一、单选题
1、关于信息系统的开发、测试、上线、变更与停止使用要求,说法错误的是( )。
A 证券公司应当建立独立于生产环境的专用开发测试环境,避免风险传导
B 开发测试环境使用未脱敏数据的,应当采取与生产环境不同的安全控制措施
C 证券公司在生产环境开展重要信息系统技术或业务测试的,应对测试流程及结果进行审查
D 证券公司重要信息系统上线或发生重大变更的,应当制定专项实施方案,并对信息系统上线或变更操作行为进行审查、确认和跟踪
答案解析:
本题考查信息系统安全。
A、C、D选项说法均正确,不符合题意。
B选项说法错误,开发测试环境使用未脱敏数据的,应当采取与生产环境同等的(而非不同的)安全控制措施。
故本题选B选项。
2、证券公司信息技术治理工作中,完善绩效考核和责任追究机制属于( )的职责。
A 证券公司董事会
B 证券公司经营管理层
C 信息技术治理委员会
D 信息技术管理部门
答案解析:
本题考查经营管理层职责。
证券公司经营管理层负责落实信息技术管理目标,对信息技术管理工作承担责任,履行下列职责:
(1)组织实施董事会相关决议;
(2)建立责任明确、程序清晰的信息技术管理组织架构,明确管理职责、工作程序和协调机制;
(3)完善绩效考核和责任追究机制,B选项符合题意;
(4)公司章程规定或董事会授权的其他信息技术管理职责。
故本题选B选项。
二、多选题
3、关于证券公司信息技术安全的说法,正确的是( )。
A 证券公司可以在安全,合规的前提下为子公司提供机房、通信网络及其他信息技术基础设施,并协助开展相关运维工作
B 证券公司可以设立信息技术专业子公司,为母公司提供信息技术服务
C 证券公司应当遵循最大功能以及最小权限等原则分配信息系统管理、操作和访问权限,并股行审批流程
D 证券公司应当对重要信息系统的开发、测试、运维实施必要分离,保证信息技术管理部门内部岗位的相互制衡
答案解析:
本题考查证券公司信息技术安全。
A项正确,证券公司可以在安全,合规的前提下为子公司提供机房、通信网络及其他信息技术基础设施,并协助开展相关运维工作。
B项正确,证券公司可以设立信息技术专业子公司,为母公司提供信息技术服务。信息技术专业子公司经中国证监会备案后可为其他金融机构提供信息技术服务。
C项错误,证券公司应当遵循最少功能(而非最大功能)以及最小权限等原则分配信息系统管理、操作和访问权限,并股行审批流程。合规管理和风险管理部门应当对权限管理制度和操作流程进行合规审查及风险控制。
D项正确,证券公司应当对重要信息系统的开发、测试、运维实施必要分离,保证信息技术管理部门内部岗位的相互制衡。
综上,A、B、D选项符合题意,故本题选ABD选项。
4、证券公司应当指定一名熟悉证券、基金业务,具有信息技术相关专业背景、任职经历、履职能力的高级管理人员为首席信息官,首席信息官的任职条件包括( )。
A 从事信息技术相关工作10年以上
B 在证券监管机构、证券基金业自律组织任职5年
C 最近3年未被金融监管机构实施行政处罚或采取重大行政监管措施
D 中国证监会规定的其他条件
答案解析:
本题考查首席信息官的任职条件。
证券公司应当指定一名熟悉证券、基金业务,具有信息技术相关专业背景、任职经历、履职能力的高级管理人员为首席信息官,由其负责信息技术管理工作,并具备下列任职条件:
(1)从事信息技术相关工作10年以上,或者在证券监管机构、证券基金业自律组织任职8年以上(5年<8年),A项正确,B项错误;
(2)最近3年未被金融监管机构实施行政处罚或采取重大行政监管措施,C项正确;
(3)中国证监会规定的其他条件,D项正确。
综上,A、C、D选项符合题意,故本题选ACD选项。
【知识点拨】新版(2021版)教材中删掉了对证券、基金行业信息技术相关工作的年限要求。
5、证券公司应当与信息技术服务机构签订服务协议和保密协议,明确各方权利、义务和责任,约定( )等内容,并持续监督信息技术服务机构及相关人员落实服务协议和保密协议的情况。
A 质量考核标准
B 持续监控机制
C 异常处理机制
D 服务变更处置流程
答案解析:
本题考查信息技术服务协议和保密协议的签署。
证券公司应当与信息技术服务机构签订服务协议和保密协议,明确各方权利、义务和责任,约定质量考核标准(A项正确)、持续监控机制(B项正确)、异常处理机制(C项正确)、服务变更或者终止的处置流程(D项正确)以及现场服务人员保密要求等内容,并持续监督信息技术服务机构及相关人员落实服务协议和保密协议的情况。
综上,A、B、C、D选项符合题意,故本题选ABCD选项。
6、证券公司应当在公司管理层下设立信息技术治理委员会或指定专门委员会(简称“信息技术治理委员会”),以下关于信息技术治理委员会的说法,正确的是( )。
A 信息技术治理委员会可聘请外部专业人员担任信息技术治理委员会委员或顾问
