力促证券公司信息技术管理水平再上新台阶

　　证券标准化委员会秘书处

　　2005年3月25日包括《证券公司信息技术管理规范》在内的八项证券期货行业标准由证监会正式颁布实施，这是我国证券发展史上的重要里程碑，将对整个行业产生广泛和深远的影响。《证券公司信息技术管理规范》作为其中唯一一个容技术、管理为一体的标准，充分揭示了证券公司信息技术管理的实质:七分技术、三分管理，该标准的实施，不但将极大

地提高证券公司的信息技术应用水平，同时也将从根本上促进证券公司信息技术管理水平再上一个新台阶，对证券市场的健康发展起到积极推动作用。本文将简要回顾标准的起草背景、编制过程，阐述标准的主要内容，展示标准的特点和实施意义，并提出了下一步的实施策略。

　　一、标准产生的背景和实际意义

　　1、标准产生的背景

　　20世纪90年代，我国证券市场以其特有的魅力吸引了千百万投资者的热情参与，随着投资者人数的快速增加，证券公司业务迅速扩展，相应地也刺激了证券业信息化建设的迅速发展。中国证券市场虽然起步较晚，但技术起点较高，从一开始就选择了一条信息化程度较高的道路，只用了几年的时间，在开户登记、无纸发行、委托、成交回报、清算交割、信息披露等环节就实现了全程电子化。证券公司的信息系统经过十几年的发展，已经从最初简单的交易电子化功能发展到包含交易、客户服务、业务支持、办公自动化和企业管理等多层次、多功能的运营平台，这些平台支撑着证券公司整个业务及管理流程，成为各公司稳步发展不可或缺的基础。

　　近年来，证券公司的信息技术应用呈现出以下几大主要变化和趋势:

　　各公司基本都已建立了公司内部的局域网和覆盖全公司的广域网，部署了统一版本的交易系统。相当多的公司建设了中心机房，实现了统一的网上交易系统、办公自动化系统及业务管理支持系统等，但整个行业技术发展水平严重不平衡，还有相当一些公司还是以公司分支机构为基础独立地实现各种信息系统。

　　为了减少重复建设，降低运营成本，行业信息系统的发展模式已逐步由传统的自给自足、各自为战型逐渐走向专业化、集中式、外包型，已有一些券商开始尝试把灾备系统乃至主用技术系统委托给资信度高、有经验、有能力的专业化公司开发或运营。

　　2000年以来，以网上交易为代表的非现场交易快速发展，大大降低了运营成本，改变了证券公司的营销方式，证券电子商务的深度和广度不断深入，推进了证券公司从“以交易为中心”向“以客户为中心”的管理模式转变。

　　伴随着行业的变革，证券公司为了进一步提升核心竞争力及风险控制能力，开始实施从原来的以营业部为经营单位的分散经营模式到以总部为经营主体的集约经营模式的转变，集中交易系统的建设已成为行业发展的趋势，相应地对整个行业的技术管理提出了新的挑战。

　　“红色代码”、“冲击波”、“震荡波”等网络病毒的泛滥，显示证券公司信息系统面临越来越大的安全风险，一系列新的技术管理问题成为各公司不得不面对的课题:安全保障措施的落实问题，安全保障的技术体系、制度体系和组织体系的建立问题，信息系统的安全保障能力、应急处理能力、抗灾难能力的提高问题。

　　在这种新的形势之下，亟待研究新的格局下证券行业信息技术管理问题，并根据现状以及市场转型期间的新需求，通过制定《证券公司信息技术管理规则》，以发展的视角，明确行业信息技术管理发展过程中应坚持的核心环节和最低要求，以给证券公司未来几年信息技术的发展一个明确的导向。

