IT治理是公司治理的一部分，是信息不对称情况下，为保证IT决策的责、权、利一致，而设计的激励、约束的制度和流程。IT治理的核心就是决策，IT决策包括三个问题，即为了保证有效地管理与使用IT，应当做出怎样的决策？谁来做出这些决策？如何做出决策及对决策进行监控？IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。价值、风险与控制是IT治理的核心。

第一章总则

第一条为提高公司信息化水平，加强信息技术管理与规范，完善公司治理结构，保障信息系统安全，依据国家法律法规及行业自律组织的相关规定制定本办法。

第二条信息技术（以下简称IT）治理是指公司在运用信息技术过程中,制定的有关IT决策权分配和责任承担的框架，主要包括在IT原则、IT架构、IT基础设施、IT应用和IT投入等方面制定相关制度并建立有效的工作机制，实现IT决策的责任和权力的有效分配与控制，提高IT资源的有效性、可用性和安全性。

第三条IT治理是公司治理的重要组成部分，有效的IT治理可以持续巩固和提升IT能力，可以帮助公司利用IT增强核心竞争力，使公司从IT投入中获得最大利益。公司IT治理的核心目标是：

明确IT决策的权力与责任；

实现IT资源的最优配置；

实现IT风险的可管可控；

实现技术与业务的有效匹配。第二章IT治理组织和工作机制第四条公司应建立统一、有效的IT治理组织和工作机制，实现IT决策的有效授权与控制。第五条公司董事会负责审议公司的信息技术管理目标，对信息技术管理的有效性承担责任，履行下列职责：（一）审议信息技术战略，确保与公司的发展战略、风险管理策略、资本实力相一致；（二）建立信息技术人力和资金保障方案；（三）评估年度信息技术管理工作的总体效果和效率；（四）公司章程规定的其他信息技术管理职责。第六条公司管理层负责落实信息技术管理目标，对信息技术管理工作承担责任，履行下列职责：（一）组织实施董事会相关决议；（二）建立责任明确、程序清晰的信息技术管理组织架构，明确管理职责、工作程序和协调机制；（三）完善绩效考核和责任追究机制；（四）公司章程规定或董事会授权的其他信息技术管理职责。第七条公司指定专门的高级管理人员作为公司IT治理的直接负责人。第八条公司应指定一名熟悉业务，且具有信息技术相关专业背景、任职经历、履职能力的高级管理人员为首席信息官，负责信息技术管理工作。其任职条件为：（一）从事信息技术相关工作至少十年以上，其中证券、基金行业信息技术相关工作年限不少于三年；或者在证券监管机构、证券基金业自律组织任职八年以上；（二）最近三年未被金融监管机构实施行政处罚或采取重大行政监管措施；（三）中国证监会规定的其他条件。第九条公司设立IT治理委员会，负责公司IT治理重大事项的集体决策，IT治理委员会向公司管理层负责。第十条IT治理委员会主任委员由公司总经理担任，IT治理直接责任人担任副主任委员，成员由主任委员任命，通常包括公司首席信息官、IT部门负责人、相关业务部门负责人、财务部门负责人、合规管理部门负责人、风险管理部门负责人、稽核审计部门负责人等人员组成。公司可聘请外部专业人士担任IT治理委员会委员或顾问。第十一条公司IT治理委员会的主要职责是：（一）拟定信息技术战略。（二）审议公司IT规划，包括但不限于信息技术建设规划、信息安全规划、数据治理规划等。（三）审议公司上年度IT工作情况及IT预算执行情况、本年度IT工作计划、IT预算及分配方案。（四）审议公司重大IT项目立项、重大变更方案。（五）审议公司IT管理制度和重要流程。（六）信息技术应急预案。（七）审议内外部关于IT审计的报告，检查所拟订和审议事项的落实和执行情况。（八）审议公司IT管理和IT运行维护的考核办法。（九）审议使用信息技术手段开展相关业务活动的审查报告和年度评估报告。（十）审议IT治理委员会委员提请审议的事项。（十一）审议其他对信息技术管理产生重大影响的事项。（十二）向公司管理层报告IT治理状况。第十二条IT治理委员会可根据实际需要下设若干专业工作小组，工作小组组长原则上由公司领导或IT治理委员会委员担任。第十三条IT治理委员会会议应至少每季度召开一次，IT治理委员会委员也可以根据需要提议召开。如审议内容重叠，公司IT治理委员会会议可以与公司其他专业委员会联席召开。