力促證券公司信息技術管理水平再上新臺階

　　證券標準化委員會秘書處

　　2005年3月25日包括《證券公司信息技術管理規范》在內的八項證券期貨行業標準由證監會正式頒布實施，這是我國證券發展史上的重要里程碑，將對整個行業產生廣泛和深遠的影響。《證券公司信息技術管理規范》作為其中唯一一個容技術、管理為一體的標準，充分揭示了證券公司信息技術管理的實質:七分技術、三分管理，該標準的實施，不但將極大

地提高證券公司的信息技術應用水平，同時也將從根本上促進證券公司信息技術管理水平再上一個新臺階，對證券市場的健康發展起到積極推動作用。本文將簡要回顧標準的起草背景、編制過程，闡述標準的主要內容，展示標準的特點和實施意義，并提出了下一步的實施策略。

　　一、標準產生的背景和實際意義

　　1、標準產生的背景

　　20世紀90年代，我國證券市場以其特有的魅力吸引了千百萬投資者的熱情參與，隨著投資者人數的快速增加，證券公司業務迅速擴展，相應地也刺激了證券業信息化建設的迅速發展。中國證券市場雖然起步較晚，但技術起點較高，從一開始就選擇了一條信息化程度較高的道路，只用了幾年的時間，在開戶登記、無紙發行、委托、成交回報、清算交割、信息披露等環節就實現了全程電子化。證券公司的信息系統經過十幾年的發展，已經從最初簡單的交易電子化功能發展到包含交易、客戶服務、業務支持、辦公自動化和企業管理等多層次、多功能的運營平臺，這些平臺支撐著證券公司整個業務及管理流程，成為各公司穩步發展不可或缺的基礎。

　　近年來，證券公司的信息技術應用呈現出以下幾大主要變化和趨勢:

　　各公司基本都已建立了公司內部的局域網和覆蓋全公司的廣域網，部署了統一版本的交易系統。相當多的公司建設了中心機房，實現了統一的網上交易系統、辦公自動化系統及業務管理支持系統等，但整個行業技術發展水平嚴重不平衡，還有相當一些公司還是以公司分支機構為基礎獨立地實現各種信息系統。

　　為了減少重復建設，降低運營成本，行業信息系統的發展模式已逐步由傳統的自給自足、各自為戰型逐漸走向專業化、集中式、外包型，已有一些券商開始嘗試把災備系統乃至主用技術系統委托給資信度高、有經驗、有能力的專業化公司開發或運營。

　　2000年以來，以網上交易為代表的非現場交易快速發展，大大降低了運營成本，改變了證券公司的營銷方式，證券電子商務的深度和廣度不斷深入，推進了證券公司從“以交易為中心”向“以客戶為中心”的管理模式轉變。

　　伴隨著行業的變革，證券公司為了進一步提升核心競爭力及風險控制能力，開始實施從原來的以營業部為經營單位的分散經營模式到以總部為經營主體的集約經營模式的轉變，集中交易系統的建設已成為行業發展的趨勢，相應地對整個行業的技術管理提出了新的挑戰。

　　“紅色代碼”、“沖擊波”、“震蕩波”等網絡病毒的泛濫，顯示證券公司信息系統面臨越來越大的安全風險，一系列新的技術管理問題成為各公司不得不面對的課題:安全保障措施的落實問題，安全保障的技術體系、制度體系和組織體系的建立問題，信息系統的安全保障能力、應急處理能力、抗災難能力的提高問題。

　　在這種新的形勢之下，亟待研究新的格局下證券行業信息技術管理問題，并根據現狀以及市場轉型期間的新需求，通過制定《證券公司信息技術管理規則》，以發展的視角，明確行業信息技術管理發展過程中應堅持的核心環節和最低要求，以給證券公司未來幾年信息技術的發展一個明確的導向。