　　早在1997年，证监会牵头组织了“中国证券经营机构营业部信息系统技术标准制定小组”，从而拉开了证券行业标准化的序幕。由于当时证券公司的运营架构主要是以营业部为主的分散式架构，且当时各证券营业部的计算机信息系统存在很大差异，信息技术人员管理水平高低悬殊，因此，那时制定标准的条件尚不成熟。经过一年多的努力，编写出了《证券经营机构营业部信息系统技术管理规范(试行)》，它作为行业规章制度，于1998年5月由证监会正式颁布实施。它对证券行业信息技术应用和管理水平起了相当大的促进作用，特别是在解决Y2K问题中，效果相当显著。这次规范的编写和贯彻活动为本次证券行业的标准化工作积累了宝贵的经验。

　　2002年，在中国证监会的统一规范部署下，证券期货业八项信息化标准体系研究专题获批列入国家“十五”科技攻关课题，其中就包括《证券公司信息技术管理规范》，为保障任务的顺利完成，由中国证券监督管理委员会牵头成立了编写工作小组，小组的主要组成单位是:国泰君安证券、银河证券、申银万国证券、长江证券、海通证券、泰阳证券、闽发证券、兴业证券、国信证券。本标准编写的目标是:结合证券行业的实际情况，指导行业信息系统的建设和管理，实现业内、业间信息共享和互操作，有效规范证券公司信息技术管理行为，提高证券公司风险控制能力，降低交易成本，为证券市场的规范发展提供技术保障。

　　2、标准应用的实际意义本标准颁布实施后，将会对整个行业产生以下积极的影响，归纳起来主要包括以下五个方面:

　　1)促进证券市场的健康发展标准规范了证券公司的信息技术管理行为，可从多方面有效地预防各类技术管理方面的违规行为，有利于保护投资者的合法利益，维护证券公司的合法权益。

　　2)提高全行业信息技术管理水平各证券公司信息技术管理水平千差万别、参差不齐，本标准在充分调研并总结全行业的情况的基础上，对证券公司信息技术的主要和关键方面作了规范，鼓励采用成熟的先进技术。各证券公司应根据本标准的要求，结合各自的实际情况，制定出贯彻本标准的具体实施细则。通过本标准的实施，未达标的证券公司将在标准实施过程中，明显提高其信息技术管理水平，从而提高全行业的信息技术管理水平。

　　3)降低证券市场信息技术风险由于券商的业务开展越来越依赖于信息技术，新的风险不断涌现，如对新出现的技术缺乏有效的管理、没有充分意识到环境对信息系统及IT服务的威胁等等。本标准以安全为核心，对证券公司信息系统的建设、运行和维护规定了最低门槛要求，将有效提高证券公司信息系统运行的可靠性和稳定性，减少因此而带来的风险和损失，从而提高证券公司的风险管理水平。

　　4)对证券市场未来几年信息技术的发展起一个导向作用

　　由于证券市场的快速发展，证券行业信息技术的发展具有许多不确定因素，本标准总结了信息化水平居于行业前列的证券公司的经验，并兼顾行业内大多数证券公司的实际情况，考察国外证券行业信息技术发展趋势，制定了适合目前实际情况和未来几年发展趋势的信息技术管理条款，将给证券公司未来几年信息技术应用和技术管理工作的规范化起到一个导向作用。

　　5)为证券行业司法纠纷提供参照本标准作为推荐性标准，但一经引用就可转成行业强制标准，在证券市场法律法规不健全的现实情况下，可作为对法律法规的补充，在产生司法纠纷时提供参照。

　　二、标准编制过程

　　《证券公司信息技术管理规范》的起草工作始于2002年1月，编写小组通过充分的酝酿和讨论，对整个标准的编写工作达成了两点共识:一要有良好的大局观，因为标准是整个行业的标准，对自己所在的单位、对市场的规范发展和提高中国证券行业的竞争力都具有重要的意义，因此要求起草工作要有强烈的责任感和使命感，自觉协调局部利益，服从大局，体现出高度的专业精神；二要具有高度的开放性，注意借鉴国内已有的标准和国际同行的成熟标准，特别是在起草这些标准的理念、方法和形成维护机制等方面，都要有良好的开放性。这两条原则日后不但成为了小组成员的工作准则，也成为了标准的定位和编写基本原则。

