XX投资管理有限公司数据信息管理制度

1、数据信息管理制度XX 投资管理有限公司目录第一章 总则 2第二章 机构设置 2第三章 人员管理 4第四章 设备管理 5第五章 软件管理 6第六章 数据管理 11第七章 操作安全管理 13第八章 机房安全管理 14第九章 系统网络管理 16第十章 技术资料管理 17第十一章病毒防范 19第十二章数据信息应急防范 21第十三章数据信息事故处理办法 25第十四章附则 28附表一：故障备案表 29附表二：软件上线审批表 30附表三：技术资料借阅单 31附表四：技术资料复制单 32附表五：权限审批表 33附表六：机房进出登记表 34第一章 总 则第一条数据信息系统在公司的运作和管理中所起到的作用是不可或

2、缺的。 为了规范全公司数据信息系统的建设，满足基金销售业务运作高度自动化的要求，保证数据信息系统开发和管理工作的安全、稳定、高效，特制定本制度。第二条 公司数据信息工作的开展必须遵循证券投资基金法、证券投资基金销售管理办法、证券投资基金销售业务信息管理平台管理规定及证券投资基金销售机构内部控制指导意见等相关法律、法规的规定。第三条 公司开展数据信息工作，公司全体员工及来访参观人员必须严格遵守本制度。第二章 机构设置第四条 公司设立数据信息部，负责全公司数据信息工作的管理维护工作。第五条数据信息部设部门总监、信息安全总监、系统维护人员、系统开发人员四个岗位，部门总监不得兼任信息安全总监。各岗位职

3、责如下：（一） 数据信息部总监1.负责公司计算机系统总体规划设计和组织实施，规划应具有先进性、实用性、可扩充性等；2. 负责新产品、新系统的规划设计和组织实施；3. 负责公司局域网络资源管理、网络系统配置及集成设计方案；4.负责公司内各类服务器资源配置管理，用户权限设置及资源分配审核工作；5.负责数据信息部工作人员岗位及日常工作安排、协调并对工作进行考察监督；6. 负责公司数据信息部各种规章制度的制定及监督实施；7. 公司数据信息设备的选型、购置及报损、报废等审核工作；8. 完成公司领导交办的其他工作。（二） 信息安全总监1. 数据信息系统的日常维护工作；2.负责数据信息系统安全保障方案、应急

4、处置方案以及风险防范方案的规划和制定工作；3. 负责数据信息系统维护工作的安全检查、操作监督，积极消除安全隐患；4.定期组织应急灾备方案的演练和培训工作，提升安全意识，提高业务连续性的保障能力；5. 完成部门领导交办的其他工作。（三） 系统维护人员1. 负责基金销售业务信息平台的参数设置和升级维护工作；2.负责生产系统防火墙设置、网络防病毒等安全性管理，维护生产环境网络,保证公司内外通讯的畅通；3.负责生产环境中各种设备的管理、安全和维护，保证数据信息设备的正常运行；4. 负责公司电脑机房的各种设备管理及环境保持；5. 负责业务生产系统数据信息的发送、接收和转存工作；6.作好公司数据信息系统的

5、技术资料、系统用户密码、客户资料等各种信息的保管、保密工作；7. 根据权限审批表设置、维护和管理员工的业务系统的操作权限；8. 完成部门领导交办的其他工作。（四） 系统开发人员1. 负责软件项目的详细设计、编码和内部测试的组织实施；2.参与需求调研、项目可行性分析、技术可行性分析和需求分析，详细记录用户的需求，结合自身所掌握的编程技术，提出初步解决方案；3. 熟悉并掌握交付软件项目的相关软件技术；4.负责向项目经理、部门领导及时反馈实际工作中遇到的问题及开发中的情况，并根据实际情况提出改进建议；5.参与软件开发和维护过程中重大技术问题的解决，参与软件首次安装调试、数据割接、用户培训和项目推广；

6、6. 负责相关技术文档的拟定；7. 负责对业务领域内的技术发展动态进行分析研究；8. 承担相应的保密职责；9. 完成部门领导交办的其他工作。第三章 人员管理第六条 为了保障公司信息系统的运行质量，要求数据信息人员编制不得少于公司总人数的百分之十。第七条 数据信息人员应具备大专以上学历，具有计算机基础理论知识和专业技术经验、较强的业务工作能力和再学习能力、良好的职业道德和服务意识，富有敬业精神和团体合作精神。第八条 录用数据信息人员时，必须经过严格考核，合格后方可录用；禁止录用有严重违法行为记录的人员从事数据信息工作。第九条 数据信息部将配合人事部门定期对数据信息人员进行考核，不合格者严禁上岗。

7、第十条 数据信息部将定期对数据信息人员进行业务培训和技术培训，不合格或未参加培训者严禁上岗。第十一条 数据信息部每年将对数据信息人员进行岗位轮换，以提高计算机技术人员的综合能力。第十二条数据信息人员离岗前必须严格办理离岗手续，明确离岗后的保密 义务，退还全部技术资料，移交掌管的全部信息系统口令。数据信息人员离岗后，立即删除为该离岗人员设置的用户，取消该离岗人员的所有权限，并立即更换该 离岗人员掌握的信息系统口令。第四章 设备管理第十三条 数据信息部统一管理公司的计算机设备。第十四条计算机设备的选型、购置、登记、保养、维修、报废等必须严格按规定手续办理。第十五条数据信息部对设备进行统一选型，对重

