第一篇:期货公司信息技术指引
证券公司网上证券信息系统技术指引
第一章 总则
第一条 为保障网上证券信息系统的安全、可靠、高效运行,促进证券公司在网上开展的证券业务健康有序发展,保护投资者的合法权益,依据《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的证券公司。
第三条 网上证券信息系统是证券公司在网上开展证券业务活动中所采用的由相关网络设备、计算机设备、软件及专用通讯线路等构成的信息系统,包括网上证券服务端、客户端和门户网站。
第四条 证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则:
(一)安全性原则:网上证券信息系统的建设应提高风险防范意识,保证在网上开展证券业务的安全性。通过技术措施和管理手段,实现信息的保密性、完整性和服务可用性。
(二)系统性原则:网上证券信息系统的安全建设应覆盖安全保障体系的各个方面,包括:安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。
(三)可用性原则:网上证券信息系统的建设应在保障安全的原则下,确保在网上开展的证券业务的连续性和可靠性。
第五条 中国证券业协会对证券公司执行本指引的情况进行指导和督促。
第二章 基本要求
第六条 证券公司对网上证券信息系统应统一规划、集中管理,保证在网上开展证券业务安全、有序发展。
第七条 证券公司应制定在网上开展证券业务的各项安全管理制度,对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。
第八条 证券公司应根据在网上开展证券业务特性,设立相应的管理职能岗位,明确在网上开展证券业务管理的责任,配备合格、足够的管理人员和技术人员,包括安全管理员、安全审计员等。
第九条 证券公司应将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围,建立健全网上证券风险控制管理体系。
第十条 对在网上开展证券业务的审计应纳入证券公司的审计工作范围。
第十一条 证券公司网上证券信息系统应部署在中华人民共和国境内,满足技术审计、监管部门现场检查及中国司法机构调查取证等要求。部署网上证券信息系统的有形场所,应符合国家安全标准的有关要求。
第十二条 证券公司应当与投资者签订网上证券服务协议或合同,明确双方的权利、义务和相关风险的责任承担,向投资者充分揭示使用网上证券信息系统可能面临的风险、证券公司已采取的风险控制措施和客户应采取的风险防范措施。
第十三条 证券公司应通过多种方式揭示使用网上交易方式可能面临的风险和客户应采取的风险防范措施,提醒投资者加强账号、口令的保护工作,建议投资者定期修改口令、增强口令强度、防止口令泄露、防止用于网上交易的计算机或手机终端感染木马、病毒等,并根据投资者需要开启或关闭网上交易方式。
第十四条 证券公司应尽可能使用统一的网上证券服务电话、域名、短信号码等,并应在与投资者签订的协议或合同中明确告知客户使用网上证券信息系统的合法途径、意外事件的处理办法,以及证券公司联系方式等。
第十五条 证券公司的网上证券信息系统应自主运营、自主管理。如涉及第三方(指除证券公司及其客户以外的任何一方),应与第三方签订保密协议和服务级别协议,并明确责任,采取措施防止通过第三方泄露用户信息。
第十六条 证券公司通过网上证券信息系统向客户提供证券交易的行情信息,应提示行情源;如向客户提供证券信息,应说明信息来源,并提示投资者对行情信息及证券信息等进行核实。
第十七条 证券公司应对网上证券信息系统的各个子系统合理划分安全域,在不同安全域之间进行有效的隔离,保障网上证券信息系统的接入系统与其后台系统在技术上进行有效隔离,后台系统应与行情、资讯处理系统进行网络隔离,并应部署在证券公司可控的物理安全域内。
第十八条 证券公司应在两个以上的物理地点建立网上证券信息系统,互为备份,并应具备2个或2个以上不同运营商的互联网接入,避免在同一运营商的线路接入上出现单点故障和瓶颈,同时应充分考虑不同互联网运营商的互联瓶颈问题,确保局部故障或灾难发生时,系统能继续对用户提供服务。
第十九条 对于外包定制的网上证券信息系统,证券公司应与软件开发商签署服务协议和保密协议,明确客户端、服务端以及数据传输过程均无后门,明确软件开发商应用软件中使用的插件具备合法版权,以确保客户数据、交易资料不被泄漏,保障证券公司的权益。
第三章 门户网站
第二十条 证券公司门户网站指证券公司建立的实现信息发布、业务咨询、营销推广、客户服务和投资者教育等功能的网站。
第二十一条 证券公司门户网站应当按照国家主管部门的有关规定办理网站备案,并提供备案信息的链接。
第二十二条 证券公司应定期对网站程序代码进行全面检查和评估,并及时修补,避免各种漏洞的存在。
第二十三条 证券公司应在门户网站部署防篡改系统,当网站上的页面内容、提供给投资者下载的客户端软件及其它文件被异常修改时,能自动告警或自动恢复,防止被捆绑木马程序。
第二十四条 与核心交易业务有关的客户资料、交易数据等客户敏感数据不得存放在门户网站数据库中。网上客户业务处理的日志应单独存放。
第二十五条 在证券公司门户网站中客户账号及口令,应采用加密方式传输,并最低达到SSL协议128位的加密强度。
第二十六条 证券公司应该建立对门户网站内容发布的审核、管理和监控机制,对网页内容进行监控,对有害信息进行过滤,防止网站出现不良信息。
第四章 网上证券客户端
第二十七条 网上证券客户端是指证券公司通过互联网向本公司开户的客户提供的用于查看行情、检索资讯、交易委托等的应用程序,包括基于计算机和手机等终端的前端软件。
第二十八条 网上证券客户端应提供技术手段协助用户检查、清除木马等恶意程序,并提供验证码、强制口令图形键盘、安全的口令输入安全控件、客户端电脑或手机特征码绑定、软硬件证书、动态口令等多种用户认证方式,防范不法分子利用木马等黑客程序窃取客户账号和口令信息,进行证券盗买盗卖非法活动。
第二十九条 网上证券客户端应具备反调试能力。
第三十条 网上证券客户端的客户身份信息和交易数据等重要数据传输应采用国家信息安全机构认可的加密技术和加密强度,并最低达到SSL协议128位的加密强度。
第三十一条 网上证券客户端应能向客户提示最近一次登录的日期、时间、地址等信息。
第三十二条 网上证券客户端应能在指定的闲置时间间隔到期后,自动锁定客户端的使用。
