xx证券有限责任公司信息系统管理制度汇编

长城证券有限责任公司信息系统管理制度汇编长城证券有限责任公司信息技术中心前言随着计算机技术的迅猛发展，信息系统已成为证券业各项业务顺利运转的关键设施，因此保证信息系统的正常运转和防范技术风险，已成为证券业工作重心之一。为了提高证券行业的整体技术水平，有效地防范和化解技术风险，中国证监会于1998年3月颁布了证券业的第一个技术标准证券经营机构营业部信息系统技术管理规范（试行）（以下简称规范），将证券业的信息系统建设与管理工作纳入了规范发展的轨道。如何使规范落到实处，切实做到技术管理制度化、日常操作规范化，是当前证券业信息系统规范化建设的一项重要内容。为此，公司信息技术中心根据规范要求，结合公司实际情况，以公司计算机应用管理科学化、规范化、高效、安全、实用、集中统一为原则，起草了长城证券有限责任公司信息系统管理的一系列规章制度，并广泛征求了公司有关部门与部分营业部的意见，最终形成这本长城证券有限责任公司信息系统管理制度汇编（以下简称制度汇编）。本制度汇编分为三大部分。一是公司信息系统管理办法（试行），共有18条，主要包括公司信息技术中心的工作职责、证券营业部（以下简称营业部）电脑部的职责、以及有关营业部搬迁、扩租、电子设备购置等事项报批程序与管理办法等。二是公司信息系统管理实施细则（试行），共分12章，主要包括计算机应用项目立项和审批程序、应用软件开发管理、计算机设备购置和使用管理、网络管理、机房管理、计算机设备报废管理、耗材管理、防病毒管理、技术文档管理以及系统安全保密管理等；三是营业部信息系统管理办法（试行），共分章，比较详细地制定了营业部电脑部工作职责、人员管理、岗位设置、安全及风险防范、软硬件设备管理、数据管理、资料管理等各项规章制度。本制度汇编由公司信息技术中心统一组织实施，并负责监督、检查相关规章制度的贯彻执行。本制度汇编的修改、解释权归公司信息技术中心。本制度汇编属公司内部资料，应妥善保管、注意保密。第一部分长城证券有限责任公司信息系统管理办法（试行）第一条为了贯彻公司“以客户为中心，以利润为中心，合规经营、开拓创新”的经营指导方针，适应公司全面提升公司各项业务和管理水平，逐渐形成长城经营特色，争取使各项工作再上一个新台阶的要求，实现公司系统内计算机技术与应用的有效管理，充分发挥计算机技术资源的整体优势，特制定本管理办法。第二条公司计算机应用管理工作坚持科学、规范、安全、高效、实用的原则。第三条公司计算机应用管理实行集中统一管理的原则。集中统一管理是指在公司系统内，以统一规划、统一标准、统一应用、统一实施、统一采购的“五统一”方式，分步实施推广计算机应用技术，并对计算机应用进行日常管理和维护。第四条公司设立信息技术中心，下属各营业部设立电脑部。公司计算机应用由信息技术中心归口管理。第五条公司信息技术中心是全公司计算机信息系统规划、管理和技术协调的主管部门。各营业部电脑部在技术上接受信息技术中心的指导、管理和考核，在业务及行政上接受所在营业部负责人的领导和管理。第六条信息技术中心的主要职能是1、保证公司的信息技术的应用具有前瞻性。2、保障当前投入使用的系统稳定运行。3、结合业务发展与技术更新，及时推出高质量的新技术应用系统。4、建立并保持高素质的、稳定的技术队伍。5、协助公司制定信息技术应用的整体发展策略。6、根据整体的发展策略，制定具体的年度工作规划并组织实施。7、制定或改进与信息系统相关的开发、维护及应用的规章制度。8配合人力资源部，对公司及营业部电脑人员的考核、聘用、任免以及培训。8、协助进行公司内计算机软硬件的选型招标。9、审批营业部计算机软硬件购置的年度预算及相应技术鉴定，审核计算机设备的购置、报损、报废等工作。10、协助公司作不定期的技术审计，对营业部信息系统进行专项检查。11、完成总部的各应用信息系统及交易系统的日常维护工作，包括通讯、网络、系统、应用、安全（防黑客、防病毒、数据备份）等。12、负责具体指导和监营业部电脑部工作，对营业部提供实时技术支持和现场服务。13、为公司电子商务的发展，提供充分的技术支持，维护更新公司的内、外网站，保障网上交易等各类电子商务业务的开展。14、技术资料的管理。15、公司授权的其他管理职能。第七条公司重要职能部门及营业部下属远程网点，设置计算机管理员，负责本部门计算机的日常维护管理以及与上级主管技术部门的联络工作。第八条各营业部设置电脑部，负责本部门信息系统的建设、日常维护管理以及与公司信息技术中心的联络工作。具体职能为1、化安全意识，自觉遵守公司关于营业部信息系统管理的各项规章制度。2、负责本营业部计算机信息系统的建设、管理和维护，确保系统安全运行。3、及时处理证券交易所及有关主管部门播发的涉及信息系统运行的数据、文件和各类通知。4、负责计算机硬件设备的管理和维护，保持系统处于良好的运行状态。5、负责本营业部信息系统的安全运行。开市之前做好系统的运行准备工作，开市期间实时监控系统运行状况、处理突发事件，收市后配合清算员完成日结清算等盘后工作。6、完整、准确地记录计算机信息系统的运行日志。7、严格按故障报告制度及时、准确地处理系统出现的故障。8、负责交易业务数据、系统数据和其他重要数据、资料的备份及其管理。9、根据本营业部的业务发展需求，提交应用系统需求报告、软硬件采购计划，报公司信息技术中心审批。10、在公司信息技术中心的安排下，承担公司信息网络系统建设中涉及本营业部的有关工作。