　　早在1997年，證監會牽頭組織了“中國證券經營機構營業部信息系統技術標準制定小組”，從而拉開了證券行業標準化的序幕。由于當時證券公司的運營架構主要是以營業部為主的分散式架構，且當時各證券營業部的計算機信息系統存在很大差異，信息技術人員管理水平高低懸殊，因此，那時制定標準的條件尚不成熟。經過一年多的努力，編寫出了《證券經營機構營業部信息系統技術管理規范(試行)》，它作為行業規章制度，于1998年5月由證監會正式頒布實施。它對證券行業信息技術應用和管理水平起了相當大的促進作用，特別是在解決Y2K問題中，效果相當顯著。這次規范的編寫和貫徹活動為本次證券行業的標準化工作積累了寶貴的經驗。

　　2002年，在中國證監會的統一規范部署下，證券期貨業八項信息化標準體系研究專題獲批列入國家“十五”科技攻關課題，其中就包括《證券公司信息技術管理規范》，為保障任務的順利完成，由中國證券監督管理委員會牽頭成立了編寫工作小組，小組的主要組成單位是:國泰君安證券、銀河證券、申銀萬國證券、長江證券、海通證券、泰陽證券、閩發證券、興業證券、國信證券。本標準編寫的目標是:結合證券行業的實際情況，指導行業信息系統的建設和管理，實現業內、業間信息共享和互操作，有效規范證券公司信息技術管理行為，提高證券公司風險控制能力，降低交易成本，為證券市場的規范發展提供技術保障。

　　2、標準應用的實際意義本標準頒布實施后，將會對整個行業產生以下積極的影響，歸納起來主要包括以下五個方面:

　　1)促進證券市場的健康發展標準規范了證券公司的信息技術管理行為，可從多方面有效地預防各類技術管理方面的違規行為，有利于保護投資者的合法利益，維護證券公司的合法權益。

　　2)提高全行業信息技術管理水平各證券公司信息技術管理水平千差萬別、參差不齊，本標準在充分調研并總結全行業的情況的基礎上，對證券公司信息技術的主要和關鍵方面作了規范，鼓勵采用成熟的先進技術。各證券公司應根據本標準的要求，結合各自的實際情況，制定出貫徹本標準的具體實施細則。通過本標準的實施，未達標的證券公司將在標準實施過程中，明顯提高其信息技術管理水平，從而提高全行業的信息技術管理水平。

　　3)降低證券市場信息技術風險由于券商的業務開展越來越依賴于信息技術，新的風險不斷涌現，如對新出現的技術缺乏有效的管理、沒有充分意識到環境對信息系統及IT服務的威脅等等。本標準以安全為核心，對證券公司信息系統的建設、運行和維護規定了最低門檻要求，將有效提高證券公司信息系統運行的可靠性和穩定性，減少因此而帶來的風險和損失，從而提高證券公司的風險管理水平。

　　4)對證券市場未來幾年信息技術的發展起一個導向作用

　　由于證券市場的快速發展，證券行業信息技術的發展具有許多不確定因素，本標準總結了信息化水平居于行業前列的證券公司的經驗，并兼顧行業內大多數證券公司的實際情況，考察國外證券行業信息技術發展趨勢，制定了適合目前實際情況和未來幾年發展趨勢的信息技術管理條款，將給證券公司未來幾年信息技術應用和技術管理工作的規范化起到一個導向作用。

　　5)為證券行業司法糾紛提供參照本標準作為推薦性標準，但一經引用就可轉成行業強制標準，在證券市場法律法規不健全的現實情況下，可作為對法律法規的補充，在產生司法糾紛時提供參照。

　　二、標準編制過程

　　《證券公司信息技術管理規范》的起草工作始于2002年1月，編寫小組通過充分的醞釀和討論，對整個標準的編寫工作達成了兩點共識:一要有良好的大局觀，因為標準是整個行業的標準，對自己所在的單位、對市場的規范發展和提高中國證券行業的競爭力都具有重要的意義，因此要求起草工作要有強烈的責任感和使命感，自覺協調局部利益，服從大局，體現出高度的專業精神；二要具有高度的開放性，注意借鑒國內已有的標準和國際同行的成熟標準，特別是在起草這些標準的理念、方法和形成維護機制等方面，都要有良好的開放性。這兩條原則日后不但成為了小組成員的工作準則，也成為了標準的定位和編寫基本原則。