第三十三条 网上证券客户端应具有唯一连接到本证券公司网上证券接入系统的保障机制。网上证券客户端应提供足够的识别信息,以保证网上证券服务端能够对发出连接请求的客户端与证券公司所提供下载的程序进行一致性验证。
第三十四条 当客户访问网上证券服务端时,未经客户许可,不得以任何方式在客户端系统中安装插件。
第三十五条 网上证券客户端在本地计算机储存客户账户、交易数据等重要信息,应提示客户,经客户确认后以加密方式存储。
第五章 网上证券服务端
第三十六条 网上证券服务端是指证券公司通过互联网向客户提供网上交易、网上行情、数据查询等服务的信息系统,包括互联网接入子系统、安全防护与监控子系统、应用服务子系统、身份认证子系统和后台隔离子系统。
第三十七条 证券公司应提供预留验证信息服务,在客户登录时向客户显示预留的验证信息,帮助客户识别仿冒的网上证券信息系统,防范不法分子利用仿冒的网上证券信息系统进行诈骗活动或盗取用户账号、口令等信息。
第三十八条 证券公司应提供可靠的用户身份认证机制,支持网上证券客户端采用多种认证方式与服务端进行身份认证。除输入账户名、口令、验证码的身份认证方式之外,还应向客户提供一种以上强度更高的身份认证方式,如,客户端电脑或手机特征码绑定、软硬件证书、动态口令等认证方式,确认网上交易客户的身份和登录的合法性,防止非法接入。用户身份认证信息应当在服务器上加密存放。
第三十九条 证券公司应提供可靠的访问控制和权限管理机制,防止客户的授权被恶意提升或转授,防止客户使用未经授权的功能,防止客户进行访问未经授权的数据等非法访问活动。
第四十条 网上证券信息系统采用的认证授权和加密体系应通过国家信息安全机构的安全性测评,具备足够的强度和抗攻击能力,并根据在网上开展证券业务的安全性需要和信息技术的发展,定期检查、评估和及时调整。
第四十一条 网上证券信息系统未经证券公司授权不得与第三方进行任何形式的数据交换,并具备经过认证后仅向授权的第三方指定地址发送信息的功能。
第四十二条 证券公司应保证网上证券数据传输的保密性、完整性、真实性和可稽核性,对网上交易委托的客户信息、交易指令及其他敏感信息进行可靠的加密,加解密应在投资者与证券公司实际控制的设备中进行,不得存在任何中间环节对数据进行加解密。
第四十三条 网上证券服务端应防止用户使用简单口令,应能够抵御连续猜测等对客户账户恶意攻击行为。
第四十四条 网上证券服务端应对不完整、被篡改、重发的数据包进行监控,对登录、委托方式、品种、价格、数量、操作频率、转账等异常行为进行跟踪、监控和限制,记录其账号、IP地址等相关信息,并通过短信、电话等方式及时提示客户,必要时进行用户临时锁定。监控和处置情况应形成记录备查。
第四十五条 网上证券服务端应能监控并避免攻击者通过群体大规模对合法证券账户进行非法用户登陆的请求,导致大量用户账户被异常锁定,正常用户无法登陆。
第四十六条 网上证券服务端应能在指定的时间间隔到期后,自动中止用户对系统的访问权。
第四十七条 网上交易服务端应能产生、记录并集中存储必要的日志信息,其中应包含能识别服务请求方身份的内容、登录终端的IP地址、MAC地址、手机号码和终端特征码等,并确保数据的可审计性,满足监管部门现场检查要求及司法机构调查取证的要求。
第四十八条 网上证券服务端应能向客户提供可证明服务端自身身份的信息,以确保客户能查验所使用服务的真实性。
第四十九条 网上证券服务端应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户。
第五十条 网上证券服务端应能够提供系统运行健康状况信息(如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等)、错误信息、安全警告等。
第五十一条 基于浏览器的网上证券下单网页应当使用HTTPS等加密方式与服务端交互,服务端应具备防范SQL注入式攻击、跨站脚本攻击等网页攻击的能力,同时关闭HTTP服务器的Web远程维护功能。
第六章 移动证券
第五十二条 移动证券指客户通过手机或其他具备无线数据通讯能力的移动设备,经无线公众网络获取证券公司提供的行情信息、资讯信息服务或进行交易、转账、查询等证券自助业务。
第五十三条 证券公司应使用安全、可靠的移动证券系统。移动证券系统宜自主运营,实现数据从用户终端到网上证券服务端之间的加密传送和控制,并随着技术的发展,不断提高加密强度,完善认证算法。
第五十四条 证券公司应建立确认机制以保证客户获得正确的移动证券客户端软件。
第五十五条 移动证券客户端应具备一定加密强度的用户认证功能,保护客户账号和口令信息。
第五十六条 证券公司应在门户网站或固定营业场所公告短信服务号码、移动证券门户网站地址等信息,提醒客户防范他人利用移动通讯设备进行欺诈。
第五十七条 证券公司应根据移动证券业务的网络延迟时间、链路稳定状况、信号衰减程度等风险因素,对行情或交易数据可能出现明显滞后或产生数据丢失的情况,事先对客户进行风险提示。
第七章 安全管理
第五十八条 证券公司网上证券信息系统的管理、开发、测试应与运营人员及生产环境分离。开发、测试和运营人员未经授权不得访问、修改非职责范围内的网上证券信息系统。
第五十九条 证券公司应制定在网上开展证券业务连续性计划,保证在网上开展证券业务的连续正常运营。在网上开展证券业务连续性计划应充分评估第三方服务供应商对业务连续性的影响,并应采取适当的预防措施。
第六十条 客户使用的网上证券委托软件应由证券公司管理和授权发布,证券公司应对其授权第三方发布的证券委托软件进行审核、监管。
第六十一条 证券公司应采取有效措施对门户网站上提供下载的网上证券客户端软件程序进行保护,客户端软件程序编译封装、形成下载文件后,应安排专人对其进行严格的病毒扫描和木马检查,并通过专用安全手段传输至网站文件下载服务器。
第六十二条 证券公司网上证券应用系统上线或重大版本升级,应进行安全测试和评估。
第六十三条 原则上不允许通过互联网对网上证券信息系统(如防火墙、网络设备、服务器等)进行远程管理和日常维护等操作,对网上证券信息系统的访问控制应做到:
(一)关闭网上证券信息系统所有与业务和维护无关的服务及端口,严格控制防火墙中的权限设置,确保按“最小权限原则”进行设置;
(二)对于网上证券信息系统的内部访问,应严格限制访问源。
(三)特殊紧急情况下需要通过互联网进行远程操作时,应通过限制登录IP、使用数字证书或动态口令、全程监控等措施确保安全,并在操作完成后,及时关闭相关端口。
