证券公司外部接入信息系统评估认证规范

　　为进一步加强证券公司信息系统外部接入的风险管理，维护证券公司信息系统安全、稳定运行，有效防范风险，保护投资者合法权益，切实维护市场秩序，根据《证券期货业信息安全保障管理办法》(证监会令第82号)、《证券公司融资融券管理暂行办法》(证监会公告[2011]31号)、《关于加强证券公司信息系统外部接入管理的通知》(证监办发[2015]35号)和《证券公司网上证券信息系统技术指引》(中证协发[2015]8号)等有关规定，制定本规范。　　为进一步加强证券公司信息系统外部接入的风险管理，维护证券公司信息系统安全、稳定运行，有效防范风险，保护投资者合法权益，切实维护市场秩序，根据《证券期货业信息安全保障管理办法》(证监会令第82号)、《证券公司融资融券管理暂行办法》(证监会公告[2011]31号)、《关于加强证券公司信息系统外部接入管理的通知》(证监办发[2015]35号)和《证券公司网上证券信息系统技术指引》(中证协发[2015]8号)等有关规定，制定本规范。

　　一、证券公司使用外部接入信息系统，证券交易指令必须在证券公司自主控制的系统内全程处理，即从客户端发出的交易指令处理应仅在发起交易的投资者与证券公司之间进行，其间任何其他主体不得对交易指令进行发起、接收、转发、修改、落地保存或截留。

　　证券公司应加强客户端交易指令监控，如发现交易指令被第三方接收、转发等，应及时采取措施进行整改。

　　证券公司不得直接或间接支持信息技术服务机构等相关方利用外部接入信息系统开展证券经纪业务。

　　二、证券公司需要使用外部接入信息系统，应当经中国证券业协会(以下简称协会)评估认证。

　　自本规范下发之日起，证券公司不得接入新的未经评估认证的外部信息系统。

　　向证券公司信息系统提供外部接入的信息技术服务机构等相关方应当是协会会员，接受协会的自律管理。

　　三、证券公司使用外部接入信息系统应当在客户端系统准入协议签署一个月内通过场外证券业务报告系统向协会申请评估认证。申请材料包括：

　　(一)评估认证申请表；

　　(二)客户端系统准入协议；

　　(三)拟接入的外部信息系统业务说明书；

　　(四)使用外部接入信息系统的内部管理制度，包括但不限于内控、风控、投资者保护等；

　　(五)信息系统安全和合规承诺书；

　　(六)合规审查意见；

　　(七)协会要求的其他材料。

　　证券公司已使用外部接入信息系统的，应当在自查整改完成后报协会评估认证。

　　四、证券公司使用外部接入信息系统应当符合监管规定，且不得有以下行为：

　　(一)为信息技术服务机构等相关方从事或变相从事证券经纪业务提供便利；

　　(二)为信息技术服务机构等相关方建立账户登记体系等登记结算业务提供便利；

　　(三)规避监管或自律管理；

　　(四)充当外部接入信息系统的业务通道；

　　(五)其他法律法规、监管规定和自律规则禁止的行为。

　　五、证券公司使用外部接入信息系统应当遵守下列要求：

　　(一)建立健全使用外部接入信息系统的内部管理制度，明确提供外部接入的信息技术服务机构等相关方应当具有的资质条件和筛选标准、系统的信息安全要求、相关合规审查要点、风险管理措施、后续监控检查及问题处理机制；