8、要设备进行统一采购，超出十万元以上的采购项目须由公司组织招标。（一）选用的设备必须经过技术论证，符合国家有关标准的规定，满足可靠性与兼容性要求。（二） 对设备进行统一选型时，应结合公司现有设备使用情况及扩充趋势，对多种品牌的计算机设备进行性能、价格、售后服务等方面的横向比较，争取最优的性能价格比及最好的售后服务。（三） 所选设备应该功能适用、价格合理、兼容性好。（四） 对设备进行统一选型后，数据信息部选出满足条件的公司进行招标，最终选定两到三家公司供货，并签订统一供货合同或供货意向合同。（五） 对于重要设备或用量较大的设备，数据信息部会同时与两个或以上设备供货商签订供货合同，以形成竞争机制，获

9、取最优的性价比及供货商的优质服务。（六）设备投入使用一段时间后，数据信息部负责收集设备使用情况的反馈意见，供下一次选型参考。第十六条公司各部门对部门内电脑设备仅具有使用权，如发生故障不得自行拆卸、修理，应及时通知数据信息部查找故障原因后组织修理。第十七条 数据信息部应做好设备的保养及维护工作，要求如下：（一） 保障设备具有良好的工作运行环境1、设备安置：应安置在远离强磁强电、高温高湿以及阳光直射之处；2、机房清洁：对计算机各部件定期清洁，减少尘埃对设备构成的威胁；3、电源保护：为高档设备及实时要求高的设备配置在线正弦波 UPS，电脑设备电源必须接地。（二） 详细的设备资料公司必须建立详细的设备

10、资料文档，包括原始设备文档、设备登记表、软硬件配置表、配置变更表、故障维修记录表等。（三） 不间断电源（UPS）1、UPS 负载必须严格控制在 UPS 最大许可负载内，严禁超载；2、开关顺序为先开 UPS 再开负载，先关负载再关 UPS，负载严禁同时启动；3、避免连接大的非线性负载或电感性、电容性负荷（如打印机，吸尘器等）至 UPS；4、后备 UPS 电源关闭后，至少 5-6 秒钟后才允许重启；10 天以上不使用的 UPS 重新开机时，应先充电 10 小时后再加负载；5、定期进行充放电，延长电池寿命，但放电不宜过度；6、若蓄电池组端电压过低造成工作时间达不到额定满负荷供电时间指标，需将蓄电池联

11、机进行均衡充电。第十八条 各类设备都要有一定的冗余备件，以保障系统的正常运行。（一） 重要设备如服务器、重要工作站、交换机等必须有冗余备机。（二）计算机设备的易耗部件（如电源、键盘、鼠标、内存条、显卡、网卡、光驱等）都要有 1-2 个冗余备件。（三） 至少要有一箱备用网线，10 根做好 RJ45 头的可用网线，其中至少有一根的长度大于 10 米，作应急之用。（四） MODEM、软盘、电源线、电源插线板以及其他信号线、数据线等都应有适当的备件。第十九条 建立健全各项设备管理档案记录，包括设备档案、设备使用记录、设备运行情况记录、设备变动记录等，并定期根据记录进行核查。第二十条 设备的报废按公司有

12、关规定手续办理。第五章 软件管理第二十一条 公司使用的软件主要分系统软件及应用软件两大类。系统软件主要包括操作系统软件和数据库管理软件，应用软件主要包括基金销售系统、客户服务系统等。第二十二条 公司应使用统一的系统软件和应用软件，数据信息部负责对软件系统进行统一选型，对重要软件系统进行统一购买，超出十万元以上的软件项目须由公司组织招标。（一） 系统软件的选用应充分考虑软件的安全性、可靠性、稳定性和健壮性。（二） 系统软件应具备如下功能：1、身份验证功能，防止非法用户随意进入系统；2、访问控制功能，防止系统中出现越权访问；3、故障恢复功能，能够自动或在人工干预下从故障状态恢复到正常状态而不造成系

13、统混乱和数据丢失；4、安全保护功能，对信息的交换、传输及存储提供安全保护；5、安全审计功能，便于应用系统建立访问用户资源的审计记录；6、分权制约功能，支持对操作员和管理员的权限分离与相互制约。（三） 系统软件应达到 C2 级以上（含 C2 级）安全级别。（四） 公司生产系统应具有如下特性：1、自动记录全部操作过程；2、关键数据不得以明码方式存放；3、工作人员无法绕过应用界面直接查看或操作数据库；4、系统管理与业务操作权限严格分开；5、防止异常中断后非法进入系统；6、提供超时键盘锁定功能；7、交易业务数据在通信网络上以加密方式传输；8、应完整保存的系统运行记录与交易清算记录；9、提供系统运行状态

14、监控模块及其它有助于控制业务操作风险的功能特性；10、提供数据接口，以满足稽核、审计及技术监控的要求。第二十三条 软件的使用（一） 使用系统软件必须启用提供的安全审计留痕功能。（二）应用软件正式使用前必须经过内部评审，确认系统功能、测试结果和试运行结果均满足设计要求，技术文档齐全，并由公司领导批准。（三） 严格限制软件的使用范围和使用权限。（四） 软件使用人员应经过适当的操作培训和安全教育。（五） 公司数据信息人员不得擅自进行软件维护和系统参数调整。（六） 应采取有效措施，防止对应用软件的非法修改。第二十四条 软件的安装（一） 系统软件安装前应仔细阅读有关安装、配置文档。（二）系统软件安装时出

