证券公司信息系统管理实施细则

信息系统管理实施细则

第一章总则

第一条为加强AA证券有限责任公司（以下简称公司）对计算

机应用的集中统一管理，规范全公司系统的计算机应

用，保证计算机系统和设备的正常运转，根据公司《信

息系统管理办法》，制订本实施细则。

第二条本实施细则主要包括计算机应用项目立项和审批程序、

计算机设备购置和使用管理、应用软件开发管理、

计算机设备报废管理、耗材管理、网络管理、机房管

理、技术文档的管理、系统安全保密管理、网络防病

毒管理以及技术培训管理等。

第三条本办法适用于公司各部室、中心及所属证券营业部（以

下简称营业部）。

第二章信息系统工程项目申请、立项

和审批程序

第一条计算机应用项目包括计算机网络系统新建与改造、硬件设备

与系统软件的购置、升级以及应用软件开发与升级等。

第二条凡单价超过五千元的计算机应用项目，须填写《AA证券有限

责任公司计算机应用项目立项申请报告》（见附表1）,并报公

司信息技术中心审批。

第三条已立项的计算机应用项目完成后，由公司信息技术中心会同

有关业务管理人员组成项目验收小组进行验收，验收结果形

成《AA证一有限责任公司计算机应用项目验收报告》（见附表

2）o

第四条公司各部室、中心在每年的12月31日前，提出本部门下一

年度的计算机应用项目建设、购置及升级计划，填写《计算

机设备需求计划表》（见附表3）、《计算机设备资金需求计划

表》（见附表4）报信息技术中心。

第五条信息技术中心根据公司信息系统建设总体规划和各部室、中

心及营业部提交的计划，汇总制定公司下一年度计算机应用

项目购建计划，报请公司批准后执行。

第六条对于计划外的计算机应用项目，除特殊应急项目特批外，其

他原则上不予审批。

第七条对于投资较大、建设周期较长、涉及面广的计算机应用项目，

信息技术中心将邀请业务需求部门、营业部电脑人员及有关

专家进行技术论证和评审，原则上采用统一招标，统一推广

的方式。

第三章信息系统安全管理制度

总则

第一条为了加强对公司信息系统的安全管理、防范和化解各种技术

风险、保护投资者利益、维护公司的合法权益，确保公司各

项业务的顺利开展，根据《中华人民共和国计算机信息系统

安全保护条例》、《证券经营机构营业部信息系统技术管理

规范（试行）》及有关规定制定本制度。

第二条信息系统安全管理涉及安全管理组织建设、安全策略、系统

环境安全、软件安全、设备（实体）安全、网络和通讯系统

安全、用户及权限管理、操作安全、病毒防范、系统备份、

日志记录、事故处理以及安全审计等内容，公司信息技术工

作应在本制度指引下，本着“安全第一”的原则进行。

第三条本制度适用于AA证券公司总部、各地区总部及各营业部。

组织和职责

第四条信息系统安全管理实行公司总裁负责的公司安全管理委员会

和营业部总经理负责的营业部安全管理小组两级管理制度。

第五条公司安全管理委员会下设安全工作小组作为执行机构，定期

对公司范围信息系统的安全性作出评价，必要时提出提高安全

性的建议。

第六条公司安全管理委员会的职责包括：建立健全公司各种安全制度、

对安全工作小组的工作进行授权、对公司各类信息的重要性进

行评估为其安全级别的制定提供依据、对安全工作小组有关报

告的讨论和批复、安全事故处理结果的公布、取得法律支持以

解决信息系统入侵者的问题，以及进行安全教育和安全检查。

第七条营业部安全管理小组的职责包括：监督和检查各项安全管理制

度在营业部的落实情况、定期向公司安全管理委员会提交工

作报告、处理公司安全管理委员会授权的事务、配合公司安

全工作小组的工作、开展计算机安全教育、保证营业部信息

系统安全运行。

安全策略

第八条计算机信息系统的建设和应用，应当遵守法律、行政法规和

国家其他有关规定。

第九条对计算机信息系统中发生的案件，营业部电脑人员即时向营

业部总经理汇报，并于24小时内向总部信息技术中心报告。

第十条通过对信息系统环境、软件、硬件、网络和通信、用户和权

限、规范化操作、病毒防范、备份和恢复手段以及安全审计

等的有效管理，维护公司整个计算机环境的一致性。

