《證券公司外部接入信息系統評估認證規范》全文

證券公司外部接入信息系統評估認證規范

(2015年6月12日發(fā)布)

為進(jìn)一步加強證券公司信息系統外部接入的風(fēng)險管理,維護證券公司信息系統安全、穩定運行,有效防范風(fēng)險,保護投資者合法權益,切實(shí)維護市場(chǎng)秩序,根據《證券期貨業(yè)信息安全保障管理辦法》(證監會(huì )令第82號)、《證券公司融資融券業(yè)務(wù)試點(diǎn)管理辦法》(證監會(huì )公告〔2011〕31號)、《關(guān)于加強證券公司信息系統外部接入管理的通知》(證監辦發(fā)〔2015〕35號)和《證券公司網(wǎng)上證券信息系統技術(shù)指引》(中證協(xié)發(fā)〔2015〕8號)等有關(guān)規定,制定本規范。

一、證券公司使用外部接入信息系統,證券交易指令必須在證券公司自主控制的系統內全程處理,即從客戶(hù)端發(fā)出的交易指令處理應僅在發(fā)起交易的投資者與證券公司之間進(jìn)行,其間任何其他主體不得對交易指令進(jìn)行發(fā)起、接收、轉發(fā)、修改、落地保存或截留。

證券公司應加強客戶(hù)端交易指令監控,如發(fā)現交易指令被第三方接收、轉發(fā)等,應及時(shí)采取措施進(jìn)行整改。

證券公司不得直接或間接支持信息技術(shù)服務(wù)機構等相關(guān)方利用外部接入信息系統開(kāi)展證券經(jīng)紀業(yè)務(wù)。

二、證券公司需要使用外部接入信息系統,應當經(jīng)中國證券業(yè)協(xié)會(huì )(以下簡(jiǎn)稱(chēng)協(xié)會(huì ))評估認證。

自本規范下發(fā)之日起,證券公司不得接入新的未經(jīng)評估認證的外部信息系統。

向證券公司信息系統提供外部接入的信息技術(shù)服務(wù)機構等相關(guān)方應當是協(xié)會(huì )會(huì )員,接受協(xié)會(huì )的自律管理。

三、證券公司使用外部接入信息系統應當在客戶(hù)端系統準入協(xié)議簽署一個(gè)月內通過(guò)場(chǎng)外證券業(yè)務(wù)報告系統向協(xié)會(huì )申請評估認證。申請材料包括:

(一)評估認證申請表;

(二)客戶(hù)端系統準入協(xié)議;

(三)擬接入的外部信息系統業(yè)務(wù)說(shuō)明書(shū);

(四)使用外部接入信息系統的內部管理制度,包括但不限于內控、風(fēng)控、投資者保護等;

(五)信息系統安全和合規承諾書(shū);

(六)合規審查意見(jiàn);

(七)協(xié)會(huì )要求的其他材料。

證券公司已使用外部接入信息系統的,應當在自查整改完成后報協(xié)會(huì )評估認證。

四、證券公司使用外部接入信息系統應當符合監管規定,且不得有以下行為:

(一)為信息技術(shù)服務(wù)機構等相關(guān)方從事或變相從事證券經(jīng)紀業(yè)務(wù)提供便利;

(二)為信息技術(shù)服務(wù)機構等相關(guān)方建立賬戶(hù)登記體系等登記結算業(yè)務(wù)提供便利;

(三)規避監管或自律管理;

(四)充當外部接入信息系統的業(yè)務(wù)通道;

(五)其他法律法規、監管規定和自律規則禁止的行為。

五、證券公司使用外部接入信息系統應當遵守下列要求:

(一)建立健全使用外部接入信息系統的內部管理制度,明確提供外部接入的信息技術(shù)服務(wù)機構等相關(guān)方應當具有的資質(zhì)條件和篩選標準、系統的信息安全要求、相關(guān)合規審查要點(diǎn)、風(fēng)險管理措施、后續監控檢查及問(wèn)題處理機制;

(二)建立健全外部接入信息系統開(kāi)展證券業(yè)務(wù)的審查機制,著(zhù)重加強對開(kāi)展相關(guān)業(yè)務(wù)的合規性審查,公司主要負責人和合規總監應當在相關(guān)審查文件上簽字確認;

(三)具備識別外部接入信息系統合規性的能力,不得接入無(wú)法辨別合規性的外部信息系統;

(四)在與相關(guān)方簽訂的協(xié)議中明確由相關(guān)方承諾不得利用外部接入信息系統從事或變相從事配資活動(dòng),并建立相關(guān)責任追究機制;

(五)嚴格執行開(kāi)戶(hù)審查制度,強化客戶(hù)身份識別,對投資者提供的有效身份證明文件原件及其他開(kāi)戶(hù)資料的真實(shí)性、準確性、完整性進(jìn)行審核;

(六)做好投資者適當性管理和教育工作,提示投資者證券賬戶(hù)應當本人使用,不得轉借他人從事非法證券活動(dòng);

(七)加強日常監控,定期或不定期開(kāi)展檢查,了解外部接入信息系統運行和賬戶(hù)管理情況,對可疑賬戶(hù)和可疑交易行為采取有效措施并及時(shí)處理。

