露风险。
2018年11月证券业协会发布《证券公司数据治理操作指引(征求意见稿)》(以下简称《指引》)。《指引》第五条要求“证券公司应当成立数据治理的最高议事、决策机构——数据治理委员会”。考虑经营机构实际情况,可将信息技术治理、数据治理与企业治理统一高度,建议通过扩充信息技术治理委员会数据治理职能达到合规目的,明确数据角色,在机构中设立数据治理归口管理部门全局管理执行数据相关工作,并在各业务部门设立数据治理工作相关的专岗或兼岗。同时,将数据安全风险管控要求纳入到经营机构现有风险管理体系,约束和规范数据安全管理工作。
2、完善数据管理制度
借鉴国内同业和国外相关领域的领先实践,建议经营机构编制数据标准化规范、数据质量管理、数据生命周期管理、数据安全管理要求,以及可供经营机构落地实施的数据安全评估流程和评估方法。
3、精细化数据分类分级
金融数据范围广且数据量巨大,现有措施大多为一刀切管理,未对数据进行精细化分级分类,影响业务价值的体现,同时也影响数据安全保护。2018年9月证监会发布《证券期货业数据分类分级指引》,要求经营机构有效汇总并整理数据范围,建立数据分类体系,明确数据重要程度等级。
经营机构首要防护数据类别是客户数据。《信息安全技术个人信息安全规范》(GB/T35273—2017)(以下简称《个人信息安全规范》)是我国个人信息保护工作的基础性标准文件,于2018年5月1日正式实施的一部关于我国公民个人隐私安全保护重磅技术标准。虽然《个人信息安全规范》没有直接规定法律责任,但完全可以作为评判企业是否履行了《网络安全法》中个人信息保护义务的依据,如果需要进行处罚,可适用《网络安全法》中的罚则。依据《个人信息安全规范》定义,个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。这类信息一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等情况发生。
为了帮助信息安全人员着手开展数据分类分级,本文列出目前采用较多的数据安全梳理方法是全生命周期管理法。数据生命周期管理是一种基于策略的方法,用于管理信息系统的数据在整个生命周期内的流动,包含对数据的产生、使用、迁移、清理、销毁。通过对数据进行整体生命周期梳理,由此发现数据在各个阶段的脆弱点及面临的潜在威胁。例如,金融机构工商银行构建数据分层的数据架构体系(数据采集层、数据集成层、指标模型层、管理操作层),运用数据生命周期管理,将应用系统按产品线进行划分,并对各产品线的数据类别进行识别,且明确各类数据的数据有效期。保障数据安全,促进各应用系统信息高度共享,充分发挥数据价值。
4、有效降低数据安全风险
金融行业由于自身业务及数据信息的高价值属性,近年来已成为各类信息安全事件重灾区。如若经营机构的数据保护措施较薄弱、现有防护系统未关注数据威胁警示,都将加剧数据泄漏风险。因而,适当采取数据防护技术,根据不同类别和级别作出差异化数据管理。
《管理办法》指出在开展数据安全管理基础上,需不断提升数据使用价值。在生产环境开展重要信息系统技术或业务测试的,应对测试流程及结果进行审查。本文参考《个人信息安全规范》提供匿名化(anonymization)方法生成脱敏数据。匿名化通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原(其是指可再次识别)的过程。
数据治理方面,完善企业数据治理架构推进数据文化建设,完善数据管理管理制度,精细化数据分类分级,进而采用数据防护技术降低数据安全风险。《个人信息安全规范》值得经营机构学习和关注。
应急处置能力建设—达成数据备份能力、建立应急预案、开展应急演练
1、达成数据备份能力
《证券期货经营机构信息系统备份能力标准》(JR/T0059—2010)(以下简称《备份能力标准》)是我国金融行业标准,由证监会发布。《管理办法》提及的信息系统备份能力等级要求引自《备份能力标准》,明确要求达成数据备份能力和故障应对能力(RTO/RPO)。
等级
数据备份能力
故障应对能力
第一级
1.至少每天备份数据一次;
2.备份介质应当在本地机房、同城及异地安全可靠存放;
3.每季度至少对数据备份进行一次有效性验证。
—
第二级
1.至少每天备份数据一次;
2.备份介质应当在本地机房、同城及异地安全可靠存放;
3.每季度至少对数据备份进行一次有效性验证。
1.信息系统恢复时间目标RTO小于1小时;
2.信息系统恢复点目标RPO小于5分钟;
3.备份系统具有满足业务需求的处理能力。
第三级
1.至少每天备份数据一次;
2.备份介质应当在本地机房、同城及异地安全可靠存放;
3.每季度至少对数据备份进行一次有效性验证。
1.信息系统恢复时间目标RTO小于30分钟;
2.信息系统恢复点目标RPO小于1分钟;
3.备份系统具有满足业务需求的处理能力。
第四级
1.至少每天备份数据一次;
2.备份介质应当在本地机房、同城及异地安全可靠存放;
3.每季度至少对数据备份进行一次有效性验证。
1.信息系统恢复时间目标RTO小于5分钟;
2.信息系统恢复点目标RPO小于30秒;
3.备份系统具有满足业务需求的处理能力。
证券期货经营机构信息系统备份能力表(节选)
2、建立应急预案
《证券期货行业信息系统运维管理规范》(JR/T0099-2012)是我国金融行业标准,由证监会发布,其指导经营机构做好信息安全事件应急预案制定、应急演练和培训等各项应急准备工作以及事件应急处置、调查处理工作。经营机构信息系统备份策略的制定和实现,备份设施的规划、建设与管理,可参照《信息系统灾难恢复规范》(GB/T20988-2007)实施。《证券期货业信息安全事件报告与调查处理办法》(证监会公告[2012]46号),明确了信息安全事件的报告要求与方式、分级标准、调查处理的要求、责任认定的原则和相应的处罚措施。
3、开展应急演练
经营机构应当根据系统变更、业务变化等情况,持续更新应急预案。根据应急预案定期组织关键岗位人员开展应急演练。规模较大的经营机构,可组织业务部门、技术支撑部门、风险管理等相关内部部门共同进行应急演练。
应急管理方面,根据行业监管要求,达成数据备份能力建设,应急预案定期组织关键岗位人员开展应急演练,演练频率不低于每年一次,以保障应急预案的时效性,确保应急演练在两年内覆盖全部重要信息系统,提高演练熟练程度,最大限度降低数据安全带来的业务风险。
结语
《管理办法》引导证券基金经营与服务机构在依法合规、有效防范风险的前提下,持续强化现代信息技术对证券基金业务活动的支撑作用。《管理办法》将于2019年6月1日起实施。为了信息安全人员第一时间着手合规应对工作,笔者从信息安全厂商角度详细解读《管理办法》,并给出经营机构在信息技术安全建设、数据治理、应急处置能力建设三个方面的信息安全应对思路。
参考:
【2013-7号】《证券期货业信息系统运维管理规范》(JR/T0099-2012)
【2011-10号】《证券期货经营机构信息系统备份能力标准》(JR/T0059—2010)
绿盟科技金融事业部《浅谈金融行业数据治理之信息安全考虑》陈爱珍
德勤Deloitte证券基金行业热点聚焦(第一期)——起航数据治理,赋能数据生态建设
2018中国证券业协会面向全行业证券公司开展的问卷调研数据