第十四条公司IT治理委员会会议通常采用现场会议形式，紧急事项可以采取书面会签的形式。第十五条公司IT治理委员会会议由主任委员或其授权人员主持，须有7名（含7名）以上委员出席方可举行。第十六条公司IT治理委员会会议审议的事项，须经到会委员的半数以上表决通过。第十七条公司IT治理委员会会议应当形成会议纪要，经参会委员签字后，报主任委员审批签发。经批准签发的会议纪要正本交公司总经理办公室存档，会议纪要副本转发给相关主办部门，主办部门按照会议纪要组织实施。第十八条公司信息技术部负责实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理等工作。第三章IT投入第十九条公司在制定IT年度预算时应保障公司业务正常运转所需IT投入，优先满足监管部门和核心机构相关要求、业务规则或技术接口变化等产生IT投入，并确定IT项目投入的优先顺序以及投入的金额。第二十条公司最近三个财政年度IT投入平均数额原则上应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%。第二十一条IT建设应具有前瞻性，同时要避免盲目超前带来过大的IT投入。公司IT治理委员会应从财务风险、市场风险、组织风险和技术风险上对IT投入风险进行评估，并做出分析和权衡。第二十二条公司IT年度预算应遵循统筹规划、有效配置、分类管理原则，由公司信息技术部牵头编制并完成初审，经IT治理委员会审议确定IT预算总额，编入公司年度整体预算计划，报公司管理层批准。第二十三条公司应建立合理的IT投入执行评价指标体系，加强IT投入执行监控，实现IT投入管理，优化IT资源有效配置，提升IT投入产出效益。第四章IT人力资源管理第二十四条公司应根据实际情况配备足够的IT工作人员（以下简称IT人员），并满足安全和岗位设置的有关要求。公司的IT人员总数原则上应不少于公司员工总人数的6％。第二十五条公司信息技术部在公司整体人力资源管理的框架下，负责公司信息技术岗位体系的统筹、规划与管理。第二十六条公司IT人员根据岗位不同，可分为以下几类：（一）信息系统建设人员。指从事公司信息系统的规划、建设、部署和上线工作的人员。（二）软件开发测试人员。指从事公司信息系统软件开发、测试等工作的人员。（三）技术运维人员。指从事公司IT基础设施、信息系统的技术运维、桌面运维等工作的人员。（四）信息技术管理人员。指从事公司信息技术治理、信息安全、信息技术风险控制等IT管理工作的人员。（五）信息技术综合支持人员。指从事其他信息技术相关综合服务工作的人员，如IT产品或服务采购、资产管理、预算管理等综合服务类工作人员。第二十七条公司IT人员按人员归属可分为A、B、C、D四类。（一）A类IT人员。指由信息技术部进行日常管理且属公司总部正式员工的IT人员。（二）B类IT人员。指信息技术部根据公司战略或业务发展需求派驻至应用部门、由信息技术部和应用部门共同管理，且属公司总部正式员工的IT人员。（三）C类IT人员。指分支机构从事技术运维工作，由信息技术部与经纪管理部共同管理的IT人员，包括专职技术人员、兼岗技术人员和技术联络人。（四）D类IT人员。指在公司从事IT技术工作但不属公司正式员工的其他IT人员。第二十八条A、B、C类IT人员应满足以下要求：（一）IT人员基本要求遵循公司人力资源相关规定，具备相应的学历证书，具备证券从业资格证书，有较强的工作责任心和学习能力、良好的敬业精神、团队合作精神、职业道德和服务意识，掌握比较全面的信息技术基础知识和证券业务基础知识。禁止录用有犯罪或其他严重违法、违纪行为的人员从事信息技术工作。（二）IT人员任职前，公司人力资源部和信息技术部应当对技术人员身份、背景、专业资格和资质等进行认真审查，关键技术岗位人员从严审核。应用部门需参与B类IT人员资质审查，经纪管理部需参与C类IT人员的资质审查。（三）IT人员应当与公司签订保密协议，关键技术岗位人员应当签署岗位安全协议。关键技术岗位人员离职离岗前须与公司签订《证券离岗离职安全承诺书》，并承诺调离后履行保密义务方可离开。（四）IT人员离职或换岗时，应当在信息技术部或相关部门的监督下，对其所管理的硬件设备、软件系统、数据、技术资料、用户与密码进行全面交接，及时终止离岗员工的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。