11、负责本营业部计算机信息系统各类文档的收集、整理、分类、归档、备案。12、负责编制营业部计算机设备的统计报表及协助财务部拟定本营业部计算机设备报废、报损计划，报公司信息技术中心审核13、提出本营业部计算机人员技术培训计划。14、负责本营业部其他业务人员计算机应用培训。15、紧密跟踪计算机新技术的发展，为新技术的推广应用做好充分的技术准备。16、完成公司信息技术中心交办及本营业部总经理下达的其他工作任务。17、各营业部电脑部经理人选，须由所在营业部提出推荐意见上报公司，经公司人力资源部会同信息技术中心进行资格审查和考核，并报公司领导批准后聘任。第九条公司各部室、中心及营业部计算机网络、系统的新建或整体改造，必须在年初申报计划，并附完整的整体设计方案和可行性论证报告，由信息技术中心审批。第十条各营业部申请搬迁、扩租营业面积以及涉及公司整体项目建设，应根据经纪业务管理总部及财务资金总部有关上报的要求提出立项申请，在经纪业务管理总部批准后，再向经纪业务管理总部报送可行性分析报告与装修预算方案，向信息技术中心报送计算机设备预算和技术方案，由经纪业务管理总部、信息技术中心分别审核批复后，营业部方能实施。第十一条公司各部室、中心为加强系统安全运转，保证正常运营的电脑设备购置和网络改造等方面的签报，直接报送公司信息技术中心。信息技术中心将依据中国证监会技术监管的规范要求和公司技术发展总体纲要进行审查，在总部计划财务部核定的营业部当年新增固定资产可用规模内进行核准，并按月向财务资金总部提供清单，不再向其他部门申报。第十二条公司设立计算机设备采购小组，具体负责公司计算机设备（包括相关工程项目）的招标、评标与购置事宜。第十三条所有的计算机设备（包括软件）采购均须采取招标方式，遵循严格、规范的招标程序，包括制定标书、发标、接标、评标，最后经采购小组审定后报公司主管领导审批。第十四条公司各部室、中心及营业部购置的计算机设备，凡属于固定资产的，按公司固定资产管理办法进行管理。第十五条各营业部电脑部应每季度向信息技术中心提交书面工作报告，及时反映工作动态与需解决的问题。第十六条公司各部室、中心及营业部如有人员调离，须事先通知公司信息技术中心，以便及时清除网络登录用户并确定是否进行相关审计。第十七条本办法由公司信息技术中心负责解释。第十八条本办法自下发之日起执行。此前颁布的有关规定中与本办法不一致的，以本办法为准。第二部分长城证券有限责任公司信息系统管理实施细则（试行）目录第一章总则3第二章信息系统工程项目申请、立项和审批程序4错误未定义书签。第三章信息系统安全管理制度6错误未定义书签。第四章计算机设备（软件）购置管理30错误未定义书签。第五章软件开发管理制度34错误未定义书签。第六章计算机设备使用管理41错误未定义书签。第七章计算机耗材及备品备件管理43错误未定义书签。第八章计算机机房（实验室）管理44错误未定义书签。第九章总部机房信息系统紧急事故应急处理47错误未定义书签。第十章技术资料管理55第十一章罚则56第十二章附则附表1计算机应用项目立项申请报告1附表2计算机应用项目验收报告6附表3计算机设备需求计划表100附表4计算机设备资金需求计划表11附表5计算机设备验收单错误未定义书签。附表6软件项目需求报告1错误未定义书签。附表7信息技术中心计算机用户登录表14错误未定义书签。附表8计算机设备验收单15错误未定义书签。附表9备份介质密封登记表16附表10备份介质调用申请表17附表11计算机耗材及备品备件领用单18附表12信息技术中心总部数据备份任务一览表19附表13信息技术中心总部数据备份介质内容变更登记表20附表14信息技术中心数据库操作申请表21附表15信息技术中心数据库访问监控报表22第一章总则第一条为加强长城证券有限责任公司（以下简称公司）对计算机应用的集中统一管理，规范全公司系统的计算机应用，保证计算机系统和设备的正常运转，根据公司信息系统管理办法，制订本实施细则。第二条本实施细则主要包括计算机应用项目立项和审批程序、计算机设备购置和使用管理、应用软件开发管理、计算机设备报废管理、耗材管理、网络管理、机房管理、技术文档的管理、系统安全保密管理、网络防病毒管理以及技术培训管理等。第三条本办法适用于公司各部室、中心及所属证券营业部（以下简称营业部）。第二章信息系统工程项目申请、立项和审批程序第一条计算机应用项目包括计算机网络系统新建与改造、硬件设备与系统软件的购置、升级以及应用软件开发与升级等。第二条凡单价超过五千元的计算机应用项目，须填写长城证券有限责任公司计算机应用项目立项申请报告（见附表1），并报公司信息技术中心审批。第三条已立项的计算机应用项目完成后，由公司信息技术中心会同有关业务管理人员组成项目验收小组进行验收，验收结果形成长城证券有限责任公司计算机应用项目验收报告（见附表2）。第四条公司各部室、中心在每年的12月31日前，提出本部门下一年度的计算机应用项目建设、购置及升级计划，填写计算机设备需求计划表（见附表3）、计算机设备资金需求计划表（见附表4）报信息技术中心。第五条信息技术中心根据公司信息系统建设总体规划和各部室、中心及营业部提交的计划，汇总制定公司下一年度计算机应用项目购建计划，报请公司批准后执行。第六条对于计划外的计算机应用项目，除特殊应急项目特批外，其他原则上不予审批。