　　起草小组经过大量的、细致的调研工作，收集到了丰富的材料，并多次通过召开专门研讨会进行问题研究和讨论，期间光草稿、修改稿就达十几个版本，整个起草过程历时两年多。具体可分成以下几个阶段:

　　1、制订编写大纲，确定标准的高起点2002年上半年，标准起草小组花了比较多的时间和精力来制订编写大纲。虽然起草小组成员大都参加过1998年《证券经营机构营业部信息系统技术管理规范(试行)》的编写，不仅有过编写经验，而且其公司自身的信息技术应用和管理水平在行业内都处于领先地位，但是，大家还是花了大量的时间和精力去做调查研究。经过多次讨论，大家一致认为《证券公司信息技术管理规范》应确立一个比较高的起点。

　　2002年7月，中国证监会信息中心主任徐雅萍、杨书琴和标准起草小组在深圳召开了第一次工作会议，就标准的编写达成了以下共识:

　　标准面向整个证券公司，而不仅仅是营业部，解决“出了问题谁负责”的问题；

　　以安全为主线，在信息技术建设和管理的每个环节贯彻安全性原则；

　　增加有关网上交易、集中交易等新兴业务的内容；

　　进一步增强安全管理方面的内容；标准是相对稳定的文档，不过多涉及具体的技术实现，具体的技术细节在标准指引中体现，可以随时修订；

　　有一定的前瞻性，为未来发展留出空间；为监管部门提供技术监管的依据。2、反复讨论和修改的起草过程在2002年7月召开的起草小组第一次会议上通过了标准编写大纲和编写工作计划，根据内容框架，起草小组又分成三块，分头收集资料，编写各自所负责章节的草稿，分组草稿写好后，相互交换进行补充和修改，最后由组长单位进行统稿，形成标准第一稿。在2002年下半年，经过起草小组各成员的齐心协力和勤奋工作，仅半年时间内就写出了共六稿修改稿。

　　2003年1月，起草小组召开第三次工作会议，在总结前期的编写工作的基础上，对因证券市场低迷而暴露出来的规范化管理、券商实施集中交易、因证券行业的变革而带来的行业信息技术发展的不确定性等重大问题作了详细的讨论，一致认为《证券公司信息技术管理规范》的编写应具有这方面的前瞻性。在2003年，起草小组克服“非典”的影响，辛勤工作，截至2003年9月中旬，共完成了十四稿修改稿，在2003年9月中旬的第四次会议上最终完成了行业内征求意见稿。

　　3、广泛征求行业内外意见从2003年10月开始，由中国证监会信息中心牵头，开始广泛征求行业内外对标准的意见，不仅把标准征求意见稿挂在证监会网站上，而且还向二十多家具有比较广泛的代表性的证券公司、基金公司和银行征求意见。在历时两个多月的时间里，起草小组共收回近百条意见，经过认真分析和研究，在吸收行业反馈意见的基础上，最终形成了送审稿。

　　4、通过全国金融标准化技术委员会审查2004年上半年，起草小组历时两年多的辛勤劳动终于结出了果实，由中国证券监督管理委员会组织，《证券公司信息技术管理规范》通过了全国金融标准化技术委员会审查，委员们认为，本标准的制定填补了国内证券公司信息技术管理标准的空白，可有效规范证券公司信息技术管理行为，提高证券公司风险控制能力，为证券市场的规范发展提供技术保障。同年，本标准得到了国家标准化管理委员会的批准。

　　三、标准内容简介

　　《证券公司信息技术管理规范》除前言和引言外，包括范围、规范性引用文件、原则、管理体系、机房与设备管理、网络通信、软件、数据、运行管理共九章内容，下面简要介绍一下标准的编写思路和内容特色。

　　1、标准编写原则在编制《证券公司信息技术管理规范》过程中，起草小组经过反复讨论，并多方征求意见，确定并遵循了以下四个基本原则:

　　1)指导性和先进性原则标准应能给证券公司未来几年信息技术的发展起一个导向作用。作为行业标准，本标准应能够反映先进的信息技术在证券行业的应用，并吸取国内外金融行业信息技术发展的成功经验，使本标准的实施能提高证券行业的整体信息技术应用水平。但是，从另一个角度来说，如果仓促应用未经过实践充分检验、没有一定数量成功应用案例的先进技术，是存在较大风险的，所以，本标准在“实用性原则”中强调要“注重采用成熟的先进技术”，而不要盲目冒进。

　　2)适宜性原则标准中各项具体规定的制定本着“到位的，而不越位”的原则，既明确基本要求，又能给各证券公司一个能结合实际的发展空间。作为行业标准，本标准应该是适宜于证券行业目前现状和未来发展的，如果标准要求过高，只有少数证券公司能达标，或者标准要求过低，都将失去制定标准的意义。因此，标准起草小组作了大量的调研和研究，确保本标准的规定，在提高证券行业信息技术应用水平的同时，不至于大大增加证券公司的信息技术投入成本，当然也鼓励有条件的证券公司更上一层楼。如在“机房与设备管理”一章中，本标准就提出了“机房应安装监视系统和门禁系统，宜安装环境监控系统和设备监控系统。”

　　3)最低门槛原则本标准根据目前的现状以及证券市场转型期间的需求，以发展的视角，明确发展中应坚持的核心环节和最低要求。目前证券市场正处于一个转型期间，证券公司逐步从“坐商”变为“行商”，从“以交易为中心”向“以客户为中心”转变，强调客户服务；许多公司为了加强风险监控，压缩运营成本，并更迅速地适应市场转变，开始建设集中交易系统，逐渐从分散的以营业部为主的模式向以总部为主的经营模式过渡，因此证券行业信息技术的发展具有许多不确定因素，市场处于一个迷茫时期，迫切需要明确在市场转型期间信息技术朝何处走的问题，本标准的制定就充分考虑了证券公司这方面的需求，如网络通信、数据、运行管理等内容就是为了适应新形势下的需求而编写的。

　　4)差异性原则在具体技术的阐述方面，本标准主要是设立了基本要求或介绍技术方法，并允许所采用技术手段的多样化。证券公司的规模有大有小，业务的侧重点也不尽相同，中国证券监督管理委员会对证券公司实施分类管理，过去分为综合类、经纪类，现在改为创新试点类和规范类，种类不同的证券公司对信息技术的要求不同，本标准在编写时充分考虑了这种情况。如在“机房与设备管理”一章的编写中，本标准没有像《证券经营机构营业部信息系统技术管理规范(试行)》那样规定证券公司计算机机房的使用面积，但对机房建设和环境做出了更加严格的要求；又如本标准没有对证券公司信息技术人员的数量做出硬性规定，但对信息技术岗位责任和保密要求作了进一步的强化。这些都是在经过充分的调查研究的基础上，并考查了国外证券市场的情况后，经过反复讨论才决定的。

　　2、标准内容特色与1998年颁布的《证券经营机构营业部信息系统技术管理规范(试行)》相比，本标准的起点更高，视角更全面，并且剔除了原规范中不少过时的规定，充分吸收了证券IT近几年的发展成果，下面就阐述本标准的几个主要特色:

　　1)立足于整个证券公司，重点放在证券公司总部

　　1997年，在编写《证券经营机构营业部信息系统技术管理规范(试行)》时，证券公司的经营方式采用的是以营业部为经营单位的分散模式，那时的规范主要针对证券公司营业部的信息系统管理。而在2000年之后，特别是近两三年，中国证券市场取得了长足的发展，发生了较大的变化，证券公司为了加强风险控制，控制成本，迅速应对市场的变化，提高核心竞争力，经营模式逐渐从分散的以营业部为主的模式转变为以总部为主体的集约经营模式，业务和管理权限逐步上移到总部。近两年，各证券公司都在陆续地建设集中交易，使得证券公司总部的信息系统越来越成为承载公司业务和管理的基础平台。在这种形式下，《证券公司信息技术管理规范》的制定，是从整个证券公司视角来考虑的，通篇都没有提总部和营业部字样，其规定主要是针对证券公司总部的，同时兼顾营业部。

