為進(jìn)一步加強(qiáng)證券公司信息系統(tǒng)外部接入的風(fēng)險(xiǎn)管理，維護(hù)證券公司信息系統(tǒng)安全、穩(wěn)定運(yùn)行，有效防范風(fēng)險(xiǎn)，保護(hù)投資者合法權(quán)益，切實(shí)維護(hù)市場(chǎng)秩序，我會(huì)組織起草了《證券公司外部接入信息系統(tǒng)評(píng)估認(rèn)證規(guī)范》，現(xiàn)予發(fā)布。

聯(lián)系方式：010-66575966，010-66575963

附件：證券公司外部接入信息系統(tǒng)評(píng)估認(rèn)證規(guī)范

中國(guó)證券業(yè)協(xié)會(huì)
2015年6月12日

證券公司外部接入信息系統(tǒng)評(píng)估認(rèn)證規(guī)范

為進(jìn)一步加強(qiáng)證券公司信息系統(tǒng)外部接入的風(fēng)險(xiǎn)管理，維護(hù)證券公司信息系統(tǒng)安全、穩(wěn)定運(yùn)行，有效防范風(fēng)險(xiǎn)，保護(hù)投資者合法權(quán)益，切實(shí)維護(hù)市場(chǎng)秩序，根據(jù)《證券期貨業(yè)信息安全保障管理辦法》（證監(jiān)會(huì)令第82號(hào)）、《證券公司融資融券管理暫行辦法》（證監(jiān)會(huì)公告[2011]31號(hào)）、《關(guān)于加強(qiáng)證券公司信息系統(tǒng)外部接入管理的通知》（證監(jiān)辦發(fā)[2015]35號(hào)）和《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》（中證協(xié)發(fā)[2015]8號(hào)）等有關(guān)規(guī)定，制定本規(guī)范。

一、證券公司使用外部接入信息系統(tǒng)，證券交易指令必須在證券公司自主控制的系統(tǒng)內(nèi)全程處理，即從客戶端發(fā)出的交易指令處理應(yīng)僅在發(fā)起交易的投資者與證券公司之間進(jìn)行，其間任何其他主體不得對(duì)交易指令進(jìn)行發(fā)起、接收、轉(zhuǎn)發(fā)、修改、落地保存或截留。

證券公司應(yīng)加強(qiáng)客戶端交易指令監(jiān)控，如發(fā)現(xiàn)交易指令被第三方接收、轉(zhuǎn)發(fā)等，應(yīng)及時(shí)采取措施進(jìn)行整改。

證券公司不得直接或間接支持信息技術(shù)服務(wù)機(jī)構(gòu)等相關(guān)方利用外部接入信息系統(tǒng)開展證券經(jīng)紀(jì)業(yè)務(wù)。

二、證券公司需要使用外部接入信息系統(tǒng)，應(yīng)當(dāng)經(jīng)中國(guó)證券業(yè)協(xié)會(huì)（以下簡(jiǎn)稱協(xié)會(huì)）評(píng)估認(rèn)證。

自本規(guī)范下發(fā)之日起，證券公司不得接入新的未經(jīng)評(píng)估認(rèn)證的外部信息系統(tǒng)。

向證券公司信息系統(tǒng)提供外部接入的信息技術(shù)服務(wù)機(jī)構(gòu)等相關(guān)方應(yīng)當(dāng)是協(xié)會(huì)會(huì)員，接受協(xié)會(huì)的自律管理。

三、證券公司使用外部接入信息系統(tǒng)應(yīng)當(dāng)在客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議簽署一個(gè)月內(nèi)通過(guò)場(chǎng)外證券業(yè)務(wù)報(bào)告系統(tǒng)向協(xié)會(huì)申請(qǐng)?jiān)u估認(rèn)證。申請(qǐng)材料包括：