第十一条建立一个多层次的安全系统，在信息的安全和共享之间建

立平衡。

第十二条对公司员工进行计算机安全教育，提高员工的安全意识，

是公司安全策略的重要组成部分。

第十三条营业部安全管理小组必须定期对本营业部的主要计算机信

息系统资源配置、技术人员构成进行登记，并报公司安全

管理委员会备案。

第十四条公司安全管理委员会及营业部安全管理小组应当对公司总

部和各营业部重要岗位计算机信息系统的安全情况经常进

行检查，并及时整改不安全隐患。

第十五条公司安全管理委员会应当建立废弃数据、介质的处理制度。

第十六条公司总部和各营业部启用新的应用软件，应当按《软件开

发管理制度（试行制中有关规定业务系统,并做好日志记

录。

第十七条公司安全管理委员会应当建立严格的密钥管理制度和在紧

急情况下销毁密钥的手段和措施，以防止密钥的失密。

安全监督

第十八条公司安全管理委员会对公司内部计算机信息系统安全保护

工作行使下列监督职权：

1、监督、检查、指导计算机信息系统安全保护工作；

2、查处危害计算机信息系统安全的事件；

3、组织或委托有关部门对新建、改建和扩建的系统进行安

全验收，负责系统安全技术检测工作；

4、组织开展系统安全竞赛和评比；负责通报表彰和处罚；

5、履行计算机信息系统安全保护工作的其他监督职责。

第十九条公司安全管理委员会发现影响计算机信息系统安全的隐患

时，应当及时通知公司各有关部门和各营业部采取安全保

护措施。

第二十条公司安全管理委员会在紧急情况下，可以就涉及计算机信

息系统安全的特定事项发布专项通知。

安全管理

第一节信息系统环境的安全管理

第二十一条信息系统环境的安全管理按照公司《计算机房管理制度》

及《信息系统环境标准》执行。

第二节软件安全管理

第二十二条总部信息技术中心依据公司《软件开发管理制度》对系

统软件、应用软件的开发、购买、测试和使用等环节进

行管理。

第二十三条软件的开发和采购报告必须包括安全设计的说明，其安

全设计必须符合《软件开发管理制度》的有关规定。

第二十四条信息技术人员应按照信息技术中心下发的安装配置方法

对系统软件进行统一的安装配置。

第二十五条信息系统的安全漏洞一经发现应及时报告公司安全管理

委员会。

第二十六条信息技术中心应与软件开发商和供应商保持联系，及时

取得并组织安装经过测试的安全补丁。

第二十七条软件使用部门根据业务需要提出增添新的应用软件或对

已有应用软件提出新的功能要求，须以部门名义向信息

技术中心填写《软件需求报告表》，信息技术中心在收

到《软件需求报告表》（附表5）后，三天之内给予书面

答复。

第二十八条新购置的软件需经信息技术中心测试和试运行。试运行

完成后，试用人员应填写《软件验收报告表》（附表6）

报信息技术中心领导审核，信息技术中心在收到报告后

三天内予以回复。测试稳定后由信息技术中心统一分发

安装使用。

第二十九条自行开发的应用软件，如源程序中需要嵌入数据库访问

的用户设置，应由数据管理员得到源程序、制作安装盘。

该安装盘与购置的应用软件安装盘一并由档案管理员保

管，由应用系统维护人员调用安装。

第三节计算机及相关设备的安全管理

第三十条总部信息技术中心配合行政部及财务部依据公司《电子与

通讯设备固定资产管理制度》对计算机及相关设备的选

型、采购等过程进行管理。

第三十一条重要的服务器、工作站、网络设备、通讯设备应放置在机

房，通过《计算机房管理制度》保证其物理安全性。

第三十二条重要的服务器、工作站、网络设备、通讯设备应有备品

备件，出现问题及时更换。

第三十三条对服务器及其资源的管理：

1、对资源共享权限和NTFS访问权限进行严格、有效的管理,

不授予用户超出需要的权限，权限的设置必须有明确的依

据；

2、制定方案，对敏感资源的操作、系统登录情况进行定期或

不定期检查，及时查看L系统日志文件，对ALERT相关日

志提示作出及时响应；

3、提供远程访问和对外WEB服务的服务器不存放敏感数据；

4、对一些系统程序（如Telnet、ftp等）的使用应加强控制;