第七条对于投资较大、建设周期较长、涉及面广的计算机应用项目，信息技术中心将邀请业务需求部门、营业部电脑人员及有关专家进行技术论证和评审，原则上采用统一招标，统一推广的方式。第三章信息系统安全管理制度总则第一条为了加强对公司信息系统的安全管理、防范和化解各种技术风险、保护投资者利益、维护公司的合法权益，确保公司各项业务的顺利开展，根据中华人民共和国计算机信息系统安全保护条例、证券经营机构营业部信息系统技术管理规范（试行）及有关规定制定本制度。第二条信息系统安全管理涉及安全管理组织建设、安全策略、系统环境安全、软件安全、设备（实体）安全、网络和通讯系统安全、用户及权限管理、操作安全、病毒防范、系统备份、日志记录、事故处理以及安全审计等内容，公司信息技术工作应在本制度指引下，本着“安全第一”的原则进行。第三条本制度适用于长城证券公司总部、各地区总部及各营业部。组织和职责第四条信息系统安全管理实行公司总裁负责的公司安全管理委员会和营业部总经理负责的营业部安全管理小组两级管理制度。第五条公司安全管理委员会下设安全工作小组作为执行机构，定期对公司范围信息系统的安全性作出评价，必要时提出提高安全性的建议。第六条公司安全管理委员会的职责包括建立健全公司各种安全制度、对安全工作小组的工作进行授权、对公司各类信息的重要性进行评估为其安全级别的制定提供依据、对安全工作小组有关报告的讨论和批复、安全事故处理结果的公布、取得法律支持以解决信息系统入侵者的问题，以及进行安全教育和安全检查。第七条营业部安全管理小组的职责包括监督和检查各项安全管理制度在营业部的落实情况、定期向公司安全管理委员会提交工作报告、处理公司安全管理委员会授权的事务、配合公司安全工作小组的工作、开展计算机安全教育、保证营业部信息系统安全运行。安全策略第八条计算机信息系统的建设和应用，应当遵守法律、行政法规和国家其他有关规定。第九条对计算机信息系统中发生的案件，营业部电脑人员即时向营业部总经理汇报，并于24小时内向总部信息技术中心报告。第十条通过对信息系统环境、软件、硬件、网络和通信、用户和权限、规范化操作、病毒防范、备份和恢复手段以及安全审计等的有效管理，维护公司整个计算机环境的一致性。第十一条建立一个多层次的安全系统，在信息的安全和共享之间建立平衡。第十二条对公司员工进行计算机安全教育，提高员工的安全意识，是公司安全策略的重要组成部分。第十三条营业部安全管理小组必须定期对本营业部的主要计算机信息系统资源配置、技术人员构成进行登记，并报公司安全管理委员会备案。第十四条公司安全管理委员会及营业部安全管理小组应当对公司总部和各营业部重要岗位计算机信息系统的安全情况经常进行检查，并及时整改不安全隐患。第十五条公司安全管理委员会应当建立废弃数据、介质的处理制度。第十六条公司总部和各营业部启用新的应用软件，应当按软件开发管理制度（试行）中有关规定业务系统，并做好日志记录。第十七条公司安全管理委员会应当建立严格的密钥管理制度和在紧急情况下销毁密钥的手段和措施，以防止密钥的失密。安全监督第十八条公司安全管理委员会对公司内部计算机信息系统安全保护工作行使下列监督职权1、监督、检查、指导计算机信息系统安全保护工作；2、查处危害计算机信息系统安全的事件；3、组织或委托有关部门对新建、改建和扩建的系统进行安全验收，负责系统安全技术检测工作；4、组织开展系统安全竞赛和评比；负责通报表彰和处罚；5、履行计算机信息系统安全保护工作的其他监督职责。第十九条公司安全管理委员会发现影响计算机信息系统安全的隐患时，应当及时通知公司各有关部门和各营业部采取安全保护措施。第二十条公司安全管理委员会在紧急情况下，可以就涉及计算机信息系统安全的特定事项发布专项通知。安全管理第一节信息系统环境的安全管理第二十一条信息系统环境的安全管理按照公司计算机房管理制度及信息系统环境标准执行。第二节软件安全管理第二十二条总部信息技术中心依据公司软件开发管理制度对系统软件、应用软件的开发、购买、测试和使用等环节进行管理。第二十三条软件的开发和采购报告必须包括安全设计的说明，其安全设计必须符合软件开发管理制度的有关规定。第二十四条信息技术人员应按照信息技术中心下发的安装配置方法对系统软件进行统一的安装配置。第二十五条信息系统的安全漏洞一经发现应及时报告公司安全管理委员会。第二十六条信息技术中心应与软件开发商和供应商保持联系，及时取得并组织安装经过测试的安全补丁。第二十七条软件使用部门根据业务需要提出增添新的应用软件或对已有应用软件提出新的功能要求，须以部门名义向信息技术中心填写软件需求报告表，信息技术中心在收到软件需求报告表（附表5）后，三天之内给予书面答复。第二十八条新购置的软件需经信息技术中心测试和试运行。试运行完成后，试用人员应填写软件验收报告表（附表6）报信息技术中心领导审核，信息技术中心在收到报告后三天内予以回复。测试稳定后由信息技术中心统一分发安装使用。第二十九条自行开发的应用软件，如源程序中需要嵌入数据库访问的用户设置，应由数据管理员得到源程序、制作安装盘。该安装盘与购置的应用软件安装盘一并由档案管理员保管，由应用系统维护人员调用安装。第三节计算机及相关设备的安全管理第三十条总部信息技术中心配合行政部及财务部依据公司电子与通讯设备固定资产管理制度对计算机及相关设备的选型、采购等过程进行管理。第三十一条重要的服务器、工作站、网络设备、通讯设备应放置在机房，通过计算机房管理制度保证其物理安全性。