（一）評(píng)估認(rèn)證申請(qǐng)表；

（二）客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議；

（三）擬接入的外部信息系統(tǒng)業(yè)務(wù)說(shuō)明書；

（四）使用外部接入信息系統(tǒng)的內(nèi)部管理制度，包括但不限于內(nèi)控、風(fēng)控、投資者保護(hù)等；

（五）信息系統(tǒng)安全和合規(guī)承諾書；

（六）合規(guī)審查意見；

（七）協(xié)會(huì)要求的其他材料。

證券公司已使用外部接入信息系統(tǒng)的，應(yīng)當(dāng)在自查整改完成后報(bào)協(xié)會(huì)評(píng)估認(rèn)證。

四、證券公司使用外部接入信息系統(tǒng)應(yīng)當(dāng)符合監(jiān)管規(guī)定，且不得有以下行為：

（一）為信息技術(shù)服務(wù)機(jī)構(gòu)等相關(guān)方從事或變相從事證券經(jīng)紀(jì)業(yè)務(wù)提供便利；

（二）為信息技術(shù)服務(wù)機(jī)構(gòu)等相關(guān)方建立賬戶登記體系等登記結(jié)算業(yè)務(wù)提供便利；

（三）規(guī)避監(jiān)管或自律管理；

（四）充當(dāng)外部接入信息系統(tǒng)的業(yè)務(wù)通道；

（五）其他法律法規(guī)、監(jiān)管規(guī)定和自律規(guī)則禁止的行為。

五、證券公司使用外部接入信息系統(tǒng)應(yīng)當(dāng)遵守下列要求：

（一）建立健全使用外部接入信息系統(tǒng)的內(nèi)部管理制度，明確提供外部接入的信息技術(shù)服務(wù)機(jī)構(gòu)等相關(guān)方應(yīng)當(dāng)具有的資質(zhì)條件和篩選標(biāo)準(zhǔn)、系統(tǒng)的信息安全要求、相關(guān)合規(guī)審查要點(diǎn)、風(fēng)險(xiǎn)管理措施、后續(xù)監(jiān)控檢查及問(wèn)題處理機(jī)制；

（二）建立健全外部接入信息系統(tǒng)開展證券業(yè)務(wù)的審查機(jī)制，著重加強(qiáng)對(duì)開展相關(guān)業(yè)務(wù)的合規(guī)性審查，公司主要負(fù)責(zé)人和合規(guī)總監(jiān)應(yīng)當(dāng)在相關(guān)審查文件上簽字確認(rèn)；

（三）具備識(shí)別外部接入信息系統(tǒng)合規(guī)性的能力，不得接入無(wú)法辨別合規(guī)性的外部信息系統(tǒng)；

（四）在與相關(guān)方簽訂的協(xié)議中明確由相關(guān)方承諾不得利用外部接入信息系統(tǒng)從事或變相從事配資活動(dòng)，并建立相關(guān)責(zé)任追究機(jī)制；

（五）嚴(yán)格執(zhí)行開戶審查制度，強(qiáng)化客戶身份識(shí)別，對(duì)投資者提供的有效身份證明文件原件及其他開戶資料的真實(shí)性、準(zhǔn)確性、完整性進(jìn)行審核；

（六）做好投資者適當(dāng)性管理和教育工作，提示投資者證券賬戶應(yīng)當(dāng)本人使用，不得轉(zhuǎn)借他人從事非法證券活動(dòng)；

（七）加強(qiáng)日常監(jiān)控，定期或不定期開展檢查，了解外部接入信息系統(tǒng)運(yùn)行和賬戶管理情況，對(duì)可疑賬戶和可疑交易行為采取有效措施并及時(shí)處理。

六、除經(jīng)國(guó)務(wù)院及中國(guó)證監(jiān)會(huì)批準(zhǔn)設(shè)立的合法證券交易場(chǎng)所及中國(guó)證監(jiān)會(huì)認(rèn)可的金融機(jī)構(gòu)外，證券公司不得向第三方運(yùn)營(yíng)的客戶端提供網(wǎng)上證券服務(wù)端與證券交易相關(guān)的接口。

第三方運(yùn)營(yíng)的客戶端是指除證券公司、投資者之外，由第三方進(jìn)行發(fā)布、升級(jí)等運(yùn)營(yíng)管理的客戶端，不包括以下情形：

（一）客戶端是證券公司與第三方公司簽署正式協(xié)議購(gòu)置或租用的，并經(jīng)證券公司測(cè)試和驗(yàn)收后，由證券公司進(jìn)行發(fā)布、升級(jí)等運(yùn)營(yíng)管理；

（二）客戶端是客戶自行開發(fā)或通過(guò)第三方購(gòu)置、租用，且通過(guò)專線、互聯(lián)網(wǎng)VPN等專用通訊通道接入證券公司的，經(jīng)證券公司評(píng)估系統(tǒng)安全性并正式認(rèn)可后，由客戶自行運(yùn)行管理或授權(quán)證券公司確定的第三方運(yùn)行管理；

