1. 审议信息技术战略， 确保与本公司的发展战略、风险管理策略、资本实力相一致。

2.建立信息技术人力和资金保障方案

3.评估年度信息技术管理工作的总体效果和效率；

4.公司章程规定的其他信息技术管理职责。

1.组织实施董事会相关决议；

2.建立责任明确、程序清晰的信息技术管理组织架构，明确管理职责作程序和协调机制；

3.完善绩效考核和责任追究机制

4.公司章程规定或董事会授权的其他信息技术管理职责。

(一)信息技术治理委员会的组成

(二)职责范围

1.从事信息技术相关工作10年以上，其中证券、基金行业信息技术相关工作年限不少于3年；或者在证券监管机构、证券基金业自律组织任职8年以上；

2.最近3年未被金融监管机构实施行政处罚或采取重大行政监管措施；

3.中国证监会规定的其他条件。

1.信息技术规划

2.信息系统建设

3.信息技术质量控制

4.信息安全保障

5.运维管理

证券公司借助信息技术手段从事证券基金业务活动的，应当在业务系统上线时，同步上线与业务活动复杂程度和风险状况相适应的风险管理系统或相关功能(以下统称“风险管理系统”),对风险进行识别、监控、预警和干预 。

1)业务系统的流程设计、功能设置、参数配置和技术实现应当遵循业务合规的原则，不得违反法律法规及中国证监会的规定；

2)风险管理系统功能完备权限清晰，能与业务系统同步上线运行；

3)具备完善的信息安全防护措施，能够保障经营数据和客户信息的安全、完整；

4)具备符合要求的信息系统备份及运维管理能力，能够保障相关系统安全、平稳运行。

证券公司应当及时、稳妥处置发现的风险问题， 并至少每年开展一次风险监测机制及执行情况的有效性评估。

1)证券公司应定期开展专项审计，频率不低于每年一次

2)确保3年内完成全部事项的审计工作，委托外部专业机构开展全面审计， 频率不低于每3年一次。

3)未能有效实施信息技术管理被采取行政处罚措施、监管措施或自律管理措施的，应当在3个月内完成对有关事项的专项审计。

4)应跟踪审计发现问题的整改情况，相关问题未能及时整改的，应说明理由，并将审计报告提交信息技术治理委员会审议。证券公司应当妥善保存审计报告， 保存期限不得少于20年。

1. 证券公司应通过自身运营管理的信息系统直接接收客户交易指令，并记录客户交易指令接收时间。

2.证券公司应按照中国证监会有关规定采集、记录、存储、报送客户交易终端信息，并采取有效的技术措施，保障相关信息真实、准确、完整。

3.证券公司借助专业化交易信息系统向特定客户提供交易服务的，应要求客户登记交易终端信息；信息发生变更的，应要求客户履行变更程序，确保客户真实使用的客户交易终端信息与登记内容一致。

4.证券公司使用电子合同从事证券基金业务活动的，应将电子合同存储在指定的信息系统，并提供可供投资者及合同其他相关方查询、下载的公开渠道。

5.证券公司从事证券交易相关业务，应按照监管规定及自律管理规则的要求，确保风险管理系统具备审查账户资金及证券是否充足、监控交易及资金划转是否异常等功能。

1.开发/测试

2.上线/变更

3.停用

1.数据分类分级

2.数据安全保障措施

3.信息系统权限管理

4.经营数据和客户信息保护

1.应急管理职责

2.应急预案

3.信息公示(网站、客户交易终端等渠道)

4.信息系统备份(教材改动)

5.信息安全事件分级响应机制

信息技术服务机构为证券基金业务活动提供信息技术服务的机构。

1、 重要信息系统的开发、测试、集成及测评；

2、 重要信息系统的运维及日常安全管理；

3、 中国证监会规定的其他情形。

1.证券公司借助信息技术手段从事证券基金业务活动的，可以委托信息技术服务机构提供产品或服务，但证券公司依法应当承担的责任不因委托而免除或减轻。

2.证券公司应当清晰、准确、完整地掌握重要信息系统的技术架构、业务逻辑和操作流程等内容，确保重要信息系统运行始终处于自身控制范围。

3.除法律法规及中国证监会另有规定外，不得将重要信息系统的运维、日常安全管理交由信息技术服务机构独立实施。

1.证券公司委托信息技术服务机构提供服务，应对信息技术服务机构及相关信息系统进行内部审查，并向中国证监会及其派出机构报送审查意见及相关资料。

2.证券公司应当在选择信息技术服务机构之前，制定更换服务提供方的流程预案，确保在特定情况下可更换服务提供方。

3.信息技术服务机构出现异常情形的，证券公司应当按照应急预案开展内部评估与审查；信息技术服务机构保障 能力不足，导致相关产品或服务的可用性、完整性或机密性丧失的，应当及时更换信息技术服务机构。

4.信息技术服务机构应当向中国证监会备案。

证券公司应当与信息技术服务机构签订服务协议和保密协议， 明确各方权利、义务和责任， 约定质量考核标准、持续监控机制、异常处理机制、服务变更或者终止的处置流程以及现场服务人员保密要求等内容，并持续监督信息技术服务机构及相关人员落实服务协议和保密协议的情况。

信息技术服务机构应当健全内部质量控制机制，定期监测相关产品或服务，在提供服务过程中出现明显质量问题的，应当立即核实有关情况，采取必要的处理措施，明确修复完成时限，及时完成修复工作。

1.参与证券基金经营机构向客户提供业务服务的任何环节或向投资者、社会公众等发布可能引发其从事证券基金业务误解的信息；

2.截取、存储、转发和使用证券基金业务活动相关经营数据和客户信息；

3.在服务对象不知情的情况下，转委托第三方提供信息技术服务；

4.提供的产品或服务相关功能、操作流程、系统权限及参数配置违反现行法律法规；

5.无正当理由关闭系统接口或设置技术壁垒；

6.向社会公开发布信息安全漏洞、信息系统压力测试结果等网络安全信息或泄露未公开信息；

7.法律法规及中国证监会禁止的其他行为。

证券公司新建或更换重要信息系统所在机房、证券基金交易相关信息系统，应当在开展相关业务活动的5个工作日内向中国证监会报送有关资料。

证券公司应当在报送年度报告的同时报送年度信息技术管理专项报告，提交报告的内容应当真实、准确、完整。

中国证监会及其派出机构在对证券公司信息技术管理及服务活动的监管过程中，可以采用渗透测试、漏洞扫描及信息技术风险评估等方式开展现场检查及非现场检查。

中国证监会及其派出机构可依法对其采取责令改正、暂停业务、出具警示函、责令定期报告、责令增加合规检 查次数、公开谴责等行政监管措施；对直接负责的主管人员和其他责任人员采取责令改正、监管谈话、出具警示函、公开谴责等行政监管措施。