XX 资产管理有限公司信息技术管理制度本制度由北京大成（上海）律师事务所邓炜律师团队协助起草，如您对完善本制度有任何建议或意见，欢迎发送邮件至 wei.dengdentons.cnXX 资产管理有限公司第一章总则第一条为提高XX资产管理有限公司（以下简称“公司”或“本 公司”）公司信息系统建设和运行管理水平，保障公司信息系统系 统稳定、高效、安全地运行。根据中华人民共和国证券投资基金 法、私募投资基金监督管理暂行办法、私募投资基金管理人内 部控制指引等法律法规、规范性法律文件及相关监管要求制定本 制度。第二条公司的信息技术规划与建设、信息系统运行管理、人员 管理、机房网络安全管理、系统建设与维护管理、设备管理、备份 管理等，均适用本办法。第三条任何组织或个人，不得利用公司信息系统系统从事危害 国家利益、集体利益和公民合法利益的活动。第二章信息技术管理机构及其职责第四条 公司设立信息技术部作为公司信息系统规划、建设和管 理的专门部门，对公司信息技术工作实行归口管理，主要职责包括：（一）负责公司信息系统系统总体规划设计并组织实施；（二）负责制定信息系统管理工作的各项规章制度；（三）根据公司的业务目标，制定信息技术部工作计划并并组 织实施；（四）保障公司各信息系统的安全运行，为公司各部门提供技 术支持；（五）审核公司信息技术人员的任职资格；（六）负责信息系统工作人员的培训和考核；（七）负责计算机硬件与软件的选型；（八）审核计算机硬件设备的购置、报损、报废；（九）负责公司计算机软件系统的开发与购置； （十）负责公司重要业务系统及业务数据的备份管理； （十一）负责公司信息技术文档资料的管理； （十二）负责对公司各部门的信息系统进行定期或不定期的专 项检查；（十三）完整、准确地记录信息系统的运行日志，记录发生异 常时的现象、时间、处理方式等内容并妥善保存有关原始资料，发 生技术事故按规定上报公司领导；（十四）与上级对口的管理部门、通信公司及相关单位保持良 好的沟通，确保公司信息技术系统的高效、先进和稳定；（十五）公司授权的其它管理职能。第三章人员管理第五条公司信息技术人员总数应符合相关规定。公司根据情况 可设立信息技术专业职级体系，建立公平、公开、公正的晋升机制， 为信息技术人员提供相应的发展空间。第六条公司信息技术人员应具备以下条件（一）遵纪守法，服从领导，遵守公司的规章制度；（二）工作作风严谨，品行良好，正直诚实，具有良好的职业 道德、工作责任心和服务意识；（三）具有扎实的信息系统专业基础知识和较强的再学习能力；（四）具有丰富的专业技术工作经验，良好的心理素质和快速反应能力，能应付突发事件并及时予以处理。（五）无不良品行记录。（六）信息技术部负责人必须具备从业经验，熟悉私募基金市 场的交易规则及处理流程，并有一定的信息技术专业经验和特长。第七条信息技术人员的聘用、调离和解聘（一）拟聘信息技术人员必须经由信息技术部配合人事部门统 一进行的专业技术考核，合格后方可考虑录用；（二）信息技术人员经业务培训合格后方可上岗；（三）信息技术人员离岗时（包含不限于调离、解聘、辞职等 情形，下同），必须按照公司规定妥善办理离任手续，以保证信息 系统系统运行的连续性和安全性。被调离人员，必须配合公司做好 有关交接工作。在移交工作没有完成前，不准擅自离岗；（四）在对信息技术人员作出离岗决定时必须同时取消离岗人 员所有系统权限；（五）重要岗位的信息技术人员离岗时，在办理离任手续时须 由信息技术部会同稽核监察部对离岗人员进行信息技术专项审计， 只有在审计合格后方准离岗；（六）离岗人员应对公司资料保密，如泄密造成损失要追究责 任；（七）对在特殊情况下离岗人员，必须在离岗决定通知本人的 同时立即上交门卡及证件，退还全部技术资料，更换口令。进行上 述工作时须由信息技术部、稽核监察部、人力资源部派人陪同和监 督。完成上述工作后，离岗人员必须立即离岗，不得拖延；（八）信息技术人员辞职必须提前一个月提出申请，在办理完 毕离任手续获得批准后才允许离岗。第四章运行与安全管理第八条公司总经理为公司信息系统系统安全负责人。言息技术 部根据业务需要可设立安全责任人，安全责任人应每天审阅本部门 信息系统工作日志，用户操作记录及其他与安全有关的资料，以保 证系统安全运行。第九条公司机房管理要求（一）机房是基金管理公司的运行核心，必须严格管理并建立 相应的管理制度，未经主管领导同意，非本单位信息系统工作人员 一律禁止入内。凡经批准进入机房的其他人员必须有本单位信息系 统工作人员陪同。（二）机房要采取防雷、消防措施，配置必要时间的后备电源， 原则上备用电源应能保证交易系统及其他重要系统正常运行一天。 在条件允许的情况下，可采取区域控制、机房屏蔽等方法，防止机 要信息因电磁波而被非法截取。（三）信息技术人员要定期对机房环境、通讯电力设备、小型 机、PC服务器、空调等设备进行检查。