第三十二条重要的服务器、工作站、网络设备、通讯设备应有备品备件，出现问题及时更换。第三十三条对服务器及其资源的管理1、对资源共享权限和NTFS访问权限进行严格、有效的管理，不授予用户超出需要的权限，权限的设置必须有明确的依据；2、制定方案，对敏感资源的操作、系统登录情况进行定期或不定期检查，及时查看L系统日志文件，对ALERT相关日志提示作出及时响应；3、提供远程访问和对外WEB服务的服务器不存放敏感数据；4、对一些系统程序如TELNET、FTP等的使用应加强控制；停止服务器上不必要的服务；尽量减少所使用的协议。第三十四条对贮有重要数据的故障设备，交外单位人员修理时，公司总部及各营业部必须派专人在场监督。第四节网络和通信系统的安全管理第三十五条计算机通信系统的建设和应用，应当遵守法律、行政法规和国家其他有关规定，并建立一个多层次的安全系统，在信息的安全和共享之间建立平衡。第三十六条采用新的网络安全软件、设备和技术保证公司网络的安全。第三十七条采用数据加密技术保证数据安全传输。总部和营业部间业务数据的传输应加密后采用数据专线进行传输。并采用PPP协议中PAP、CHAP相应的认证。第三十八条总部和营业部间业务数据的传输应加密后采用数据专线进行传输。第三十九条通信设备应具有防干扰、防截取能力。主要的通信设备应做到设备备份。第四十条通信线路接口部分应采取防止非法进入的安全措施。第四十一条进行密码设置，并进行密码的专职保管，防范通信线路接口部分的采取非法进入。第四十二条公司总部及营业部应当对公司总部和各营业部通信系稳定、安全情况进行定期检查，并及时整改不安全隐患。第四十三条对通信系统中发生的案件，营业部电脑人员即时向营业部总经理汇报，并于即时与总部信息技术中心相关人员联系，双方合作尽快解决问题。第四十四条总部信息技术中心设岗位职责，分别负责公司广域网连接方案、网络安全方案的实施，对总部局域网、公司广域网连接、各类移动连接、INTERNET接入设备进行管理，以及其它保证网络连接安全稳定的日常事务性工作。第四十五条营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。营业部柜台交易系统管理员由营业部总经理担任。第四十六条营业部与交易所的卫星通信均应做到伙伴备份或ISDN或DDN的备份。对上海报盘应做到总部备份。对以上备份系统做到定期测试，保证通信无误。第四十七条为了安全期间，营业部与营业部之间应限制相互间的直接操作。第五节数据访问的安全管理第四十八条由于审计、数据库故障调试等原因，需要访问数据库时，应创建临时用户、赋予适当的权限，并交由审计人员、应用系统维护人员使用，并在使用完毕后及时删除该临时用户。在技术允许的条件下，应限制用户的登录工作站。第四十九条对于涉及业务、财务方面的数据库，应利用数据库系统的访问跟踪记录功能，设置对应用系统、调试用户、超级用户访问数据库的命令进行跟踪，记录到监控日志文件中。定期检查监控日志，发现异常及时通报。第五节管理员及其职责第五十条总部信息技术中心设系统管理员岗位，负责公司信息系统的管理，包括服务器的规划、安装和配置，启动/停止系统和服务，对系统运行状态和入侵企图进行监控，安装/删除软件，增加/删除/修改用户和用户组，对用户/用户组的权限进行设置和修改，以及其它保持系统发展和安全运行的工作。管理员应采取的安全措施有1、由于管理员组和备份组成员拥有对SAM数据库的权限，所以必须严格限制管理员组和备份组成员资格，并加强对这些帐户的审计；2、改变ADMINISTRATOR帐户名，为管理员和备份操作员创建专用帐号，为特定的工作建立专用的帐号，要求在执行相应的管理任务时使用相应的帐号，操作结束时及时注销；3、关闭管理员以及特殊权限用户的远程访问能力，特殊情况可以采用预设电话号码的回拨方式；4、管理员组、备份组成员帐户不能用于浏览WEB。第五十一条总部信息技术中心设数据管理员岗位，负责总部数据的安全管理和维护，具体职责见信息系统安全管理制度第十三节“总部数据管理员职责细则”。第五十二条总部信息技术中心设网络管理员岗位，负责公司广域网连接方案、网络安全方案的实施，对总部局域网、公司广域网连接、各类移动连接、INTERNET接入设备进行管理，以及其它保证网络连接安全稳定的日常事务性工作。第五十三条营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。营业部柜台交易系统管理员由营业部总经理担任。第五十四条公司设立财务系统管理员岗位，财务系统管理员一般由财务部经理担任。第六节用户、组及其权限第五十五条系统管理员根据公司业务要求建立具有不同权限的用户组，包括系统管理权限、系统和数据备份权限、帐号管理权限、各种数据库访问权限、不同的文件访问权限、各种应用程序使用权限、网络打印权限、远程访问权限、INTERNET访问权限等。第五十六条总部系统管理员应依据总部行政部的书面通知，完成新增/删除用户、分配权限的工作，并用邮件方式回复。上述通知应包括需要新增/删除的用户的姓名、工作的部门、需要使用何种应用等。第五十七条营业部因人员新增调动、离职等需对邮件等用户作出调整的，由营业部办公室主任通知信息技术中心。第五十八条营业部交易系统管理员新增/删除柜台用户或对用户权限进行分配应有文字记录。