15、现问题应先判断是安装软件的问题还是系统自身的问题，再决定如何解决。（三） 应尽可能的与软件供应商、系统维护商共同安装。（四） 系统软件安装前应作好备份工作，以防安装失败无法恢复现场。第二十五条 软件的维护升级（一） 当软件运行发生故障时，应根据技术事故防范处理的有关规定做相应处理，并及时上报部门领导和法律合规中心。（二） 公司技术人员应与软件供应商技术人员共同研究讨论故障发生原因及解决办法。（三） 如果软件故障是由于操作不当或失误造成，则按技术事故防范处理的有关规定处理。（四） 软件的供应商在系统维护时，公司必须安排有关技术人员在场。维护工作完成后，公司技术人员应会同业务部门、供应商维护人员一

16、起对维护结果进行测试，直至满意为止。（五） 故障排除后，应在机房工作日志中记录，如实填写故障备案表（见附表一）并报有关领导。（六） 公司业务和技术人员应密切注意现用软件的版本升级信息，并及时向数据信息部报告最新版本情况。（七） 软件系统由数据信息部进行统一升级。升级前必须认真对现行系统进行完整的备份，升级操作应尽量选择在节假日或周末进行。当系统供应商进行升级操作时，公司技术人员必须在场；重大升级由数据信息部报公司领导做出是否升级的决定。（八） 升级完成后，由公司技术人员与供应商技术人员一起对升级后的软件系统进行全面测评，确认没有任何问题后，方可正式启用升级系统。第二十六条 软件测试（一） 公司

17、购置和开发的程序都必须经过严格测试确认合格后方可在公司内部推广使用。（二） 软件测试工作由数据信息部组织，测试由测试人员通过试用形式进行，对被测程序的功能进行必要的测试，并提交测试报告。测试期间还应对重要技术数据进行现场演示，并听取开发人员必要的补充说明。（三） 软件测试分内部测试和外部测试。内部测试人员由项目开发小组成员组成，内部测试通过后方可进行外部测试。外部测试由数据信息部负责组织，由系统维护人员和业务人员组成，程序开发人员不得作为外部测试人员。（四） 软件测试按考核的技术指标分为：功能测试、性能测试、容量测试、压力测试、验收测试、灾难性及恢复测试。根据程序的重要程度组织相应的测试项目。

18、（五）软件开发单位对已通过测试的程序进行修改时应接受数据信息部的测试，如测试不通过，不得在公司内部使用修改后的程序。（六） 测试人员应根据数据信息部有关技术文档的要求，编制软件测试文档。测试文档包括测试计划、测试用例、测试日志、测试分析报告等书面文档，程序测试结束后，测试人员必须提交测试总结报告。（七） 用于生产系统的升级程序在测试时，须建立回退机制，制定详尽的程序升级失败后的回退方案，并在测试过程中检测程序回退的可行性。回退方案最终定稿时，须由测试负责人签字确认。（八） 数据信息部应与软件开发商和供应商保持联系，及时取得系统安全补丁，经过严格测试后方可组织安装。第二十七条 软件验收（一） 测

19、试合格的软件上线前，必须通过验收小组的验收并完成上线审批，方能投入使用。（二） 数据信息部购置的软件由开发商向数据信息部提交程序验收申请报告，内部开发的软件由业务部门向数据信息部提交验收申请报告：1、 公司由数据信息部、法律合规中心组织成立软件验收小组，验收小组对相关项目的测试及应用情况进行验收；2、 验收的内容包括但不限于软件功能演示、软件测试报告、回退检验报告。当程序涉及范围较广时，应当组织具备一定规模的全网测试，由所涉及到的业务 部门共同进行程序测试。核心业务系统升级时必须与基金管理人、基金注册登记 机构等进行联网测试；3、 验收小组对测试结果进行评审，确认系统功能、测试结果和试运行结果

20、均满足设计要求，验收小组应对验收结果签字确认。第二十八条 软件上线审批（一） 通过验收的软件上线前，应提交验收合格报告、软件上线审批表（见附件二）、上线实施计划，包括上线软件相关技术文档、适用范围及使用权限。（二） 软件上线审批表须经使用部门领导、数据信息部领导、相关业务部门领导、法律合规中心及公司领导书面批准后，由数据信息部系统维护人员执行升级。（三） 软件正式上线后，由验收小组和使用部门对上线后的软件运行情况进行评审，并提交软件上线后的评估报告。（四） 软件的上线安全措施应符合中国证监会和中国证券业协会有关规定。第二十九条系统维护人员提交系统程序补丁或调整系统程序配置时，应向数据信息部提出

21、书面申请，待数据信息部领导批准后方可进行操作。第三十条核心业务系统投入使用、核心系统重大升级等操作应当报中国证监会备案。第三十一条 软件的备份（一）软件系统的备份介质主要有光盘、硬盘、磁带等，备份方式主要有整机备份、光盘备份、硬盘备份、磁带备份及异地备份等。（二） 数据信息部必须对重要的软件系统进行备份，备份方法如下：1、对于大型的软件系统可采用整机备份方式，例如服务器双机热备份，对服务器双机热备份技术的使用要综合考虑以下内容：1.1 热备份的实际运行效果能否保证系统的连续运行，即当主服务器出现故障时，辅服务器能否在前台用户毫无察觉的情况下迅速接管系统；1.2 选用的热备份软件在运行时应尽可能