B 信息技术治理委员会应当由高级管理人员以及合规管理部门、风险管理部门、稽核审计部门、主要业务部门、信息技术管理部门等部门负责人组成
C 信息技术治理委员会应当完善绩效考核和责任追究机制
D 信息技术治理委员会应当建立信息技术人力和资金保障方案
答案解析:
本题考查信息技术治理委员会的职责。
A、B项正确,信息技术治理委员会应当由高级管理人员以及合规管理部门、风险管理部门、稽核审计部门、主要业务部门、信息技术管理部门等部门负责人组成,可聘请外部专业人员担任信息技术治理委员会委员或顾问。
C项错误,完善绩效考核和责任追究机制属于经营管理层(而非信息技术治理委员会)的职责。
D项错误,建立信息技术人力和资金保障方案属于董事会(而非信息技术治理委员会)的职责。
综上,A、B选项符合题意,故本题选AB选项。
7、下列关于信息技术应用的合规与风险管理的说法,错误的是( )。
A 除法律法规及中国证监会另有规定外,证券公司不得直接接收客户交易指令
B 证券公司应当按照中国证券业协会有关规定采集、记录、存储、报送客户交易终端信息,并采取有效的技术措施,保障相关信息真实、准确、完整
C 证券公司借助专业化交易信息系统向特定客户提供交易服务的,应当要求客户登记交易终端信息
D 证券公司不得使用电子合同从事证券基金业务活动,从事证券基金业务活动只可采取书面形式
答案解析:
本题考查证券从业人员的监督管理。
A项说法错误,除法律法规及中国证监会另有规定外,证券公司应当通过自身运营管理的信息系统直接接收客户交易指令(并非不得直接接收客户交易指令),并记录客户交易指令接收时间。
B项说法错误,证券公司应当按照中国证监会(并非中国证券业协会)有关规定采集、记录、存储、报送客户交易终端信息,并采取有效的技术措施,保障相关信息真实、准确、完整。
C项说法正确,证券公司借助专业化交易信息系统向特定客户提供交易服务的,应当要求客户登记交易终端信息;信息发生变更的,应当要求客户履行变更程序,确保客户真实使用的客户交易终端信息与登记内容一致。
D项说法错误,证券公司使用电子合同从事证券基金业务活动的,应当将电子合同存储在指定的信息系统,并提供可供投资者及合同其他相关方查询、下载的公开渠道(并非不得使用电子合同从事证券基金业务)。
综上,A、B、D选项符合题意,故本题选ABD选项。
8、关于信息技术应用的合规与风险要点,下列说法正确的是( )。
A 除法律法规及中国证监会另有规定的除外,证券公司应当通过自身运营管理的信息系统直接接收客户交易指令,并记录客户交易指令接收时间
B 证券公司应当自行采集、记录、存储、报送客户交易终端信息,并采取有效的技术措施,保障相关信息真实、准确、完整
C 证券公司使用电子合同从事证券基金业务活动的,应当将电子合同存储在指定的信息系统,并提供可供投资者及合同其他相关方查询、下载的公开渠道
D 证券公司借助专业化交易信息系统向特定客户提供交易服务的,应当要求客户登记交易终端信息;信息发生变更的,应当要求客户履行变更程序,确保客户真实使用的客户交易终端信息与登记内容一致
答案解析:
本题考查信息技术应用的合规与风险要点。
A项正确,除法律法规及中国证监会另有规定的除外,证券公司应当通过自身运营管理的信息系统直接接收客户交易指令,并记录客户交易指令接收时间。
B项错误,证券公司应当按照中国证监会有关规定(而非自行)采集、记录、存储、报送客户交易终端信息,并采取有效的技术措施,保障相关信息真实、准确、完整。
C项正确,证券公司使用电子合同从事证券基金业务活动的,应当将电子合同存储在指定的信息系统,并提供可供投资者及合同其他相关方查询、下载的公开渠道。
D项正确,证券公司借助专业化交易信息系统向特定客户提供交易服务的,应当要求客户登记交易终端信息;信息发生变更的,应当要求客户履行变更程序,确保客户真实使用的客户交易终端信息与登记内容一致。
综上,A、C、D选项符合题意,故本题选ACD选项。
9、关于经营数据和客户信息保护,下列说法正确的是( )。
A 证券公司应当记录经营数据和客户信息的使用情况,并持续监督信息技术服务机构等相关方落实保密协议的情况
B 证券公司发现其他机构、个人违规存储或使用自身经营数据和客户信息的,应当排查数据泄露途径、评估影响范围,采取合理可行的整改措施,及时处置风险隐患,并按照中国证券业协会规定履行报告和调查处理职责
C 证券公司发现信息技术服务机构等相关方违规存储或者使用自身经营数据和客户信息的,应当责令其立即改正并销毁已获取的经营数据和客户信息
D 证券公司应当建立健全数据安全管理制度,不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据
答案解析:
本题考查经营数据和客户信息保护。