　　起草小組經過大量的、細致的調研工作，收集到了豐富的材料，并多次通過召開專門研討會進行問題研究和討論，期間光草稿、修改稿就達十幾個版本，整個起草過程歷時兩年多。具體可分成以下幾個階段:

　　1、制訂編寫大綱，確定標準的高起點2002年上半年，標準起草小組花了比較多的時間和精力來制訂編寫大綱。雖然起草小組成員大都參加過1998年《證券經營機構營業部信息系統技術管理規范(試行)》的編寫，不僅有過編寫經驗，而且其公司自身的信息技術應用和管理水平在行業內都處于領先地位，但是，大家還是花了大量的時間和精力去做調查研究。經過多次討論，大家一致認為《證券公司信息技術管理規范》應確立一個比較高的起點。

　　2002年7月，中國證監會信息中心主任徐雅萍、楊書琴和標準起草小組在深圳召開了第一次工作會議，就標準的編寫達成了以下共識:

　　標準面向整個證券公司，而不僅僅是營業部，解決“出了問題誰負責”的問題；

　　以安全為主線，在信息技術建設和管理的每個環節貫徹安全性原則；

　　增加有關網上交易、集中交易等新興業務的內容；

　　進一步增強安全管理方面的內容；標準是相對穩定的文檔，不過多涉及具體的技術實現，具體的技術細節在標準指引中體現，可以隨時修訂；

　　有一定的前瞻性，為未來發展留出空間；為監管部門提供技術監管的依據。2、反復討論和修改的起草過程在2002年7月召開的起草小組第一次會議上通過了標準編寫大綱和編寫工作計劃，根據內容框架，起草小組又分成三塊，分頭收集資料，編寫各自所負責章節的草稿，分組草稿寫好后，相互交換進行補充和修改，最后由組長單位進行統稿，形成標準第一稿。在2002年下半年，經過起草小組各成員的齊心協力和勤奮工作，僅半年時間內就寫出了共六稿修改稿。

　　2003年1月，起草小組召開第三次工作會議，在總結前期的編寫工作的基礎上，對因證券市場低迷而暴露出來的規范化管理、券商實施集中交易、因證券行業的變革而帶來的行業信息技術發展的不確定性等重大問題作了詳細的討論，一致認為《證券公司信息技術管理規范》的編寫應具有這方面的前瞻性。在2003年，起草小組克服“非典”的影響，辛勤工作，截至2003年9月中旬，共完成了十四稿修改稿，在2003年9月中旬的第四次會議上最終完成了行業內征求意見稿。

　　3、廣泛征求行業內外意見從2003年10月開始，由中國證監會信息中心牽頭，開始廣泛征求行業內外對標準的意見，不僅把標準征求意見稿掛在證監會網站上，而且還向二十多家具有比較廣泛的代表性的證券公司、基金公司和銀行征求意見。在歷時兩個多月的時間里，起草小組共收回近百條意見，經過認真分析和研究，在吸收行業反饋意見的基礎上，最終形成了送審稿。

　　4、通過全國金融標準化技術委員會審查2004年上半年，起草小組歷時兩年多的辛勤勞動終于結出了果實，由中國證券監督管理委員會組織，《證券公司信息技術管理規范》通過了全國金融標準化技術委員會審查，委員們認為，本標準的制定填補了國內證券公司信息技術管理標準的空白，可有效規范證券公司信息技術管理行為，提高證券公司風險控制能力，為證券市場的規范發展提供技術保障。同年，本標準得到了國家標準化管理委員會的批準。

　　三、標準內容簡介

　　《證券公司信息技術管理規范》除前言和引言外，包括范圍、規范性引用文件、原則、管理體系、機房與設備管理、網絡通信、軟件、數據、運行管理共九章內容，下面簡要介紹一下標準的編寫思路和內容特色。

　　1、標準編寫原則在編制《證券公司信息技術管理規范》過程中，起草小組經過反復討論，并多方征求意見，確定并遵循了以下四個基本原則:

　　1)指導性和先進性原則標準應能給證券公司未來幾年信息技術的發展起一個導向作用。作為行業標準，本標準應能夠反映先進的信息技術在證券行業的應用，并吸取國內外金融行業信息技術發展的成功經驗，使本標準的實施能提高證券行業的整體信息技術應用水平。但是，從另一個角度來說，如果倉促應用未經過實踐充分檢驗、沒有一定數量成功應用案例的先進技術，是存在較大風險的，所以，本標準在“實用性原則”中強調要“注重采用成熟的先進技術”，而不要盲目冒進。

　　2)適宜性原則標準中各項具體規定的制定本著“到位的，而不越位”的原則，既明確基本要求，又能給各證券公司一個能結合實際的發展空間。作為行業標準，本標準應該是適宜于證券行業目前現狀和未來發展的，如果標準要求過高，只有少數證券公司能達標，或者標準要求過低，都將失去制定標準的意義。因此，標準起草小組作了大量的調研和研究，確保本標準的規定，在提高證券行業信息技術應用水平的同時，不至于大大增加證券公司的信息技術投入成本，當然也鼓勵有條件的證券公司更上一層樓。如在“機房與設備管理”一章中，本標準就提出了“機房應安裝監視系統和門禁系統，宜安裝環境監控系統和設備監控系統。”

　　3)最低門檻原則本標準根據目前的現狀以及證券市場轉型期間的需求，以發展的視角，明確發展中應堅持的核心環節和最低要求。目前證券市場正處于一個轉型期間，證券公司逐步從“坐商”變為“行商”，從“以交易為中心”向“以客戶為中心”轉變，強調客戶服務；許多公司為了加強風險監控，壓縮運營成本，并更迅速地適應市場轉變，開始建設集中交易系統，逐漸從分散的以營業部為主的模式向以總部為主的經營模式過渡，因此證券行業信息技術的發展具有許多不確定因素，市場處于一個迷茫時期，迫切需要明確在市場轉型期間信息技術朝何處走的問題，本標準的制定就充分考慮了證券公司這方面的需求，如網絡通信、數據、運行管理等內容就是為了適應新形勢下的需求而編寫的。

　　4)差異性原則在具體技術的闡述方面，本標準主要是設立了基本要求或介紹技術方法，并允許所采用技術手段的多樣化。證券公司的規模有大有小，業務的側重點也不盡相同，中國證券監督管理委員會對證券公司實施分類管理，過去分為綜合類、經紀類，現在改為創新試點類和規范類，種類不同的證券公司對信息技術的要求不同，本標準在編寫時充分考慮了這種情況。如在“機房與設備管理”一章的編寫中，本標準沒有像《證券經營機構營業部信息系統技術管理規范(試行)》那樣規定證券公司計算機機房的使用面積，但對機房建設和環境做出了更加嚴格的要求；又如本標準沒有對證券公司信息技術人員的數量做出硬性規定，但對信息技術崗位責任和保密要求作了進一步的強化。這些都是在經過充分的調查研究的基礎上，并考查了國外證券市場的情況后，經過反復討論才決定的。

　　2、標準內容特色與1998年頒布的《證券經營機構營業部信息系統技術管理規范(試行)》相比，本標準的起點更高，視角更全面，并且剔除了原規范中不少過時的規定，充分吸收了證券IT近幾年的發展成果，下面就闡述本標準的幾個主要特色:

　　1)立足于整個證券公司，重點放在證券公司總部

　　1997年，在編寫《證券經營機構營業部信息系統技術管理規范(試行)》時，證券公司的經營方式采用的是以營業部為經營單位的分散模式，那時的規范主要針對證券公司營業部的信息系統管理。而在2000年之后，特別是近兩三年，中國證券市場取得了長足的發展，發生了較大的變化，證券公司為了加強風險控制，控制成本，迅速應對市場的變化，提高核心競爭力，經營模式逐漸從分散的以營業部為主的模式轉變為以總部為主體的集約經營模式，業務和管理權限逐步上移到總部。近兩年，各證券公司都在陸續地建設集中交易，使得證券公司總部的信息系統越來越成為承載公司業務和管理的基礎平臺。在這種形式下，《證券公司信息技術管理規范》的制定，是從整個證券公司視角來考慮的，通篇都沒有提總部和營業部字樣，其規定主要是針對證券公司總部的，同時兼顧營業部。