第六十四条 证券公司应部署有效的网上证券信息系统安全防护与监控子系统,包括防火墙,防病毒、防木马系统,入侵检测系统或入侵防护系统,并正确配置。应及时更新病毒库,定期对系统进行全面的病毒扫描,加强相关系统的日志审查工作,提高网上证券信息系统的防护能力。
第六十五条 证券公司制定的安全措施,应定期检查、测试,并根据实际情况及时调整,保证安全措施的持续有效。
第六十六条 证券公司应建立定期的网上证券信息系统安全风险评估机制和整改的工作制度,及时发现SQL注入漏洞、弱口令账户、绕过验证、目录遍历、文件上传、跨站脚本等系统存在的安全隐患和漏洞,并进行改进和完善。风险评估应通过内部评估与外部评估相结合的方式进行。
第六十七条 安全风险评估应包括漏洞扫描、攻击测试、病毒扫描、木马检测等,针对不同的威胁设置相应的检查频率。
第六十八条 证券公司应对网上证券信息系统进行实时监控,建立异常事件的甄别、报警、处理和报告机制。网上证券信息系统实时监控范围应包括各种安全设备、网络设备、服务器设备及操作系统、通讯线路状态及应用软件等。监控内容包括其运行状况、日志内容、安全警告等,并统一记录保存监控信息,保存期至少为6个月。
第六十九条 证券公司应通过多种技术手段加强对投资者账户异动情况的监控,如委托的方式、品种、价格、数量异常等,并及时提醒客户,以保护客户资产安全。
第七十条 证券公司应对网上证券信息系统中包括网络安全设备、服务器以及应用系统在内的账户进行严格管理,账户权限应按最小权限原则设置,清除所有冗余、与应用无关的账户,并严格限制各管理员账户的使用,禁止用最高权限账户执行一般操作,尽量避免以最高权限账户运行网上信息系统服务端应用软件。
第七十一条 管理员账户和口令应由专人负责,口令长度应在12位以上,且含有字符和数字,区分大小写,并定期更改。
第七十二条 证券公司应严格限制人工对数据库操作的账户权限,并应分别使用不同权限的账户执行查询、插入、更新、删除等操作。
第七十三条 网上证券信息系统各环节应有可靠的热备或冷备措施,保证整个系统的高可用性。
第七十四条 证券公司应根据自身实际情况制订网上证券信息系统的数据备份计划并落实执行。备份的数据应包括:系统程序、配置参数、系统日志、安全审计数据、门户网站信息、客户数据等。
第七十五条 证券公司应保证备份数据的准确性、完整性、可用性。备份数据的管理应符合相关技术管理规定,有严格的保管、使用、检查管理制度。
第七十六条 证券公司应当保障网上证券信息系统运营设施、设备以及安全控制设施、设备的安全。对重要设施、设备的接触、检查、维修和应急处理,应有明确的权限规定、责任划分和操作流程,并建立日志文件管理制度,如实记录并妥善保管相关记录。
第七十七条 证券公司应定期评估可供客户使用的网上证券信息系统的资源状况,并根据实时监控信息、可预见的业务发展需求进行容量的需求预测,确保有充足的处理能力、存储容量和通讯带宽,满足业务增长的需要,保证网上证券服务的可用性,并能抵御一定程度的拒绝服务攻击和缓冲区溢出攻击。
第七十八条 在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备足够的冗余,以应对网站及网上交易可能出现的突发峰值;在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备良好的可扩充性,以应对业务增长和市场的变化。
第七十九条 证券公司应建立严格的变更管理流程,对包括网络安全设备、服务器、应用系统等软硬件系统和配置变更实行规范化的变更管理,完整、真实地记录和反映系统所涉及的软硬件配置及相互影响关系,并保持与实际生产环境同步更新。
第八十条 证券公司应建立网上证券信息系统应急处理组织体系,并制定相应的应急预案,应急预案应纳入证券公司和行业的应急预案体系内,并按照有关规定进行演练。
第八十一条 证券公司应根据网上证券信息系统故障的影响和损失情况对应急组织体系和应急预案进行分级管理和执行,并遵循统一领导、快速响应、协调配合、最小损失的原则。
第八十二条 证券公司网上证券信息系统应急预案应针对电力、通信等基础设施故障、计算机硬件或网络设备故障、操作系统或应用系统故障、操作系统或应用系统漏洞、病毒入侵、恶意攻击、误操作、不可抗力等可能的故障原因制定对应的应急恢复操作流程或步骤。
第八十三条 证券公司在发现假冒本公司网上证券服务的非法活动或者网上证券信息系统出现重大安全事件后,应及时向监管部门、公安机关报告。在启动实施网上证券信息系统应急预案时应及时向投资者公告。对于假冒本公司的非法活动应及时通过证券公司网站、网上证券客户端、电话语音系统或短信平台等提醒投资者注意。
第八章 附则
第八十四条 本指引由中国证券业协会负责解释。
第八十五条 本指引自发布之日起施行。
第二篇:《证券公司证券营业部信息技术指引》解读答案 80分
一、单项选择题
1. 根据《证券公司证券营业部信息技术指引》的规定,机房应具备独立空调系统,使机房温度保持在( A)范围内。
A. 23℃±5℃ B. 25℃±3℃ C. 25℃±5℃ D. 23℃±3℃
2. 在营业场所内未部署与现场交易服务相关的信息系统且不提供现场交易服务。采用该类型信息系统建设模式的证券营业部,在《证券公司证券营业部信息技术指引》中简称为( C)型证券营业部。
A. B B. C C. A D. D 3. 在营业场所内未部署与现场交易服务相关的信息系统,但依托公司总部或其他证券营业部的信息系统为客户提供现场交易服务。采用该类型信息系统建设模式的证券营业部在《证券公司证券营业部信息技术指引》中被称为(B )型营业部。
A. C B. B C. D D. A 4. 根据《证券公司证券营业部信息技术指引》的规定,A型和B型证券营业部应至少配备一种持续供电方式,在市电中断情况下,保证不低于( A)的现场交易终端或同等支持能力的其他交易终端在交易时间内持续工作。
A. 30% B. 25% C. 20% D. 35%
二、多项选择题
5. 根据《证券公司证券营业部信息技术指引》的相关要求,机房选址应满足的要求包含(ABCD )。
A. 远离强震源、强磁场源和强噪声源,远离电磁干扰源或实施有效电磁干扰防护;远离产生粉尘、油烟、有害气体以及具有腐蚀性、易燃、易爆物品的工厂、仓库等场所
B. 选择具备可靠供电的场所 C. 尽量避免低洼地带
D. 符合当地抗震强度要求;符合当地消防主管部门的消防安全要求
