第二章信息技术治理

第一条【信息技术治理】信息技术治理是指**公司在运用信息技术过程中，制定的有关信息技术决策权分配和责任承担的框架。

第二条【责任分工】**公司法定代表人对**公司信息安全及信息技术管理负最终责任，**公司章程应明确以下事项：

一）**公司信息技术管理的组织架构和决策机构；

二）**公司董事长、总经理、分管信息技术的高级管理人员、信息技术管理部门负责人在信息技术管理工作中的职责分工。

第三条【决策机构】**公司应成立信息技术委员会或指定专门机构（如总经理办公会）负责公司信息技术规划、年度信息技术工作计划和预算、重大信息系统项目立项和上线等重要事项的审议工作。

信息技术委员会或指定专门机构应由公司总经理、分管信息技术高管、分管财务、风控部门高管、合规总监、信息技术管理部门负责人及相关部门负责人等组成，公司可聘请外部专业人士担任信息技术委员会或指定专门机构的委员或顾问。

第四条【分管高管】**公司应指定高级管理人员或设立信息技术总监分管公司信息技术管理工作，信息技术总监为**公司高级管理人员。

分管信息技术管理工作的高级管理人员应具备信息技术专业知识，并具有5年以上从事金融业信息技术管理或信息技术监管工作经验。信息技术总监应具备**公司高级管理人员任职资格，具有计算机相关专业大学本科以上学历，以及8年以上从事金融业信息技术管理或信息技术监管工作经验。

分管信息技术管理工作的高级管理人员或信息技术总监不得同时兼任或分管公司财务、审计及与其职责相冲突的职务或部门。

第五条【it部门职责】**公司应设立信息技术管理部门，对**公司总部、分支机构的信息技术规划、项目建设、系统运行维护、信息安全、应急演练及应急处置等工作进行集中、统一管理。

**公司信息技术管理部门应指导并参与审定境内控股子公司的信息技术规划、重大项目建设方案。

第一条【it规划】**公司应结合公司发展战略、经营方针等制定信息技术规划，经信息技术委员会或指定专门机构审议，并报董事会批准后实施。信息技术规划应遵循与公司发展相适应的原则，定期进行更新。

第二条【制度建设】**公司应制定信息技术管理制度和操作流程。涉及内容包括但不限于：项目立项及管理、开发测试、升级变更、系统运维、数据管理、信息安全、权限分配、应急处置、信息安全事件调查处理等方面。

**公司信息技术管理制度和操作流程应符合国家、监管部门和自律组织的有关规定，并根据实际情况及时修订。

第三条【合规与风控】**公司应将合规管理及风险控制的要求贯穿在信息技术管理工作的各个环节。

**公司合规管理部门应对公司信息技术管理制度和操作流程合规性把关并监督执行，对信息技术管理的重大决策和主要活动进行合规性审查，对信息技术管理的合规状况以及其有效性进行监测和检查，及时发现、查处、报告违法违规行为。

**公司风险控制部门应对信息系统重大变更、信息安全重大决策、信息安全事故处理等进行事前、事中、事后的风险评估和监督控制，防范信息技术重大风险。

**公司可为合规管理及风险控制部门配备熟悉**业务并具备计算机相关专业学历的工作人员。

第四条【审计管理】**公司应指定公司内部审计部门或委托外部审计机构，定期对公司及分支机构信息技术管理工作进行审计，公司总部接受信息技术审计的频率不低于每年一次。

第五条【it投入】**公司信息技术投入应符合监管部门及自律组织的有关要求。

第六条【员工培训】**公司应对业务人员进行相关业务信息系统使用和信息安全培训，业务人员每年参加培训时间不少于6学时。