停止服务器上不必要的服务；尽量减少所使用的协议。

第三十四条对贮有重要数据的故障设备，交外单位人员修理时，公

司总部及各营业部必须派专人在场监督。

第四节网络和通信系统的安全管理

第三十五条计算机通信系统的建设和应用，应当遵守法律、行政法

规和国家其他有关规定，并建立一个多层次的安全系统,

在信息的安全和共享之间建立平衡。

第三十六条采用新的网络安全软件、设备和技术保证公司网络的安

全。

第三十七条采用数据加密技术保证数据安全传输。总部和营业部间

业务数据的传输应加密后采用数据专线进行传输。并采

用PPP协议中PAP、CHAP相应的认证。

第三十八条总部和营业部间业务数据的传输应加密后采用数据专线

进行传输。

第三十九条通信设备应具有防干扰、防截取能力。主要的通信设备

应做到设备备份。

第四十条通信线路接口部分应采取防止非法进入的安全措施。

第四十一条进行密码设置，并进行密码的专职保管，防范通信线路接

口部分的采取非法进入。

第四十二条公司总部及营业部应当对公司总部和各营业部通信系稳

定、安全情况进行定期检查，并及时整改不安全隐患。

第四十三条对通信系统中发生的案件，营业部电脑人员即时向营业

部总经理汇报，并于即时与总部信息技术中心相关人员

联系，双方合作尽快解决问题。

第四十四条总部信息技术中心设岗位职责，分别负责公司广域网连

接方案、网络安全方案的实施，对总部局域网、公司广

域网连接、各类移动连接、Internet接入设备进行管理，

以及其它保证网络连接安全稳定的日常事务性工作。

第四十五条营业部的局域网管理、营业部与交易所、登记公司、公

司总部的通讯连接由营业部电脑部负责。营业部柜台交

易系统管理员由营业部总经理担任。

第四十六条营业部与交易所的卫星通信均应做到伙伴备份或isdn

或ddn的备份。对上海报盘应做到总部备份。对以上备

份系统做到定期测试，保证通信无误。

第四十七条为了安全期间，营业部与营业部之间应限制相互间的直

接操作。

第五节数据访问的安全管理

第四十八条由于审计、数据库故障调试等原因，需要访问数据库时,

应创建临时用户、赋予适当的权限，并交由审计人员、

应用系统维护人员使用，并在使用完毕后及时删除该临

时用户。在技术允许的条件下，应限制用户的登录工作

站。

第四十九条对于涉及业务、财务方面的数据库，应利用数据库系统

的访问跟踪记录功能，设置对应用系统、调试用户、超

级用户访问数据库的命令进行跟踪，记录到监控日志文

件中。定期检查监控日志，发现异常及时通报。

第五节管理员及其职责

第五十条总部信息技术中心设系统管理员岗位，负责公司信息系

统的管理，包括服务器的规划、安装和配置，启动/停止

系统和服务，对系统运行状态和入侵企图进行监控，安

装/删除软件，增加/删除/修改用户和用户组，对用户/

用户组的权限进行设置和修改，以及其它保持系统发展

和安全运行的工作。

管理员应采取的安全措施有：

1、由于管理员组和备份组成员拥有对SAM数据库的权限，

所以必须严格限制管理员组和备份组成员资格，并加强

对这些帐户的审计；

2、改变Administrator帐户名，为管理员和备份操作员创

建专用帐号，为特定的工作建立专用的帐号，要求在执

行相应的管理任务时使用相应的帐号，操作结束时及时

注销；

3、关闭管理员以及特殊权限用户的远程访问能力，特殊情

况可以采用预设电话号码的回拨方式；

4、管理员组、备份组成员帐户不能用于浏览WEB。

第五十一条总部信息技术中心设数据管理员岗位，负责总部数据的

安全管理和维护，具体职责见《信息系统安全管理制度》

第十三节“总部数据管理员职责细则”。

第五十二条总部信息技术中心设网络管理员岗位，负责公司广域网

连接方案、网络安全方案的实施，对总部局域网、公司

广域网连接、各类移动连接、Internet接入设备进行管

理，以及其它保证网络连接安全稳定的日常事务性工作。

第五十三条营业部的局域网管理、营业部与交易所、登记公司、公

司总部的通讯连接由营业部电脑部负责。营业部柜台交

易系统管理员由营业部总经理担任。

第五十四条公司设立财务系统管理员岗位，财务系统管理员一般由

财务部经理担任。

第六节用户、组及其权限

第五十五条系统管理员根据公司业务要求建立具有不同权限的用户

组，包括系统管理权限、系统和数据备份权限、帐号管

理权限、各种数据库访问权限、不同的文件访问权限、

各种应用程序使用权限、网络打印权限、远程访问权限、

Internet访问权限等。

第五十六条总部系统管理员应依据总部行政部的书面通知，完成新

增/删除用户、分配权限的工作，并用邮件方式回复。上

述通知应包括需要新增/删除的用户的姓名、工作的部门、

需要使用何种应用等。

第五十七条营业部因人员新增调动、离职等需对邮件等用户作出调

整的，由营业部办公室主任通知信息技术中心。

第五十八条营业部交易系统管理员新增/删除柜台用户或对用户权

限进行分配应有文字记录。对股票、资金等参数进行调

整的非正常业务操作必须填写书面说明，而且必须由营

业部总经理及财务部经理共同批准后方能执行。

第五十六条营业部技术人员在应用系统中的权限应只限于系统管理,

而无业务操作权限。

第五十九条对用户及权限管理应按以下原则执行：

1、应对具有系统管理、数据库管理等特殊权限的用户进行

限制，包括仅允许在机房和自己的工作地点登录，同一

时间仅允许同一用户登录一次允许远程访问时必须设定

回拨方式等；

2、尽可能对组而不是对用户授权；