6. 根据《证券公司证券营业部信息技术指引》的相关要求,( )型营业部可以不设机房。CA
A. C B. D C. B D. A
三、判断题 7. 根据《证券公司证券营业部信息技术指引》的规定,证券营业部提供无线网络服务的,应由提供该服务的证券营业部制定证券营业部无线网络使用规范,采取有效的无线网络准入控制措施,登记并记录无线接入设备的信息。( A)
正确 错误
8. 根据《证券公司证券营业部信息技术指引》的规定,A型、B型、C型证券营业部的通信线路中应有一条为地面数据专线。(B )
正确 错误
9. 证券公司需根据《证券公司证券营业部信息技术指引》的规定,证券营业部采用结构化综合布线系统的,综合布线应符合《建筑与建筑群综合布线工程系统设计规范》(GBT/T 50311)要求。( A)
正确 错误
10. 根据《证券公司证券营业部信息技术指引》的规定,C型证券营业部至少配备一名兼职技术人员,并制定顶岗、备岗等相关制度,确保在交易时间内有技术人员值守。( C)
正确 错误
第三篇:融资性担保公司信息披露指引
第一章 总 则
第一条 为规范融资性担保公司的信息披露行为,促进融资性担保公司与银行业金融机构等债权人之间的业务合作和融资性担保公司的稳定健康发展,根据《融资性担保公司管理暂行办法》、《企业会计准则》等有关规定,制定本指引。
第二条 本指引所称监管部门是指省、自治区、直辖市人民政府确定的负责监督管理本辖区融资性担保公司的部门。
第三条 融资性担保公司根据本指引披露信息的对象为债权人及其他利益相关者。
第四条 鼓励融资性担保公司在遵循本指引的基础上向社会公众公开披露信息。
第五条 融资性担保公司应当遵循真实性、准确性、完整性、及时性和可比性的原则披露信息。
第六条 融资性担保公司的信息披露应当遵守法律、法规、规章、国家会计制度和其他相关规定。
第七条 融资性担保公司披露的年度财务会计报告应当经具有相应资质的社会中介机构审计。
第八条 监管部门应当依据法律、法规和规章加强对融资性担保公司信息披露的监督、指导。
第二章 信息披露的内容
第九条 融资性担保公司按照本指引应当披露的信息包括:
(一)年度报告。
(二)重大事项临时报告。
(三)法律、法规、规章和监管部门规定披露的其他信息。
第十条 融资性担保公司应当按照本指引的规定编制和披露年度报告, 年度报告应当至少包括以下内容:
(一)公司概况。
(二)公司治理和内部控制。
(三)风险管理。
(四)担保业务总体情况和融资性担保业务情况。
(五)资本金构成和资金运用情况。
(六)财务会计报告。
融资性担保公司委托外部评级机构进行主体信用评级的,应当将公司信用评级报告内容概要在年度报告中予以披露。
第十一条 融资性担保公司应当在公司概况中披露下列信息:
(一)公司简介。
(二)经营计划。
(三)组织架构、分支机构设置及人员情况。
(四)合作的金融机构。
第十二条 融资性担保公司应当在公司治理和内部控制中披露下列信息:
(一)公司最大十名股东或实际控制人名称、基本情况及报告期内变动情况。
(二)本年度内召开的股东(大)会重要决议。
(三)董事会的构成及其工作情况。
(四)监事会的构成及其工作情况。
(五)高级管理层的构成及其基本情况。
(六)内部控制情况,重点披露公司内部控制建设和执行情况。 第十三条 融资性担保公司应当披露下列风险管理情况:
(一)风险管理概况。包括:风险管理的原则、流程、组织架构和职责划分以及新建制度,经营活动中面临的主要风险,准备金的提取标准,代偿损失的核销标准,反担保措施的保障程度,风险预警机制和突发事件应急机制情况。
(二)信用风险管理。包括:信用风险的管理方法,产生信用风险的业务活动,信用风险暴露的期末数。
(三)流动性风险管理。包括:影响流动性的因素,反映流动性状况的有关指标以及流动性资产与一年内到期担保责任的匹配情况,流动性风险的管理方法。
(四)市场风险管理。包括:因利率、汇率以及其他因素变动而产生的总体市场风险水平及不同类别市场风险水平,市场风险的管理方法。
(五)操作风险管理。包括:由于内部程序、人员、系统的不完善或执行不力,或外部事件造成的风险,操作风险的管理方法。
(六)其他风险管理。包括:可能对公司、债权人和其他利益相关者造成严重不利影响的其他风险因素,公司对该类风险的管理方法。
第十四条 融资性担保公司应当就本年度担保业务总体情况和融资性担保业务情况分别披露下列信息:
(一)承保情况:期末在保余额、当年累计担保额、近三年累计担保额。
(二)代偿情况:当年新增代偿额、近三年累计代偿额。
(三)追偿及损失情况:当年代偿回收额、近三年累计代偿回收额和累计损失核销额。
(四)准备金情况:未到期责任准备金余额、担保赔偿准备金余额、一般风险准备金余额。
(五)集中度情况:最大十家客户集中度明细、最大三家关联客户集中度明细。
(六)放大倍数:担保业务放大倍数、融资性担保业务放大倍数。
(七)业务质量:担保代偿率、代偿回收率、担保损失率、拨备覆盖率。
(八)接受监管部门检查和整改的情况。 第十五条 融资性担保公司应当披露本年末资本金构成及本年度资金运用明细。
第十六条 融资性担保公司披露的财务会计报告应当至少包括:资产负债表、利润表、现金流量表、所有者权益变动表以及财务报表附注。
融资性担保公司披露的财务会计报告应当按照《企业会计准则》的有关规定编制。
第十七条 融资性担保公司发生重大事项,应当制作重大事项临时报告并及时披露,法律、法规、规章及有关规定禁止披露的信息除外。重大事项包括但不限于下列情况:
(一)公司第一大股东变动及原因。
(二)公司董事长、监事会主席(监事长)、总经理变动及原因。
(三)公司名称、公司章程、注册资本和住所的变更。
(四)公司合并、分立、解散等事项。
(五)公司的重大诉讼事项。
(六)其他可能严重危及公司正常经营、偿付能力和资信水平,影响地区金融秩序和社会稳定的事件。
第十八条 融资性担保公司披露的重大事项临时报告应当至少包括:重大事项发生的时间、基本情况、可能产生的影响、已采取和拟采取的应对措施。
第三章 信息披露的管理
第十九条 融资性担保公司应当建立健全信息披露制度,完善信息披露流程,指定专人负责信息披露事务。
第二十条 融资性担保公司应当于每年4月30日前披露上一年年度报告,因特殊原因不能按时披露的,应当至少提前10个工作日向监管部门申请延期披露。
第二十一条 融资性担保公司应当将重大事项临时报告自事项发生之日起3个工作日内及时披露。