22、少地占用主机系统资源，如果由于它的使用造成主机系统性能下降，应慎重使用。2、系统软件一般采用一次性读写光盘进行备份。备份光盘应妥善保存并定期进行可用性检查；3、对所有的应用软件进行备份。选用只读光盘以及一台性能较稳定的工作站同时备份所有的应用程序和数据库结构，对升级的软件和变更的数据库结构应采用新老程序和文件全部保留的备份方式，并书面详细地记载和说明。第六章 数据管理第三十二条 本部分所指数据主要指业务数据、系统数据等其它相关数据。系统数据主要包括数据字典、权限设置、存储分配、网络地址、硬件配置及其它系统配置参数。第三十三条 数据的安全管理（一） 业务数据的安全管理1、公司应当对业务数据实施严

23、格的安全保密管理；2、业务数据实行专人管理，操作密码双人管理，其他数据信息人员不得拥有数据库管理员操作口令；3、公司业务系统内应保存完整的业务数据，业务数据每日备份，并定期进行检查；4、业务数据不得随意更改，不得泄露；5、公司应当对业务数据进行核对，防止使用过程中产生误操作或被非法篡改；6、公司应制定网络安全管理方案，对每一个用户设立站点，合理设定用户访问权限和访问时间。严格控制用户对相关文件数据的读写、修改等操作权限，保障数据的安全；7、公司生产网（包括客户服务系统）与办公网应通过有效方式(VLAN 或物理方式)予以隔离；8、严格控制外部数据进入生产网。生产网上的工作站禁用 U 盘和光驱。对

24、必须由外部进入的数据应先进行查杀病毒处理，确认无毒后由数据信息部导入使用。（二） 系统数据的安全管理1、公司应制定系统数据管理制度，对系统数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄漏、丢失与破坏；2、数据信息部应设置专人对系统数据实行管理；3、对系统数据的更改必须经过权限审批后方可进行；4、系统数据不得泄露；5、数据信息部应备份完整的系统数据，并定期进行检查。第三十四条 数据保密（一） 数据不得泄露，禁止外借。（二） 数据应仅用于明确规定的目的，未经批准不得它用。（三）无正当理由和有关批准手续，不得查阅交易资料。经正式批准查阅数据时必须登记，并由查阅人签字。（四） 保密数据

25、不得以明码形式存储和传输。（五）根据数据的保密规定和用途，确定数据使用人员的存取权限、存取方式和审批手续。第三十五条 数据备份（一）对每日清算数据在清算之前必须全部进行备份。清算结束之后，进行清算后备份，备份方式采取本地及异地双重备份方式。（二） 业务数据必须定期、完整、真实、准确地转储到不可更改的介质上，并要求集中和异地保存，保存期限为无限期。（三） 备份的数据应采取只读存储方式。（四） 备份的数据必须指定专人负责保管，备份数据应在指定的场所保管。（五） 数据保管员必须对备份数据进行规范的登记管理。（六） 备份数据不得更改。（七） 备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

26、第三十六条 数据空间管理（一）定期删除项目管理服务器上的一些不必要的数据文件，保证应用程序在项目管理服务器上的运行空间。（二）已转储至光盘上的系统备份数据应定期删除或者压缩保存，以确保服务器上有足够的数据存储空间。（三） 数据文件的删除操作须经权限审批后方能操作。第七章 操作安全管理第三十七条数据库管理系统超级用户口令、操作系统的超级用户口令以及应用软件的最高级管理口令必须由数据信息部两人参与设置，两人分别掌管各自密码，两人同时在场方能使用。上述口令要求 12 位以上，必须包含字母和数字。禁止同一人掌管上述系统的操作口令。第三十八条 如遇特殊情况需要使用数据库管理系统超级用户，必须上报公司总裁

27、核准后，赋予超级用户使用权限，使用后数据信息部应立即更改口令并封存。第三十九条 除内部管理系统用户外，每个网上用户均应设置口令并定期更换，用户口令只能由相关的工作人员掌管。第四十条 数据库管理系统超级用户口令、操作系统超级用户口令和应用软件最高级口令由数据信息部安排专人管理，口令须定期更换，杜绝口令泄露。如有盗用情况发生，应立即查明原因，采取措施弥补并追究相关人员责任。第四十一条 口令管理人员应将各自保管的数据库管理系统超级用户口令、操作系统超级用户口令和应用软件最高级口令按公司要求形成密码封，密码封交综合管理部保管箱保管。第四十二条 密码封的启用须总裁授权，现场应有两名以上数据信息人员，须由

28、数据信息部总监或信息安全总监启用密码封。密码封中的口令使用后，应立即更改口令并封存。第四十三条 数据信息人员必须使用各自的用户进行网络操作及维护，根据工作需要设置用户操作权限。第四十四条 所有网上用户对网络数据的访问权限按最小化原则设置，杜绝超权限设置现象。第四十五条 所有网上用户均应进行登录站点设置，原则上规定一台工作站只能进入一种业务用户。第四十六条 应采取严密的安全措施防止无关用户进入系统。第四十七条操作人员应有互不相同的用户名，定期更换操作口令，口令要求 6 位以上，最好字母与数字混用。严禁操作人员泄露自己的操作口令。第四十八条 必须使用系统软件提供的安全审计留痕功能。第四十九条 各岗