对股票、资金等参数进行调整的非正常业务操作必须填写书面说明，而且必须由营业部总经理及财务部经理共同批准后方能执行。第五十六条营业部技术人员在应用系统中的权限应只限于系统管理，而无业务操作权限。第五十九条对用户及权限管理应按以下原则执行1、应对具有系统管理、数据库管理等特殊权限的用户进行限制，包括仅允许在机房和自己的工作地点登录，同一时间仅允许同一用户登录一次允许远程访问时必须设定回拨方式等；2、尽可能对组而不是对用户授权；3、杜绝无口令的登录帐户，删除GUEST帐户；4、对口令长度、复杂程度、有效期、重复使用的间隔等进行规定；5、及时锁定过期帐户、暂停使用的帐户、多次试图使用无效口令登录的帐户，临时授权帐户必须及时取消；6、一般不设公用帐户，以保证用户有独立的帐户；7、对使用时间进行限制；8、超时锁定；9、对无法设置口令的用户及公用帐户应加强登录时间、登录地点、登录数目的限制，对自动执行批处理命令的用户应有防中断措施；10、权限变更或交接应有文字记载。第六十条对使用公司网络访问INTERNET，使用打印机等的用户实行严格管理。第七节操作的规范化管理第六十一条总部和营业部应分别制定操作规程，并定期修改。第六十二条禁止同一人掌管操作系统口令和数据库管理系统口令。第六十三条公司员工应有互不相同的用户名，定期两个月更换操作口令。第六十四条一般用户口令长度不得少于6位，不使用小键盘的人员编制口令应做到字符与数字混排，不得使用电话号码、生日等作为口令；系统管理员口令不得少于10位。第六十五条严禁泄露自己的口令，必须启用系统软件提供的安全审计留痕功能。第六十六条各岗位操作权限要严格按岗位职责设置，管理员不得超越用户职责授权。管理员应定期检查操作员的权限。第六十七条营业部总经理应及时审计交易系统柜员所做的操作，重要岗位的登录过程应增加必要的限制措施。第六十八条柜台交易系统技术参数的调整由电脑部经理负责；交易业务参数的调整由财务部经理在履行审批手续后实施，禁止电脑技术人员调整业务参数。第六十九条营业部电脑技术人员可以协助但不得担任清算员从事结算记帐工作。有关数据需打印存档的必须使用连续的打印纸。第七十条建立和完善技术监管系统，定期进行独立的对帐，核对交易数据、清算数据、保证金数据、证券托管数据以及会计数据的一致性和连续性。第七十一条对数据备份和审计记录建立定期查验制度。第八节病毒防范第七十二条信息技术中心应指定专人负责计算机病毒防范工作。总部及营业部应定期进行病毒检测，发现病毒立即处理并报告。重要部门的计算机应当指定专人专管计算机病毒防范工作。第七十三条总部和营业部必须配备公安部认可的正版防病毒软件并及时更新软件版本。第七十四条经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。第七十五条禁止运行未经信息技术中心审核批准的软件。第七十六条新系统安装前应进行病毒例行检测，避免使用盗版软件。第七十七条严格限制软驱和光驱的使用，软驱和光驱的使用按信息系统环境标准的有关条款执行。第七十八条在使用MODEM与外界通讯或能够访问INTERNET的计算机上应安装病毒实时监控软件。第七十九条因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向信息技术中心领导及电脑安全管理小组报告。第八十条公司总部员工须与信息技术中心签定电脑安全承诺书后，才能领用和使用办公电脑。第九节备份第八十一条按照信息系统环境标准的有关规定对系统进行备份。第八十二条营业部必须对交易数据等进行备份，备份数据存放按公司技术资料管理制度和信息系统安全管理制度执行。第八十三条系统管理员必须提取有关系统的配置参数并在修改参数后及时更新。第八十四条必须保留软硬件说明书、配置软件、配置参数等技术资料，并存放于安全地点，有关事项按技术资料管理制度及信息系统环境标准执行。第八十五条对于加密格式的数据，应尽可能解密后备份，防范密钥由于频繁更换等原因可能丢失所带来的风险。第八十六条数据备份在周期性方面可选择采用以下四种方式1、永久性的完全备份数据备份到存储介质后，将介质密封永久保存；2、周五做完全备份、周一至周四做增量备份；3、定期做覆盖方式的完全备份在同一备份介质上覆盖原有备份数据；4、定期做追加方式的完全备份在同一备份介质上增加最新状态的备份；第八十七条根据第四条中不同周期备份方式的要求，备份可选择以下几种存储介质1、写的刻录光碟（CD、DVD等），适合于永久备份；2、磁带，适合于所有备份策略；3、可擦写的其他存储介质（硬盘、MO等），适合于备份策略；备份介质在备份操作前须经过编号，编号规则见第八十九条。第八十八条对于某个具体的备份对象，原则上应仅选择一种备份方式和备份介质实施备份。同时尽可能选择可移动的备份介质，以利于数据备份的归档管理。除非应用系统有特殊要求，一般情况下不采用硬盘等不可移动的备份介质。第八十九条备份介质编号规则格式为”ZB”四位年份代码数据来源代码四位序列号其中数据来源代码01代表总部数据02代表营业部数据；三位序列号在一个年度中从“0001”开始递增；如ZB2001010001，代表本备份介质是在总部保存的2001年总部数据的第0001号备份第九十条备份的密封处理可移动的备份介质在完成联机备份操作后，如须密封处理则应按如下步骤操作1、备份介质密封登记表（见附件9），注明备份日期、内容、操作人、复核人等相关内容，该登记表一式两份；2、将备份介质及相关的附件装入档案盒，同时放入一份备份介质密封登记表，另外一份登记表贴于档案盒封面；3、将档案盒封口处贴上封条，并盖上保管部门的密封章。