第二十二条 融资性担保公司可以采用邮寄、电子邮件或其他适当的方式将年度报告全文和重大事项临时报告送达债权人及其他利益相关者。
融资性担保公司应当将年度报告同时报送监管部门。
第二十三条 融资性担保公司董事会或总经理对公司披露信息的真实性、准确性、完整性和及时性负责。公司的年度报告和重大事项临时报告由法定代表人签署。
融资性担保公司设独立董事的,独立董事应当就所披露信息的真实性、准确性、完整性和及时性发表意见并单独列示。
第四章 附 则 第二十四条 本指引没有规定、但不披露相关信息可能导致对公司经营管理和风险状况产生错误判断的,融资性担保公司应当将相关信息视为关键信息及时予以披露。 第二十五条 本指引适用于在中华人民共和国境内依法设立的融资性担保公司,公司制以外的融资性担保机构信息披露参照本指引的有关规定执行。
第二十六条 本指引涉及的指标适用《融资性担保行业统计报表制度》的有关规定。
第二十七条 本指引自发布之日起施行。
第四篇:保险公司信息系统安全管理指引
关于印发《保险公司信息系统安全管理指引(试行)》的通知
保监发〔2011〕68号
各保险公司、保险资产管理公司:
为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。现印发给你们,请遵照执行。
中国保险监督管理委员会
二〇一一年十一月十六日
保险公司信息系统安全管理指引(试行)
一、总 则
第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求
第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:
(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定。
(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
(四)对信息系统安全事件进行管理、处置和上报。
(五)组织公司员工信息系统安全教育与培训。
(六)开展与信息系统安全相关的其他工作。
第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。
第十一条针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。
第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。
第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理,明确上岗与离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书。
第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测评和整改。
第十五条 制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。
第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。
第十七条 对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处理程序等应急预案,并定期进行演练,评审和修订。遇有重大信息系统事故或突发事件,应按应急预案快速响应处理,并按规定及时向中国保监会报告。
第十八条 建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相关流程发布实施。
第十九条 设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会。
鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第二十条加强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件。
第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全管理体系认证安全管理,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。
第二十二条 在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规范地披露信息系统风险状况,并以适当的方式告知客户。
三、基础设施与网络设备环境
第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
第二十四条 建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房安全管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施7×24小时实时监控。
第二十五条 建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。
第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。
第二十七条 根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控制措施,部署监控手段,控制数据流向安全。
第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确保业务系统安全稳定运行。
第二十九条 建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障安全策略的有效执行。
第三十条 内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时确保审计记录不被删除、修改或覆盖。
第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。
第三十二条 加强信息系统平台软件安全管理,确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署,严格控制信息系统身份访问、资源访问,监控主机系统的资源使用情况,并在服务水平降低到设定阈值时发出报警。