A项正确,证券公司应当记录经营数据和客户信息的使用情况,并持续监督信息技术服务机构等相关方落实保密协议的情况。
B项错误,证券公司发现其他机构、个人违规存储或使用自身经营数据和客户信息的,应当排查数据泄露途径、评估影响范围,采取合理可行的整改措施,及时处置风险隐患,并按照中国证监会(并非中国证券业协会)规定履行报告和调查处理职责。
C项正确,证券公司发现信息技术服务机构等相关方违规存储或者使用自身经营数据和客户信息的,应当责令其立即改正并销毁已获取的经营数据和客户信息。
D项正确,证券公司应当建立健全数据安全管理制度,不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据。
综上,A、C、D选项符合题意,故本题选ACD选项。
10、下列关于证券公司应急预案的说法正确的是( )。
A 证券公司应当制定并持续完善应急预案,包括但不限于应急管理建设目标、备份信息系统建设和恢复机制、备份数据恢复机制等内容
B 证券公司应急预案应当充分考虑重要信息系统故障、相关信息技术服务机构无法继续提供服务、证券公司信息技术高管或重要技术团队发生重大变动以及自然灾害等可能影响重要信息系统平稳运行的事件
C 证券公司应当根据系统变更、业务变化等情况,持续更新应急预案
D 应急演练应当形成报告,保存期限不得少于3年
答案解析:
本题考查证券公司的应急预案。
A项正确,证券公司应当制定并持续完善应急预案,包括应急管理建设目标、备份信息系统建设和恢复机制、备份数据恢复机制、业务恢复或替代措施、应急联系方式、与客户沟通方式、向监管部门及有关单位的报告路径、应急预案披露与更新机制等内容。
B项正确,证券公司应急预案应当充分考虑重要信息系统故障、相关信息技术服务机构无法继续提供服务、证券公司信息技术高管或重要技术团队发生重大变动以及自然灾害等可能影响重要信息系统平稳运行的事件。
C项正确,证券公司应当根据系统变更、业务变化等情况,持续更新应急预案。
D项错误,应急演练应当形成报告,保存期限不得少于5年(并非3年)。
综上,A、B、C选项符合题意,故本题选ABC选项。
11、关于证券公司对于客户信息保护的说法,正确的是( )。
A 证券公司应当建立健全数据安全管理制度,不得收集与服务无关的客户信息
B 证券公司不得购买或使用非法获取或来源不明的数据
C 证券公司在收集和使用客户信息之前,证券公司应当公开收集、使用的规则和目的,并征得客户同意
D 无论任何情况下,证券公司均不得以任何方式向其他机构、个人提供客户信息
答案解析:
本题考查证券公司对客户信息保护的相关规定。
A、B项正确,证券公司应当建立健全数据安全管理制度,不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据。
C项正确,在收集使用客户信息之前,证券公司应当公开收集、使用的规则和目的,并征得客户同意。
D项错误,除法律法规和中国证监会另有规定外(并非无论任何情况下),证券公司不得允许或者配合其他机构、个人截取、留存客户信息,不得以任何方式向其他机构、个人提供客户信息。
综上,A、B、C选项符合题意,故本题选ABC选项。
三、判断题
12、证券公司应根据业务开展情况以及信息系统的重要程度建立与监测工作相适应的日志留痕机制,确保满足应急处置和审计需要。
A 正确
B 错误
答案解析:
本题题干说法正确。
证券公司应当妥善保存信息系统开发、测试、上线、变更及运维过程中产生的文档,并根据业务开展情况以及信息系统的重要程度建立与监测工作相适应的日志留痕机制,确保满足应急处置和审计需要。
13、证券公司应当对重要信息系统的开发、测试、运维实施必要分离。
A 正确
B 错误
答案解析:
本题题干说法正确。
证券公司应当对重要信息系统的开发、测试、运维实施必要分离,保证信息技术管理部门内部岗位的相互制衡。
14、证券公司重要信息系统应当符合非实时信息系统的故障应对能力当达到第二级。
A 正确
B 错误
答案解析:
本题题干说法正确。
证券公司应当确保备份系统与生产系统具备同等的处理能力,保持备份数据与原始数据的一致性。重要信息系统应当符合下列信息系统备份能力等级要求:
(1)实时信息系统、非实时信息系统的数据备份能力应当达到第一级;
(2)非实时信息系统的故障应对能力应当达到第二级;
(3)证券公司实时信息系统的故障应对能力应当达到第四级;
(4)实时信息系统、非实时信息系统应当具备灾难及重大灾难应对能力,相关技术指标应当分别达到灾难应对能力第五级、重大灾难应对能力第六级;
(5)灾难应对能力可以通过重大灾难应对能力体现,但重大灾难应对能力相关技术指标应当达到灾难应对能力第五级。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