　　2)證券公司在信息技術管理工作中應遵循的三個原則

　　本標準提出了證券公司在信息技術管理工作中應遵循的三個原則:安全性原則、實用性原則和系統化原則。

　　安全是本標準的核心內容，它作為一條主線索貫穿著標準的始終，安全也是市場最大的需求之一，各證券公司都應樹立技術風險的防范意識，把本標準的安全規定落實到信息技術管理的每個環節、每個方面。但是，安全性和易用性是一對矛盾，過高的安全要求必然會犧牲易用性，并且增加成本，因此，各證券公司在貫徹安全性原則的過程中，應兼顧安全性、易用性和成本之間的平衡。

　　本標準中實用性原則強調的是，證券公司在信息技術應用中，不要過分追求技術的先進性，而應注重實用性，把先進性和實用性有機地結合起來。IT技術的發展日新月異，技術更新換代的頻率非常快，但新技術在證券行業的應用面臨著技術是否穩定、操作的復雜程度和成本的高低等一系列的風險，如果證券公司盲目追求新技術，則有可能面臨技術風險的威脅，因此，本標準提出證券公司應注重采用成熟的先進技術，在確保信息系統性能和安全的前提下，遵循高效益、低成本、易操作的原則。

　　系統化原則是指證券公司在信息技術管理工作中，要用系統化的視角來看問題。隨著證券市場的快速發展，證券公司信息系統越來越龐大，越來越復雜，證券業務的開展越來越依賴信息技術，因此，迫切需要用科學的、系統化的方法來進行信息技術管理工作，如國際上的CMM(軟件能力成熟度模型)、ITSM(IT服務管理)等都是我們很好的參照對象。

　　3)安全作為一條主線索貫穿著標準的始終安全是本標準的核心內容，它作為一條主線索貫穿著標準的始終。在組織架構上，本標準提出了證券公司應建立信息系統安全管理組織，并設立專門的安全管理員和安全審計員崗位；在人員管理上，本標準規定證券公司應建立完善的保密管理措施，重要技術崗位人員應簽訂保密協議書；在安全制度建設方面，本標準提出證券公司應建立健全網絡管理制度、數據管理制度、信息系統運行管理制度、技術事故防范策略和計算機病毒防范制度等一系列安全制度；在安全技術方面，本標準對證券公司在應用軟件開發、網絡通信、數據和運行管理等各方面都作了相應的規定，如證券公司應“實施信息安全等級保護”、“在軟件總體設計時，應根據應用軟件的實際用途，同步進行安全保密設計”、“應充分利用成熟的安全技術確保數據的保密性、完整性、可用性和可控性”、“建立完善的監控體系，對信息系統的運行環境、運行狀況等進行實時監控和事后分析，并提供多種報警手段”等等。

　　另外，本標準還提出，為了達到安全要求，僅僅依靠安全技術是不夠的，應做到管理與技術并重。4)鼓勵證券公司多采用國家標準、行業標準和國際上適用標準

　　本標準根據需要共引用了六個國家標準和一個國際標準。為了提高行業信息技術管理水平，本標準鼓勵證券公司多采用行業標準和國家標準，并在條件許可的情況下，根據實際情況積極采用國際上的適用標準。起草小組在編寫中參考了大量的國際、國內以及行業標準，對這些標準中已有的條款我們未在本標準中重復引用，建議讀者翻看相應標準。我們在制定機房管理標準時引用了GB50174《電子計算機機房設計規范》、GB2887《電子計算機場地通用規范》和GB9361《計算站場地安全要求》等標準，這些標準對機房的防雷、接地、電磁輻射、消防都給出了詳細的技術指標要求；在制定網絡建設中的局域網布線系統設計方面引用了GB50311《建筑與建筑群綜合布線系統工程設計規范》和GB50312《建筑與建筑群綜合布線系統工程驗收規范》等標準，這些標準對結構化綜合布線系統從設計、建設到驗收都給出了詳細的技術指標要求；在制定應用軟件開發過程時引用了GB/T8566《信息技術軟件生存期過程》；在制定應用軟件質量控制方面引用了CMM《軟件能力成熟度模型》；此外我們還參考了信息安全管理體系(ISO/ISE17799和BS7799)、《計算機信息系統安全保護等級劃分準則》等標準。