第三十三条 分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件安装等管理规范。
第三十四条 规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。
第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时,应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管理。
四、应用系统与数据安全
第三十六条 建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
第三十七条 生产系统应与开发、测试系统有效隔离,确保生产系统安全、稳定运行。
第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则,保存相关文档和记录。制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其开发实施安全,不得使用敏感生产数据用于开发、测试环境。
第三十九条 信息系统正式上线运行前,应对系统进行功能、性能与安全性测试与验收,经相关流程审批后方可投入使用。
第四十条 制定有效的信息系统变更管理流程,控制系统变更过程,分析变更影响,确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,并做好系统变更前准备。
第四十一条 对信息系统的运行维护负责,保持运行维护控制力。加强安全入侵检测监控,进行风险评估与安全扫描,及时发现并处置安全事件。
第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制,严格帐号权限控制管理,规范权限分配和回收流程,保存审计记录,及时进行分析处理。确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。
在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况,应妥善处理,保证系统及数据安全。
第四十三条 根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。
第四十四条 对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。
第四十五条 建立信息系统灾难恢复管理机制。根据数据及系统的重要性,明确数据及系统的备份与灾难恢复策略。
第四十六条采用必要的技术手段和管理措施,保证数据通信的保密性和完整性。涉密信息应进行加密处理,确保涉密信息在传输、处理、存储过程中不被泄露或篡改。
与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理,采用国家和行业相关数据交换标准,保障数据交换过程安全可控。
第四十七条 按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关信息系统安全保密设计和建设。
第四十八条 加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。
第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保留交易相关日志,确保交易行为安全可靠。
第五十条 加强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施,及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理。
建立恶意代码防范管理制度,并部署防恶意代码软件,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定,采取管理与技术措施,确保具备主动发现和有效阻止恶意代码传播的能力。
五、信息化工作外包与采购服务
第五十一条实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。
不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准。
第五十二条根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内部评估审核流程与监督管理机制。
第五十三条 实施数据中心、信息科技基础设施等重要外包应格外谨慎,在准备实施重要外包时应以书面材料正式报告中国保监会。
第五十四条 建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核,确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
第五十五条 与外包承包方签订书面外包服务合同,合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。
第五十六条 严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目,应采取有力措施,确保外包服务质量和安全不受影响和不衰减。
第五十七条 与外包承包方建立有效信息交流与沟通机制,确保外包服务人员的相对稳定性。对于人员的必要流动,应要求外包承包方承诺确保外包服务的连续性与安全性。
第五十八条中国保监会根据需要对外包活动进行现场检查,采集外包活动过程中数据信息和相关资料,对于违反相关法律、法规或存在重大风险隐患的外包情形,可以要求公司进行整改,并视情况予以问责。
六、附则
第五十九条本指引由中国保监会负责解释、修订。
第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》(保监厅发〔2007〕8号)
第六十一条本指引自发布之日起实施。
第五篇:证券公司信息隔离墙制度指引-已处理
1.交易记录进行审查
2.正常开展业务
3.及时调查处理
4.严格保密
5.自律管理
6.进行监控
7.可回墙
8.不受限制
9.知悉
10.逻辑隔离
11.联合调研
12.系列措施
13.措施
14.程序
15.业务活动
16.业绩挂钩
17.名单
18.除外
19.名单
20.职责
