《证券公司外部接入信息系统评估认证规范》解读

目的：禁止证券公司通过网上证券交易接口为任何机构和个人开展场外配资活动，非法证券业务提供便利。加强证券公司信息系统外部接入的风险管理，维护证券公司信息系统安全，稳定运行，有效防范风险，保护投资者合法权益，切实维护市场秩序。

一、《规范》禁止事项：

1. 禁止任何其他主体对交易指令进行发起、接收、转发、修改、落地保存或截留。 “证券公司使用外部接入信息系统，证券交易指令必须在证券公司自主控制的系统内全程处理，即从客户端发出的交易指令处理应仅在发起交易的投资者与证券公司之间进行，其间任何其他主体不得对交易指令进行发起、接收、转发、修改、落地保存或截留。” “证券公司应加强客户端交易指令监控，如发现交易指令被第三方接收、转发等，应及时采取措施进行整改。”

2.禁止证券公司支持相关方利用外部接入信息系统开展证券经纪业务。

“证券公司不得直接或间接支持信息技术服务机构等相关方利用外部接入信息系统开展证券经纪业务。”

3. 禁止证券公司违反监管规定，使用外部接入信息系统。

“证券公司使用外部接入信息系统应当符合监管规定，且不得有以下行为：（一）为信息技术服务机构等相关方从事或变相从事证券经纪业务提供便利；（二）为信息技术服务机构等相关方建立账户登记体系等登记结算业务提供便利；（三）规避监管或自律管理；（四）充当外部接入信息系统的业务通道；（五）其他法律法规、监管规定和自律规则禁止的行为。”

4.除监管机构批准或认可外，禁止证券公司向第三方运营的客户端提供网上证券服务端与证券交易相关的接口，且证券公司应当对合规性负责。

“除经国务院及中国证监会批准设立的合法证券交易场所及中国证监会认可的金融机构外，证券公司不得向第三方运营的客户端提供网上证券服务端与证券交易相关的接口。” “第三方运营的客户端是指除证券公司、投资者之外，由第三方进行发布、升级等运营管理的客户端，不包括以下情形：（一）客户端是证券公司与第三方公司签署正式协议购置或租用的，并经证券公司测试和验收后，由证券公司进行发布、升级等运营管理；（二）客户端是客户自行开发或通过第三方购置、租用，且通过专线、互联网VPN等专用通讯通道接入证券公司的，经证券公司评估系统安全性并正式认可后，由客户自行运行管理或授权证

1 / 4

券公司确定的第三方运行管理；（三）客户端是直连证券公司服务端的通用浏览器。”

“证券公司应当对上述客户端的合规性负责。”

解析：①证券公司不得存在使用外部接入信息系统开展证券业务的禁止性要求；②禁止证券公司存在因信息系统外部接入引发的信息安全事件，以及对场外配资活动提供便利，直接或间接参与非法证券活动等行为。

二、“外部接入信息系统”准入条件：

1. 证券公司需要使用外部接入信息系统，应当经中国证券业协会（以下简称协会）评估认证。

“证券公司需要使用外部接入信息系统，应当经中国证券业协会（以下简称协会）评估认证。”

“自本规范下发之日起，证券公司不得接入新的未经评估认证的外部信息系统。”

2. 向证券公司信息系统提供外部接入的信息技术服务机构等相关方应当是协会会员。 “向证券公司信息系统提供外部接入的信息技术服务机构等相关方应当是协会会员，接受协会的自律管理。”

3. 证券公司使用外部接入信息系统应向协会申请评估认证。

“证券公司使用外部接入信息系统应当在客户端系统准入协议签署一个月内通过场外证券业务报告系统向协会申请评估认证。”

“申请材料包括：（一）评估认证申请表；（二）客户端系统准入协议；（三）拟接入的外部信息系统业务说明书；（四）使用外部接入信息系统的内部管理制度，包括但不限于内控、风控、投资者保护等；（五）信息系统安全和合规承诺书；（六）合规审查意见；（七）协会要求的其他材料。”

“证券公司已使用外部接入信息系统的，应当在自查整改完成后报协会评估认证。”

4.建立管理制度、审核机制、投资者适当性管理和教育等。

“证券公司使用外部接入信息系统应当遵守下列要求：（一）建立健全使用外部接入信息系统的内部管理制度，明确提供外部接入的信息技术服务机构等相关方应当具有的资质条件和筛选标准、系统的信息安全要求、相关合规审查要点、风险管理措施、后续监控检查及问题处理机制；（二）建立健全外部接入信息系统开展证券业务的审查机制，着重加强对开展相关业务的合规性审查，公司主要负责人和合规总监应当在相关审查文件上签字确认；（三）

