第十節(jié) 信息系統(tǒng)內(nèi)部控制
第一百一十四條 證券公司應(yīng)建立信息系統(tǒng)的管理制度、操作流程、崗位手冊(cè)和風(fēng)險(xiǎn)控制制度,加強(qiáng)信息技術(shù)人員、設(shè)備、軟件、數(shù)據(jù)、機(jī)房安全、病毒防范、防黑客攻擊、技術(shù)資料、操作安全、事故防范與處理、系統(tǒng)網(wǎng)絡(luò)等的管理。
第一百一十五條 證券公司應(yīng)設(shè)立專門的信息技術(shù)部門,統(tǒng)一歸口管理信息技術(shù)工作,加強(qiáng)對(duì)立項(xiàng)、設(shè)計(jì)、開發(fā)、測(cè)試、運(yùn)行與維護(hù)等環(huán)節(jié)的管理,并定期對(duì)信息系統(tǒng)的可靠性和安全性進(jìn)行檢查。
證券公司信息系統(tǒng)的立項(xiàng)審批與開發(fā)、運(yùn)行與維護(hù)、開發(fā)測(cè)試與日常運(yùn)轉(zhuǎn)之間應(yīng)適當(dāng)分離。
第一百一十六條 證券公司應(yīng)嚴(yán)格系統(tǒng)進(jìn)入控制以及信息系統(tǒng)的權(quán)限、密碼管理,權(quán)限的審批、設(shè)置、變動(dòng)以及密碼的使用、修改應(yīng)有嚴(yán)格的控制措施并保留完備的記錄。
用戶權(quán)限設(shè)置應(yīng)當(dāng)遵循權(quán)限最小化原則。
第一百一十七條 證券公司應(yīng)保證信息系統(tǒng)日志的完備性,確保所有重大修改被完整地記錄,確保開啟審計(jì)留痕功能。
證券公司信息系統(tǒng)日志應(yīng)至少保存15年。
第一百一十八條 證券公司應(yīng)建立可靠完備的災(zāi)難備份計(jì)劃和應(yīng)急處理機(jī)制;數(shù)據(jù)和重要資料做到異地備份,條件允許應(yīng)建設(shè)異地計(jì)算機(jī)災(zāi)難備份中心;制定詳細(xì)的信息系統(tǒng)安全應(yīng)急方案并定期修訂、演練。
第一百一十九條 證券公司應(yīng)建立系統(tǒng)安全和病毒防范制度,實(shí)時(shí)監(jiān)控信息系統(tǒng)的安全,嚴(yán)防黑客或病毒入侵系統(tǒng)。
第一百二十條 證券公司與交易結(jié)算相關(guān)的技術(shù)系統(tǒng)應(yīng)符合中國(guó)證監(jiān)會(huì)、證券交易所及登記結(jié)算公司相關(guān)技術(shù)規(guī)范的要求。
第十一節(jié) 人力資源管理內(nèi)部控制
第一百二十一條 證券公司應(yīng)當(dāng)高度重視聘用人員的誠(chéng)信記錄,確保其具有與業(yè)務(wù)崗位要求相適應(yīng)的專業(yè)能力和道德水準(zhǔn)。
證券公司應(yīng)當(dāng)要求聘用人員以恰當(dāng)形式進(jìn)行誠(chéng)信承諾。
第一百二十二條 證券公司應(yīng)建立職能管理部門和派出人員的工作聯(lián)絡(luò)機(jī)制,強(qiáng)化對(duì)分支機(jī)構(gòu)負(fù)責(zé)人及電腦、財(cái)務(wù)等關(guān)鍵崗位人員的垂直管理。
第一百二十三條 證券公司關(guān)鍵崗位人員應(yīng)當(dāng)實(shí)行定期或不定期的輪換和強(qiáng)制休假制度。
第一百二十四條 證券公司關(guān)鍵崗位人員任期屆滿、工作調(diào)動(dòng)或離職,應(yīng)當(dāng)進(jìn)行任期經(jīng)濟(jì)責(zé)任審計(jì)及專項(xiàng)審計(jì)。證券公司對(duì)高級(jí)管理人員、分支機(jī)構(gòu)負(fù)責(zé)人的相關(guān)稽核審計(jì)報(bào)告應(yīng)當(dāng)向中國(guó)證監(jiān)會(huì)及派出機(jī)構(gòu)備案。
第一百二十五條 證券公司應(yīng)當(dāng)培育良好的內(nèi)部控制文化,建立健全員工持續(xù)教育制度,加強(qiáng)對(duì)員工的法規(guī)及業(yè)務(wù)培訓(xùn),確保所有從業(yè)人員及時(shí)獲得充分的法律法規(guī)、內(nèi)部控制和行為規(guī)范的最新文件和資料,確保員工書面承諾收到相關(guān)資料并理解其內(nèi)容。
第一百二十六條 證券公司應(yīng)當(dāng)加強(qiáng)業(yè)務(wù)人員的從業(yè)資格管理,上崗人員應(yīng)當(dāng)符合相關(guān)資格管理的規(guī)定。
第一百二十七條 證券公司應(yīng)當(dāng)建立合理有效的激勵(lì)約束機(jī)制,建立嚴(yán)格的責(zé)任追究制度。
證券公司對(duì)員工的績(jī)效考核、評(píng)價(jià)制度應(yīng)當(dāng)達(dá)到鼓勵(lì)員工守法經(jīng)營(yíng)的目的。
第一百二十八條 證券公司應(yīng)當(dāng)制定嚴(yán)謹(jǐn)、公開、合理的人事選拔制度,任免程序中應(yīng)明確規(guī)定任免決定權(quán)的歸屬。人事任免應(yīng)有完備的決策記錄。
第一百二十九條 證券公司應(yīng)建立高級(jí)管理人員、分支機(jī)構(gòu)負(fù)責(zé)人及其他關(guān)鍵崗位人員的年度述職報(bào)告及定期談話制度。
第一百三十條 證券公司應(yīng)加強(qiáng)對(duì)高級(jí)管理人員、分支機(jī)構(gòu)負(fù)責(zé)人及其他關(guān)鍵崗位人員的檔案(包括外事檔案)管理。
第一百三十一條 證券公司高級(jí)管理人員離職,證券公司應(yīng)當(dāng)向中國(guó)證監(jiān)會(huì)及注冊(cè)地派出機(jī)構(gòu)和主要辦事機(jī)構(gòu)在地派出機(jī)構(gòu)及時(shí)報(bào)告,并對(duì)離職原因作出說(shuō)明。
分支機(jī)構(gòu)負(fù)責(zé)人及其他關(guān)鍵崗位人員離職,證券公司應(yīng)當(dāng)向主要辦事機(jī)構(gòu)所在地中國(guó)證監(jiān)會(huì)派出機(jī)構(gòu)及時(shí)報(bào)告,并對(duì)離職原因作出說(shuō)明。