3、杜绝无口令的登录帐户，删除GUEST帐户；

4、对口令长度、复杂程度、有效期、重复使用的间隔等进

行规定；

5、及时锁定过期帐户、暂停使用的帐户、多次试图使用无

效口令登录的帐户，临时授权帐户必须及时取消；

6、一般不设公用帐户，以保证用户有独立的帐户；

7、对使用时间进行限制；

8、超时锁定；

9、对无法设置口令的用户及公用帐户应加强登录时间、登

录地点、登录数目的限制，对自动执行批处理命令的用

户应有防中断措施；

10、权限变更或交接应有文字记载。

第六十条对使用公司网络访问Internet,使用打印机等的用户实

行严格管理。

第七节操作的规范化管理

第六十一条总部和营业部应分别制定操作规程，并定期修改。

第六十二条禁止同一人掌管操作系统口令和数据库管理系统口令。

第六十三条公司员工应有互不相同的用户名，定期两个月更换操作

口令。

第六十四条一般用户口令长度不得少于6位，不使用小键盘的人员编

制口令应做到字符与数字混排，不得使用电话号码、生

日等作为口令；系统管理员口令不得少于10位。

第六十五条严禁泄露自己的口令，必须启用系统软件提供的安全审

计留痕功能。

第六十六条各岗位操作权限要严格按岗位职责设置，管理员不得超

越用户职责授权。管理员应定期检查操作员的权限。

第六十七条营业部总经理应及时审计交易系统柜员所做的操作，重

要岗位的登录过程应增加必要的限制措施。

第六十八条柜台交易系统技术参数的调整由电脑部经理负责；交易

业务参数的调整由财务部经理在履行审批手续后实施，

禁止电脑技术人员调整业务参数。

第六十九条营业部电脑技术人员可以协助但不得担任清算员从事结

算记帐工作。有关数据需打印存档的必须使用连续的打

印纸。

第七十条建立和完善技术监管系统，定期进行独立的对帐，核对

交易数据、清算数据、保证金数据、证券托管数据以及

会计数据的一致性和连续性。

第七十一条对数据备份和审计记录建立定期查验制度。

第八节病毒防范

第七十二条信息技术中心应指定专人负责计算机病毒防范工作。总

部及营业部应定期进行病毒检测，发现病毒立即处理并

报告。重要部门的计算机应当指定专人专管计算机病毒

防范工作。

第七十三条总部和营业部必须配备公安部认可的正版防病毒软件并

及时更新软件版本。

第七十四条经远程通信传送的程序或数据，必须经过检测确认无病

毒后方可使用。

第七十五条禁止运行未经信息技术中心审核批准的软件。

第七十六条新系统安装前应进行病毒例行检测，避免使用盗版软件。

第七十七条严格限制软驱和光驱的使用，软驱和光驱的使用按《信

息系统环境标准》的有关条款执行。

第七十八条在使用modem与外界通讯或能够访问Internet的计算机

上应安装病毒实时监控软件。

第七十九条因计算机病毒引起的计算机信息系统瘫痪、程序和数据

严重破坏等重大事故及时向信息技术中心领导及电脑安

全管理小组报告。

第八十条公司总部员工须与信息技术中心签定《电脑安全承诺书》

后，才能领用和使用办公电脑。

第九节备份

第八十一条按照《信息系统环境标准》的有关规定对系统进行备份。

第八十二条营业部必须对交易数据等进行备份，备份数据存放按公

司《技术资料管理制度》和《信息系统安全管理制度》执

行。

第八十三条系统管理员必须提取有关系统的配置参数并在修改参数

后及时更新。

第八十四条必须保留软硬件说明书、配置软件、配置参数等技术资

料，并存放于安全地点，有关事项按《技术资料管理制度》

及《信息系统环境标准》执行。

第八十五条对于加密格式的数据，应尽可能解密后备份，防范密钥

由于频繁更换等原因可能丢失所带来的风险。

第八十六条数据备份在周期性方面可选择采用以下四种方式：

1、永久性的完全备份：数据备份到存储介质后，将介质密

封永久保存；

2、周五做完全备份、周一至周四做增量备份；

3、定期做覆盖方式的完全备份：在同一备份介质上覆盖原

有备份数据；

4、定期做追加方式的完全备份：在同一备份介质上增加最

新状态的备份；

第八十七条根据第四条中不同周期备份方式的要求，备份可选择以

下几种存储介质：

1、写的刻录光碟（CD,DVD等），适合于永久备份；

2、磁带，适合于所有备份策略；

3、可擦写的其他存储介质（硬盘、M0等），适合于备份策

略；

备份介质在备份操作前须经过编号，编号规则见第八十九条。

第八十八条对于某个具体的备份对象，原则上应仅选择一种备份方

式和备份介质实施备份。同时尽可能选择可移动的备

份介质，以利于数据备份的归档管理。除非应用系统

有特殊要求，一般情况下不采用硬盘等不可移动的备

份介质。

第八十九条备份介质编号规则

格式为：“ZB”+四位年份代码+数据来源代码+四位序列号

其中数据来源代码01代表总部数据02代表营业部数据;

三位序列号在一个年度中从“0001”开始递增；

第九十条备份的密封处理

可移动的备份介质在完成联机备份操作后，如须密封处理

则应按如下步骤操作：

1、《备份介质密封登记表》（见附件9）,注明备份日期、

内容、操作人、复核人等相关内容，该登记表一式两份；

2、将备份介质及相关的附件装入档案盒，同时放入一份

《备份介质密封登记表》，另外一份登记表贴于档案盒

封面；

3、将档案盒封口处贴上封条，并盖上保管部门的密封章。

（注：密封章可以是公司公章、部门公章或备份专用章,

应当由除档案管理员之外的人员保管）

第九十一条备份的保管

根据备份方式的不同，数据备份分如下两种情况进行保管:

1、对于永久性的完全备份，应保留两份备份。在密封处理后，

其中的一份交由信息技术中心档案管理员保管（盖信息技

术中心密封章），另外一份交由总部档案室档案管理员保

管（盖总部档案室密封章）；

2、于定期做覆盖或追加方式的完全备份，应保留一份备份。

在脱机后，如保管时间超过七天，则须经密封处理由信息

技术中心档案管理员保管；如保管时间不超过七天，则可

有备份管理员锁于临时保管箱内交由档案管理员保管；

3、对于周五做完全备份、周一至周四做增量备份的方式，如

采用磁带柜备份且磁带柜放置于安全的地点，则可将五天

备份所用的磁带一并放入磁带柜，实现每日自动装载和备

份；否则仍须按情况（2）的方式进行保管。

第九十二条备份的检查

1、对于永久性的完全备份，在密封保管前须通过数据导出、

检查数据完整性的复核；在密封保管后，须每隔一年进

行一次数据检查；

2、对于除永久性的完全备份以外的备份方式，应在经过了

一到两个备份周期后进行恢复测试；在备份正常运转后,

须每隔三个月进行一次恢复测试。

第九十三条备份介质的调用程序

因日常备份操作、检查备份、数据查询等要求，需要调

用档案管理员保管的备份介质，应分以下几种情况执行

调用程序：

1、备份由总部档案室保管，则须填写《备份介质调用申请

表》（见附表10）,由信息技术中心总经理、公司总裁或

分管信息技术中心的副总裁签字后，从档案管理员处领

取，在使用完毕后按期交回；

2、备份密封后由信息技术中心档案管理员保管，则须填写

《备份介质调用申请表》（见附表10）,由信息技术中心

总经理签字后，从档案管理员处领取，在使用完毕后按

期交回；

3、如备份’由备份管理员放置于临时保管箱内，则须填写

《备份介质调用申请表》，由档案管理员签字即可领取。

第九十四条备份介质的销毁

对于永久性的完全备份，在密封保管后，如需要销毁，

须填写《备份介质调用申请表》，经公司总裁或分管信息

技术中心的副总裁签字后，将备份介质通过粉碎等方式

销毁。

第十节日志记录

第九十五条信息技术中心及营业部电脑部应对系统配置的更改、网

络用户权限的分配和更改及原因作详细记录，对机房管

理系统运行情况，系统运行故障现象、时间、处理方式

等进行详细记录。营业部交易系统管理员应对增/删除柜

员、柜员权限变更情况进行记录；财务部经理应对业务

参数调整，更改股票、资金余额等操作进行记录。

第九十六条日志记录采用标准格式，并具备相关责任人的签字。参

见附录一。

第九十九条系统运行日志必须妥善保存，不得缺页，定期存档。

第十一节安全事故处理及恢复

第一百条安全事故是指由于软硬件故障、系统配置错误、操作失

误、黑客入侵、病毒、口令盗用等原因引起系统无法

正常运行，数据或文件丢失的事件。

第一百零一条安全事故分成A、B、C三类，其中A类指对交易产生直

接影响的事故；B类指未影响交易但造成一定经济损失

的事故；C类指未影响交易也未造成经济损失，但构成

系统安全隐患的事故。

第一百零二条总部及各营业部应根据《计算机房管理制度》及自身

情况制定《应急处理流程》及时更新并定期演习。

第一百零三条《应急处理流程》的制定应涵盖通信、服务、供电、

数据、设备等，同时确定演习、通报、事故分析等内

容。

第一百零四条《应急处理流程》的制定应体现细致、明了的原则，

不得遗漏任何环节，保证逐条实施可以排除故障、恢

复系统运行。

第一百零五条事故出现后应及时处理并按公司《营业部技术事故

处理规定》的有关规定汇报。凡隐瞒不报的，追究营

业部总经理及电脑部经理的责任。

第一百零六条事故处理后应及时进行分析并写出分析报告，总部相

关部门应在此基础上明确责任归属，并向营业部通报。

人员管理

第一百零七条系统管理员不能兼任柜台及事后稽核等工作，不得参

与相关软件开发。参加过应用系统开发的人员，不得

担任相应系统的管理员。

第一百零八条公司安全管理委员会及营业部安全管理小组应当加强

公司总部和各营业部主要岗位工作人员的录用、考核

制度，不适宜的人员必须及时调离。

第一百零九条电脑技术人员调离时，必须移交全部技术手册及有关资

料，并更换计算机的有关口令和密钥。涉及公司业务

核心部分开发的技术人员调离原工作岗位或公司时，

应当确认对公司计算机信息系统安全不会造成危害后

方可调离。

责任

第一百一十条违反本条例的规定，有下列行为之一的，由公司安全

管理委员会处以警告或通报批评处分：

1、违反计算机信息系统安全管理中有关条例，危害计算机

信息系统安全的；

2、不按照规定时间报告计算机信息系统中发生的案件的；

3、接到公司安全管理委员会要求改进安全状况的通知后，

在限期内拒不改进或未完成目标的；

4、违反审批制度增设或更换设备、装置的；

5、拒绝、阻碍公司计算机安全管理组织实施安全检查的；

6、有危害计算机信息系统安全的其他行为的。

第一百一十一条计算机房不符合公司《计算机房管理制度》及《信

息系统环境标准》有关规定的，或者在计算机机房附近

施工危害计算机信息系统安全的，由公司安全管理委员

会会同有关部门进行处理。

第一百一十二条故意输入计算机病毒以及其他有害数据危害公司计

算机信息系统安全的，由公司安全管理委员会处以警告

或者罚款处分。

第十三节信息技术中心总部数据管理员职责细则

职责范围

第一百一十三条数据管理员负责对总部应用系统数据实施备份，并实

行安全可靠的管理；对营业部上交的应用系统数据备

份进行归档和使用实行管理；掌握数据库超级用户权

限，安全规范地管理数据库系统的运行。

第一百一十四条制定备份策略，对数据文件和数据库进行备份。与档

案管理员协作，妥善保管备份介质。

第一百一十五条根据业务需求和用户申请创建、删除数据库，修改数

据库参数设置。

第一百一十六条根据业务需求和用户申请创建数据库系统的登录用

户，赋予用户适当的数据库权限，包括数据库所有者

权限、数据库对象的增删改权限等；删除用户；保管

应用程序中封装的数据库用户的密码。

第一百一十七条在数据库需要进行数据和结构方面的调整时，创建

临时调试用户并交由应用系统维护人员使用，并在使

用完毕后及时删除测试用户。

第一百一十八条利用数据库系统的访问跟踪记录功能，设置对应用系

统、调试用户、超级用户访问数据库的命令进行跟踪,

记录到监控日志文件中；定期检查监控日志，发现异

常及时通报。

第一百一十九条除上述数据库管理内容之外的方面，如定时任务的管