（注密封章可以是公司公章、部门公章或备份专用章，应当由除档案管理员之外的人员保管）第九十一条备份的保管根据备份方式的不同，数据备份分如下两种情况进行保管1、对于永久性的完全备份，应保留两份备份。在密封处理后，其中的一份交由信息技术中心档案管理员保管（盖信息技术中心密封章），另外一份交由总部档案室档案管理员保管（盖总部档案室密封章）；2、于定期做覆盖或追加方式的完全备份，应保留一份备份。在脱机后，如保管时间超过七天，则须经密封处理由信息技术中心档案管理员保管；如保管时间不超过七天，则可有备份管理员锁于临时保管箱内交由档案管理员保管；3、对于周五做完全备份、周一至周四做增量备份的方式，如采用磁带柜备份且磁带柜放置于安全的地点，则可将五天备份所用的磁带一并放入磁带柜，实现每日自动装载和备份；否则仍须按情况（2）的方式进行保管。第九十二条备份的检查1、对于永久性的完全备份，在密封保管前须通过数据导出、检查数据完整性的复核；在密封保管后，须每隔一年进行一次数据检查；2、对于除永久性的完全备份以外的备份方式，应在经过了一到两个备份周期后进行恢复测试；在备份正常运转后，须每隔三个月进行一次恢复测试。第九十三条备份介质的调用程序因日常备份操作、检查备份、数据查询等要求，需要调用档案管理员保管的备份介质，应分以下几种情况执行调用程序1、备份由总部档案室保管，则须填写备份介质调用申请表（见附表10），由信息技术中心总经理、公司总裁或分管信息技术中心的副总裁签字后，从档案管理员处领取，在使用完毕后按期交回；2、备份密封后由信息技术中心档案管理员保管，则须填写备份介质调用申请表（见附表10），由信息技术中心总经理签字后，从档案管理员处领取，在使用完毕后按期交回；3、如备份由备份管理员放置于临时保管箱内，则须填写备份介质调用申请表，由档案管理员签字即可领取。第九十四条备份介质的销毁对于永久性的完全备份，在密封保管后，如需要销毁，须填写备份介质调用申请表，经公司总裁或分管信息技术中心的副总裁签字后，将备份介质通过粉碎等方式销毁。第十节日志记录第九十五条信息技术中心及营业部电脑部应对系统配置的更改、网络用户权限的分配和更改及原因作详细记录，对机房管理系统运行情况，系统运行故障现象、时间、处理方式等进行详细记录。营业部交易系统管理员应对增/删除柜员、柜员权限变更情况进行记录；财务部经理应对业务参数调整，更改股票、资金余额等操作进行记录。第九十六条日志记录采用标准格式，并具备相关责任人的签字。参见附录一。第九十九条系统运行日志必须妥善保存，不得缺页，定期存档。第十一节安全事故处理及恢复第一百条安全事故是指由于软硬件故障、系统配置错误、操作失误、黑客入侵、病毒、口令盗用等原因引起系统无法正常运行，数据或文件丢失的事件。第一百零一条安全事故分成A、B、C三类，其中A类指对交易产生直接影响的事故；B类指未影响交易但造成一定经济损失的事故；C类指未影响交易也未造成经济损失，但构成系统安全隐患的事故。第一百零二条总部及各营业部应根据计算机房管理制度及自身情况制定应急处理流程及时更新并定期演习。第一百零三条应急处理流程的制定应涵盖通信、服务、供电、数据、设备等，同时确定演习、通报、事故分析等内容。第一百零四条应急处理流程的制定应体现细致、明了的原则，不得遗漏任何环节，保证逐条实施可以排除故障、恢复系统运行。第一百零五条事故出现后应及时处理并按公司营业部技术事故处理规定的有关规定汇报。凡隐瞒不报的，追究营业部总经理及电脑部经理的责任。第一百零六条事故处理后应及时进行分析并写出分析报告，总部相关部门应在此基础上明确责任归属，并向营业部通报。人员管理第一百零七条系统管理员不能兼任柜台及事后稽核等工作，不得参与相关软件开发。参加过应用系统开发的人员，不得担任相应系统的管理员。第一百零八条公司安全管理委员会及营业部安全管理小组应当加强公司总部和各营业部主要岗位工作人员的录用、考核制度，不适宜的人员必须及时调离。第一百零九条电脑技术人员调离时，必须移交全部技术手册及有关资料，并更换计算机的有关口令和密钥。涉及公司业务核心部分开发的技术人员调离原工作岗位或公司时，应当确认对公司计算机信息系统安全不会造成危害后方可调离。责任第一百一十条违反本条例的规定，有下列行为之一的，由公司安全管理委员会处以警告或通报批评处分1、违反计算机信息系统安全管理中有关条例，危害计算机信息系统安全的；2、不按照规定时间报告计算机信息系统中发生的案件的；3、接到公司安全管理委员会要求改进安全状况的通知后，在限期内拒不改进或未完成目标的；4、违反审批制度增设或更换设备、装置的；5、拒绝、阻碍公司计算机安全管理组织实施安全检查的；6、有危害计算机信息系统安全的其他行为的。第一百一十一条计算机房不符合公司计算机房管理制度及信息系统环境标准有关规定的，或者在计算机机房附近施工危害计算机信息系统安全的，由公司安全管理委员会会同有关部门进行处理。第一百一十二条故意输入计算机病毒以及其他有害数据危害公司计算机信息系统安全的，由公司安全管理委员会处以警告或者罚款处分。