六、除經(jīng)國務(wù)院及中國證監會(huì )批準設立的合法證券交易場(chǎng)所及中國證監會(huì )認可的金融機構外,證券公司不得向第三方運營(yíng)的客戶(hù)端提供網(wǎng)上證券服務(wù)端與證券交易相關(guān)的接口。

第三方運營(yíng)的客戶(hù)端是指除證券公司、投資者之外,由第三方進(jìn)行發(fā)布、升級等運營(yíng)管理的客戶(hù)端,不包括以下情形:

(一)客戶(hù)端是證券公司與第三方公司簽署正式協(xié)議購置或租用的,并經(jīng)證券公司測試和驗收后,由證券公司進(jìn)行發(fā)布、升級等運營(yíng)管理;

(二)客戶(hù)端是客戶(hù)自行開(kāi)發(fā)或通過(guò)第三方購置、租用,且通過(guò)專(zhuān)線(xiàn)、互聯(lián)網(wǎng)VPN等專(zhuān)用通訊通道接入證券公司的,經(jīng)證券公司評估系統安全性并正式認可后,由客戶(hù)自行運行管理或授權證券公司確定的第三方運行管理;

(三)客戶(hù)端是直連證券公司服務(wù)端的通用瀏覽器。

證券公司應當對上述客戶(hù)端的合規性負責。

七、證券公司提供客戶(hù)使用的客戶(hù)端屬于向第三方購置或租用的,應當與第三方簽署正式的客戶(hù)端系統購置或租用協(xié)議,并做好客戶(hù)端測試、驗收、變更發(fā)布管理等工作,對客戶(hù)端的安全運行、交易賬戶(hù)合規性、交易操作合規性承擔全部責任。

客戶(hù)端系統購置或租用協(xié)議內容包括但不限于:客戶(hù)端系統信息安全要求,交易賬戶(hù)處理方式、用戶(hù)交易操作方式、交易指令處理方式等系統功能范圍和邊界要求,系統監控接口要求,協(xié)議各方管理責任等。

八、證券公司應當加強客戶(hù)自行開(kāi)發(fā)、購置、租用客戶(hù)端的管理?？蛻?hù)自行開(kāi)發(fā)、購置或租用網(wǎng)上證券客戶(hù)端以及配套信息系統接入證券公司的,證券公司應采用專(zhuān)線(xiàn)、互聯(lián)網(wǎng)VPN等專(zhuān)用通訊通道,且與關(guān)聯(lián)方簽署正式的客戶(hù)端系統準入協(xié)議,對客戶(hù)端及配套信息系統的信息安全性、功能合規性(包括但不限于交易賬戶(hù)處理方式、用戶(hù)交易操作方式、交易指令處理方式)等進(jìn)行充分評估,并持續做好合規性監控和風(fēng)控管理。證券公司發(fā)現客戶(hù)端有異常行為,應當采取屏蔽應用系統接入、限制賬戶(hù)交易等必要措施。

客戶(hù)端及配套信息系統屬于客戶(hù)自行運營(yíng)管理的,證券公司應與客戶(hù)簽署客戶(hù)端系統準入協(xié)議;客戶(hù)端及配套系統屬于客戶(hù)委托第三方運營(yíng)管理的,證券公司應分別與客戶(hù)、第三方簽署客戶(hù)端系統準入協(xié)議。

客戶(hù)端系統準入協(xié)議內容包括但不限于:客戶(hù)端及配套系統信息安全要求,交易賬戶(hù)處理方式、用戶(hù)交易操作方式、交易指令處理方式等系統功能范圍和邊界要求,與交易賬戶(hù)和交易操作合規性監控相關(guān)的系統監控接口要求,協(xié)議各方管理責任等。

九、證券公司應當建立對外部接入信息系統的自查制度,自查內容包括但不限于:

(一)是否存在接入未經(jīng)公司合規審查和協(xié)會(huì )評估認證的外部信息系統情況;

(二)外部接入信息系統開(kāi)展的業(yè)務(wù)類(lèi)型及基本情況;

(三)外部接入信息系統的業(yè)務(wù)合規性和系統安全性;

(四)外部接入信息系統開(kāi)展業(yè)務(wù)的風(fēng)險類(lèi)型及隱患;

(五)公司認為必要的其他情況。

證券公司應當每年至少自查一次,形成自查報告并存檔備查。自查工作中發(fā)現存在風(fēng)險隱患的,應當制定整改方案,及時(shí)整改,并向協(xié)會(huì )報告。

十、證券公司應當建立健全責任追查和問(wèn)責機制,對違反本規范的相關(guān)人員進(jìn)行問(wèn)責。

十一、協(xié)會(huì )可以對證券公司使用外部接入信息系統運行情況進(jìn)行執業(yè)檢查,對違反本規范的證券公司、信息技術(shù)服務(wù)機構等相關(guān)方和相關(guān)從業(yè)人員采取自律管理措施并按規定計入誠信檔案;情節嚴重的,移送中國證監會(huì )及有關(guān)部門(mén)處理。

十二、本規范自發(fā)布之日起實(shí)施。
 

掃描二維碼 關(guān)注我們

本文鏈接：http://jumpstarthappiness.com/law/5662.html

本文關(guān)鍵詞： 證券公司, 外部接入, 信息系統, 評估認證規范, 全文