理，定期检查系统日志、监控参数的设置等。

数据安全管理的原则

第一百二十条数据必须是有据的，能够辨认数据的内容、用途和使

用方法；必须经过合法的手续和规定的渠道采集、

加工、处理和传播数据；数据应只用于明确规定的

目的，未经批准不得它用；采用的数据范围应与规

定用途相符。

第一百二十一条采用相宜的预防措施，保持数据的完整、准确、及

时、可用；数据管理者应承担保存或处理数据的保

护职责，防止数据的丢失、误用或破坏；特殊或重

要数据，应采用多种记录手段异地保存，免遭

意外风险。

第一百二十二条数据使用者有权查阅被授权的数据，索取数据记录

复制件，更正有关自身的任何不准确数据；享受有

限次数规定的有问必答权利。

第一百二十三条制订必须的数据存取细则，采取措施防止数据被非

法修改，堵塞管理操作的疏忽或蓄谋窃取数据的漏

洞。

第一百二十四条无正当理由和有关批准手续，不得通报数据内容，

不得泄漏数据给内部或外部的无关人员。

第一百二十五条不应造成可从发布的统计数据中推断出保密或敏感

的信"息。

第一百二十六条建爰.当的监督、管理机制，保证与数据有关的个

体和数据管理者的合法权益不被侵犯。

数据安全管理的内容

第一百二十七条完整性：数据内容的完整性指的是保护数据免受

未经授权的修改。它包括单个数据完整性和数据序

列完整性。它是一系列安全性能的集合，这些性能

都与数据能被系统正确提供给目标实体有关。

第一百二十八条保密性：计算机网络系统中的信息应该根据其重要

性、密级、应用需求等分别实施相应的加密措施，

保密信息不得以明文形式存储和传送。应根据信息

的重要性、密级规定及用途，决定操作人员的存取

权限和存取方式。所有的统计信息应根据其重要程

度进行密级划分，并制订相应的管理办法，确定允

许对外发布和交流的信息指标、报批权限和手续。

第一百二十九条可用性：可用性保证了信息是正确可用的。在营业

部的电脑系统中，要对操作者进行职责授权、使用

授权确认。必须对采集信息的合法性、输入信息的

有效性、业务与帐务处理的正确性进行全面的确认,

保证信息的有效性、合法性和正确性。要采用各种

有效的技术手段与岗位责任制、行政手段、法律手

段相结合的方法，确保采集、处理、存储、加工、

传输及输出的数据正确可用。

数据安全管理的具体办法

第一百三十条口令及权限限制：营业部的电脑部应指定一人为第一

责任人，由第一责任人掌管超级用户口令，第一责

任人必须定期修改超级用户口令，如一月修改一次,

并将口令密封后报公司电脑部备案。第一负责人应

本着：使各操作员能够圆满地完成本职工作，但与

各操作员工作无关的权限不能提供的原则，统一规

划各操作员的使用权限，并严格按照规划分配各操

作员的工作范围及权限，产生不同的毫无规律的密

码，同时要求各操作员必须性地更换密码，并严禁

相互泄漏密码。

第一百三十一条时间限制：对部分用户程序登录和使用时间作出限

制，例如限制系统初始化只允许在某一时间内登录

等。

第一百三十二条网络地址限制：利用网络地址对敏感用户程序登录

和使用的工作站作出限制，如限制行情接收及转换,

交易系统的后台处理及清算等程序只能在某些特定

的工作站上登录、运行。

第一百三十三条系统的安全性：为防止外来非法程序的入侵，除电

脑机房内，其他地方上网的工作站必须为无盘站，

严禁未经许可的软盘直接上网使用。为防止病毒破

坏数据，各营业部电脑网络必须安装正版防病毒网

络软件。对于外来软盘或程序，必须先在单独的计

算机上先查病毒，保证无毒的条件下才能够上网使

用。

第一百三十四条数据监控：在条件许可的情况下，实施监视对策，

对发生的密码输入错误、超权数据存取的情况进行

监视，对连续多次无效存取进行强制结束，并进行

记录，以便日后查阅分析。对连续多次无效存取进

行强制结束。

第一百三十五条数据检查：每天清算后必须检查数据的正确性，如

红利、红股的上帐是否正确，配股的上帐是否正常。

一但发觉错误必须及时更正。建议各营业部采用的

交易软件具有数据检查工具包。

第一百三十六条历史数据的更改：历史数据的更改必须有二个以上

的人员在场，并且必须记载更改的理由、更改使用

的方法及步骤，在场的人员、操作的人员以及详细

指明更改的数据内容。所有在场人员必须签名并注

明时间。

第一百三十七条数据备份：交易数据是公司的重要资料，保存完

整的交易数据是降低经营风险、维护客户正当权益

的可靠保证，可以是财务查帐清楚明了，与股民发

生纠纷时有据可查，即使出现问题时也可以分清责

任。并且在系统发生故障时，以保证数据、文件的

恢复工作，确保在最短的时间内恢复正常工作，必

须按严格地制度进行数据备份。

第一百三十八条数据保密：为防止数据的非法使用、修改、丢失，和

由于数据不正当的发布而引起的对营业部不利的局

面的产生，营业部做到以下保密措施：

1、备份的数据、打印出的数据必须指定专人负责保管，由

营业部计算机房工作人员按规定的方法同数据保管负

责人进行数据的交接。交接后的数据应在指定的数据保

管室或指定的场所保管。

2、数据保管员必须用文件管理等方法，对数据进行登记管

理。

3、禁止数据的外借，内部无权查阅和无正式批文的人员不

得查阅。对于经正式批文借出的数据必须登记，并由经

手人签字，便于发生数据泄漏时分清责任人。

4、数据保管员不得修改所保管的任何数据。

工作流程

第一百三十九条数据备份

1、根据数据库备份的具体要求，将备份任务添加到《总部

数据备份任务一览表》（附表12）；

2、从档案管理员处领取经编号的备份介质，在需要新建或更

改备份介质的内容时，须更新《总部数据备份介质内容变

更登记表》（附表10）;

3、执行《总部数据备份任务一览表》中的各备份任务；

4.将备份完毕的备份介质交档案管理员保管。在备份介质

内容有变更时，须将更新过的《总部数据备份介质内容

变更登记表》（见附表9）发送档案管理员；

第一百四十条数据库设备管理

1、由应用系统维护员或开发人员提交《数据库操作申请表》

（附表14）；

1、据管理员根据《申请表》的要求，新建数据库时设定数据

库的名称、大小、设备文件路径等；删除数据库时检查是

否已做最新状态的备份；

2、在《数据库操作申请表》中“处理结果”栏填写处理结

果并签字；

3、将《数据库操作申请表》提交档案管理员；

第一百四十一条数据库用户管理

1、由应用系统维护员或开发人员提交《数据库操作申请表》;

