证券股份有限公司外部信息系统接入管理规范模版

/**证券股份有限公司外部信息系统接入管理规范总则为规范公司各类客户使用外部信息系统通过数据专线或者互联网接入公司内部信息系统的行为，保障公司信息系统的安全稳定运行，有效防范信息技术风险及业务合规风险，依据有关中国证券监督管理委员会《证券期货业信息系统运维管理规范》、中国证券业协会《证券公司外部接入信息系统评估认证规范》和公司有关管理制度要求，拟定本规范。本规范所称外部信息系统接入是指合作方使用自己的系统或者租赁第三方系统与**证券系统进行对接，将交易指令由其系统直接申报至**证券内部信息系统，并由**证券申报至交易所的合作形式。本规范所称合作方所属业务部门是指因业务关系引入外部接入合作方，并对合作方承担开户、交易、对账等延续服务的公司各业务部门。外部信息系统接入管理需遵循的原则：全面性原则：公司外部信息系统接入的内部管理规范应涵盖信息技术风险监控及业务合规风险监控；审慎性原则：公司应充份评估外部信息系统接入的信息安全要求、业务合规性要求，结合公司的风险管理特点，审慎决定外部信息系统的接入。本规范适用于**证券各部门、各营业部。组织保障公司经营管理的主要负责人对公司外部信息系统接入管理的有效性承担最终责任，并对经营管理层执行外部信息系统接入管理制度进行监督。经营管理层对贯彻执行外部信息接入管理制度负领导责任，负责沟通协调解决实施外部信息接入管理制度中遇到的问题。信息技术部负责拟定外部信息系统接入的技术规范，依照规范要求进行系统接入的信息技术风险评估，指导需求部门履行信息系统接入的测试并出具测试报告，负责详细系统的上线对接及系统运行中的技术监控工作。零售交易业务总部负责外部信息系统接入的业务合规性审核，有关业务的客户适当性管理及投资者教育工作。法律合规部负责外部信息系统接入的合规审查工作，出具合规审查建议或意见，有权对业务合规运作情形进行监督和检查。风险管理部是公司外部信息系统接入的风险监督管理部门，独立行使相应的风险管理职能和监督职能。技术管理规范外部接入信息系统应满足的有关资质条件：外部接入信息系统应具备明确标识的开发商名称、产品名称、软件版本号。外部接入信息系统提供商应至少具备下列资质中的一种：1.成为中国证券业协会会员。2.取得ISO9001质量认证资格/资质和CMMIL3以上认证资格/资质。3.具备其他权威机构出具的软件专业资质测评报告。外部接入信息系统具备以下一种或多种用户登录安全方式：1.图形验证码，2.强制随机排序图形键盘，3.口令输入安全控件，4.其他安全方式。外部接入信息系统使用的交易账户，不存在二级子账号管理模式。外部接入信息系统不支持多人对同一个账号进行交易操作。外部接入信息系统的客户身份认证信息和交易指令、支付数据等数据传输采用国家信息安全机构认可的加密技术和加密强度，并最低达到等同SSL协议128位的加密强度。外部接入信息系统在本地终端存储客户账户、交易数据、支付数据等数据时，应提示客户，经客户确认后以加密方式存储。外部接入信息系统能提供在指定的闲置时间间隔到期后，自动锁定或退出客户端的功能。外部接入信息系统应具备反调试和反逆向能力。公司内部建立黑白名单机制，黑名单中的系统严格禁止接入。外部接入信息系统属于客户自行开发的，应报备开发人员姓名、电话、电子邮箱、开发资质、所用开发平台和开发语言，发生变更时及时更新。外部接入信息系统应按我司对接规范要求进行有关对接程序开发，并满足有关法律法规的所有要求。外部信息系统接入应经过需求分析、接口开发、系统对接联调测试，测试通过后方可正式上线。客户自行开发、购置或租用网上证券客户端以及配套信息系统接入的，应采用专线、互联网VPN等专用通讯通道，且与关联方签署《**证券股份有限公司客户端系统准入协议》。外部信息系统接入合作方使用数字专线与**证券网络对接的，原则上建议使用不同运营商的双线联接进行互备，并明确发生线路中断时应采取的应急交易方案。外部接入信息系统需逐笔真实的将账户登录、交易委托、资金转账、修改密码等业务指令发生所在的设备的MAC办公地址和IP办公地址等设备特征信息传送至**证券交易系统，此处信息包括（但不限于）上述信息，所传信息以满足证监会的有关监管要求为标准。外部接入信息系统应使用由交易形式相匹配的委托方式；原则上专线接入的应采用热键委托，互联网接入的应采用网上委托。采用FIX及其他特殊类型对接的，应与信息技术部协商使用的委托方式。外部接入信息系统所使用的集中交易周边网关，需将“spx设置”—“密码验证”参数设置为”无密码验证，禁止任何操作”，强制合作方发起任何操作均需先通过密码校验。如有特殊需求需放开该参数，应向信息技术部提出申请。外部接入信息系统接入公司交易接口时，应事先与公司商定所使用的接口功能号清单，并确保实际调用功能号在事先商定的功能号清单范围内。外部接入信息系统接入公司交易接口时，应事先与公司商定所使用交易、查询指令的调用频率上限和数据流量上限，并确保上线运行时实际造成或产生的调用频率和流量在事先商定的上限值范围内。外部接入信息系统不经公司许可，未能直接对接公司网上证券服务端与证券交易有关的接口。