　　5)關于“網絡通信”

　　與1998年頒布的《證券經營機構營業部信息系統技術管理規范(試行)》相比，“網絡通信”是本標準新增加的一章內容。最近幾年證券公司在網絡通信方面的建設可以用突飛猛進來形容，網絡通信設備的性能比編寫《證券經營機構營業部信息系統技術管理規范(試行)》的年代有了質的飛躍，互聯網的應用更加普及，網上交易迅猛發展，銀證轉賬系統成為資金管理的必備手段，網絡和通信成為了證券公司開展業務和管理的基礎平臺，但隨之而來的是網絡管理的復雜性、重要性和網絡安全的緊迫性不斷增加，因此本標準用了比較多的篇幅來滿足新形勢下網絡通信方面的需求。由于網絡通信的內容較多，此處僅列幾例略作說明:

　　證券公司應統一規劃公司的網絡，改變過去由營業部各自為政的混亂局面，特別是對實施集中交易的證券公司尤其重要；

　　本標準規定證券公司網絡承建集成商應具有國家有關部門頒發的三級以上(含三級)計算機信息系統集成資質證書，資質證書由信息產業部負責認證，分為一、二、三、四級，有效期為四年，具體規定請查看信息產業部文件；為了提高網絡的安全性，證券公司應針對不同業務或應用采取適當技術手段實現網絡分離，如交易網段與辦公網段的分離、公司內部網與外聯單位和互聯網的分離；

　　鑒于證券業網上交易業務發展迅速，網上交易交易量占總交易量的比重越來越大，本標準規定證券公司網上交易系統應采用至少兩條線路接入互聯網，采用同一個運營商的線路應通過不同的節點接入，以確保網上交易通信通道的暢通；

　　由于證券公司的網絡越來越重要，越來越復雜，網絡平臺已成為證券公司業務和管理的基礎平臺，因此本標準規定證券公司應采用統一的策略來管理整個公司的網絡，并設置專職的網絡管理員；

　　近年來，針對證券公司網絡的攻擊事件時有發生，再加上網絡病毒泛濫，證券公司亟待加強網絡安全建設，因此本標準提出“證券公司應建立健全網絡安全體系，統一制定公司的網絡安全策略和技術方案，網絡安全策略遵循技術保護和管理保護相結合的原則”。

　　6)關于“數據”

　　與《證券經營機構營業部信息系統技術管理規范(試行)》中的“數據管理”相比，本標準的“數據”一章起點更高，視角更全面。數據作為證券公司的信息資產，正變得越來越重要，本標準比較系統地提出了對證券公司數據管理和數據安全方面的要求。在數據管理方面，要求證券公司建立數據管理制度、加強數據備份；在數據安全方面，要求證券公司在信息系統設計時應同步進行數據安全設計，對重要數據在采集、傳輸、使用和存儲過程中進行加密，并且要使用國家密碼管理機構認可的加密產品和加密算法。

　　另外，隨著市場的發展和中國加入WTO，證券行業內、證券行業和其他行業之間、甚至將來與國外同行之間的數據交換將會越來越頻繁，本標準有遠見地提出了證券公司應重視數據標準化工作，統一公司內部數據標準，并遵循行業數據標準。

　　7)關于“運行管理”

　　“運行管理”是本標準的特色內容之一，它是證券IT發展到目前階段的一個主要需求。

　　在證券業發展的初期，證券公司信息系統從無到有，大家都摸索著前進，那時還談不上什么運行管理。從1997年開始，證券市場迎來了快速發展時期，證券公司都忙著信息系統建設，主要精力都放在信息系統盡快滿足業務發展的需求，如銀證轉賬、網上交易、呼叫中心、銀證通等都是在這五、六年的時間里出現，大家忙得顧不上考慮運行管理；而且，在這一時期，雖然證券公司的信息系統規模和復雜性都增加了很多，但證券公司的經營方式還是分散的以營業部為主的模式，每個營業部都直接面對交易所，因此，整個證券公司的風險也是分散的，運行管理的重要性還不是很突出。