2、数据管理员根据《申请表》的要求，新建用户时设定用户

名称，赋予经批准的数据库权限；删除用户时先删除该用

户的数据库权限；

3、在应用程序中需要封装数据库用户和密码时，数据管理员

接收应用程序的源代码，在数据库用户设置的代码段中填

入真实的用户名和密码，并编译制作安装盘；将安装盘和

源代码提交档案管理员（注：提交的源代码应不含真实的

数据库用户设置）；

4、在应用程序安装运行中需要输入数据库用户和密码时，由

数据库管理员输入；

5、在《数据库操作申请表》中“处理结果”栏填写处理结

果并签字，在“备注”栏填写具体更改的数据库权限、安

装盘标记、输入用户和密码所在的机器名等；

6、将《数据库操作申请表》提交档案管理员；

第一百四十二条数据库调试管理

1、由应用系统维护员或开发人员提交《数据库操作申请表》；

2、数据管理员根据《申请表》的要求，新建调试用户（优先考

虑采用与操作系统用户集成的方式），设置权限；是否将调

试用户的密码告知调试人员，须根据《申请表》的要求；

3、等待调试人员完成对数据库的调试后，删除调试用户；

4、在《数据库操作申请表》中“处理结果”栏填写处理结果、

注明完成调试的日期并签字；

5、将《数据库操作申请表》提交档案管理员；

第一百四十三条数据库访问监控

1、安装新的数据库系统时，填写《数据库访问监控报表》（附

表15）,注明监控设置的具体方式和细节；

a）期检查监控日志文件，无论是否发现异常，均须填

写《数据库访问监控报表》；（注：监控日志文件对

数据管理员应设置只读的权限，因为其中记录了数

据库超级用户的操作，须由审计人员审计）；

b）将《数据库操作申请表》提交档案管理员；

第一百四十四条数据库管理的其他方面

1、由数据管理员填写《数据库操作申请表》，在经过批准后执

行；

2、将《‘数据库操作申请表》提交档案管理员；

第一百四十五条本职责细则中档案管理员、应用系统维护员、开发

人员均属信息技术中心所设岗位的人员。

第四章计算机设备（软件）购置管理

第一条计算机设备主要是指硬件设备包括主机（微机、服务器、工

作站等）及外围设备（显示设备、打印设备、电源设备、机

房设备等）、网络通讯设备（交换机、路由器、集线器、调制

解调器）及存储设备等；软件是指系统软件、数据库软件、

开发工具软件、开发平台软件及业务应用软件等。

第二条计算机设备（软件）的购置本着“五统一”原则，即统一规

划、统一标准、统一应用、统一实施、统一采购，以发挥整

体优势，节约投资，便于管理。

4、在公司系统内有广泛需求的计算机设备，由信息技术中心

统一品牌、统一价格、统一定购，各单位分别实施。

2、对于营业部个别需求的计算机设备，信息技术中心对需求

单位上报的购置计划进行审核后，可以授权需求单位按计

划自行购置。

第三条计算机硬件配置必须同时满足如下几方面要求：

1、高效性、可靠性、兼容性、可扩展性；

2、关键设备由信息技术中心通过招标方式选定机型；

3、具有完善的售后服务；

4、对于单价20万元以上的设备，要准备几种配置方案，经论

证后确定最优方案。

第四条采购物品，应采取招标制或类似招标的办法，进行竞价采购，

投标公司（或报价公司）应至少在三家以上。由信息技术中心

与行政部进行此项工作，将几家公司的报价书等相关资料报主

管领导审核并对不同报价进行分析，增加透明度。要坚持做到

“公开、公平、公正”原则。经招标方式选定后统一购买，供

各部室、中心及营业部使用。

第五条计算机设备（软件）购置合同是经济活动中的法律依据。计算

机设备（软件）的购置必须遵守经济合同法的条款及有关规定，

合同（协议）的签订前须报公司法律办公室审定，签定时必须

由两人以上经办并经主管领导批准。合同（协议）要建档备案。

第六条计算机设备（软件）的购置合同（协议）应包括以下内容：设

备名称、型号、配置标准、产地、单位、数量、单价、合计金

额、交货时间、地点、验收标准、付款时间、运保费、保修期

限、维修服务、技术支持、培训及违约责任等内容。合同中需

更详细明确的条款和内容可用协议方式补充说明。

第七条合同执行过程中，如发生违约或纠纷，各单位应及时妥善处理，

并上报公司法律中心与信息技术中心。

第八条购置设备（软件）手续必须完整，由专人负责验收。验收时必

须认真仔细，完成外观检查、数量及配置的清点、安装调试、