29、位操作权限要严格按岗位职责设置，并定期检查操作员权限。由于工作需要必须对岗位操作权限进行调整时，必须经权限审批后由系统维护人员执行。第五十条 重要岗位的登录过程应增加必要的限制措施。第五十一条公司数据信息人员不得担任清算人员从事结算记帐工作，不得介入业务操作；数据信息开发、系统维护、业务操作等人员必须严格相互分离。第五十二条建立和完善技术监管系统，定期进行独立的对帐工作，核对清算数据、资金数据以及会计数据的一致性和完整性。第五十三条 对数据备份和审计记录建立定期查验制度并详细记录查验结果。第八章 机房安全管理第五十四条严格按照国家标准建造机房。机房建设应符合国标 GB2887- 89（计算机场

30、地技术条件）和 GB9361-88（计算机场地安全要求）。第五十五条 在机房进行内部装修时，装修材料应符合 TJ16 中规定的难燃材料和非燃材料的要求，应能防潮、吸音、不起尘、抗静电等。装修所用的活动地板也应是难燃材料和非燃材料，活动地板应有稳定的抗静电性能和承载能力，同时耐油、耐腐蚀、柔光、不起尘等。具体要求应符合 GB6650计算机机房用活动地板技术条件。异型活动地板提供的各种规格的电线、电缆进出口应做得光滑，防止损伤电线、电缆。（一） 供配电系统1、机房计算机系统的电源设备应提供稳定可靠的电源；2、在突然断电的情况下，UPS 电源能够为机房设备独立提供至少 4 小时的持续供电；3、UPS

31、 系统必须设置有旁路开关，一旦 UPS 发生故障，确保可由供电线路直接为机房设备供电；4、从配电柜到计算机系统的各种设备的电缆应采用耐燃铜芯屏蔽电缆，机房计算机系统供电电源线路应与照明线路、空调设备线路分离且在走线过程中尽量避免平行走线，必要时可考虑交叉走线，尽量以接近于垂直角度交叉。（二） 空调系统1、公司机房应根据具体环境确定采用何种空调设备，空调的室外部分应安装在便于维修的地方；2、空调设备在能量上应有一定的余量；3、对空调设备要求有备份，以保证一套设备出故障时机房设备不会过热。（三） 防雷系统1、计算机机房应保证有独立的防雷接地，接地电阻应小于 10 欧姆，并和机房工作地保持 10 米

32、以上距离；2、与机房相关的各类通信线路和设备（如卫星天线等）应有相应的防雷措施。必要时请专业防雷技术人员或公司帮助建立防雷系统。（四） 接地系统机房应采用独立的工作地，接地电阻应小于 10 欧姆。第五十六条 机房环境（一） 机房内对各种线路引入点应采取密封措施以防鼠患。（二） 机房内应有应急照明器材、消防器材，对应急照明器材应定期检查，对消防器材应由安全员定期更换。第五十七条 设备的维护（一） 对于所有机房设备应采取日、周、季、年维护计划，每周必须对机房设备上的灰尘予以打扫，使用干净软棉布擦拭，严禁使用湿布或其它带水的物品擦机器设备。（二） 每周各部应安排固定的时间对机房进行清扫，包括地板、工

33、作台、各机器设备，以减少灰尘对机器设备工作的影响。（三） 每年休市期间，各部应对机房内设备全面清扫，同时检查机器设备的线路连接、电源、风扇等是否有松动。第五十八条 机房日常管理（一） 机房管理实行值班制度，每人值班一周，顺序轮换，由交易系统管理员参加。（二）机房每日的工作均应有详细的工作日志，对出现的问题、发生的情况及操作处理过程应详细记录，数据信息部经理将定期或不定期进行检查。（三） 交易时间内必须有机房人员值班。（四）通常情况下，只有总裁、法律合规中心和数据信息部工作人员可以进入机房。上述人员必须使用 IC 门禁卡（以下简称“IC 卡”）开启机房门，IC卡根据权限审批的指令授权，持卡人发生

34、工作变动时，数据信息部将及时修改持卡记录或收回 IC 卡，并将变动情况报法律合规中心。（五）IC 卡持有人必须保存好自己使用的 IC 卡，IC 卡只限本人使用，不得借给他人。非值班人员每次进出机房，都应在机房进出登记表（见附表六）上如实记录进出情况，由机房值班人员负责监督。（六） 持卡人进入机房工作要认真履行自己的职责，遵守有关工作规程。不得损坏机房内的网络和设备，不得读取与自己工作无关的数据。非经批准，不得随意变动运行设备上的开关，不得改变机房内的网络布线。（七） 外部人员需要进入机房进行布设和检修网络线路、安装和检修网络设备等工作，必须事先通知数据信息部经理，经审核同意后，由数据信息部值班

35、人员陪同方可进入机房施工。如对系统运行可能造成影响的，数据信息部应事先报公司领导同意，并进行妥善安排。施工完成后，由值班人员进行检查，确保系统的正常运行。（八） 外部人员需要进入机房参观的，必须事先经数据信息部同意，由公司内相关人员陪同方可进入机房，陪同人员必须包括数据信息部工作人员。（九） 严禁易燃易爆和强磁物品以及其它和机房无关的物品进入机房。（十） 严禁在机房内吸烟、喝水、吃食品，禁止在机房内存放食物。（十一）严禁玩电子游戏，任何人不得在机房会客，不得在机房从事与业务无关的事情。（十二）坚持做好清洁工作，做到防火、防潮、防高温、防霉腐、防尘、防鼠、防虫、防乱。第九章 系统网络管理第五十九