2 / 4

具备识别外部接入信息系统合规性的能力，不得接入无法辨别合规性的外部信息系统；（四）在与相关方签订的协议中明确由相关方承诺不得利用外部接入信息系统从事或变相从事配资活动，并建立相关责任追究机制；（五）严格执行开户审查制度，强化客户身份识别，对投资者提供的有效身份证明文件原件及其他开户资料的真实性、准确性、完整性进行审核；

（六）做好投资者适当性管理和教育工作，提示投资者证券账户应当本人使用，不得转借他人从事非法证券活动；（七）加强日常监控，定期或不定期开展检查，了解外部接入信息系统运行和账户管理情况，对可疑账户和可疑交易行为采取有效措施并及时处理。”

5.建立对外部接入信息系统的自查制度，至少每年自查一次。

“证券公司应当建立对外部接入信息系统的自查制度，自查内容包括但不限于：（一）是否存在接入未经公司合规审查和协会评估认证的外部信息系统情况；（二）外部接入信息系统开展的业务类型及基本情况；（三）外部接入信息系统的业务合规性和系统安全性；（四）外部接入信息系统开展业务的风险类型及隐患；（五）公司认为必要的其他情况。”

“证券公司应当每年至少自查一次，形成自查报告并存档备查。自查工作中发现存在风险隐患的，应当制定整改方案，及时整改，并向协会报告。”

6.建立责任追究和问责机制。

“证券公司应当建立健全责任追查和问责机制，对违反本规范的相关人员进行问责。”

7.接受协会检查。

“协会可以对证券公司使用外部接入信息系统运行情况进行执业检查，对违反本规范的证券公司、信息技术服务机构等相关方和相关从业人员采取自律管理措施并按规定计入诚信档案；情节严重的，移送中国证监会及有关部门处理。”

解析：①证券公司充分评估现有信息系统的支撑能力，加大资源投入，定期开展压力测试，其实防范信息安全事件；②持续加强对证券公司信息系统外部接入的日常监管，适时组织专项现场检查工作。

三、“客户端”的其他规定：

1.签订协议、做好管理工作、承担全部合规性责任。

“证券公司提供客户使用的客户端属于向第三方购置或租用的，应当与第三方签署正式的客户端系统购置或租用协议，并做好客户端测试、验收、变更发布管理等工作，对客户端的安全运行、交易账户合规性、交易操作合规性承担全部责任。”

3 / 4

“客户端系统购置或租用协议内容包括但不限于：客户端系统信息安全要求，交易账户处理方式、用户交易操作方式、交易指令处理方式等系统功能范围和边界要求，系统监控接口要求，协议各方管理责任等。”

2. 客户自行开发、购置或租用网上证券客户端以及配套信息系统接入的，证券公司应采用专用通讯通道，充分评估，并持续做好合规性监控和风控管理。

“证券公司应当加强客户自行开发、购置、租用客户端的管理。客户自行开发、购置或租用网上证券客户端以及配套信息系统接入证券公司的，证券公司应采用专线、互联网VPN等专用通讯通道，且与关联方签署正式的客户端系统准入协议，对客户端及配套信息系统的信息安全性、功能合规性（包括但不限于交易账户处理方式、用户交易操作方式、交易指令处理方式）等进行充分评估，并持续做好合规性监控和风控管理。证券公司发现客户端有异常行为，应当采取屏蔽应用系统接入、限制账户交易等必要措施。”

“客户端及配套信息系统属于客户自行运营管理的，证券公司应与客户签署客户端系统准入协议；客户端及配套系统属于客户委托第三方运营管理的，证券公司应分别与客户、第三方签署客户端系统准入协议。”

“客户端系统准入协议内容包括但不限于：客户端及配套系统信息安全要求，交易账户处理方式、用户交易操作方式、交易指令处理方式等系统功能范围和边界要求，与交易账户和交易操作合规性监控相关的系统监控接口要求，协议各方管理责任等。”

4 / 4

 

第二篇：第24章 信息系统评价

第24章 信息系统评价

所谓系统评价，是指根据预定的系统目的，在系统调查和可行性研究的基础上，主要从技术和经济等方面，就各种系统设计的方案所能满足需要的程度及消耗和占用的各种资源进行评审和选择，并选择出技术上先进、经济上合理、实施上可行的最优或满意方案；