（五）B、C类IT人员离职、换岗、借调的交接情况应当书面记录并向信息技术部报备。第二十九条公司各部门引入D类IT人员前，需先申请人员名额，由信息技术部汇总需求后，报人力资源部和公司领导审批，审批通过方可进行D类IT人员采购。采购时，D类IT人员资质需经信息技术部审核。第三十条公司信息技术部在公司考核体系内，负责公司IT人员的绩效考核，制定相应的考核细则，对关键技术岗位的人员从严考核。考核结果进行记录并保存。（一）A类IT人员的履职考核评价工作，由信息技术部形成初步考核意见，经信息技术部分管领导审核后上报公司人力资源部。（二）B类IT人员的履职考核评价工作，由信息技术部和所在应用部门进行双重考核。信息技术部根据第三十六条和第三十七条考核内容形成初步考核意见，经信息技术部分管领导审核后上报公司人力资源部，考核权重占比（70%）高于应用部门；所在应用部门根据员工日常工作表现与贡献形成初步考核意见，经所在应用部门分管领导审核后上报公司人力资源部，考核权重占比（30%）低于信息技术部。（三）C类IT人员的履职考核评价工作，由信息技术部、经纪管理部和分支机构共同考核。（四）D类IT人员的考核评价工作，由信息技术部定期组织进行，考核结果作为D类IT人员所在供应商评价的基础。第三十一条公司设立IT专业职级体系，建立公平、公开、公正的晋升机制，为IT人员提供相应的发展空间，并持续提供相应的岗位技能培训。第三十二条公司根据国家信息安全等级保护制度、证券监管部门和自律组织相关规定和指引的要求，结合公司信息系统规模，设置合理、高效的信息技术岗位体系，明确各信息系统的技术责任人。重要岗位应当采取双人双岗制，并加强对单人单岗的监控。第三十三条信息技术岗位分工和系统权限分配，应当遵循“技术与业务相互分离并制衡、利益冲突信息有效隔离”原则。技术人员不得兼任系统权限分配、重要业务参数设置与复核、清算等工作。第三十四条公司应配备适当的软件开发、测试人员，增强公司IT应用系统的自主研发能力。第五章IT安全与风险控制第三十五条公司IT安全与风险控制原则如下：（一）合规性：应满足国家法律法规、行业监管和集团信息科技风险管理要求；（二）责任制：应落实主体责任制，做到“谁主管，谁负责”、“谁使用，谁负责”、“谁开发，谁负责”、“谁运营，谁负责”；（三）全面统筹：公司信息安全保障工作应贯穿于信息化全过程，坚持统筹规划、突出重点，安全与发展并进，管理与技术并重，应急防御与长效机制相结合；（四）分离制衡原则：公司信息安全保障工作实行业务运营与技术运维相分离、前台操作与后台数据管理相分离、网络管理与数据管理相分离、系统开发与系统运维相分离、利益冲突信息有效隔离。第三十六条公司应将信息技术运用情况纳入合规与风险管理体系，为合规管理部门和风险管理部门配备与业务活动规模、复杂程度相适应的信息技术资源，应当识别借助信息技术手段开展业务活动的各类风险，并建立相应的审查、监测和检查机制。至少每年开展一次风险监测机制以及执行情况的有效性评估。第三十七条公司稽核审计部应至少每年开展一次信息技术管理工作审计，确保三年内完成信息技术管理全部事项的审计工作，包括但不限于信息技术治理、信息技术合规与风险管理、信息技术安全管理、应急管理。第三十八条公司应委托外部专业机构至少每三年开展一次信息技术管理工作的全面审计；未能有效实施信息技术管理被监管机构采取行政处罚措施、监管措施或自律管理措施的，应当在三个月内完成对有关事项的专项审计。第三十九条公司稽核审计部应当跟踪审计发现问题的整改情况，并将审计报告提交IT治理委员会审议。审计报告保存期限不得少于二十年。第四十条公司应建立有效的IT应急与业务连续性管理的组织架构，确定重要业务及其恢复目标，制定有效的业务连续性方案并持续更新完善，配置充足资源，稳妥处置IT突发事件，积极开展应急演练和业务连续性管理的评估与改进。第四十一条公司应当建立全面、科学、有效的数据治理组织架构以及数据全生命周期机制，确保数据统一管理、持续可控和安全存储，切实履行数据安全及数据质量管理职责，不断提升数据使用价值。第四十二条公司应制定统一的信息安全管理办法、技术标准和操作规范，并组织实施和考核。公司应定期组织实施信息系统等级保护定级、备案、安全测评等工作。第四十三条公司全体员工均应当认真学习并遵守公司信息安全规范，参加信息安全培训与教育，掌握必要的信息安全知识与技能。