设备试运行等几个方面的验收程序。验收合格后及时填写《计

算机设备（软件）验收单》（见附表8）。

第九条计算机设备（软件）验收合格后，电脑部门应及时办理设备（软

件）入库手续。

第十条公司总部各部、中心及各地区总部、各营业部应在每年年度工

作会议之前，编制下一年度的计算机设备的购置计划，报至总

部计划财务部及信息技术中心审核，并由计划财务部汇总报主

管总裁或副总裁审批同意后，作为正式计划下达，并在该年度

之内按计划分步实施。对购置计算机设备突破费用预算的项目,

必须按审批程序以书面形式向各级领导逐级申报。

第十一条各单位编制计算机设备购置计划时，应本着节约、实用的

原则，合理确定性能价格比，不要一味贪大求洋，片面追

求功能先进而忽视成本控制。

第十二条各地区总部、营业部年度计算机类设备购置计划应经总部

信息技术中心、经纪业务管理总部、计划财务部共同审核。

此后计划内设备购置由信息技术中心审查，计划外采购由

经纪业务管理总部与信息技术中心共同审查。

第十三条各部门、中心及各地区总部、营业部在年度预算提出计算

机设备购置计划时，应填写《AA证券部门年度计算机需求

计划表》并报总部信息技术中心和计划财务部审批。公司

信息技术中心和计划财务部将根据各部已有设备、业务需

求和需求计划确定和下达各部、中心及地区总部、营业部

下一年度的《AA证券部门计算机购置额度书》。

第十四条总部各部门、中心及各地区总部、营业部应严格按《AA证

券部门计算机购置额度书》控制设备的购买，当购买设备

数量或总金额超过当年的《营业部计算机购置额度书》

时，应向公司财务总部及电脑工程部提出补充购买计划并

说明原因。

第十五条总部各部门、中心计算机设备购置按照招标内容有总部行

政部统一购置。各地区总部和营业部购买的设备应符合公

司的统一选型，购买设备的合同应报信息技术中心审核型

号、配置、价格和备档。服务器、路由、交换机等大型和

关键设备由信息技术中心直接购买。

第十六条设备购买后应及时将购买的设备资料填写到《电脑设备购

买情况表》中，并提交信息技术中心统一保管。

第十七条为确保计算机系统的安全运行，各部门硬件设备的使用期

限不应超过规定的有效使用年限，超过使用年限内的设备

仍具使用价值时，应报公司信息技术中心核准后方可继续

使用。

第十八条新购置的设备应在测试环境下经过单机运行测试和联机测

试，经测试合格后才能投入使用。新购置服务器的测试时

间应不少于7天。

第十九条购入的计算机设备由信息技术中心负责组织验收并填写和

邮寄售后服务登记卡。计算机设备购入或安装完毕后，须

由经办人填制《AA证券财务领用单》和《AA证券财务验收

单》一式三份，计划财务部、行政部、使用部门或使用个

人各执一份。计划财务部和行政部应据此分别登记财务帐

和实物帐，以保证帐帐相符。

第五章软件开发管理制度

总则

第一条为加强AA证券有限责任公司计算机软件的管理，规范公司

应用软件开发流程，提高项目管理水平，特制定本制度。

第二条本制度所称软件系指计算机操作系统软件、数据库管理软件、

营业部证券交易业务处理系统、信息揭示与分析系统以及公

司其它业务处理软件。

第三条本制度适用于AA证券有限责任公司总部、各地区总部及各

营业部的计算机软件管理。

第四条信息技术中心是公司计算机软件管理的主管部门，负责公司

应用软件的统一审批、开发、测试及购置等工作。

软件购置

第五条公司总部、各地区总部及各营业部应根据业务发展需要制定

软件购置计划，填写《AA证券软件项目需求报告》（见附表

6）,报总部信息技术中心审批批准后方可购买。

第六条总部各部门软件的购买由总部信息技术中心负责；营业部系

统软件、交易系统、财务管理系统等软件的购买由总部信息

技术中心负责组织；其它软件营业部可自行购买，但须报总

部信息技术中心审批。

第七条软件购置应符合有关技术要求。系统软件应达到C2级以上（含

C2级）安全级别；数据库管理软件应具有安全性、完整性、

一致性及可恢复性保障机制；应用软件应满足安全性、可靠

性、兼容性和稳定性的要求。

第八条软件购置之前应正式立项，成立由技术人员、业务人员和管

理人员共同组成的项目小组，项目小组应在同类软件产品的

多家公司中进行对比，最终选定购置的软件应具有优良的性

能、合理的价格、完整的文档资料和良好的售后服务。