《证券基金经营机构信息技术管理办法》要点简读
简单地看,有7点:
1、体系
很全、很严、很细,这次是认真的。
组织上,从董事会、高管层、IT治理委员会到首席信息官,到合规部门、风险管理部门,一个不少;
业务上,从IT治理、规划到安全、运维、测试、开发,面面俱到;
内控上,从事前合规、事中监测、事后审计,到压力测试、评估分析,不留死角。
对象上,从机房、通信网络、系统、数据、客户、网站、技术、环境到服务、制度、预算、合同、控股股东、实际控制人等,应有俱有。
2、首席信息官
首席信息官(CIO)将会与首席风控官、合规总监或督察长并列了,是高管。
主要两点,十年IT从业经历;不少于三年证券或基金IT经历。
3、划圈
证监会这次划的圈很大,把对证券和基金服务的信息技术服务机构都纳入证监会管理体系。
具体地说,就是备案,向证监会备案。具体工作应会落在“中证信息技术服务有限责任公司”即“中证信息”来备案。“中证信息”会对信息技术服务机构进行备案、监测、检测 和检查等工作。
不备案行不行?按四十四条,那你就无法向证券和基金提供信息技术服务了。
4、子公司
这次明确了,证券和基金可以设立信息技术专业子公司,为母公司提供信息技术服务。
子公司的定位,可以对“内”提供服务,也可以对外提供服务。关键是要完成备案!
“信息技术专业子公司经中国证监会备案后可为其他金融机构提供信息技术服务。”
5、数据
这次再次强调了数据的冶理。包括数据的安全、数据的保密、数据的隔离、数据的收集等一些具体的要求。
除此外,还有两点:
不要购买和使用非法获取或来源不明的数据;
对数据挖掘、梳理、分析是此次法规的一个要求!可见本法规操了多少心,多么重视数据的价值!
6、监管
对证券和基金:
新建或更换重要系统要向证监会报;
加上了年度信息技术管理专项报告。
违反的,措施齐全,小至责令改正、更换人事,大至停业都有。
对信息技术服务机构:
小至责令改正、监管谈话、出具警示函等行政监管措施,大至罚款、注销备案,game over。
7、实施时间
2019年6月1日生效。
实施后,半年内完成整改,否则不得增加新客户或提供新服务。
附:一位同行的解读总结