第十三节信息技术中心总部数据管理员职责细则职责范围第一百一十三条数据管理员负责对总部应用系统数据实施备份，并实行安全可靠的管理；对营业部上交的应用系统数据备份进行归档和使用实行管理；掌握数据库超级用户权限，安全规范地管理数据库系统的运行。第一百一十四条制定备份策略，对数据文件和数据库进行备份。与档案管理员协作，妥善保管备份介质。第一百一十五条根据业务需求和用户申请创建、删除数据库，修改数据库参数设置。第一百一十六条根据业务需求和用户申请创建数据库系统的登录用户，赋予用户适当的数据库权限，包括数据库所有者权限、数据库对象的增删改权限等；删除用户；保管应用程序中封装的数据库用户的密码。第一百一十七条在数据库需要进行数据和结构方面的调整时，创建临时调试用户并交由应用系统维护人员使用，并在使用完毕后及时删除测试用户。第一百一十八条利用数据库系统的访问跟踪记录功能，设置对应用系统、调试用户、超级用户访问数据库的命令进行跟踪，记录到监控日志文件中；定期检查监控日志，发现异常及时通报。第一百一十九条除上述数据库管理内容之外的方面，如定时任务的管理，定期检查系统日志、监控参数的设置等。数据安全管理的原则第一百二十条数据必须是有据的，能够辨认数据的内容、用途和使用方法；必须经过合法的手续和规定的渠道采集、加工、处理和传播数据；数据应只用于明确规定的目的，未经批准不得它用；采用的数据范围应与规定用途相符。第一百二十一条采用相宜的预防措施，保持数据的完整、准确、及时、可用；数据管理者应承担保存或处理数据的保护职责，防止数据的丢失、误用或破坏；特殊或重要数据，应采用多种记录手段异地保存，免遭意外风险。第一百二十二条数据使用者有权查阅被授权的数据，索取数据记录复制件，更正有关自身的任何不准确数据；享受有限次数规定的有问必答权利。第一百二十三条制订必须的数据存取细则，采取措施防止数据被非法修改，堵塞管理操作的疏忽或蓄谋窃取数据的漏洞。第一百二十四条无正当理由和有关批准手续，不得通报数据内容，不得泄漏数据给内部或外部的无关人员。第一百二十五条不应造成可从发布的统计数据中推断出保密或敏感的信息。第一百二十六条建立适当的监督、管理机制，保证与数据有关的个体和数据管理者的合法权益不被侵犯。数据安全管理的内容第一百二十七条完整性数据内容的完整性指的是保护数据免受未经授权的修改。它包括单个数据完整性和数据序列完整性。它是一系列安全性能的集合，这些性能都与数据能被系统正确提供给目标实体有关。第一百二十八条保密性计算机网络系统中的信息应该根据其重要性、密级、应用需求等分别实施相应的加密措施，保密信息不得以明文形式存储和传送。应根据信息的重要性、密级规定及用途，决定操作人员的存取权限和存取方式。所有的统计信息应根据其重要程度进行密级划分，并制订相应的管理办法，确定允许对外发布和交流的信息指标、报批权限和手续。第一百二十九条可用性可用性保证了信息是正确可用的。在营业部的电脑系统中，要对操作者进行职责授权、使用授权确认。必须对采集信息的合法性、输入信息的有效性、业务与帐务处理的正确性进行全面的确认，保证信息的有效性、合法性和正确性。要采用各种有效的技术手段与岗位责任制、行政手段、法律手段相结合的方法，确保采集、处理、存储、加工、传输及输出的数据正确可用。数据安全管理的具体办法第一百三十条口令及权限限制营业部的电脑部应指定一人为第一责任人，由第一责任人掌管超级用户口令，第一责任人必须定期修改超级用户口令，如一月修改一次，并将口令密封后报公司电脑部备案。第一负责人应本着使各操作员能够圆满地完成本职工作，但与各操作员工作无关的权限不能提供的原则，统一规划各操作员的使用权限，并严格按照规划分配各操作员的工作范围及权限，产生不同的毫无规律的密码，同时要求各操作员必须性地更换密码，并严禁相互泄漏密码。第一百三十一条时间限制对部分用户程序登录和使用时间作出限制，例如限制系统初始化只允许在某一时间内登录等。第一百三十二条网络地址限制利用网络地址对敏感用户程序登录和使用的工作站作出限制，如限制行情接收及转换，交易系统的后台处理及清算等程序只能在某些特定的工作站上登录、运行。第一百三十三条系统的安全性为防止外来非法程序的入侵，除电脑机房内，其他地方上网的工作站必须为无盘站，严禁未经许可的软盘直接上网使用。为防止病毒破坏数据，各营业部电脑网络必须安装正版防病毒网络软件。对于外来软盘或程序，必须先在单独的计算机上先查病毒，保证无毒的条件下才能够上网使用。第一百三十四条数据监控在条件许可的情况下，实施监视对策，对发生的密码输入错误、超权数据存取的情况进行监视，对连续多次无效存取进行强制结束，并进行记录，以便日后查阅分析。对连续多次无效存取进行强制结束。第一百三十五条数据检查每天清算后必须检查数据的正确性，如红利、红股的上帐是否正确，配股的上帐是否正常。一但发觉错误必须及时更正。建议各营业部采用的交易软件具有数据检查工具包。第一百三十六条历史数据的更改历史数据的更改必须有二个以上的人员在场，并且必须记载更改的理由、更改使用的方法及步骤，在场的人员、操作的人员以及详细指明更改的数据内容。所有在场人员必须签名并注明时间。第一百三十七条数据备份交易数据是公司的重要资料，保存完整的交易数据是降低经营风险、维护客户正当权益的可靠保证，可以是财务查帐清楚明了，与股民发生纠纷时有据可查，即使出现问题时也可以分清责任。并且在系统发生故障时，以保证数据、文件的恢复工作，确保在最短的时间内恢复正常工作，必须按严格地制度进行数据备份。