对于外部接入信息系统，信息技术部将进行流量、调用功能号、接入方式等有关方面的技术监控，一旦发现异常问题，将及时进行处置，直至暂且关闭相应接入接口。外部接入信息系统部署在合作方所属业务部门现场的，合作方所署业务部门应按公司有关制度要求建立和报备系统软硬件档案及应急计划。业务管理规范具备下列条件之一的客户，可以申请外部接入：（一）经关于金融监管部门批准设立的银行等金融机构，包括基金管理公司及其子公司、期货公司、商业银行、保险公司和信托公司等；（二）上述银行等金融机构面向投资者发行的理资产品，包括（但不限于）基金及基金子公司产品、期货公司资产管理产品、银行理资产品、保险产品、信托产品以及经基金业协会备案的私募基金；（三）经中国证券投资基金业协会登记的私募基金管理人及经其备案的私募基金；（四）净资产不低于人民币一千万元的企事业单位法人、合伙企业；（五）名下金融资产不低于人民币300万的个人投资者；且风险测评结果需为积极投资型的个人。金融资产包括银行存款、股票、债券、基金份额、资产管理计划、银行理资产品、信托计划、保险产品、期货权益等。（六）经中国证监会、中国证券业协会等有关机构或我公司认可的其他投资者。外部信息系统接入合作方所属业务部门在受理客户接入申请前，需做好合规性审核、投资者适当性管理和教育工作，审核客户账户的真实性及客户资质是否符合上述第二十六条所述。同时，向客户充份揭示业务风险，并提示客户证券账户应当本人使用，不得转借他人从事非法证券活动。业务合规性审核要点包括（但不限于）：单客户接入账户合规性，客户是否实名开立，有关身份验证要素齐全。业务合规性，客户非来自黑名单网站的接入客户。产品接入账户合规性，账户是否实名开立，有关身份验证要素齐全，不存在出借证券账户的行为。产品合规性，产品应依照有关监管规定进行备案，并通过公司公文流程审核，不存在从事或变相从事非法场外配资的情形，不存在从事或变相从事证券经纪业务的行为。外部信息系统接入合作方所属业务部门在受理客户申请时，需安排专人负责讲解该业务所涉及有关管理办法、业务流程，指导客户填写《**证券拟接入的外部信息系统业务说明书》，并提交总部（零售业务总部、法律合规部、信息技术部）预审。预审通过后营业部依据有关审核结果，指导客户签署《**证券信息系统安全和合规承诺书》、《客户端系统准入协议》等。测试通过后，外部信息系统接入合作方所属业务部门需于拟定正式开展交易日前至少一周向信息技术部提交正式交易环境开通申请。外部信息系统接入合作方所属业务部门需向信息技术部报备合作方接入系统对网关的功能号调用清单、测试报告、接入协议书书、承诺函及说明书，并确保信息真实、准确、全面，以便评估上线后系统升级对合作方系统的影响。外部信息系统接入合作方所属业务部门需向信息技术部报备接入系统所使用的资金帐号清单，如有变更应先报备后使用。外部信息系统接入合作方所属业务部门应建立和报备第三方接入合作方业务、技术人员通讯录并及时更新有关信息。如遇系统升级，合作方所属业务部门需将信息技术部发布的网关升级变更明细和拟升级日期通知接入合作方，并沟通协调合作方对其接入系统进行评估，合作方如需进行适应性修改，需与信息技术部对修改后的接口进行测试后方可使用。在系统升级日需沟通协调合作方协助配合进行业务测试，如未参加测试，在升级之后出现因升级引致的技术故障责任由接入合作方自行承担。外部信息系统接入上线后，合作方所属业务部门需通知合作方于每天9：00前对系统的联通性进行验证，有问题需及时反馈给信息技术部有关技术联系人。正常交易日内如出现故障需在第一时间通知信息技术部，并记录故障发生时间，故障现象，并筹备交易应急措施。外部信息系统接入合作方所属业务部门须知会接入合作方不得擅自修改已上线启用的生产接入系统，如接入系统造成柜台系统异常，信息技术部将采取包括不通知在内关停的应急处置措施。已上线接入系统如有业务变更需求，外部信息系统接入合作方所属业务部门应按变更流程申请在测试环境先验证，通过后实施上线。风险管理规范公司董事会及下设风险管理委员会，公司管理层下设合规工作委员会，零售交易业务总部、互联网金融部、信息技术部、风险管理部、法律合规部、营业部等构成了整个外部信息系统接入的风险管理体系。信息系统外部接入主要涉及信息技术风险及合规风险。公司加强信息系统外部接入管理，充份评估现有信息系统的支撑能力，加大资源投入并定时开展压力测试，切实防范信息安全事件。防范业务合规风险，不得通过网上证券交易接口为任何个人、机构开展场外配资和从事非法证券活动等监管部门禁止的业务活动提供便利。公司各有关部门参加到业务的各个环节，从客户的开发引入、适当性管理、需求分析、业务风险合规评估、外接系统风险评估、系统接入测试、正式上线到运行监控，各部门各司其职，分工明确。公司风险管理部参加系统上线前的项目评估工作，不定时出具风险评估报告，并提出相应监控措施建议。检查、报告及问责信息技术部、零售交易业务总部应定时分别对外部接入信息系统合规性、业务合规性展开自查，自查频率不低于每年一次。依据有关规范业务开展的需要，法律合规部也可独自发起或与其他部门联合发起有关检查工作。检查及自查内容包括（但不限于）：（一）是否存在接入未经公司合规审查和协会评估认证的外部信息系统情形；（二）