1.便利
2.除外
3.原则
4.同意
5.内容
6.独立
7.管理
8.回墙
9.名单
10.负责
11.考评
12.职责
13.不包括
14.监控
15.名单
16.知悉的
17.操作
18.名单
19.墙上
20.限制
1.名单
2.同意
3.名单
4.除外
5.知悉的
6.独立
7.操作
8.名单
9.管理
10.便利
11.回墙
12.限制
13.考评
14.负责
15.墙上
16.监控
17.包括
18.内容
19.职责
20.原则
1.内容
2.知悉的
3.独立
4.名单
5.同意
6.名单
7.包括
8.除外
9.墙上
10.监控
11.管理
12.负责
13.名单
14.限制
15.回墙
16.便利
17.操作
18.考评
19.原则
20.职责
证券公司资产管理业务相关规则解读90分
1.隔离
2.保密
3.程序
4.审查
5.管理
6.挂钩
7.业务
8.措施
9.职责
10.知悉
11.限制
12.名单
13.监控
14.措施
15.除外
16.名单
17.活动
18.处理
19.调研
20.回墙
1.措施
2.名单 3.审查
4.除外
选A 5.业务
6.调研
7.回墙
8.处理 选B 9.程序
10.限制
11.措施
12.管理
13.监控 14.名单
选B 15.职责
16.活动
17.知悉
18.挂钩 选A 19.保密
选B 20.隔离
1.挂钩
2.保密
3.职责 4.回墙
5.程序
6.措施
7.监控
8.业务 9.隔离
10.名单
11.管理
12.处理
13.审查
14.名单 15.限制
16.措施
17.活动
18.知悉
19.调研
20.除外
、
证券公司信息隔离墙制度指引
来源: 作者: 日期:10-12-29
-
关于发布《证券公司信息隔离墙制度指引》的通知
中证协发[2010]203号
各证券公司会员:
为指导证券公司建立健全信息隔离墙制度,提高防范内幕交易和管理利益冲突的能力,树立证券行业诚实守信的良好形象,我会组织行业起草了《证券公司信息隔离墙制度指引》(以下简称《指引》),经向中国证监会备案,现予发布,自2011年1月1日之日起施行。现就有关事项通知如下:
一、信息隔离墙制度是证券公司一项重要的基础性制度,建立健全该项制度是证券公司实现有效的内部控制的保障,也是业务发展中赢得客户和公众信任的基础。各证券公司应认真学习、理解《指引》,按照《指引》对公司现有的信息隔离墙制度进行评估。
二、《指引》依据法律、行政法规和中国证监会的有关规定,并考虑当前证券公司在业务范围、内控机制和管理水平等方面存在较大差异的实际情况,对证券公司信息隔离墙制度建设作了较为原则性的规定。各证券公司应结合自身特点细化《指引》的有关规定,完善信息隔离墙制度,建立切实有效的信息隔离墙。
三、我会将对证券公司信息隔离墙制度的建立和执行情况进行跟踪、检查。各证券公司在落实《指引》中遇到问题应及时向我会反映。
联系人:陈闯
联系电话:010-66575651
电子信箱: chenchuang@sac.net.cn
附件:证券公司信息隔离墙制度指引
二○一○年十二月二十九日
信息隔离墙制度指引(2010-12-29).doc
http:///servlet/download?filename=%D0%C5%CF%A2%B8%F4%C0%EB%C7%BD%D6%C6%B6%C8%D6%B8%D2%FD%A3%A82010-12-29%A3%A9.1293614209812.doc
证券公司信息隔离墙制度指引
第一章 总则
第一条 为指导证券公司建立健全信息隔离墙制度,防范内幕交易和管理利益冲突,制定本指引。
第二条 证券公司应当建立信息隔离墙制度。信息隔离墙制度应当覆盖相互存在利益冲突的各项业务。
本指引所称信息隔离墙制度,是指证券公司为控制敏感信息在相互存在利益冲突的业务之间不当流动和使用而采取的一系列措施。
本指引所称敏感信息,是指证券公司在业务经营过程中掌握或知悉的内幕信息或者可能对投资决策产生重大影响的尚未公开的其他信息。
第三条 证券公司应当将信息隔离墙制度纳入公司内部控制机制,采取有效措施,健全业务流程,对与业务经营有关的敏感信息和可能产生的利益冲突进行识别、评估和管理,加强对工作人员的培训和教育,对违规泄漏和使用敏感信息的行为进行责任追究。
证券公司应当定期评价信息隔离墙制度的有效性,并根据情况的变化和管理利益冲突的需要及时调整和完善。
第四条 证券公司应当明确董事会、管理层、各部门和分支机构在信息隔离墙制度建立和执行方面的职责。
证券公司董事会和经营管理的主要负责人对公司信息隔离墙制度的有效性负最终责任,各业务部门和分支机构的负责人对本部门和本机构执行信息隔离墙制度的有效性承担责任。
证券公司合规总监和合规部门协助董事会和管理层建立和执行信息隔离墙制度,并负有审查、监督、检查、咨询和培训等职责。
第五条 证券公司采取信息隔离措施难以避免利益冲突的,应当对利益冲突进行披露;披露难以有效处理利益冲突的,应当采取对相关业务进行限制等措施。
证券公司对相关业务进行限制时,应当遵循客户利益优先和公平对待客户的原则。
第六条 证券公司各业务部门之间可以开展业务合作,但不得违反信息隔离墙制度的规定。
第七条 中国证券业协会对证券公司信息隔离墙制度的建立和执行情况进行自律管理。
第二章 信息隔离墙的一般规定
第八条 证券公司应当按照需知原则管理敏感信息,确保敏感信息仅限于存在合理业务需求或管理职责需要的工作人员知悉。
第九条 证券公司工作人员未经授权或批准不应获取敏感信息,对已经获取的敏感信息负有保密义务,不应利用敏感信息为自己或他人谋取不当利益。
第十条 证券公司应当采取保密措施,防止敏感信息的不当流动和使用,包括但不限于:
(一)与公司工作人员签署保密文件,要求工作人员对工作中获取的敏感信息严格保密;
(二)加强对涉及敏感信息的信息系统、通讯及办公自动化等信息设施、设备的管理,保障敏感信息安全;
(三)对可能知悉敏感信息的工作人员使用公司的信息系统或配发的设备形成的电子邮件、即时通讯信息和其他通讯信息进行监测。
第十一条 证券公司应当确保存在利益冲突的业务部门的办公场所和办公设备相对封闭和相互独立。
证券公司应当对掌握敏感信息的业务部门的办公场所人员进出情况进行监控,并要求工作人员避免进入与其职责存在利益冲突的业务部门的办公场所。