第十条信息系统运行安全要求（一）系统安全运营的内容主要包括：维护各应用系统的正常 工作；维护通信、网络的正常工作；确保各服务器、工作站等硬件 设备安全运行；（二）系统运营实行岗位责任制度，由专人负责相关系统的运 行维护，具体工作由岗位制度和流程所规定。（三）系统运营项目经理要汇总系统管理员、网络管理员和系 统维护员对系统安全运行的经验和优化建议。第十一条 信息系统管理安全要求（一）关键设备、岗位双备份；（二）密码及用户权限的管理制度化，并按照作好岗位分离；（三）对于系统运行过程中可能出现的各种故障（如通信故障） 应制订可行的应急措施和方案，保证信息系统备岗能安全地排除故 障。重要事故应及时上报部门负责人或分管领导，并作好处理记录；（四）信息系统网络系统必须严格执行内外网分离制度，同时 应根据需要设置“防火墙”、登录限制等技术手段，防止非法入侵， 确保网络安全；（五）做好信息系统病毒防范工作，选择合适的病毒防护策略； 配备正版杀毒软件并及时更新版本，确保系统和网络安全。（六）信息系统人员要严格自律，严禁越权操作，严禁以任何 形式泄露公司和客户的交易情况及有关资料，严禁向外界传播公司 的软件。第十二条 对信息技术人员须进行安全审查及安全培训；人力 资源部及信息技术部应定期对信息技术人员进行安全考核，不合格 的人员要适时调离。第十三条 新技术的推广及应用须符合行业的有关规定，并事先进行安全论证。第五章系统与数据备份第十四条 保存完整的重要业务数据和一致版本的应用系统是 降低公司经营风险、维护客户正当权益的可靠保障，信息技术部要 建立重要系统和业务数据备份制度。第十五条 信息技术部必须对每天的原始业务数据进行备份。 备份的数据应包括客户资料、客户权益资料、交易资料、应用系统 参数及其他相关的重要数据。第十六条 历史数据必须定期转储到只读介质上，保存时间应 符合监管部门的要求。转储后的介质应有统一格式的标签和目录清 单。第十七条 备份数据及历史数据的存放须保证防火、防热、防 尘、防雷、防潮及防磁等。定期查验备份数据，确保备份数据的可 用性和真实性、完整性。第十八条 严禁修改历史数据。第六章信息系统建设与维护第十九条 信息系统建设和维护必须按照国家规定的标准进行 遵从安全、规范、和质量效率的原则。信息系统建设和维护分为需 求分析、立项决策、系统建设、系统验收和上线运行五个阶段。第二十条 在条件允许的情况下，公司应增强重要信息技术应 用系统的自主研发能力。重要信息技术应用系统包括但不限于核心 交易系统、结算系统、风险控制系统、财务系统、安全系统、灾难 备份系统。第二十一条 信息系统建设应充分考虑业务与技术之间协同 发展的互动关系。重大信息技术应用需求应由相应的使用部门或信 息技术部在需求调研的基础上提出，由内部控制部门、财务管理部 门和信息技术部会商后报公司审批立项。第二十二条 为了便于管理与维护、降低系统风险，公司内部 尽量统一系统平台、数据库、开发语言等。第二十三条 系统开发人员应及时了解公司的业务动向与需 求，凡涉及重大信息技术应用系统的任何变动，均应按公司有关规 定统一安排修改、开发或购买。严禁擅自修改软件，严禁使用未经 批准的任何软件。第二十四条 应用系统上线运行前，需先由信息技术部进行逻 辑测试，再由信息技术部和业务部门联合进行业务测试。测试通过 后经信息技术部和业务部门、合规部门等部门的联合验收，方可正 式投入运行。第二十五条 对信息系统的建设和维护必须有详细的规范化 书面文档材料，并建立相应的技术档案。第二十六条 公司信息技术投入由公司根据业务发展需要和 实际情况，按相关规定执行。第七章系统硬件的管理与维护第二十七条 信息技术部要做好公司 IT 设备的选型、采购、 登记、使用、维护、维修、报废等工作；为了确保系统安全运行对 于关键设备极其易损坏的配件须建立备件制度，或实施维护外包制 度。第二十八条 设备的维护和保养是保障信息系统系统安全稳 定运行、提高设备寿命及利用率的必要条件，信息技术人员须定期 对信息系统设备进行专业维护和保养。第八章风险控制与监督第二十九条 信息技术部应对公司的计算机系统状况进行定 期或不定期的专项检查，并接受有关部门的检查监督。第三十条 信息技术部应采取切实可行的技术手段，与有关部 门紧密配合，建立健全事后监管制度，防止计算机违法与犯罪。第三十一条 公司的系统开发、系统运维管理、系统的合规检 查实现相互分离。第三十二条 公司应建立有效的灾难备份系统和应急预案，明 确应急预案的激活条件、紧急事件处理流程、报告流程、撤销流程、 恢复流程以及人员责任等，并定期进行演练。灾难备份系统的各项 技术指标应符合监管机构的要求。第三十三条 公司建立内部信息技术审计制度，定期进行信息 技术审计，对重要信息技术项目的建设和运行进行专项审计，定期 聘请外部有资质的机构对公司进行信息技术审计和信息技术风险 评估。第九章附则第三十四条 本制度由（公司XX部门）负责制定、修订与解 释，本制度未尽事宜，按相关法律法规执行。第三十五条 本制度经XX审批通过，发布之日起施行。