　　但在2002年之后，證券市場發生了較大的變化，市場競爭越來越激烈，變化越來越快，券商逐步從“以交易為中心”向“以客戶為中心”過渡，為了提高核心競爭力，壓縮運營成本，迅速應對市場的變化和新業務的開展，許多證券公司開始建設集中交易，證券公司的經營模式也逐漸從分散的以營業部為主的模式轉變為以總部為主的經營模式，連接整個公司的企業網、總部中心機房、集中交易系統、數據中心、災備中心等的紛紛建立，使得風險逐步從營業部轉移到總部，而且原來營業部信息系統的“信息孤島”現象也消失了，營業部作為公司整個信息系統的接入點，一個分支的故障或許會釀成全局性的災難，面對以總部為中心的支撐整個證券公司業務和管理的龐大而復雜的信息系統，運行管理問題正變得越來越重要。

　　正是在這種行業發展需求下，本標準特地辟出一個章節來講運行管理，不僅繼承、更新和充實了《證券經營機構營業部信息系統技術管理規范(試行)》中的“技術事故的防范與處理”，而且新增了“日常運行和系統上線”一節，既對信息系統上線流程作了規定，又從制度、流程、環境等方面對證券公司信息系統運行管理做出了具體的規定，著重突出了規范化和安全兩點。此外，在部分券商探討將信息系統運行外包給第三方進行管理的新形勢下，本標準的制定，為該項工作的有序開展提供了管理規范和依據。

　　四、下一步計劃

　　1、頒布《證券公司信息技術管理規范技術指引》

　　目前，證券公司正處于一個轉型期間，證券行業信息技術的發展具有許多不確定因素，因此本標準沒有對許多技術和管理細節做出具體的規定，以給各證券公司一個能結合實際的發展空間。但為了增加標準的可操作性，起草小組根據證券行業信息技術發展現狀，配套制定一個實施本標準的技術指引《證券公司信息技術管理規范技術指引》，該指引的推出將進一步推進標準的具體實施:

　　技術指引是對相關標準章條的解釋或細化，在技術指引里，對許多技術和管理細節做出了具體的規定，以指導各證券公司根據標準和技術指引的要求，結合各自的實際情況，制定出貫徹本標準的具體實施細則；

　　由于標準有在一段較長時間內保持相對穩定的要求，不宜短期頻繁修改，而技術指引則可彌補這種不足，可以在相對較短的時間內(如兩年)進行修訂。

　　《證券公司信息技術管理規范技術指引》制定工作從2004年3月開始，2004年8月在深圳召開了一次指引編寫工作會議，目前已修改至第六稿，計劃2005年中完成，爭取年內發布。

　　2、標準實施由證監會信息中心和證券業協會IT委員會牽頭標準的具體實施工作，標準的實施將分三個階段:

　　1)各證券公司自查和整改階段通過學習，各證券公司建立起自己的達標計劃，具體可以分兩步走:

　　建制、自查，各證券公司建立健全各項管理制度和組織機構，并對照標準進行自查；整改完善，各證券公司對于在自查中發現的問題進行整改，逐步達到標準的要求。

　　在即將實施的金融行業信息系統安全等級保護制度中，將把達到本標準的要求作為最低門檻。

　　2)證監會抽查和巡檢階段在各證券公司自查的基礎上，將由證監會信息中心組織對證券公司進行達標檢查，通過抽查、巡檢等形式，并結合金融行業信息系統安全等級保護制度的實施，對各證券公司進行信息系統安全等級評定。具體實施步驟:

　　證監會信息中心組織標準編寫小組對證券公司情況進行調研，制定出檢查項目表；各證券公司對照檢查項目表進行自查；證監會信息中心組織對各證券公司達標情況進行檢查；

　　對檢查結果進行總結、交流，并對檢查不合格的證券公司要求限期整改，整改結果由轄區內的證監會派出機構進行復核。

　　3)把執行標準的有關情況納入證券公司的年檢范圍階段

　　為了保證標準執行的持續性，證監會將把證券公司執行本標準的有關情況納入證券公司的年檢范圍，結合證券公司法人治理和年檢工作，定期對證券公司實施標準的情況進行檢查，如一年一次或兩年一次。