系统评价的类型（评价与决策、评价与系统发展过程、评价与信息特征）；

评价问题的基本要素：评价者、评价对象、评价目标、评价指标、评价原则和策略，各个基本要素的有机组合被称为一个评价系统；

概述

概念和特点：

系统评价就是对系统运行一段时间后的技术性能及经济效益等方面的评价，是对信

息系统审计工作的延伸；

评价的目的是检查系统是否达到了预期的目标，技术性能是否达到了设计的要求，系统的各种资源是否得到充分利用，经济效益是否理想，并指出系统的长处与不足，为以后系统的改进和扩展提出依据；

具有复杂性和特殊性；

技术性能评价：

1、 系统的总体技术水平；

2、 系统的功能覆盖范围；

3、 信息资源开发和利用的范围和深度；

4、 系统质量；

5、 系统安全性；

6、 系统文档资料的规范、完备与正确程度；

管理效益评价：

管理效益即社会效益，是间接的经济效益，是通过改进组织结构及运作方式、提高人员素质等途径，促使成本下降、利润增加而逐渐地间接获得的效益； 管理效益评价可以反过来从系统运行所产生的间接管理作用和价值来进行评价：

1、 系统对组织为适应环境所做的结构、管理制度与管理模式等的变革所起的作用；

2、 系统帮助改善企业形象、对外提高客户对企业的信任度，对内增强员工的自信心和自豪感的程度；

3、 系统使管理人员获得许多新知识、新技术与新方法和提高技能素质的作用；

4、 系统对实现系统信息共享的贡献，对提高员工协作精神及企业的凝聚力的作用；

5、 系统提高企业的基础管理效率，为其他管理工作提供有利条件的作用；

成本的构成：

1、 系统运行环境及设施费用；

2、 系统开发成本；

3、 系统运行与维护成本；

从功能属性角度划分：基础成本、附加成本、额外成本和储备成本；

包含以下要素：

1、 开发成本；

2、 基础设施购买费；

3、 信息材料成本费；

4、 各种耗损费（信息材料耗损费，物质材料耗损费，固定资产耗损、折旧费）；

5、 通信费用；

6、 调研费用和咨询费用；

7、 劳务费；

8、 各种管理费；

9、 税金；

经济效益来源：

信息系统的效益主要从创收和服务活动中获得，按其属性可分为固有收益（指能长

期进行的产品服务或科研基金的申请）、直接收益（从各种服务或信息产品销售中直接获得）、间接收益（信息产品或服务的成果被再次利用所产生的收益）；

要素：

1、 科研基金费即科学事业费；

2、 系统人员进行技术开发的收入；

3、 服务收入；

4、 生产经营收入；

5、 其他收入；

经济效益评价的方法：

1、 投入产出分析法；

2、 成本效益分析法；

3、 价值工程方法；

综合评价：

特征：

1、 它的评价包含了多个独立指标；

2、 这些指标分别体现着信息系统的不同方面，通常具有不同的量纲；

3、 综合评价的目的是对信息系统做出一个整体性的判断，并用一个总体评价

值来反映信息系统的一般水平；

工作内容：

1、 综合评价指标体系及其评价标准的建立，这是整个评价工作的前提；

2、 定性或定量的方法（包括审计的方法）确定各指标的具体数值，即指标评

价值；

3、 各评价值的综合，包括综合算法和权重的确定、总评价值的计算等；

在确定指标以后，再确定各指标的权重，并用审计结果结合定性分析给各指标打分，最

后确定该系统的总分和等级，总结建设该系统的经验教训，并指出下一步的发展方向；

信息系统评价项目

建立评价目标（评价的最终目标是为了做出决策）：

系统规划期：重点关注如何识别满足业务目标的IT系统，同时规划战略目标，并

从不同的层面沟通和管理，建立良好的组织架构和技术基础架构是必不可少的；

系统设计期：在于理解IT战略后，识别、开发或获取、实施IT解决方案，保持项

目的方向；

系统转换期：主要是对已有系统的变更或维护，以确保系统生命周期的持续改进； 系统运行期：重点在于考核系统找出问题反馈修正系统，关注服务的价值交付，以

及应用系统的实际数据处理流程及系统的安全性；

信息系统评价计划书工作程序（工作程序是指从确定评价对象至完成整个评价工作

的过程），包括如下步骤：

1、 确定评价对象，下达评价通知书，组织成立评价工作组和专家咨询组；

2、 拟定评价工作方案，搜集基础资料；