　　2)证券公司在信息技术管理工作中应遵循的三个原则

　　本标准提出了证券公司在信息技术管理工作中应遵循的三个原则:安全性原则、实用性原则和系统化原则。

　　安全是本标准的核心内容，它作为一条主线索贯穿着标准的始终，安全也是市场最大的需求之一，各证券公司都应树立技术风险的防范意识，把本标准的安全规定落实到信息技术管理的每个环节、每个方面。但是，安全性和易用性是一对矛盾，过高的安全要求必然会牺牲易用性，并且增加成本，因此，各证券公司在贯彻安全性原则的过程中，应兼顾安全性、易用性和成本之间的平衡。

　　本标准中实用性原则强调的是，证券公司在信息技术应用中，不要过分追求技术的先进性，而应注重实用性，把先进性和实用性有机地结合起来。IT技术的发展日新月异，技术更新换代的频率非常快，但新技术在证券行业的应用面临着技术是否稳定、操作的复杂程度和成本的高低等一系列的风险，如果证券公司盲目追求新技术，则有可能面临技术风险的威胁，因此，本标准提出证券公司应注重采用成熟的先进技术，在确保信息系统性能和安全的前提下，遵循高效益、低成本、易操作的原则。

　　系统化原则是指证券公司在信息技术管理工作中，要用系统化的视角来看问题。随着证券市场的快速发展，证券公司信息系统越来越庞大，越来越复杂，证券业务的开展越来越依赖信息技术，因此，迫切需要用科学的、系统化的方法来进行信息技术管理工作，如国际上的CMM(软件能力成熟度模型)、ITSM(IT服务管理)等都是我们很好的参照对象。

　　3)安全作为一条主线索贯穿着标准的始终安全是本标准的核心内容，它作为一条主线索贯穿着标准的始终。在组织架构上，本标准提出了证券公司应建立信息系统安全管理组织，并设立专门的安全管理员和安全审计员岗位；在人员管理上，本标准规定证券公司应建立完善的保密管理措施，重要技术岗位人员应签订保密协议书；在安全制度建设方面，本标准提出证券公司应建立健全网络管理制度、数据管理制度、信息系统运行管理制度、技术事故防范策略和计算机病毒防范制度等一系列安全制度；在安全技术方面，本标准对证券公司在应用软件开发、网络通信、数据和运行管理等各方面都作了相应的规定，如证券公司应“实施信息安全等级保护”、“在软件总体设计时，应根据应用软件的实际用途，同步进行安全保密设计”、“应充分利用成熟的安全技术确保数据的保密性、完整性、可用性和可控性”、“建立完善的监控体系，对信息系统的运行环境、运行状况等进行实时监控和事后分析，并提供多种报警手段”等等。

　　另外，本标准还提出，为了达到安全要求，仅仅依靠安全技术是不够的，应做到管理与技术并重。4)鼓励证券公司多采用国家标准、行业标准和国际上适用标准

　　本标准根据需要共引用了六个国家标准和一个国际标准。为了提高行业信息技术管理水平，本标准鼓励证券公司多采用行业标准和国家标准，并在条件许可的情况下，根据实际情况积极采用国际上的适用标准。起草小组在编写中参考了大量的国际、国内以及行业标准，对这些标准中已有的条款我们未在本标准中重复引用，建议读者翻看相应标准。我们在制定机房管理标准时引用了GB50174《电子计算机机房设计规范》、GB2887《电子计算机场地通用规范》和GB9361《计算站场地安全要求》等标准，这些标准对机房的防雷、接地、电磁辐射、消防都给出了详细的技术指标要求；在制定网络建设中的局域网布线系统设计方面引用了GB50311《建筑与建筑群综合布线系统工程设计规范》和GB50312《建筑与建筑群综合布线系统工程验收规范》等标准，这些标准对结构化综合布线系统从设计、建设到验收都给出了详细的技术指标要求；在制定应用软件开发过程时引用了GB/T8566《信息技术软件生存期过程》；在制定应用软件质量控制方面引用了CMM《软件能力成熟度模型》；此外我们还参考了信息安全管理体系(ISO/ISE17799和BS7799)、《计算机信息系统安全保护等级划分准则》等标准。