如发现信息系统故障或隐患，公司员工均有责任在第一时间向所在部门负责人、信息技术部或相关部门的技术运维人员提出故障申报。第六章IT架构与基础设施第四十四条公司IT架构遵循国家法律法规、国家信息系统安全等级保护制度、证券监管部门及行业自律组织的相关规定，本着安全、规范、实用、易用的原则，通过数据、流程、技术的标准化和一体化工作，建立业务应用、系统平台、数据信息等完整、清晰的组织关系。第四十五条公司IT架构包括业务应用架构、系统平台架构、数据信息架构等，不同架构的范围和边界应明确。应用架构描述了IT系统功能和技术实现的内容；系统平台架构描述了公司机房、网络、安全防御的内容；数据信息架构描述公司数据总线、数据生产、数据流向、数据存储等内容。第四十六条在保证数据和基础设施安全、稳定的前提下，公司IT架构应具备良好的可扩展性和灵活性以支持不断变化的业务需求和应用。公司IT基础设施建设应遵循可靠、安全、共享和可管理的原则，能为多种IT应用提供支持和服务，并根据成本效益与安全控制等要求确定IT资源的集中度和容量，以适应业务增长和创新的需要，有利于业务扩展和创新应用的安全、快速、高效的实施和部署。第四十七条公司信息技术部根据公司IT规划、日常技术运维监控数据，对IT架构、IT基础设施的容量和适应能力进行及时评估并提出改进升级方案，重大事项应当提交公司IT治理委员会及相关委员会进行审议后实施。第七章IT应用第四十八条公司信息系统规划与建设遵循业务主导、技术驱动的原则。第四十九条公司重要IT应用系统的建设、管理和运行维护应满足行业的有关规范并达到安全技术标准。第五十条公司应制定贯穿需求分析、立项决策、系统建设、上线运行、系统验收、运维交接等阶段完整的工作机制与流程。第五十一条IT应用需求应充分考虑业务与技术之间协同发展的互动关系。信息系统需求规划应当遵循安全、合规、高效、可控、信息有效隔离的原则，同时对业务发展与创新有一定的预见性，使信息系统业务功能适度超前并有助于增强公司核心竞争力。第五十二条公司借助IT手段开展业务活动的，应当在业务系统上线时，同步上线与业务活动复杂程度和风险状况相适应的风险管理系统或相关功能，对风险进行识别、监控、预警和干预。第五十三条公司应为IT应用实现提供必需的财力和人力资源。对信息系统提出业务需求，应当留有充足的技术准备期。技术准备期原则上不少于30个工作日。第八章IT服务机构管理第五十四条除法律法规及监管机构另有规定外，公司不得将重要信息系统运维、日常管理交由IT服务机构独立实施。第五十五条公司应当建立IT服务机构管理制度，明确IT服务机构的准入规则和退出机制，定期对IT服务机构的资质、专业经验、产品和服务的质量进行了解和评估。第五十六条公司委托IT服务机构提供服务，应按照监管要求对IT服务机构及其相关信息系统进行内部审查，并向中国证监会及其派出机构报送审查意见及相关资料。第五十七条公司在选择IT服务机构之前，应制定更换服务提供方的流程及预案，确保在特定情况下可更换服务提供方。第五十八条公司应与IT服务机构签订服务协议和保密协议，明确各方权利、义务和责任，约定质量考核标准、持续监控机制、异常处理机制、服务变更或者终止的处置流程以及保密要求等内容。第九章附则第五十九条公司的重要IT应用系统包括但不限于核心交易系统、结算系统、风险控制系统、财务系统、安全系统、灾难备份系统等。核心交易业务系统包括但不限于集中交易系统、投资交易系统、金融产品销售系统、估值核算系统、投资监督系统、份额登记系统、第三方存管系统、行情系统、融资融券系统、网上交易系统、电话委托系统、移动终端交易系统、法人清算系统、具备开户交易或客户资料修改功能的门户网站、承载投资咨询业务的系统、存放承销保荐业务工作底稿相关数据的系统、专业即时通信以及与上述信息系统具备类似功能的系统。第六十条本办法未尽事项，参照监管部门相关规定直接执行。第六十一条本办法由公司IT治理委员会、信息技术部负责解释，自发布之日起施行。

相关阅读

IT治理绩效指标体系

基于ITIL的IT治理方法论

IT治理的七条死路

构建全面的IT治理体系

IT治理，标准、对比和思索

CIO:IT治理、IT审计与COBIT

CIO:云计算环境下IT治理面临的挑战

CIO:IT治理知多少

相关文档

（长按大图识别