（三）客戶端是直連證券公司服務(wù)端的通用瀏覽器。

證券公司應(yīng)當(dāng)對(duì)上述客戶端的合規(guī)性負(fù)責(zé)。

七、證券公司提供客戶使用的客戶端屬于向第三方購(gòu)置或租用的，應(yīng)當(dāng)與第三方簽署正式的客戶端系統(tǒng)購(gòu)置或租用協(xié)議，并做好客戶端測(cè)試、驗(yàn)收、變更發(fā)布管理等工作，對(duì)客戶端的安全運(yùn)行、交易賬戶合規(guī)性、交易操作合規(guī)性承擔(dān)全部責(zé)任。

客戶端系統(tǒng)購(gòu)置或租用協(xié)議內(nèi)容包括但不限于：客戶端系統(tǒng)信息安全要求，交易賬戶處理方式、用戶交易操作方式、交易指令處理方式等系統(tǒng)功能范圍和邊界要求，系統(tǒng)監(jiān)控接口要求，協(xié)議各方管理責(zé)任等。

八、證券公司應(yīng)當(dāng)加強(qiáng)客戶自行開發(fā)、購(gòu)置、租用客戶端的管理?？蛻糇孕虚_發(fā)、購(gòu)置或租用網(wǎng)上證券客戶端以及配套信息系統(tǒng)接入證券公司的，證券公司應(yīng)采用專線、互聯(lián)網(wǎng)VPN等專用通訊通道，且與關(guān)聯(lián)方簽署正式的客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議，對(duì)客戶端及配套信息系統(tǒng)的信息安全性、功能合規(guī)性（包括但不限于交易賬戶處理方式、用戶交易操作方式、交易指令處理方式）等進(jìn)行充分評(píng)估，并持續(xù)做好合規(guī)性監(jiān)控和風(fēng)控管理。證券公司發(fā)現(xiàn)客戶端有異常行為，應(yīng)當(dāng)采取屏蔽應(yīng)用系統(tǒng)接入、限制賬戶交易等必要措施。

客戶端及配套信息系統(tǒng)屬于客戶自行運(yùn)營(yíng)管理的，證券公司應(yīng)與客戶簽署客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議；客戶端及配套系統(tǒng)屬于客戶委托第三方運(yùn)營(yíng)管理的，證券公司應(yīng)分別與客戶、第三方簽署客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議。

客戶端系統(tǒng)準(zhǔn)入?yún)f(xié)議內(nèi)容包括但不限于：客戶端及配套系統(tǒng)信息安全要求，交易賬戶處理方式、用戶交易操作方式、交易指令處理方式等系統(tǒng)功能范圍和邊界要求，與交易賬戶和交易操作合規(guī)性監(jiān)控相關(guān)的系統(tǒng)監(jiān)控接口要求，協(xié)議各方管理責(zé)任等。

九、證券公司應(yīng)當(dāng)建立對(duì)外部接入信息系統(tǒng)的自查制度，自查內(nèi)容包括但不限于：

（一）是否存在接入未經(jīng)公司合規(guī)審查和協(xié)會(huì)評(píng)估認(rèn)證的外部信息系統(tǒng)情況；

（二）外部接入信息系統(tǒng)開展的業(yè)務(wù)類型及基本情況；

（三）外部接入信息系統(tǒng)的業(yè)務(wù)合規(guī)性和系統(tǒng)安全性；

（四）外部接入信息系統(tǒng)開展業(yè)務(wù)的風(fēng)險(xiǎn)類型及隱患；

（五）公司認(rèn)為必要的其他情況。

證券公司應(yīng)當(dāng)每年至少自查一次，形成自查報(bào)告并存檔備查。自查工作中發(fā)現(xiàn)存在風(fēng)險(xiǎn)隱患的，應(yīng)當(dāng)制定整改方案，及時(shí)整改，并向協(xié)會(huì)報(bào)告。

十、證券公司應(yīng)當(dāng)建立健全責(zé)任追查和問(wèn)責(zé)機(jī)制，對(duì)違反本規(guī)范的相關(guān)人員進(jìn)行問(wèn)責(zé)。

十一、協(xié)會(huì)可以對(duì)證券公司使用外部接入信息系統(tǒng)運(yùn)行情況進(jìn)行執(zhí)業(yè)檢查，對(duì)違反本規(guī)范的證券公司、信息技術(shù)服務(wù)機(jī)構(gòu)等相關(guān)方和相關(guān)從業(yè)人員采取自律管理措施并按規(guī)定計(jì)入誠(chéng)信檔案；情節(jié)嚴(yán)重的，移送中國(guó)證監(jiān)會(huì)及有關(guān)部門處理。

十二、本規(guī)范自發(fā)布之日起實(shí)施。