36、条公司所有网络设备及服务器必须集中摆放在机房，服务器进出机房由数据信息部负责。第六十条基于业务系统生产安全考虑，工作环境与生产环境需分离，生产系统的前台系统与后台系统需分离。第六十一条摆设在机房的网络交换机及其他网络设备由数据信息部统一管理，任何人不得擅自更改设备的位置、状态、配线及上面的标签。第六十二条 所有网络设备禁止远程登录。管理密码由数据信息部专人控制，必须由数字和字母组成，不得少于 12 位。第六十三条 为保证网络安全性，楼内不用的网络端口暂不开放。业务部门因需要启用未开放端口、关闭在用端口或调整端口所在网段时，应书面向数据信息部提出申请，由数据信息部人员进行相关操作。第六十四条 对

37、于各种因更改设施而引起网络结构或状态发生变化的，数据信息部人员应及时更新相应的系统文档，保持文档与实际情况的一致性。第六十五条 公司网络系统在连接外部网络时，应当设置防火墙。不允许开通直接切入公司计算机系统的接口，防止非法侵入。第六十六条 若运行过程中出现问题，例如服务器效率降低、死机或任务阻塞等情况，业务部门应及时通知数据信息部做应变处理。第十章 技术资料管理第六十七条 技术资料的定义技术资料是指与信息系统有关的技术文件、图表、程序与数据，包括信息系统建设规划、网络设计方案、软件设计方案、安全设计方案、源代码、系统配置参数、技术数据、软件及硬件设备文档等相关资料。具体包括：（一） 涉及国家或

38、公司机密级信息的文档。（二） 计算机信息系统设计方案、软/硬件结构图及有关文字说明。（三） 网络设计方案及有关文字说明。（四） 数据要求、概要设计、详细设计、数据库设计说明书。（五） 有关电子帐务数据组织、数据文件/数据库格式、程序结构。（六） 信息系统的可行性研究报告、项目开发计划、质量保证计划、配置管理计划、需求书、用户手册、操作手册、模块开发卷宗、测试计划、测试分析报告、开发进展月报。（七） 系统使用操作说明书。第六十八条 技术资料的收集（一） 技术资料收集的基本指导思想是：将所有有关信息系统研制、开发、运行、维护中的技术文档资料完整齐全地收集归档，建立内容丰富、结构合理的技术文档体系；

39、将有关计算机信息系统建设的前沿技术资料收集整理，建立起具有实用性、指导性的资料档案库。（二） 技术资料的收集来源：1、各类随机资料；2、信息系统研制、开发、运行、维护中产生的技术文档资料；3、各类研讨会、培训班、新闻发布会的相关资料；4、各家系统集成商、软硬件供应商提供的相关资料；5、其他来源。（三）凡接收进档的资料，收集人员应及时在收集簿上登记，并与保管人员办理清点交接手续，以备查考与统计。（四）所有收集的技术资料应及时归档。归档时，应保持完整性，分类清楚，应做到资料的标题准确，装订整齐，并编制目录。第六十九条 技术资料的整理（一） 对接收及收集来的技术资料要进行清理，按其来源及时效性登记造

40、册，并剔除与信息系统建设无关的资料和已失去保存价值的资料。（二） 对技术资料按其来源分类：分技术文档资料和应用技术资料。技术文档资料为公司曾经或正在使用的各类技术资料，又分随机资料、备案资料、公司信息系统资料等。应用技术资料指有关公司计算机信息系统建设的前沿技术资料；又可分为通信系统、网络系统、应用软件系统、安全管理系统、数据管理系统、网络维护及测试系统等。（三） 对技术资料需分类登记，并建立计算机文档以便查询。需登记的内容包括：资料的名称、主题词、数量、页码、提供时间、提供人、提供方式等。第七十条 技术资料的保管与保护（一） 加强技术资料的保护工作，避免自然、人为因素对资料的影响和破坏，以确

41、保各类技术资料的安全，更好地为信息系统的建设服务。（二） 技术资料应实行统一保管，并指定专人负责。（三）全体工作人员都要提高对技术资料的安全保护意识，十分注意爱护各类资料。（四）网络设计方案、网络布线图、软件设计方案、安全设计方案、源代码、系统说明书、系统权限配置说明书等重要技术资料应有副本并异地存放。（五）技术资料应实施密期管理。只有在软硬件系统终止使用时，相关的技术资料才能进行报废并销毁。（六） 报废及销毁技术资料应由数据信息部经理批准，并登记备案。第七十一条 技术资料的使用与调阅（一）所有归档的技术资料应编制目录，并且按目录分类摆放，以便很快地查找。（二）调阅、复制技术资料应履行必要的手

42、续。调阅须填写技术资料调阅单（见附表三），调阅资料应控制数量并限期归还。对重要资料的复制填写技术资料复制申请单（见附表四），说明复制原因，经部门经理签字批准后方可复制。（三） 在技术资料的调阅和使用中必须做到：1、查阅中对资料要妥加爱护，注意保管，离开工作场所，应将资料入柜闭锁。2、严禁在各类技术资料上随意勾画、标记或造成其它（如唾液、茶汁、墨水等）污染。3、严格执行关于查阅技术资料的有关规定。要加强对技术资料的监控力度，防止各类技术资料被盗、丢失。第十一章 病毒防范第七十二条 对计算机病毒应采取主动预防和被动处理两种对策，以预防为主，辅以及时认真处理。第七十三条 数据信息部应指定人员负责计算