3、 评价工作组实施评价，征求专家意见和反馈企业，撰写评价报告；

4、 评价工作组将评价报告报送专家咨询组复核，向评价组织机构（委托人）

送达评价报告和选择公布评价结果，建立评价项目档案等；

系统评价的主要方法：专家评估法、技术经济评估法、模型评估法、系统分析法；

设置评价项目：

评价小组主要负责审定系统效率、系统有效性、解题周期、响应时间、信息的关联、

输入输出的分配及控制、输入输出的格式和内容、文件、记录和数据库的结构、更新和后备措施、系统资料的通用性等内容；

评估项目组织结构：

1、 评估委员会；

2、 评估领导小组；

3、 评估执行小组；

4、 评估协调小组；

信息化指标体系------《企业信息化测评指标体系》

评价项目的标准

企业信息化评价基准是准确衡量信息化绩效的尺度；

性能评价标准：

指标体系包括如下内容：

1、 系统的可靠性，软硬件系统的可靠性以及数据可靠性，一般采用评价时间

点上的测试结果作为可靠性指标的评价结果；

2、 系统效率，反映系统完成各项功能所需的计算资源，如周转时间、响应时

间、吞吐量等系统效率指标；

3、 系统可维护性，确定系统错误并进行修正的努力程度；

4、 系统可扩充性，是指系统处理能力和系统功能的可扩充程度，分为系统结

构、系统硬件和系统软件功能可扩充性评价指标；

5、 系统可移植性，指系统从一个硬件（软件）环境移植到另一个硬件（软件）

环境的难易程度；

6、 系统实用性，是指系统运行对组织各部门的业务处理效率的提高等的支持

程度如何，以及对系统分析、预测和控制的建议有效性如何；

7、 系统适应性，在运行环境、约束条件或用户需求有所变动时的适应能力；

8、 系统安全保密性，对用户无意操作或系统软硬件工作安全性的保护措施，

以及对自然灾害和外部黑客攻击的安全保密保护；

常见指标的概念：

1、 事物处理响应时间；

2、 作业周转时间；

3、 吞吐量；

4、 故障恢复时间；

5、 控制台响应时间；

运行质量评价标准：

系统运行质量评价是指，从系统实际运行的角度对系统性能和建设质量等进行的分

析、评估和审计；

系统评价的步骤为：先根据评价的目标和目的设置评价指标体系，对于不同的系统

评价目的应建立不同的评价指标体系，然后根据评价指标体系确定采用的评价方法，围绕确定的评价指标对系统进行评价，最后给出评价结论；

评价指标：

1、 预定的系统开发目标的完成情况；

2、 运行环境的评价；

3、 系统运行使用性评价；

4、 系统的质量评价（定出如下质量评价的特征和指标）：

1、 系统对用户和业务需求的相对满意程度；

2、 系统的开发过程是否规范；

3、 系统功能的先进性、有效性和完备性；

4、 系统的性能、成本、效益综合比；

5、 系统运行结果的有效性和可行性；

6、 结果是否完整；

7、 信息资源的利用率；

8、 提供信息的质量如何；

9、 系统实用性；

系统效益评价标准

系统效益评价，指的是对系统的经济效益和社会效益等做出评价，可以分为

经济效益评价和社会效益评价；

成本-效益分析法（用系统所消耗的各种资源与收获的收益做比较）主要步骤：

明确企业管理信息化的成本和收益的组成、将成本和收益量化、计算货

币价值、通过一定技术经济分析模型或公式，计算有用的指标、比

较成本和收益的平衡关系，做出经济效益评价的结论；

企业信息化的成本包括：

1、 设备购置费用；

2、 设施费用；

3、 开发费用；

4、 系统运行维护费用；

企业信息化的收益包括：

1、 产值增加所获得利润收益；

2、 产品生产成本降低所节约的开支；

经济效益评价方法：

1、 差额计算法；

2、 比例计算法；

3、 信息费用效益评价法；

4、 边际效益分析；

5、 数学模型法；

社会效益主要体现在企业管理信息化对企业内部经营管理能力产生的影响；

系统改进建议

评价报告：

报告正文的主要内容包括企业系统基础情况描述、主要各项绩效指标对比分析、评

价结论、评价依据和评价方法等；

报告附录包括有关评价工作的基础文件和数据资料；

常见的系统改进建议：

1、 系统修改或重构的建议；

2、 系统开发说明书的建议；