第十二条 证券公司应当明确高级管理人员的职责权限,同一高级管理人员原则上不应同时分管两个或两个以上存在利益冲突的业务部门。同一高级管理人员同时分管两个或两个以上存在利益冲突的业务部门的,不应直接或间接参与具体证券品种的投资决策、投资咨询等可能导致利益冲突的业务活动。
证券公司工作人员不应同时履行可能导致利益冲突的职责,业务部门工作人员不应在与其业务存在利益冲突的子公司兼任职务。
证券公司有关业务的决策机构应当实行回避制度,防范可能产生的利益冲突。
第十三条 证券公司应当确保存在利益冲突的业务的信息系统相互独立或实现逻辑隔离。
第十四条 证券公司应当对证券自营、证券资产管理、融资融券等业务所涉资金、证券及账户实施分开管理,不应混合操作。
第十五条 证券公司存在利益冲突的业务部门互为信息隔离墙的两侧。处于信息隔离墙两侧的业务部门及其工作人员之间对敏感信息进行交流的,应当履行跨墙审批程序。
因履行管理职责需要知悉敏感信息的工作人员处于信息隔离墙的墙上。证券公司应当建立墙上人员管理制度,明确墙上人员的范围及其行为规范,防止墙上人员不当使用敏感信息。
第十六条 证券公司应当制定跨墙管理制度,明确跨墙的审批程序和跨墙人员的行为规范。
证券公司的业务部门需要其他部门派员跨墙协作的,应当事先向跨墙人员所属部门和合规部门提出申请,并经其审批同意。
跨墙人员在跨墙期间不应泄露或不当使用跨墙后知悉的敏感信息,不应获取与跨墙业务无关的敏感信息。
跨墙人员在跨墙活动结束且获取的敏感信息已公开或者不再具有重大影响后方可回墙。
第十七条 证券公司有关部门应当分工合作,对跨墙人员的行为进行监督管理。
合规部门负责记录跨墙情况,向跨墙人员提示跨墙行为规范,并会同提出跨墙申请的业务部门和跨墙人员所属部门对跨墙人员行为进行监控。
第十八条 高级管理人员分管职责范围发生变化,或者其他人员跨部门调动的,证券公司应当采取相应措施,防范可能产生的利益冲突。
第十九条 证券公司应当建立观察名单和限制名单制度,明确设置名单的目的、有关公司或证券进入和退出名单的事由和时点、名单编制和管理的程序及职责分工、掌握名单的工作人员范围、对有关业务活动进行监控或限制的措施以及异常情况的处理办法等内容。
第二十条 证券公司已经或可能掌握敏感信息的,应当将该敏感信息所涉公司或证券列入观察名单。观察名单属于高度保密的名单,仅限于履行相关管理和监控职责的工作人员知悉。
观察名单不影响证券公司正常开展业务。证券公司应当对与列入观察名单的公司或证券有关的业务活动实施监控,发现异常情况,及时调查处理。
第二十一条 证券公司采取信息隔离和披露措施难以有效管理利益冲突的,应当将敏感信息所涉公司或证券列入限制名单。证券公司应当根据需要确定限制名单的发布范围。
证券公司应当根据防止内幕交易和避免利益冲突的需要,对与列入限制名单的公司或证券有关的一项或多项业务活动实施限制。
第二十二条 证券公司发现敏感信息泄露的,应当视具体情况立即采取将有关工作人员纳入跨墙管理、促使敏感信息公开或对相关业务活动进行限制等措施。
第三章 具体业务信息隔离墙的规定
第二十三条 证券公司应当在投资银行业务部门与客户发生实质性接触后的适当时点,将相关项目所涉公司或证券列入观察名单。
前款所称适当时点,以与客户签署保密协议、对项目立项、进场开展工作和实际获知项目敏感信息中较早者为准。
第二十四条 证券公司在以下时点,将项目公司和与其有重大关联的公司或证券列入限制名单:
(一)担任首次公开发行股票项目的上市辅导人、保荐机构或主承销商的,为担任前述角色的信息公开之日;
(二)担任再融资项目或并购重组项目保荐机构、主承销商或财务顾问的,为项目公司首次对外公告该项目之日。
证券公司可以根据实际需要,将列入限制名单的时点前移,但不应造成敏感信息的泄漏和不当流动。
证券公司在确认不再拥有与项目有关的敏感信息后,可以将该项目公司和与其有重大关联的公司或证券从限制名单中删除。
第二十五条 对因投资银行业务列入限制名单的公司或证券,证券公司应当限制与其有关的发布证券研究报告、证券自营、直接投资等业务,法律法规和证券监管机构另有规定的除外。
第二十六条 证券公司应当建立证券研究报告的审查机制,对证券研究报告的内容是否涉及观察名单和限制名单中的公司或证券等进行审查。
除下列情形外,证券公司不应允许任何人在报告发布前接触报告或对报告内容产生影响:
(一)公司内部有关工作人员对报告进行质量管理、合规审查和按照正常业务流程参与报告制作发布的;
(二)研究对象和公司投资银行部门有关工作人员为核实事实而仅接触报告草稿有关章节内容的。
证券公司不应在报告发布前向研究对象和公司投资银行部门提供包括研究摘要、投资评级或目标价格等内容的章节。
第二十七条 证券公司对研究部门及其研究人员的绩效考评和激励措施,不应与投资银行等存在利益冲突的业务部门的业绩挂钩。投资银行等存在利益冲突的业务部门及其分管负责人不应参与对研究人员的考评。
第二十八条 证券公司不应允许证券自营、证券资产管理等存在利益冲突的业务部门对上市公司、拟上市公司及其关联公司开展联合调研、互相委托调研。
第二十九条 当证券自营或证券资产管理业务对某一权益类证券持有量占发行量一定比例时,证券公司应当将该证券列入观察名单,必要时列入限制名单。
第三十条 证券公司及其从事直接投资业务的子公司之间应当建立相应的信息隔离机制。证券公司不应向从事直接投资业务的子公司泄露项目敏感信息,为其参与项目投资提供便利。
证券公司为其子公司直接投资的项目公司提供证券发行保荐服务的,应当严格履行保荐义务,诚实守信、勤勉尽责,不应通过从事保荐业务谋取任何不当利益。
第四章 工作人员证券投资行为管理和监控
第三十一条 证券公司应当建立工作人员证券投资行为管理制度,防范工作人员违规从事证券投资或者利用敏感信息谋取不当利益。
第三十二条 证券公司应当按照防范内幕交易和利益冲突的需要,根据法律法规的规定,明确工作人员可以买卖或者禁止买卖的证券和投资产品。
第三十三条 证券公司应当加强工作人员证券账户管理。工作人员开立证券账户的,应当要求工作人员在本公司指定交易或托管,或者申报证券账户并定期提供交易记录。
第三十四条 证券公司应当对工作人员证券账户的交易情况进行监控,或对工作人员提交的交易记录进行审查。发现涉嫌违规交易行为的,及时调查处理,并按照规定向证券监管机构和中国证券业协会报告。
第五章 附则
第三十五条 证券公司对子公司实行一体化管理或者与子公司人员、业务往来密切的,应当参照本指引的规定,采取措施防范与子公司业务之间的利益冲突。
第三十六条 本指引由中国证券业协会负责解释。
第三十七条 本指引自2011年1月1日起施行。