43、机病毒防范工作，负责制定防病毒方案，负责及时获取防病毒软件的更新版本，负责不定期检查公司机器的防病毒状况。第七十四条数据信息部负责试用、审核新的防病毒软件；严禁公司人员使用未经数据信息部审核批准的软件。第七十五条必须采用国家公安部认可的正版防病毒软件，如使用防病毒卡要选用经过有关计算机安全产品管理机关许可的型号。第七十六条 应配备两种以上的防病毒软件。第七十七条 防病毒软件必须具备动态实时监控的功能。第七十八条 安装防病毒软件前，首先要对系统进行病毒检测，确无病毒后方可开始安装。第七十九条 正确使用防病毒软件，特别要注意其适用范围，严禁在服务器上安装单机版防病毒软件。第八十条 网络中的服务器和

44、重要的有盘工作站应由专人专管专用。第八十一条 对网络进行实时检测，发现病毒立即处理并报告，有条件的应将被感染的文件备份，以便事后分析。第八十二条 办公网机器应安装实时防病毒软件。第八十三条 Internet 上病毒种类多、新，防病毒软件并非可以防杀一切病毒，所以上网时要建立可靠的链接，不访问小站点、地下站点，同时不要运行网上来路不明的各种可执行程序。第八十四条 系统中的数据和文件要定期进行备份，放到安全区域。绝不把用户程序或数据写到系统盘去。第八十五条密切注意所辖计算机的配置参数（如引导扇区、应用程序长度 等）、程序执行时间和运行情况，如发现异常，及时判断处理，并做出初步分析。同时与有关供应商

45、联系，提供详细情况，要求其提出具体的处理方法或改进方案。第八十六条 技术人员要全面掌握常见计算机病毒的防护处理知识和必要手段，保持与上级部门的联系，报告本部门计算机病毒的发生、处理情况，了解当前计算机的病毒的发展趋势和有效对策。第八十七条 严禁把外来程序或系统带入机房，更不得拷入机器中。第八十八条 谨慎地使用公用共享软件。第八十九条严禁使用来历不明的软盘、光盘或硬盘，在确实需要使用外来程序或系统时，使用前必须进行查杀病毒处理（不论该程序或系统来自何处）。第九十条 在系统升级或更换系统后要立即进行全面查清毒工作。第九十一条 原则上不得把程序盘借给他人，不得已需要借出时，复制副本借出。归还后，将该

46、副本盘重新格式化。第十二章 数据信息应急防范第九十二条 计算机信息系统对技术、硬件、软件、环境要求较高，任何一个因素都可能导致整个系统崩溃。为保证系统正常、稳定、安全运行，确保在紧急情况下将造成的损失降至最低，特制定本章节制度。第九十三条 紧急事故应急处理制度的制定充分考虑各方面因素，对可能出现的各种情况提出相应的应急措施，保证在紧急事故出现时，系统能够在尽量短的时间内恢复到事故前的正常状态。第九十四条 意外紧急事故根据其性质可分为：硬件意外事故、软件意外事故、技术意外事故和环境意外事故。第九十五条 硬件意外事故包括服务器或主机硬件损坏；通信线路,通信设备故障；网络系统设备故障以及供电系统(含

47、 UPS)故障。第九十六条 软件意外事故包括系统软件故障、应用软件故障、数据库故障以及通信软件故障。第九十七条 技术意外事故包括操作失误、计算机病毒、黑客入侵以及恶意破坏等。第九十八条 环境意外事故包括水灾、火灾、地震、台风、雷击等自然灾害以及其他各种因素造成的意外事故。第九十九条 出现硬件意外事故时应采取的应急措施：（一） 服务器或主机硬件损坏：1、 首先检查故障设备状况，并使其与网络环境脱离（拔掉网线）；2、 重新启动该设备，并进行故障判断，若为简单问题，应及时做好设备更换工作，不能解决的问题，应及时启用备份系统，并通知设备供应商；3、对应用主服务器故障启动备份服务器，数据库服务器故障启动

48、DATAGUARD 备份系统；4、 设备故障恢复后，检查测试设备工作状况及数据的完整性直至正常使用。（二） 通信线路，通信设备故障：1、 立即采用其他手段确认是通信线路还是通信设备故障（如用电话机或者其他工作正常的通信设备）；2、 经确认是通信线路故障的话，立即联系电信局或者通信公司进行处理；3、 如果电信局或者通信公司不能迅速将故障处理好，则应立即将备用通信线路投入运行；4、 经确认如果是通信设备故障的话，应立即将备用设备投入运行，直到通信系统工作正常。（三） 网络系统设备故障：1、 网络系统设备主要是指交换机等，由于这些设备均有工作状态灯，所以比较容易判断其正常与否；交换机可能出现一般的端

49、口问题和严重的主机内部问题；可通过指示灯和内部终端仿真进行检查。交换机一般都进行开机自检，通过对开机时的指示灯可初步作出故障判断。2、 发现有不正常的网络设备，可将其先关闭，稍等片刻再重新开启，如果还是不正常，则可确认该设备损坏；3、 更换并启用备用设备，直至工作正常。（四） 供电系统故障：1、 供电系统故障可分为市电停电和 UPS 故障两种，市电停电可由照明电源有否立即判断，UPS 故障可由 UPS 设备工作状态灯判断；2、 遇市电故障应立即检查 UPS 工作正常与否，如果 UPS 没有自动运行，应立即将其投入运行，并检查计算机房设备是否工作正常；3、 在 UPS 故障而市电正常的情况下，应