　　5)关于“网络通信”

　　与1998年颁布的《证券经营机构营业部信息系统技术管理规范(试行)》相比，“网络通信”是本标准新增加的一章内容。最近几年证券公司在网络通信方面的建设可以用突飞猛进来形容，网络通信设备的性能比编写《证券经营机构营业部信息系统技术管理规范(试行)》的年代有了质的飞跃，互联网的应用更加普及，网上交易迅猛发展，银证转账系统成为资金管理的必备手段，网络和通信成为了证券公司开展业务和管理的基础平台，但随之而来的是网络管理的复杂性、重要性和网络安全的紧迫性不断增加，因此本标准用了比较多的篇幅来满足新形势下网络通信方面的需求。由于网络通信的内容较多，此处仅列几例略作说明:

　　证券公司应统一规划公司的网络，改变过去由营业部各自为政的混乱局面，特别是对实施集中交易的证券公司尤其重要；

　　本标准规定证券公司网络承建集成商应具有国家有关部门颁发的三级以上(含三级)计算机信息系统集成资质证书，资质证书由信息产业部负责认证，分为一、二、三、四级，有效期为四年，具体规定请查看信息产业部文件；为了提高网络的安全性，证券公司应针对不同业务或应用采取适当技术手段实现网络分离，如交易网段与办公网段的分离、公司内部网与外联单位和互联网的分离；

　　鉴于证券业网上交易业务发展迅速，网上交易交易量占总交易量的比重越来越大，本标准规定证券公司网上交易系统应采用至少两条线路接入互联网，采用同一个运营商的线路应通过不同的节点接入，以确保网上交易通信通道的畅通；

　　由于证券公司的网络越来越重要，越来越复杂，网络平台已成为证券公司业务和管理的基础平台，因此本标准规定证券公司应采用统一的策略来管理整个公司的网络，并设置专职的网络管理员；

　　近年来，针对证券公司网络的攻击事件时有发生，再加上网络病毒泛滥，证券公司亟待加强网络安全建设，因此本标准提出“证券公司应建立健全网络安全体系，统一制定公司的网络安全策略和技术方案，网络安全策略遵循技术保护和管理保护相结合的原则”。

　　6)关于“数据”

　　与《证券经营机构营业部信息系统技术管理规范(试行)》中的“数据管理”相比，本标准的“数据”一章起点更高，视角更全面。数据作为证券公司的信息资产，正变得越来越重要，本标准比较系统地提出了对证券公司数据管理和数据安全方面的要求。在数据管理方面，要求证券公司建立数据管理制度、加强数据备份；在数据安全方面，要求证券公司在信息系统设计时应同步进行数据安全设计，对重要数据在采集、传输、使用和存储过程中进行加密，并且要使用国家密码管理机构认可的加密产品和加密算法。

　　另外，随着市场的发展和中国加入WTO，证券行业内、证券行业和其他行业之间、甚至将来与国外同行之间的数据交换将会越来越频繁，本标准有远见地提出了证券公司应重视数据标准化工作，统一公司内部数据标准，并遵循行业数据标准。

　　7)关于“运行管理”

　　“运行管理”是本标准的特色内容之一，它是证券IT发展到目前阶段的一个主要需求。

　　在证券业发展的初期，证券公司信息系统从无到有，大家都摸索着前进，那时还谈不上什么运行管理。从1997年开始，证券市场迎来了快速发展时期，证券公司都忙着信息系统建设，主要精力都放在信息系统尽快满足业务发展的需求，如银证转账、网上交易、呼叫中心、银证通等都是在这五、六年的时间里出现，大家忙得顾不上考虑运行管理；而且，在这一时期，虽然证券公司的信息系统规模和复杂性都增加了很多，但证券公司的经营方式还是分散的以营业部为主的模式，每个营业部都直接面对交易所，因此，整个证券公司的风险也是分散的，运行管理的重要性还不是很突出。