　　(二)建立健全外部接入信息系统开展证券业务的审查机制，着重加强对开展相关业务的合规性审查，公司主要负责人和合规总监应当在相关审查文件上签字确认；

　　(三)具备识别外部接入信息系统合规性的能力，不得接入无法辨别合规性的外部信息系统；

　　(四)在与相关方签订的协议中明确由相关方承诺不得利用外部接入信息系统从事或变相从事配资活动，并建立相关责任追究机制；

　　(五)严格执行开户审查制度，强化客户身份识别，对投资者提供的有效身份证明文件原件及其他开户资料的真实性、准确性、完整性进行审核；

　　(六)做好投资者适当性管理和教育工作，提示投资者证券账户应当本人使用，不得转借他人从事非法证券活动；

　　(七)加强日常监控，定期或不定期开展检查，了解外部接入信息系统运行和账户管理情况，对可疑账户和可疑交易行为采取有效措施并及时处理。

　　六、除经国务院及中国证监会批准设立的合法证券交易场所及中国证监会认可的金融机构外，证券公司不得向第三方运营的客户端提供网上证券服务端与证券交易相关的接口。

　　第三方运营的客户端是指除证券公司、投资者之外，由第三方进行发布、升级等运营管理的客户端，不包括以下情形：

　　(一)客户端是证券公司与第三方公司签署正式协议购置或租用的，并经证券公司测试和验收后，由证券公司进行发布、升级等运营管理；

　　(二)客户端是客户自行开发或通过第三方购置、租用，且通过专线、互联网+VPN等专用通讯通道接入证券公司的，经证券公司评估系统安全性并正式认可后，由客户自行运行管理或授权证券公司确定的第三方运行管理；

　　(三)客户端是直连证券公司服务端的通用浏览器。

　　证券公司应当对上述客户端的合规性负责。

　　七、证券公司提供客户使用的客户端属于向第三方购置或租用的，应当与第三方签署正式的客户端系统购置或租用协议，并做好客户端测试、验收、变更发布管理等工作，对客户端的安全运行、交易账户合规性、交易操作合规性承担全部责任。

　　客户端系统购置或租用协议内容包括但不限于：客户端系统信息安全要求，交易账户处理方式、用户交易操作方式、交易指令处理方式等系统功能范围和边界要求，系统监控接口要求，协议各方管理责任等。

　　八、证券公司应当加强客户自行开发、购置、租用客户端的管理。客户自行开发、购置或租用网上证券客户端以及配套信息系统接入证券公司的，证券公司应采用专线、互联网+VPN等专用通讯通道，且与关联方签署正式的客户端系统准入协议，对客户端及配套信息系统的信息安全性、功能合规性(包括但不限于交易账户处理方式、用户交易操作方式、交易指令处理方式)等进行充分评估，并持续做好合规性监控和风控管理。证券公司发现客户端有异常行为，应当采取屏蔽应用系统接入、限制账户交易等必要措施。

　　客户端及配套信息系统属于客户自行运营管理的，证券公司应与客户签署客户端系统准入协议；客户端及配套系统属于客户委托第三方运营管理的，证券公司应分别与客户、第三方签署客户端系统准入协议。

　　客户端系统准入协议内容包括但不限于：客户端及配套系统信息安全要求，交易账户处理方式、用户交易操作方式、交易指令处理方式等系统功能范围和边界要求，与交易账户和交易操作合规性监控相关的系统监控接口要求，协议各方管理责任等。

　　九、证券公司应当建立对外部接入信息系统的自查制度，自查内容包括但不限于：

　　(一)是否存在接入未经公司合规审查和协会评估认证的外部信息系统情况；

　　(二)外部接入信息系统开展的业务类型及基本情况；

　　(三)外部接入信息系统的业务合规性和系统安全性；

　　(四)外部接入信息系统开展业务的风险类型及隐患；

　　(五)公司认为必要的其他情况。

　　证券公司应当每年至少自查一次，形成自查报告并存档备查。自查工作中发现存在风险隐患的，应当制定整改方案，及时整改，并向协会报告。

　　十、证券公司应当建立健全责任追查和问责机制，对违反本规范的相关人员进行问责。

　　十一、协会可以对证券公司使用外部接入信息系统运行情况进行执业检查，对违反本规范的证券公司、信息技术服务机构等相关方和相关从业人员采取自律管理措施并按规定计入诚信档案；情节严重的，移送中国证监会及有关部门处理。

　　十二、本规范自发布之日起实施。