第一百三十八条数据保密为防止数据的非法使用、修改、丢失，和由于数据不正当的发布而引起的对营业部不利的局面的产生，营业部做到以下保密措施1、备份的数据、打印出的数据必须指定专人负责保管，由营业部计算机房工作人员按规定的方法同数据保管负责人进行数据的交接。交接后的数据应在指定的数据保管室或指定的场所保管。2、数据保管员必须用文件管理等方法，对数据进行登记管理。3、禁止数据的外借，内部无权查阅和无正式批文的人员不得查阅。对于经正式批文借出的数据必须登记，并由经手人签字，便于发生数据泄漏时分清责任人。4、数据保管员不得修改所保管的任何数据。工作流程第一百三十九条数据备份1、根据数据库备份的具体要求，将备份任务添加到总部数据备份任务一览表（附表12）；2、从档案管理员处领取经编号的备份介质，在需要新建或更改备份介质的内容时，须更新总部数据备份介质内容变更登记表（附表10）；3、执行总部数据备份任务一览表中的各备份任务；4将备份完毕的备份介质交档案管理员保管。在备份介质内容有变更时，须将更新过的总部数据备份介质内容变更登记表（见附表9）发送档案管理员；第一百四十条数据库设备管理1、由应用系统维护员或开发人员提交数据库操作申请表（附表14）；1、据管理员根据申请表的要求，新建数据库时设定数据库的名称、大小、设备文件路径等；删除数据库时检查是否已做最新状态的备份；2、在数据库操作申请表中“处理结果”栏填写处理结果并签字；3、将数据库操作申请表提交档案管理员；第一百四十一条数据库用户管理1、由应用系统维护员或开发人员提交数据库操作申请表；2、数据管理员根据申请表的要求，新建用户时设定用户名称，赋予经批准的数据库权限；删除用户时先删除该用户的数据库权限；3、在应用程序中需要封装数据库用户和密码时，数据管理员接收应用程序的源代码，在数据库用户设置的代码段中填入真实的用户名和密码，并编译制作安装盘；将安装盘和源代码提交档案管理员（注提交的源代码应不含真实的数据库用户设置）；4、在应用程序安装运行中需要输入数据库用户和密码时，由数据库管理员输入；5、在数据库操作申请表中“处理结果”栏填写处理结果并签字，在“备注”栏填写具体更改的数据库权限、安装盘标记、输入用户和密码所在的机器名等；6、将数据库操作申请表提交档案管理员；第一百四十二条数据库调试管理1、由应用系统维护员或开发人员提交数据库操作申请表；2、数据管理员根据申请表的要求，新建调试用户（优先考虑采用与操作系统用户集成的方式），设置权限；是否将调试用户的密码告知调试人员，须根据申请表的要求；3、等待调试人员完成对数据库的调试后，删除调试用户；4、在数据库操作申请表中“处理结果”栏填写处理结果、注明完成调试的日期并签字；5、将数据库操作申请表提交档案管理员；第一百四十三条数据库访问监控1、安装新的数据库系统时，填写数据库访问监控报表（附表15），注明监控设置的具体方式和细节；A期检查监控日志文件，无论是否发现异常，均须填写数据库访问监控报表；（注监控日志文件对数据管理员应设置只读的权限，因为其中记录了数据库超级用户的操作，须由审计人员审计）；B将数据库操作申请表提交档案管理员；第一百四十四条数据库管理的其他方面1、由数据管理员填写数据库操作申请表，在经过批准后执行；2、将数据库操作申请表提交档案管理员；第一百四十五条本职责细则中档案管理员、应用系统维护员、开发人员均属信息技术中心所设岗位的人员。第四章计算机设备（软件）购置管理第一条计算机设备主要是指硬件设备包括主机（微机、服务器、工作站等）及外围设备（显示设备、打印设备、电源设备、机房设备等）、网络通讯设备（交换机、路由器、集线器、调制解调器）及存储设备等；软件是指系统软件、数据库软件、开发工具软件、开发平台软件及业务应用软件等。第二条计算机设备（软件）的购置本着“五统一”原则，即统一规划、统一标准、统一应用、统一实施、统一采购，以发挥整体优势，节约投资，便于管理。4、在公司系统内有广泛需求的计算机设备，由信息技术中心统一品牌、统一价格、统一定购，各单位分别实施。2、对于营业部个别需求的计算机设备，信息技术中心对需求单位上报的购置计划进行审核后，可以授权需求单位按计划自行购置。第三条计算机硬件配置必须同时满足如下几方面要求1、高效性、可靠性、兼容性、可扩展性；2、关键设备由信息技术中心通过招标方式选定机型；3、具有完善的售后服务；4、对于单价20万元以上的设备，要准备几种配置方案，经论证后确定最优方案。第四条采购物品，应采取招标制或类似招标的办法，进行竞价采购，投标公司（或报价公司）应至少在三家以上。由信息技术中心与行政部进行此项工作，将几家公司的报价书等相关资料报主管领导审核并对不同报价进行分析，增加透明度。要坚持做到“公开、公平、公正”原则。经招标方式选定后统一购买，供各部室、中心及营业部使用。第五条计算机设备（软件）购置合同是经济活动中的法律依据。计算机设备（软件）的购置必须遵守经济合同法的条款及有关规定，合同（协议）的签订前须报公司法律办公室审定，签定时必须由两人以上经办并经主管领导批准。合同（协议）要建档备案。第六条计算机设备（软件）的购置合同（协议）应包括以下内容设备名称、型号、配置标准、产地、单位、数量、单价、合计金额、交货时间、地点、验收标准、付款时间、运保费、保修期限、维修服务、技术支持、培训及违约责任等内容。合同中需更详细明确的条款和内容可用协议方式补