　　但在2002年之后，证券市场发生了较大的变化，市场竞争越来越激烈，变化越来越快，券商逐步从“以交易为中心”向“以客户为中心”过渡，为了提高核心竞争力，压缩运营成本，迅速应对市场的变化和新业务的开展，许多证券公司开始建设集中交易，证券公司的经营模式也逐渐从分散的以营业部为主的模式转变为以总部为主的经营模式，连接整个公司的企业网、总部中心机房、集中交易系统、数据中心、灾备中心等的纷纷建立，使得风险逐步从营业部转移到总部，而且原来营业部信息系统的“信息孤岛”现象也消失了，营业部作为公司整个信息系统的接入点，一个分支的故障或许会酿成全局性的灾难，面对以总部为中心的支撑整个证券公司业务和管理的庞大而复杂的信息系统，运行管理问题正变得越来越重要。

　　正是在这种行业发展需求下，本标准特地辟出一个章节来讲运行管理，不仅继承、更新和充实了《证券经营机构营业部信息系统技术管理规范(试行)》中的“技术事故的防范与处理”，而且新增了“日常运行和系统上线”一节，既对信息系统上线流程作了规定，又从制度、流程、环境等方面对证券公司信息系统运行管理做出了具体的规定，着重突出了规范化和安全两点。此外，在部分券商探讨将信息系统运行外包给第三方进行管理的新形势下，本标准的制定，为该项工作的有序开展提供了管理规范和依据。

　　四、下一步计划

　　1、颁布《证券公司信息技术管理规范技术指引》

　　目前，证券公司正处于一个转型期间，证券行业信息技术的发展具有许多不确定因素，因此本标准没有对许多技术和管理细节做出具体的规定，以给各证券公司一个能结合实际的发展空间。但为了增加标准的可操作性，起草小组根据证券行业信息技术发展现状，配套制定一个实施本标准的技术指引《证券公司信息技术管理规范技术指引》，该指引的推出将进一步推进标准的具体实施:

　　技术指引是对相关标准章条的解释或细化，在技术指引里，对许多技术和管理细节做出了具体的规定，以指导各证券公司根据标准和技术指引的要求，结合各自的实际情况，制定出贯彻本标准的具体实施细则；

　　由于标准有在一段较长时间内保持相对稳定的要求，不宜短期频繁修改，而技术指引则可弥补这种不足，可以在相对较短的时间内(如两年)进行修订。

　　《证券公司信息技术管理规范技术指引》制定工作从2004年3月开始，2004年8月在深圳召开了一次指引编写工作会议，目前已修改至第六稿，计划2005年中完成，争取年内发布。

　　2、标准实施由证监会信息中心和证券业协会IT委员会牵头标准的具体实施工作，标准的实施将分三个阶段:

　　1)各证券公司自查和整改阶段通过学习，各证券公司建立起自己的达标计划，具体可以分两步走:

　　建制、自查，各证券公司建立健全各项管理制度和组织机构，并对照标准进行自查；整改完善，各证券公司对于在自查中发现的问题进行整改，逐步达到标准的要求。

　　在即将实施的金融行业信息系统安全等级保护制度中，将把达到本标准的要求作为最低门槛。

　　2)证监会抽查和巡检阶段在各证券公司自查的基础上，将由证监会信息中心组织对证券公司进行达标检查，通过抽查、巡检等形式，并结合金融行业信息系统安全等级保护制度的实施，对各证券公司进行信息系统安全等级评定。具体实施步骤:

　　证监会信息中心组织标准编写小组对证券公司情况进行调研，制定出检查项目表；各证券公司对照检查项目表进行自查；证监会信息中心组织对各证券公司达标情况进行检查；

　　对检查结果进行总结、交流，并对检查不合格的证券公司要求限期整改，整改结果由辖区内的证监会派出机构进行复核。

　　3)把执行标准的有关情况纳入证券公司的年检范围阶段

　　为了保证标准执行的持续性，证监会将把证券公司执行本标准的有关情况纳入证券公司的年检范围，结合证券公司法人治理和年检工作，定期对证券公司实施标准的情况进行检查，如一年一次或两年一次。