50、检查市电是否投入供电系统，如果没有自动投入，应立即手动投入，同时通知 UPS 供货商立即进行抢修；4、 如果市电与 UPS 同时故障或者供电线路造成所有供电中断，则应立即关闭计算机房所有设备开关，同时通知电工进行抢修，待电源恢复正常后，重新开启所有设备。第一百条 出现软件意外事故时应采取的应急措施：（一） 系统软件故障：1、 系统软件故障指设备硬件正常，但机器不能正常进入系统工作；2、 发生系统软件故障后，可立即用系统安装时生成的系统紧急修复盘进行修复，然后重新启动机器；3、 如果用紧急修复盘不能使机器正常，则应立即重新安装系统，然后用备份系统将该机器其他应用系统恢复。（二） 应用软件故障：1

51、、 应用软件故障指机器硬件和系统软件工作正常但上面的应用软件却不能使用或者工作不正常；2、 经确认是应用软件故障后，应立即重新安装应用软件，如果是其他公司开发的应用软件，则应马上通知该公司技术人员重新安装3、 应用软件重新安装后，应重新启动机器，并启用备份系统，直到系统工作正常。（三） 数据库故障：1、 数据库故障指系统和应用软件工作正常，但数据库中的数据不正常，或者没有；2、 出现数据库故障应立即通知数据库维护人员进行处理，直到数据库工作正常。（四） 通信软件故障：1、 通信软件故障指通信设备和通信线路均正常，但通信系统不能正常工作；2、 通信软件故障一般由参数设置或文件被破坏引起的，对设置

52、问题，应重新修正参数设置，如文件被破坏，应重新安装，直到通信系统工作正常。第一百一条 出现技术意外事故时应采取的应急措施：（一） 操作失误：1、 发生操作失误后应立即重新启动机器；2、 如果因操作失误造成硬件损坏，应立即将被损坏的设备用备用设备更换，同时重新安装系统及应用程序，如果该设备有备份数据的话，还应该通过备份系 统将数据还原；3、 如果只是软件损坏，则应立即将损坏的软件重新安装，如果有备份数据，还应该通过备份系统将数据还原。（二） 病毒破坏1、发现计算机病毒时，应立即将可疑的设备与系统隔离（即将网线拔掉）；2、立即用病毒防治软件对该设备进行查杀病毒，如果系统已经完全被破坏，则应将硬盘重

53、新格式化，然后安装系统软件和应用软件，最后通过备份系统将数据还原；3、系统重新安装后，还应该用计算机病毒防治软件对该设备进行一次检查，确认没有病毒后，方可将该设备投入系统运行。（三） 黑客攻击1、 正在正常运行的系统突然出现原因不明的异常情况，且设备、系统均正常，用计算机病毒防治软件也没有发现病毒，则应考虑到可能有黑客入侵；2、 当怀疑系统有黑客入侵时，应首先将有问题的设备与系统隔离（拔掉网线），然后用具有防黑客的计算机病毒防治软件对机器进行检查，发现问题，用病毒防治软件将黑客寄生程序清除；3、 对系统所有可能成为黑客入侵薄弱环节的设备和入口进行检查，发现问题立即进行补救；4、 对防火墙进行彻

54、底检查，堵塞任何可能的漏洞，让黑客无机可趁。（四） 恶意破坏1、 正常运行的系统，在没有任何先兆的情况下突然崩溃，或者突然一些应用程序或数据库失踪，则极其可能是有人恶意破坏；2、 发现有人恶意破坏，应立即向部门领导和有关部门汇报，然后尽快找到被破坏地方，根据被破坏的程度立即想办法恢复，并将现场情况详细记录；3、 恶意破坏后的恢复，可根据被破坏情况，参照硬件意外事故和软件意外事故处理。第一百二条 出现环境意外事故时应采取的应急措施：（一） 自然灾害1、 水灾、火灾、地震、台风、雷击等自然现象造成的灾害，这种灾害造成 的事故是不可抗拒的，也是不可恢复的。但如果平时对网络数据进行了经常备份，同时将备

55、份介质安全妥善保存，也可以在灾难过后迅速重建系统，将自然灾害造成的损失降到最低；2、 发生自然灾害时，应尽快将数据备份介质转移到安全地方妥善保管；3、 灾难过后尽快将系统恢复，然后利用备份系统将系统数据恢复，使系统工作正常。（二） 其他环境因素造成的意外事故除自然灾害外的其他环境意外事故可根据事故造成的破坏程度，采取相应的 补救措施，其原则是尽量降低破坏所造成的损失，尽快恢复系统，使其工作正常。第一百三条要本着预防为主、及时处理，力争把事故损失降低到最小程度的原则防范技术事故。第一百四条严格按照证监会要求建设和改造计算机系统。按照标准化、规范化的要求执行各项技术操作。第一百五条制定应急计划，认真贯彻执行公司各项规章制度，根据计算机系统的实际情况，制定有效、可行的应急计划。第一百六条 应急演练（一） 应急计划要张贴于机房明显处，根据业务发展，及时修正应急计划。（二） 定期（每年至少两次）进行应急演习。（三） 应避免在应急演习过程中造成技术事故。第十三章 数据信息事故处理办法第一百七条 技术事故是指由于硬件故障、软件故障、操作失误、数据异常变更、发生病毒等引起系统无法运行、造成交易中断、导致投资者纠纷等对公司造成经济损失的事件。第一百八条 技术事故的分类（一） 信息系统软硬件出现故障或人为操作错误，导致营业无法正常进行。（二） 信息系统存在技术安全隐患，导